Acesso a maquina interna..NAT?

Bom dia! Estou de volta ao fórum com mais uma dúvida... :-D

Bem, estou precisando fazer um tipo de "acesso remoto".

Pelo navegador da minha máquina eu digito o IP de uma outra máquina da rede interna e acesso a um sistema que roda nela.

O que quero agora é acessar via internet esse sistema. Eu acho que eu devo digitar o IP do roteador e ele aponta para essa máquina interna, mas não sei ao certo se é isso mesmo.
O servidor de internet é Linux com iptables, a maquina do sistema que quero acessar é windows. Devo usar NAT para fazer esse acesso??

Grata!!! :roll:

Tenta assim oh:

Código :

---

# iptables -t nat -A PREROUTING -i $INTERFACE_DE_INTERNET -p TCP --dport $PORTA_DO_SERVICO_DA_REDE_INTERNA -j DNAT --to $IP_INTERNO_DO_SERVIÇO

---

Não funciona!!!! :|

tenta assim entao
iptables -t filter -A INPUT -p tcp -d 200.000.000.0 -mstate --state NEW,ESTABLISHED,RELATED --dport 999 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 200.000.000.0 --dport 999 -j DNAT --to 192.168.0.1
so troque os ips ai para os seu e teste okk
qualquer coisa se num funciona posta ai denovo

Continua na mesma....pede login e senha.......acho que do roteador......mas nada de redirecionar para a máquina interna...... :-(

Eita, estranho. Acabo de testar aqui na empresa e tá funcionando beleza.

ak tbem ta funcionando normal
agora tipo dexa eu ti pergunta
esta regra tu ta colocando no seu gateway "O servidor de internet " correto ?????????

Nossa e justamente isso que eu estou precisando, mas é para conectar usando uma url, eu digito a url de um computador que está na rede externa (IPValido) que tem uma aplicação, ai quando eu logo na neste pc, ele deveria se conectar ao banco de dados de um pc que está dentro da minha rede, mas por nada consigo isso.

agora dá:

(111) Connection refused

Citação:

---

Postado originalmente por geofesteiro

tenta assim entao
iptables -t filter -A INPUT -p tcp -d 200.000.000.0 -mstate --state NEW,ESTABLISHED,RELATED --dport 999 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 200.000.000.0 --dport 999 -j DNAT --to 192.168.0.1
so troque os ips ai para os seu e teste okk
qualquer coisa se num funciona posta ai denovo

---

Eu usei isso para meu caso e nem consigo pingar na máquina a partir do pc externo.

com certeza vc num consegue pinga pq o que a regra que eu passei ele simplismente pega o PACOTE que vem a uma determinada PORTA "999"de um ip valido "200.000.00.0"e transfere pra uma maquina da rede interna
ex se tem um server com oracle na usa rede interna e precisa acessa ele de fora da sua rede e teu gateway tem um ip valido entao é isso que ele faz so transfere a requisicao
tipo tem como vcs passarem qual a porta que o aplicativo do banco de dados usa ??
pq o que pode ta acontecendo e'que a aplicacao precisa de liberacao e redirecionamento de ambos os lados .... tipo entrada pra maquina interna e saida pra maquina interna okkk
posta ai que agente ve no que da

Nossa cara tem jeito sim, a porta e a 1433 do SQL isso ta me tirando o sono cara, já tentei de tudo, e não vai. Se eu conseguisse pingar na máquina acho que já resolveria metade mas nem isso to conseguindo fazer. Meu gateway ping no pc da aplicação e no do bd, ta faltando o elo para unir os dois.

± PC Aplicação ---------------> ± GATEWAY <--------------- ± BD

tipo so + um detalhe todas estas 3 maquinas estao usando linux ????
ou tem alguma com windows e se ta assim ???
± PC Aplicação ---------------> ± GATEWAY <--------------- ± BD
maquina externa...................ip real..................................maquina interna ?
posta ai que agente ve no que da

Duas dessas máquinas estão sob Windows, a que roda a aplicação e a que tem o bd, a única que tem linux e o gateway.

Não tá assim:

Máquina Externa Gateway Banco de Dados
IP Real -------------- IP Real -------------- Maq Interna
(200.xxx.xxx.xxx) (200.xxx.xxx.xxx) (192.168.1.199)

a porta em questão está liberada no router???

tipo tenta desabilita o firewall da maquina windows que vai funciona
okk

No meu caso não é acesso ao BD, mas a um sistema que roda no navegador. Ele usa a porta 2000. Mas ainda não deu certo tbm.... :-(

A única máquina Linux é o Gateway, a máquina interna que quero acessar é WinXP.

bom.. então supomos que a porta 2000 TCP esteja liberada e redirecionada para o linux e que você já fez o DNAT para a maquina windows, e que o FORWARD também está feito...

experimente fazer um MASQUERADE pra rede interna..

"A única máquina Linux é o Gateway, a máquina interna que quero acessar é WinXP."
tipo se fez o que eu passei pro juniovitorino que é DESABILITA O FIREWALL DO WIN XP pq eu j ativo muitos problemas relacionados com ele no meu caso o problema foi o mesmo de vcs
entao desabilita ele e volta a posta so pra ve no que deu okkk ?????

Já desabilitei o firewall do Windows, não mudou nada....

Não precisa mexer em nada no roteador né? :|

entao o que vc tem que faze é so isso mesmo
colocar estas regras no teu gateway"linux"
iptables -t filter -A INPUT -p tcp -d 200.000.000.0 -mstate --state NEW,ESTABLISHED,RELATED --dport 2000 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 200.000.000.0 --dport 2000 -j DNAT --to 192.168.0.1

e mudar estes ips de 200.000.000.0 para o ip real da sua maquina "gateway" e o ip 192.168.0.1 para o ip da maquina que esta o BD que tem que funciona deste jeito
agora so uma perguntinha estas regras que eu ti passei tu ta colocando no teu gateway e que esta com o ip real que vc ta colocando na outra maquina parra pode acessa mesmo né ????

Citação:

---

Postado originalmente por natascha

Já desabilitei o firewall do Windows, não mudou nada....

Não precisa mexer em nada no roteador né? :|

---

a porta que vc quer usar está liberada?

Pela rede interna eu consigo acessar colocando o IP da máquina....então tá habilitada, pois o sistema só funciona na porta 2000...

Citação:

---

Postado originalmente por natascha

Pela rede interna eu consigo acessar colocando o IP da máquina....então tá habilitada, pois o sistema só funciona na porta 2000...

---

pela rede interna você consegue acessar... isso já é um bom sinal...

mas o problema está para o acesso externo, para isso, é necessário que a porta 2000 (provavelmente TCP) esteja direcionada para o servidor (Linux)...

este serviço está feito no router?

Eu devo configurar alguma coisa no roteador direto? Não mexi nele, apenas no servidor de internet, com aqueles códigos do iptables que direcionam para a máquina interna....

pra saber se vc vai precisar mexer no router ou não vai depender do tipo do seu link e de como está configurado seu router...

Acho que ele deveria tentar com FORWARD. Fala ai como esta sua rede. Se vc tem IP válido vc acessa de qualquer lugar, basta esta conectado a net. Não sei se entendi bem.
Essa regra colocada por stéfano deveria funcionar.

iptables -t nat -A PREROUTING -i $INTERFACE_DE_INTERNET -p TCP --dport $PORTA_DO_SERVICO_DA_REDE_INTERNA -j DNAT --to $IP_INTERNO_DO_SERVIÇO

Então, já coloquei essa regra.

E dá:

O seguinte erro foi encontrado:

Falha na conexão
O sistema retornou:

(111) Connection refused
O host remoto (servidor) ou a rede pode estar indisponível. Por favor tente novamente.



Alguém sabe se devo alterar alguma coisa no firewall do roteador? É IP fixo.

Citação:

---

Postado originalmente por natascha

Alguém sabe se devo alterar alguma coisa no firewall do roteador? É IP fixo.

---

bom.. fica complicado te ajudar...

fiz várias perguntas pra vc e não respondeu nenhuma...

ninguém vai adivinhar como é a situação aí...

não respondi porque ainda não consegui entender as configurações do roteador, até mesmo porque só descobri hoje a senha dele, então não sei se a porta 2000 está liberada

bom... então vamos por partes...

me responda duas perguntas:
1 - Qual seu tipo de link?
2 - Qual é seu roteador (marca e modelo)?

Roteador Cisco 805

Como assim tipo de link? Só sei que é IP fixo.....

o que quero saber é se o link é ADSL, IP Dedicado, IP Turbo ou otra coisa..

Link Dedicado, Fibra Óptica da Embratel

depois q eu respondi eu lembrei, q por vc usar um router cisco, provavelmente não seria ADSL...

e sendo Link dedicado, provavelmente também não haverá restrição de portas no router...

a configuração será toda no firewall linux mesmo...

vc deve estar colocando as regras de forma errada ou em ordem errada...

Gente putz ainda não consegui, estou meio que ferrado se não conseguir fazer isso, mas conto com a ajuda de vocês, fiz esse esqueminha para explicar melhor o que preciso fazer, já queimei todos os neurônios, muita gente me fala que tenho que fazer uma rota route add -host, mas ninguem sabe ao certo, então espero que esse esqueminha possa ajudar.

http://www.facsal.br/junio/conexão_webprofessor.jpg

Por favor, quem tiver alguma dica posta ai.

juniovitorino

li desde o começo do tópico pra entender seu caso, desde o princípio suas explicações não estão muito claras..

pelo que entendi seu cenário é o seguinte:

Citação:

---

cliente --- internet --- gw da rede --- aplicação web
|
---------- servidor do db

---

é isso?

o gateway da rede, o servidor da aplicação web e o servidor do banco de dados encontram-se no mesmo local??

ou é da forma abaixo?:

Citação:

---

cliente --- internet --- gw da rede --- servidor do db
|
aplicação web

---

valeu

lucianogf, o servidor da aplica&#231;&#227;o, o gateway da rede e o servidor do banco de dados se encontram fisicamente no mesmo local. Vou tentar explicar melhor.

Vou colocar como esta a minha rede est&#225; atualmente, neste link.

Veja se ficou melhor para entender, por favor.

muito bem...

agora acendeu-se a luz...

agora somente para fins de esclarecimento

o cliente acessa a aplicação web, e esta por sua vez precisa acessar um banco de dados dentro da mesma rede, mas está em uma intranet, para isso a aplicação web faz a requisição para o gateway/firewall da rede, que deve encaminhar para o servidor do db...

bom.. se for isso mesmo, as linhas abaixo devem resolver seu problema:

numa situação hipotética temos:

Citação:

---

# Gateway da rede
# Interface de internet eth1
# Interface da rede interna eth0
IF_REDE=eth0
IF_NET=eth1
IP_GW=200.1.1.1

# Servidor da aplicação web
#APWEB=200.2.2.2

# Servidor do db
IP_DB=192.168.0.199

# Porta usada
PORT=xxxx

---

Citação:

---

$IPT -t nat -A PREROUTING -s $APWEB -i $IF_NET -d $IP_GW -p tcp --dport $PORT -j DNAT --to $IP_DB
$IPT -t nat -A POSTROUTING -s $APWEB -d $IP_DB -o $IF_REDE -j MASQUERADE
$IPT -t filter -A FORWARD -i $IF_ADSL1 -o $IF_AP -s 0/0 -d $IP_DB -p tcp -j ACCEPT

---

cara...

isso é pra resolver, verifique a posição que vc colocará estas regras no seu firewall

tenho estas mesmas regras rodando num servidor

valeu

cara...

este é um assunto que me fez ganhar algumas horas de experiência...

pra ser bem sincero, acredito que nunca tinha entendido direito o que seria o SNAT, pois geralmente é usado quando tem-se um link com IP fixo, e isso eu nunca tive...

na linha onde está o MASQUERADE, como é para acesso a rede interna, você pode fazer um SNAT sem problemas...

supondo que o IP do servidor pra rede seja 192.168.0.1

Citação:

---

$IPT -t nat -A POSTROUTING -s $APWEB -d $IP_DB -o $IF_REDE -j SNAT --to 192.168.0.1

---

valeu

natascha

conseguiu resolver seu problema??

o exemplo acima pode ser útil a você

vou tentar! depois digo o que deu

o meu caso difere do juniovitorino é que não tenho servidor de db.


Obrigada por enquanto pelo auxílio!

Cara o que seria essa linha

Citação:

---

$IPT -t filter -A FORWARD -i $IF_ADSL1 -o $IF_AP -s 0/0 -d $IP_DB -p tcp -j ACCEPT

---

, n&#227;o sei o que &#233; esse IF_ADSL1 e IF_AP.

Luciando cabra, seguinte
nao li do comeco ao fim mas acho que ele quer isso
iptables -A INPUT -p tcp -s 0/0 --dport 2000 -j ACCEPT
iptables -A INPUT -p udp -s 0/0 --dport 2000 -j ACCEPT

iptables -t nat -A PREROUTING -d $IPVALIDO -p tcp --dport 2000 -j DNAT --to-destination $IPCLIENTE:2000

quando um cliente meu me solicita ip valido eu uso DNAT e SNAT onde todas as solicitacoes de fora da rede caem no DNAT e todas as solicitacoes do cliente para a internet cai no SNAT dando ao mesmo ip validos "nao diretamente, mas o iptables desvia as solicitacoes para o ip interno de sua rede" e nunca precisei especifiar portas pos nunca se sabe o que o cliente vai fazer.
Mas se vc quiser especificar porta, ta ai a solucao.
Primeiramente vc deve liberar a porta em seu fire pos e provavel que ela nao esteja liberada para acesso externo. e depois fazer o redirecionamento.
Posta ai no que deu sua duvida, todos nos ficamos satisfeitos quando alguma dica funfa.....

Coloquei:

iptables -A INPUT -p tcp -s 0/0 --dport 2000 -j ACCEPT
iptables -A INPUT -p udp -s 0/0 --dport 2000 -j ACCEPT

iptables -t nat -A PREROUTING -d $IPVALIDO -p tcp --dport 2000 -j DNAT --to-destination $IPCLIENTE:2000

Mas ainda não funciona.....continua dando:

"O seguinte erro foi encontrado:

Falha na conexão
O sistema retornou:

(111) Connection refusedO host remoto (servidor) ou a rede pode estar indisponível. Por favor tente novamente."


No iptables eu tenho que tomar cuidado na ordem dos comandos porque senão um que estiver abaixo pode anular o anterior...não é? Talvez pode ser isso...mas não sei onde colocar....

Internamente eu acesso, mas fora não....

Posta ai seu firewall que fica mais facil

Coloquei isto que peguei em outro fórum:

iptables -t filter -A INPUT -p tcp --dport 2000 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d $ip_fixo --dport 2000 -j DNAT --to $ip_interno:2000
iptables -t nat -A PREROUTING -p udp -d $ip_fixo --dport 2000 -j DNAT --to $ip_interno:2000
iptables -A FORWARD -p tcp -s 0/0 -d 192.168.0.0/24 --dport 2000 -j ACCEPT
iptables -t nat -A POSTROUTING -s $ip_interno -o eth1 -j MASQUERADE


Porém continua na mesma, já enjoei de tentar várias coisas...alguém pode me auxiliar com os comandos acima.....? Grata!

ummmm, tem coisa errada no seu firewall ou entao pode ter certeza q nesse pc do cliente tem algo configurado errado
verifica isso, nao defina no soft do cliente o ip e porta espesifiq somente a porta para que ele possa trabalhar com qualquer ip
caso esteja colocando o ip valido nesse sistema remova e substitua por 127.0.0.1 ou deixe em branco pra ver pq essas regras nao tao errada
te agarantho
o erro ta no seu fire ou no seu cliente

Olá natascha ...

Vamos partir do princípio básico de rede ...

essa máquina que vc está acessando está com que gateway ... ?
pois se não estiver com o gw apontado para o teu firewall ...
não vai funciona de maneira alguma ...
pois o ser firewall entende sua requisição mais não conhece a ROTA para esse host ... já que ele não informa para o firewall ...

endendes ... ???

Se não for isso posta ...

Falow ...