Redirecionamento de Portas

[jozezinho]

Prezados Colegas,

Eu implamentei um servidor na empresa em que trabalho, cujo a função do mesmo é Proxy/Firewall/PDC. Estou utilizando a distribuição Debian Lenny 32 bits.

Na minha rede existe um servidor de cameras, onde a empresa que faz o monitoramento acessa as imagens do servidor atraves de um serviço "Center V2". Ai que está o meu problema, eles me passaram uma lista de portas que devem estar "abertas" no servidor de cameras. fui no meu script de firewall e adicionei uma lista de regras para redirecionar as portas para o ip do servidor de cameras. Fui no site do utorrent testar as portas, e apenas 3 portas estavam como abertas...o resto nao. Mas todas as linhas estão iguais...o que poderia ser???

vou postar o meu script do Firewall:

#!/bin/sh -e
#
# rc.local
#
#************************************
# INICIA ROTEAMENTO
#
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
#
#************************************
# INICIA PROXY TRANSPARENTE
#
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 80 -j REDIRECT --to-port 3128
#
#************************************
# MEDIDAS DE SEGURANCA
#
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -m limit --limit 1/s -j RETURN
## LIBERA PACOTES DA REDE LOCAL
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT
## LIBERA ACESSO VIA SSH NA PORTA 222
iptables -A INPUT -p tcp --dport 2012 -j ACCEPT
## LIBERA PORTA PARA O NTP
iptables -A INPUT -p tcp --dport 123 -j ACCEPT
## BLOQUEIA SYN FLOOD
iptables -A INPUT -p tcp --syn -j DROP
## BLOQUEIA IP SPOOFING
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
iptables -A INPUT -m state --state INVALID -j DROP
## REDIRECIONA A PORTA DO TERMINAL SERVER
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 3389 -j DNAT --to 192.168.254.29:3389
#***********************************
# LIBERA PORTAS DAS CAMERAS
#
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 2500 -j DNAT --to 192.168.254.245:2500
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 4550 -j DNAT --to 192.168.254.245:4550
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 5550 -j DNAT --to 192.168.254.245:5550
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 5547 -j DNAT --to 192.168.254.245:5547
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 5548 -j DNAT --to 192.168.254.245:5548
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 5549 -j DNAT --to 192.168.254.245:5549
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 5546 -j DNAT --to 192.168.254.245:5546
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 3550 -j DNAT --to 192.168.254.245:3550
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 6550 -j DNAT --to 192.168.254.245:6550
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 8080 -j DNAT --to 192.168.254.245:8080
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 8000 -j DNAT --to 192.168.254.245:8000
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 1250 -j DNAT --to 192.168.254.245:1250
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 5545 -j DNAT --to 192.168.254.245:5545
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 3650 -j DNAT --to 192.168.254.245:3650
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 9650 -j DNAT --to 192.168.254.245:9650
#
exit 0

Portas que o utorrent mostrou que estão abertas: 2500, 4550, 5550, 5548, 5549, 3550, 6550, 3650
Portas que o utorrent mostrou que estão fechadas: 5545, 5546, 5547, 8080, 8000, 1250, 9650

Existe limite de portas para o mesmo host?

Lembrando que 192.168.254.245 é o ip do meu servidor de cameras. que usa Windows XP.

Existe algum outro site para testar o redirecionamento de portas?

desde ja agradeço a todos

[Não Registrado]

Nao entendi direito...

algumas portas mostram que estão abertas e outras mostram que nao estão, segundo o site do utorrent?

estranho, pois as regras são identicas, só muda mesmo o numero da porta.

ia falar para vc liberar o INPUT da porta, mas vejo que voce fez esse teste com a porta 8080, e como essa porta esta na lista de portas que o resultado deu negativo, suponho que nao funcionou esse teste !!

realmente nao sei o que pode estar errado.

tente axar uma segunda opnião...outro site que teste a porta !!

flwz

[rogeriokde]

Olá amigo, bom dia

- Faça um pequeno teste para nos (é claro que, se for possivel):
Utilizando uma maquina com windows na mesma rede do servidor de cameras 192.168.254.254, digite:

Código :

[FONT=Verdana][COLOR=black][COLOR=black][FONT=Verdana]telnet 192.168.254.254 2500[/FONT][/COLOR]
[COLOR=black][FONT=Verdana][COLOR=black][FONT=Verdana]telnet 192.168.254.254 4550[/FONT][/COLOR]
[FONT=Verdana][COLOR=black][COLOR=black][FONT=Verdana]telnet 192.168.254.254 5550[/FONT][/COLOR]
[FONT=Verdana][COLOR=black][COLOR=black][FONT=Verdana]telnet ......[/FONT][/COLOR][/COLOR][/FONT][/COLOR][/FONT][/FONT][/COLOR][/COLOR][/FONT]

Código :

[FONT=Verdana][COLOR=black][COLOR=black][FONT=Verdana]C:\Documents and Settings\KDE>telnet 192.168.254.254 2500<font color="black"><font color="black"><span style="font-family: Verdana">Assim, voce testa se essas portas estão abertas no seu servidor de cameras, independente das configurações feitas em seu firewall.</span></font>
<font color="black"><span style="font-family: Verdana">Os resultados do telnet que forem iguais aos abaixo, significa que a porta nao esta aberta no servidor de cameras, e então, não seria necessário efetuar a regra de nat para tal porta</span></font>
</font>
[FONT=Verdana][COLOR=black]Conectando-se a 192.168.254.254...Não foi possível abrir conexão com host na por<span style="font-family: Verdana">
</span>
[FONT=Verdana][COLOR=black]ta 2500: conexão falhou[/COLOR][/FONT]

[/COLOR][/FONT][/FONT][/COLOR][/FONT][/COLOR]

[jozezinho]

Rogério,

As portas que eu citei que aparecem abertas no utorrent, conectam por telnet normal...

As portas que eu citei que aparecem fechadas no utorrent, nao conectam por telnet...

agora eis a pergunta: O que eu faço???

Entendo que se a porta não está aberta no servidor de cameras, é por que nenhum serviço está escultando nessas portas.

mas a merda do center V2 nao conecta no servidores deles...e eles falam q todas essas portas devem estar abertas !!

o q eu posso fazer ???

[rogeriokde]

Certo, isso pelo menos ja é sinal de que os redirecionamentos no firewall estão funcionando.

Agora vão duas perguntas:

- Dentro da rede do servidor de cameras, um cliente consegue acessar o serviço normalmente?
- O Software cliente, utilizado para visualizar as cameras, faz uma busca do server por broadcast, ou voce especifica o ip manualmente (ex.: 192.168.254.254)?

[jozezinho]

Vou tentar explicar melhor o cenário:

tenho um servidor de cameras, cujo ip é 192.168.254.245. nas estações da rede eu consigo visualizar as cameras normalmente colocando o 192.168.254.245:2500 ... e de fora da rede, eu visualizado atraves de um DDNS.

Tem uma empresa de vigilancia, que faz o monitoramento das minhas cameras, eles gravam todas as imagens no servidor deles, que fica fora da minha estrutura, para isso eles usam o programa Center V2.

Instalei o center v2 em uma maquina dentro da minha rede, localmente, e conectei normalmente ao Center V2. Só que essa empresa de vigilancia, só que o meu servidor de cameras nao consegue conectar ao Center V2 da empresa de vigilancia, que está fora da minha estrutura.

entao eles falaram que todas essas portas acima devem estar redirecionadas para o ip do servidor de cameras.

esse é o cenário.

[rogeriokde]

Olá amigo, com essa sua nova explicação, clareou tudo. Hehehe.

vamos la, vou te pedir para que faça um outro teste na mesma maquina em que voce fez o primeiro teste com o telnet:

1- Feche todos os programas que tenham conectividade com a internet ou rede (msn, compartilhamento, site, etc)
2- Digite o comando no prompt de commando do windows "netstat -n"
2.1- A resposta do comando acima não deve trazer nenhuma conexão ativa (se isso não acontecer, repita o passo numero 1)
3- Abra o software Center V2 em sua maquina, tente uma conexão com o servidor.
4- No momento em que o software estiver conectando e quando ele estiver conectado, execute o comando "netstat -n >> c:\Center_V2.txt"

Abra o arquivo Center_V2.txt no c:\ e veja as portas utilizadas para estabelecer a conexão com seu servidor 192.168.254.254.

Obs.: Sugiro ja deixar o comando digitado no prompt de comandos do windows antes de executar a etapa de numero 3.

..::Resultado::..

As portas em que aparece no arquivo com o endereço externo 192.168.254.254 são as portas necessárias para redirecionamento ser feito no seu firewall, independetemente se o estado nao seja established. (pode ter sido utilizado uma porta somente para autenticação, e depois estabelecido a conexão por outra porta)

Qualquer duvida, poste o resultado deste arquivo nesse post que eu lhe auxiliarei.

Abraço, t+

[jozezinho]

Prezado Rogério,

Genial a sua sugestão, fiz conforme orientado...eis o resultado:

Conexäes ativas

Proto Endereço local Endereço externo Estado
TCP 192.168.254.200:1630 192.168.254.245:5548 ESTABLISHED
TCP 192.168.254.200:1631 192.168.254.245:5549 ESTABLISHED
TCP 192.168.254.200:1632 192.168.254.245:5548 ESTABLISHED
TCP 192.168.254.200:1633 192.168.254.245:5548 ESTABLISHED
TCP 192.168.254.200:1634 192.168.254.245:5548 ESTABLISHED
TCP 192.168.254.200:1635 192.168.254.245:5548 ESTABLISHED
TCP 192.168.254.200:1636 192.168.254.245:5548 ESTABLISHED
TCP 192.168.254.200:1637 192.168.254.245:5549 ESTABLISHED
TCP 192.168.254.200:1638 192.168.254.245:5549 ESTABLISHED
TCP 192.168.254.200:1639 192.168.254.245:5549 ESTABLISHED
TCP 192.168.254.200:1640 192.168.254.245:5549 ESTABLISHED
TCP 192.168.254.200:1641 192.168.254.245:5549 ESTABLISHED
TCP 192.168.254.200:5547 192.168.254.245:2019 ESTABLISHED

Só explicando o procedimento feito:

Fui na maquina 192.168.254.200 e abri o programa servidor do Center V2.
Fui na maquina 192.168.254.245 e abri o programa de cameras (gv800).
no programa de cameras, abri o utilitario de conexão com servidor Center V2. coloquei o ip do servidor (192.168.254.200) e o login e senha por mim cadastrado.

Pronto, conectou e gerou esse relatório acima !

preciso fazer essa mesma conexão, só que no servidor do Center V2 da empresa de vigilancia (externo).

qual é o proximo passo? era esse resultado que vc esperava?

agradeço desde ja !

[info24hs]

Se eu entendi bem vc precisa que o host cliente externo acesse o serviço de um host interno da sua rede.. vc tem um gateway correto?

Coloque essas regras no firewall do seu gateway para redirecionar a porta ao seu destino..

## Váriáveis ##

IP = "IP_HOST_REDE_INTERNA"
PORT = "PORTA_DO_SERVIÇO"
ETH = "ETHERNET_EXT"

iptables -I FORWARD -p tcp --dport $PORT -j ACCEPT
iptables -t nat -I PREROUTING -i $ETH -p tcp --dport $PORT -j DNAT --to-dest $IP
iptables -t mangle -A PREROUTING -p tcp -s $IP --sport $PORT -j