Acesso a maquina interna..NAT?

[geofesteiro]

entao o que vc tem que faze é so isso mesmo
colocar estas regras no teu gateway"linux"
iptables -t filter -A INPUT -p tcp -d 200.000.000.0 -mstate --state NEW,ESTABLISHED,RELATED --dport 2000 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 200.000.000.0 --dport 2000 -j DNAT --to 192.168.0.1

e mudar estes ips de 200.000.000.0 para o ip real da sua maquina "gateway" e o ip 192.168.0.1 para o ip da maquina que esta o BD que tem que funciona deste jeito
agora so uma perguntinha estas regras que eu ti passei tu ta colocando no teu gateway e que esta com o ip real que vc ta colocando na outra maquina parra pode acessa mesmo né ????

[lucianogf]

Já desabilitei o firewall do Windows, não mudou nada....

Não precisa mexer em nada no roteador né? :|

a porta que vc quer usar está liberada?

[natascha]

Pela rede interna eu consigo acessar colocando o IP da máquina....então tá habilitada, pois o sistema só funciona na porta 2000...

[lucianogf]

Pela rede interna eu consigo acessar colocando o IP da máquina....então tá habilitada, pois o sistema só funciona na porta 2000...

pela rede interna você consegue acessar... isso já é um bom sinal...

mas o problema está para o acesso externo, para isso, é necessário que a porta 2000 (provavelmente TCP) esteja direcionada para o servidor (Linux)...

este serviço está feito no router?

[natascha]

Eu devo configurar alguma coisa no roteador direto? Não mexi nele, apenas no servidor de internet, com aqueles códigos do iptables que direcionam para a máquina interna....

[lucianogf]

pra saber se vc vai precisar mexer no router ou não vai depender do tipo do seu link e de como está configurado seu router...

[cvr]

Acho que ele deveria tentar com FORWARD. Fala ai como esta sua rede. Se vc tem IP válido vc acessa de qualquer lugar, basta esta conectado a net. Não sei se entendi bem.
Essa regra colocada por stéfano deveria funcionar.

iptables -t nat -A PREROUTING -i $INTERFACE_DE_INTERNET -p TCP --dport $PORTA_DO_SERVICO_DA_REDE_INTERNA -j DNAT --to $IP_INTERNO_DO_SERVIÇO

[natascha]

Então, já coloquei essa regra.

E dá:

O seguinte erro foi encontrado:

Falha na conexão
O sistema retornou:

(111) Connection refused
O host remoto (servidor) ou a rede pode estar indisponível. Por favor tente novamente.



Alguém sabe se devo alterar alguma coisa no firewall do roteador? É IP fixo.

[lucianogf]

Alguém sabe se devo alterar alguma coisa no firewall do roteador? É IP fixo.

bom.. fica complicado te ajudar...

fiz várias perguntas pra vc e não respondeu nenhuma...

ninguém vai adivinhar como é a situação aí...

[natascha]

não respondi porque ainda não consegui entender as configurações do roteador, até mesmo porque só descobri hoje a senha dele, então não sei se a porta 2000 está liberada

[lucianogf]

bom... então vamos por partes...

me responda duas perguntas:
1 - Qual seu tipo de link?
2 - Qual é seu roteador (marca e modelo)?

[natascha]

Roteador Cisco 805

Como assim tipo de link? Só sei que é IP fixo.....

[lucianogf]

o que quero saber é se o link é ADSL, IP Dedicado, IP Turbo ou otra coisa..

[natascha]

Link Dedicado, Fibra Óptica da Embratel

[lucianogf]

depois q eu respondi eu lembrei, q por vc usar um router cisco, provavelmente não seria ADSL...

e sendo Link dedicado, provavelmente também não haverá restrição de portas no router...

a configuração será toda no firewall linux mesmo...

vc deve estar colocando as regras de forma errada ou em ordem errada...

[juniovitorino]

Gente putz ainda não consegui, estou meio que ferrado se não conseguir fazer isso, mas conto com a ajuda de vocês, fiz esse esqueminha para explicar melhor o que preciso fazer, já queimei todos os neurônios, muita gente me fala que tenho que fazer uma rota route add -host, mas ninguem sabe ao certo, então espero que esse esqueminha possa ajudar.

http://www.facsal.br/junio/conexão_webprofessor.jpg

Por favor, quem tiver alguma dica posta ai.

[lucianogf]

juniovitorino

li desde o começo do tópico pra entender seu caso, desde o princípio suas explicações não estão muito claras..

pelo que entendi seu cenário é o seguinte:

cliente --- internet --- gw da rede --- aplicação web
|
---------- servidor do db

é isso?

o gateway da rede, o servidor da aplicação web e o servidor do banco de dados encontram-se no mesmo local??

ou é da forma abaixo?:

cliente --- internet --- gw da rede --- servidor do db
|
aplicação web

valeu

[juniovitorino]

lucianogf, o servidor da aplicação, o gateway da rede e o servidor do banco de dados se encontram fisicamente no mesmo local. Vou tentar explicar melhor.

Vou colocar como esta a minha rede está atualmente, neste link.

Veja se ficou melhor para entender, por favor.

[lucianogf]

muito bem...

agora acendeu-se a luz...

agora somente para fins de esclarecimento

o cliente acessa a aplicação web, e esta por sua vez precisa acessar um banco de dados dentro da mesma rede, mas está em uma intranet, para isso a aplicação web faz a requisição para o gateway/firewall da rede, que deve encaminhar para o servidor do db...

bom.. se for isso mesmo, as linhas abaixo devem resolver seu problema:

numa situação hipotética temos:

# Gateway da rede
# Interface de internet eth1
# Interface da rede interna eth0
IF_REDE=eth0
IF_NET=eth1
IP_GW=200.1.1.1

# Servidor da aplicação web
#APWEB=200.2.2.2

# Servidor do db
IP_DB=192.168.0.199

# Porta usada
PORT=xxxx

$IPT -t nat -A PREROUTING -s $APWEB -i $IF_NET -d $IP_GW -p tcp --dport $PORT -j DNAT --to $IP_DB
$IPT -t nat -A POSTROUTING -s $APWEB -d $IP_DB -o $IF_REDE -j MASQUERADE
$IPT -t filter -A FORWARD -i $IF_ADSL1 -o $IF_AP -s 0/0 -d $IP_DB -p tcp -j ACCEPT

cara...

isso é pra resolver, verifique a posição que vc colocará estas regras no seu firewall

tenho estas mesmas regras rodando num servidor

valeu

[lucianogf]

cara...

este é um assunto que me fez ganhar algumas horas de experiência...

pra ser bem sincero, acredito que nunca tinha entendido direito o que seria o SNAT, pois geralmente é usado quando tem-se um link com IP fixo, e isso eu nunca tive...

na linha onde está o MASQUERADE, como é para acesso a rede interna, você pode fazer um SNAT sem problemas...

supondo que o IP do servidor pra rede seja 192.168.0.1

$IPT -t nat -A POSTROUTING -s $APWEB -d $IP_DB -o $IF_REDE -j SNAT --to 192.168.0.1

valeu