Redirecionando solicitação do VNC

[Frusciante]

Boa noite pessoal...tudo beleza?

Bom...o assunto tratado em questão é quanto ao uso do VNC, seja ele o "comum" ou o "Ultra" ou qualquer outra versão do mesmo. Isso acontece quando alguma empresa desenvolve o software (seja ele financeiro ou administrativo ou qualquer outro) para uma outra empresa, pois pode haver determinado momento em que é preciso uma "Conexão Remota" para que um suporte técnico ou até mesmo um suporte institucional. Neste caso, a pessoa que fará tal assistência remota, terá uma conta de usuário com senha para poder acessar a estação remotamente.

Vamos adotar para essa "situação" os seguintes critérios:

Servidor de Internet ::: Linux
A interface de recepção do sinal da internet é a eth0
Servidor de Contas de Usuários ::: Windows Server 2003 (De preferência com o Active Directory instalado e configurado)
Estação de trabalho que receberá o suporte ::: Windows XP Professional SP2
Distribuição do sinal da internet a partir do Linux para toda a rede através de um Switch (ou HUB)
VNC Server instalado na Estação WinXP
A porta de conexão do VNC será apenas a porta 8000

OBS: Utilizei esses critérios pois são os mais utilizados em empresas que têm como servidor de internet o Linux.

Bom, primeira coisa a fazer é certificar-se de que o IPTables está disponível na sua distribuição do Linux. É fácil saber por, a partir do kernel 2.4.x ele passou a se chamar "iptables". Caso você não saiba qual a versão do kernel que você utiliza, vá até o prompt de comando (pode ser no Konsole) e digite:

Código :

# whereis iptables

Caso apareça algo como "/sbin/iptables" seu kernel possui o IPTables.

Bom, vamos ao que interessa.


O cidadão quer acessar a máquina Fin01 que possui o IP interno 192.168.15.32/24 para dar um suporte técnico ao "rapaz do financeiro". Pois bem, temos que liberar a passagem de sua solicitação até a máquina que possui tal IP. A questão é que, quem quer dar a assistência, não tem (nem precisa ter) a mínima noção de qual é a faixa de IPs da sua rede sequer qual o IP de quem ele quer dar o suporte. Para saber disso, você precisa entrevistá-lo. É onde ele vai te dizer que precisa fazer uma assistência remota na máquina do "rapaz do financeiro". Aí é claro, você sabe como chegar até lá. Só é preciso liberar a "entrada "do desenvolvedor do sistema até lá.

Pois bem, vamos encarar que exista um arquivo de texto que você aloge as regras de firewall. vamos abrí-lo e digitar os seguintes comando para que, quando esse arquivo for novamente executado, as novas regras já surtam efeito.

Código :

#Roteando os pacotes pra maquina Fin01
echo "Roteando a solicitacao da porta 8000 para o IP 192.168.15.32..."
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 8000 -j DNAT --to 192.168.15.32:8000
iptables -t nat -A PREROUTING -p udp -i eth0 --dport 8000 -j DNAT --to 192.168.15.32:8000
echo "                                                                                        [OK]"
#
#Autorizando o trafego de pacotes da maquina Fin01
echo "Permitindo a comunicacao entre o Assistente e o Assistido..."
iptables -A FORWARD -p tcp -s 192.168.15.32 --dport 8000 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.15.32 --sport 8000 -j ACCEPT
iptables -A FORWARD -p udp -s 192.168.15.32 --dport 8000 -j ACCEPT
iptables -A FORWARD -p udp -s 192.168.15.32 --sport 8000 -j ACCEPT
echo "                                                                                        [OK]"

Feito isso, o Assistente terá condições de acessar somente a máquina que ele precisa.
Caso ele tente fazer o acesso via Terminal Server, ao invés da porta 8000, será utilizada a porta 3389. Neste caso, será solicitado, no ato da conexão, um nome de usuário e uma senha para acessar a estação.

Bom pessoal, espero ter ajudado bastante com qualquer dúvida que vocês poderiam ter...

abracos

[xstefanox]

Legal o seu tutorial. Vou pedir para que o Duca envie isso para o wiki e trancar o post, ok?