+ Responder ao Tópico



  1. #1

    Padrão Liberando portas no firewall iptables(Smoothwall) para acessar terminal services

    Olá pessoa é o seguinte, tenho um roteador funcionando como gateway e firewall, uso a distro smoothwall com iptables nesse router, tenho um probleminha, preciso acessar todos os micros da rede interna através do Desktop Remoto do Windows, isso através da rede externa, como faço isso no iptables, pois a solução de redirecionamento de porta fica inviável...pois a rede tem muitos computadores....tem como deixar essa porta 3389 se não me engano aberta pra que possa acesssar qualquer computador da rede interna fora dessa rede? Sou newbie me ajudem...
    Última edição por mark0z; 23-07-2010 às 17:52.

  2. #2

    Padrão Re: Liberando portas no firewall iptables(Smoothwall) para acessar terminal services

    Bom dia mark0z,

    A propria microsoft não recomenda fazer acesso TS externamente, sugiro a vc estabelecer uma vpn primeiro e assim vc poderá fazer a conexão em suas maquinas com tranquilidade e segurança. Não faça publicação em seu router do protocolo RDP para o mundo.

  3. #3

    Padrão Re: Liberando portas no firewall iptables(Smoothwall) para acessar terminal services

    Citação Postado originalmente por jvicente Ver Post
    Bom dia mark0z,

    A propria microsoft não recomenda fazer acesso TS externamente, sugiro a vc estabelecer uma vpn primeiro e assim vc poderá fazer a conexão em suas maquinas com tranquilidade e segurança. Não faça publicação em seu router do protocolo RDP para o mundo.
    é através de uma VPN, só que vpn me dá acesso a uma rede e os computadores que quero acessar ficam atrás de um outro roteador gateway que está com um firewall(quero liberar o firewall para remote desktop, mas são muitos pcs que quero acessar e redirecionar portas fica muito inviavel....

    Tipo o esquema seguinte:


    http://img842.imageshack.us/img842/4567/rede.jpg

  4. #4

    Padrão Re: Liberando portas no firewall iptables(Smoothwall) para acessar terminal services

    ip que vc ker conectar externamente é sempre o mesmo e é fixo??
    faz o teu iptables aceitar conexoes na 3389 somente daquela maquina..
    ah! vc tem varias? sao mtas mesmo? pq derrepente vc pode fazer uma regra p/ cada
    digamos que vc tenha as 5 maq:
    192.168.0.1 192.168.0.2 192.168.0.3 192.168.0.4 192.168.0.5
    todas com TS na 3389(claro)
    iptables -t nat -A PREROUTING -s (teu-ip-fixo) -d (placa-q-xega) -p tcp --dport 3391 -j DNAT --to 192.168.0.1:3389
    iptables -t nat -A PREROUTING -s (teu-ip-fixo) -d (placa-q-xega) -p tcp --dport 3392 -j DNAT --to 192.168.0.2:3389
    iptables -t nat -A PREROUTING -s (teu-ip-fixo) -d (placa-q-xega) -p tcp --dport 3393 -j DNAT --to 192.168.0.3:3389
    e assim sucessivamente.. serve??
    assim somente o teu pc vai conectar e ninguem mais..
    ou vc pode fazer um port knock...
    ou coisa parecida =)
    Última edição por laerciomotta; 25-07-2010 às 18:24. Razão: é PREROUTING e nao POSTROUTING.. :P

  5. #5

    Padrão Re: Liberando portas no firewall iptables(Smoothwall) para acessar terminal services

    Citação Postado originalmente por laerciomotta Ver Post
    ip que vc ker conectar externamente é sempre o mesmo e é fixo??
    faz o teu iptables aceitar conexoes na 3389 somente daquela maquina..
    ah! vc tem varias? sao mtas mesmo? pq derrepente vc pode fazer uma regra p/ cada
    digamos que vc tenha as 5 maq:
    192.168.0.1 192.168.0.2 192.168.0.3 192.168.0.4 192.168.0.5
    todas com TS na 3389(claro)
    iptables -t nat -A POSTROUTING -s (teu-ip-fixo) -d (placa-q-xega) -p tcp --dport 3391 -j DNAT --to 192.168.0.1:3389
    iptables -t nat -A POSTROUTING -s (teu-ip-fixo) -d (placa-q-xega) -p tcp --dport 3392 -j DNAT --to 192.168.0.2:3389
    iptables -t nat -A POSTROUTING -s (teu-ip-fixo) -d (placa-q-xega) -p tcp --dport 3393 -j DNAT --to 192.168.0.3:3389
    e assim sucessivamente.. serve??
    assim somente o teu pc vai conectar e ninguem mais..
    ou vc pode fazer um port knock...
    ou coisa parecida =)

    Eu gostaria de acessar qualquer ip na porta 3389, sem fazer redirect. pq se eu tiver 200 pcs vou ter q colocar pra cada pc:

    iptables -t nat -A POSTROUTING -s (teu-ip-fixo) -d (placa-q-xega) -p tcp --dport 3393 -j DNAT --to 192.168.0.3:3389

    Ai é dureza, queria que funcionasse como se não tivesse firewall..., e o que é "port knock"...?

  6. #6

    Padrão Re: Liberando portas no firewall iptables(Smoothwall) para acessar terminal services

    Citação Postado originalmente por mark0z Ver Post
    Eu gostaria de acessar qualquer ip na porta 3389, sem fazer redirect. pq se eu tiver 200 pcs vou ter q colocar pra cada pc:

    iptables -t nat -A POSTROUTING -s (teu-ip-fixo) -d (placa-q-xega) -p tcp --dport 3393 -j DNAT --to 192.168.0.3:3389

    Ai é dureza, queria que funcionasse como se não tivesse firewall..., e o que é "port knock"...?
    nao sei se estou falando besteira... mas vc já tentou liberar para toda a rede?
    192.168.0.0/24 ???

  7. #7

    Padrão Re: Liberando portas no firewall iptables(Smoothwall) para acessar terminal services

    Citação Postado originalmente por gbovelar Ver Post
    nao sei se estou falando besteira... mas vc já tentou liberar para toda a rede?
    192.168.0.0/24 ???
    Eu tenho que testar algo meio que "certeza" porque é um pc de produção aqui...=/
    Mas fiz isso através do console web do smoothwall sem êxito!

  8. #8

    Padrão Re: Liberando portas no firewall iptables(Smoothwall) para acessar terminal services

    Bom dia Pessoal,
    Tenho uma dúvida sobre acesso remoto.
    Aqui na empresa tenho dois servidores que precisam ser publicados na internet para ter acesso remoto.
    Um deles eu consegui usando a seguinte regra:
    iptables -t filter -A FORWARD 192.168.200.243 -t eth0 -p tcp -m tcp --dport 3389 -J ACCEPT
    e
    iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 3389 -J DNAT --to-destination 192.168.200.243

    Eu preciso publicar outro servidor, por exemplo o que tenho o IP 192.168.200.249 e não estou sabendo fazer. Alguém pode me ajudar?
    Obrigado pela atenção.
    T+!

  9. #9

    Padrão Re: Liberando portas no firewall iptables(Smoothwall) para acessar terminal services

    Bem meu amigoo..
    O caminho é o mesmo..
    Mais a lógica é a seguinte..
    Vc não pode usar a mesma porta 3389 para os 2 servidores
    então vc terá que usar outra.. Podendo uma qualquer, sugiro algo acima..
    Tipo 3390:

    iptables -t filter -A FORWARD 192.168.200.249 -i eth0 -p tcp -m tcp --dport 3390 -J ACCEPT
    e
    iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 3390 -J DNAT --to-destination 192.168.200.249:3389

    No caso eu coloco o 3389 no final..
    Na regra do FORWARD não é -t eth0 e sim -i eth0 se for entrada pela eth0 e -o eth0 se for saída..
    Ainda na regra do FORWARD eu to dizendo: o pacote que for encaminhado vindo da eth0 para qualquer lugar com destino a porta 3389 é ACEITA
    Estou dizendo para a regra PREROUTING.. o que chegar de entrada na eth0 com o protocolo tcp e a porta destino 3390 MUDE O DESTINO(DNAT) para 192.168.200.249 na porta 3389

    E volto a dizer como eu sempre digo nos meus post..
    Leiam pelo menos umas duas vezes esse tuto:
    Firewall com IPTABLES - by Eriberto
    Não foi eu que fiz, mais ta muito bem explicado..

    []'s

  10. #10

    Padrão Re: Liberando portas no firewall iptables(Smoothwall) para acessar terminal services

    Blz meu nobre, valeu mesmo pelo apoio. Vou ler este tuto.
    Esqueci de comentar um detalhe. O pessoal que está externo, acessa o primeiro servidor via TS (o 192.168.200.243), Eles colocam o IP 222.222.222.222 no MSTSC do pc cliente que está em outro estado, por exemplo, e acessam o server 243. Preciso agora, também acessar o server de IP 249. Então, se entendi direito, para eu acessar esse outro servidor de IP 249, basta no MSTSC eu fazer o seguinte:
    222.222.222.222:3390?

  11. #11

    Padrão Re: Liberando portas no firewall iptables(Smoothwall) para acessar terminal services

    É o seguinte, na placa eth0, que é a placa de rede que está na internet, podemos por vários endereços IP's, eu vi um modo de ser fazer o que preciso colocando vários endereços IP's na mesma placa e criar diversos redirecionamentos. No exemplo acima, o:

    iptables -t filter -A FORWARD 192.168.200.243 -t eth0 -p tcp -m tcp --dport 3389 -J ACCEPT
    e
    iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 3389 -J DNAT --to-destination 192.168.200.243

    Ta funcionando. Eu coloquei mais um IP nesta mesma placa e seu nome do dispositivo, nas configurações de rede ficou "eth0:1", me corrijam se eu estiver errado, pois, na teoria se eu fizesse o seguinte esquema:

    iptables -t filter -A FORWARD 192.168.200.249 -t eth0:1 -p tcp -m tcp --dport 3390 -J ACCEPT
    e
    iptables -t nat -A PREROUTING -i eth0:1 -p tcp -m tcp --dport 3390 -J DNAT --to-destination 192.168.200.249

    Era para dar certo, não?

    Só que, salvo o arquivo e na hora que uso o iptables-restore /caminho onde está o arquivo, me apresenta a seguinte mensagem:

    Warning: wired character in interface 'eth0:1' (no aliases, :, ! or *).
    Warning: wired character in interface 'eth0:1' (no aliases, :, ! or *).

    Entendi que é o ":" que coloquei no nome da interface, só que é esse o nome da interface com o novo IP que me aparece no ifconfig. O que eu teria que fazer neste caso?
    Mais uma vez, grato pela atenção.
    Última edição por joaquimnt; 26-04-2011 às 16:35.

  12. #12

    Padrão Re: Liberando portas no firewall iptables(Smoothwall) para acessar terminal services

    Socooooorro!!!

  13. #13

    Padrão Re: Liberando portas no firewall iptables(Smoothwall) para acessar terminal services

    laerciomotta, deu certo meu velho, eu tava cego com esse problema e n tinha entendido direito o que vc tinha dito, mesmo estando bem claro. Valeu mesmo meu velho, tu é o cara.
    Se tu vier por aqui pelo Recife, dá os toque que já tem uma grade de cerveja paga.

  14. #14

    Padrão Re: Liberando portas no firewall iptables(Smoothwall) para acessar terminal services

    Simples...
    Tire o :1
    Iptables desconsidera aliases
    Olha o erro.. Leia e tente fazer algo antes de desesperar

    []'s

  15. #15

    Padrão Re: Liberando portas no firewall iptables(Smoothwall) para acessar terminal services

    Eu tinha tentado, a bronca era que, tudo que eu tentava, ele só conectava no servidor da primeira regra, a bronca é que eu não estava pondo o :3389 no final da regra como você mencionou. Massa, então pelo que entendi, eu nem preciso ficar pondo vários endereços IP's na mesma placa, vou até economizar IP's públicos.
    Valeu mesmo.