Perguntas & Respostas

Olá amigos, preciso da ajuda de vcs...

Estou com problemas. Gostaria que alguem me ajudasse a resolver.
o cenario é este: Tenho um servidor linux (firewall/proxy) e um servidor windows server 2003. Algumas pessoas de fora da empresa precisam acessar o windows server por VPN e por terminal server, por terminal o acesso está ok, porém não sei como liberar para conseguir me conectar por VPN... a VPN no windows está configurada normalmente tanto é que ante de ligar o firewall conseguiam acessar normal...

Alguem poderia me ajuda...
Segue o meu firewall:


######### VARIAVEIS - MACRO ########

# Interface Externa
WAN="eth1"

# Interface Interna
LAN="eth0"

# Comando Iptables
IPT="/sbin/iptables"

# Comando Echo
ECHO="/bin/echo"

# Comando Cat
CAT="/bin/cat"

# Diretorio dos Grupos do Firewall
DIR="/usr/local/sbin/firewall"

# Arquivo de Grupo RH
RH="ips_rh"

# Arquivo de Grupo Block All
BLOCKALL="ips_block_all"

# Arquivo de Grupo Allow All
ALLOWALL="ips_allow_all"

# Arquivo de Liberacao do Terminal Service
TERMINAL="ips_terminal"



##### FIM DE VARIAVEIS - MACRO #####


######### VARIAVEIS - PORTAS ########

# Porta do Servidor SSH
SSH="22"

# Porta do Servidor DNS
DNS="53"

# Porta do Servidor Proxy
SQUID="3128"

# Porta do Servidor HTTP
HTTP="80"

# Porta do Servidor HTTPS
HTTPS="443"

# Porta do Servidor POP
POP="110"

# Porta do Servidor SMTPS
SMTPS="587"
SMTP="25"

# Porta do Remote Terminal
RTS="3389"


##### FIM DE VARIAVEIS - PORTAS #####


######### VARIAVEIS - REDES ########

# Rede de Ips da Conectividade Social
CONECTIVIDADE1="200.201.0.0/16"
CONECTIVIDADE2="200.252.141.0/24"
##### FIM DE VARIAVEIS - REDES #####



######### VARIAVEIS - IPS ########

# Ip do CAGED
CAGED="200.220.91.38"

# IP Real do Servidor
IP_REAL="x.x.x.x"

# IP do Servidor Windows
IP_REAL_WIN="x.x.x.x"
IP_FALSO_WIN="x.x.x.x"

# IPs Externos Necessarios Para o Conectividade
CONECTIVIDADE3="200.234.200.77"
CONECTIVIDADE4="67.15.145.15"
CONECTIVIDADE5="216.109.119.252"

##### FIM DE VARIAVEIS - IPS #####

######### FUNCOES ########

## Funcao de Inicializacao de Valores TCP/IP
inicio() {

# Filtra Pacotes "Spoofados"
$ECHO 1 > /proc/sys/net/ipv4/conf/all/rp_filter

# Nco Aceita Pacotes Redirecionados
$ECHO 0 > /proc/sys/net/ipv4/conf/all/accept_source_route

# Desativa Redirecionamentos
$ECHO 0 > /proc/sys/net/ipv4/conf/all/accept_redirects

# Nco Loga Ips Impossiveis
$ECHO 0 > /proc/sys/net/ipv4/conf/all/log_martians

# Ignora Pacotes ICMP de Broadcast
$ECHO 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# Ignora Pacotes ICMP de Erro
$ECHO 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses


# Tempo Maximo de Espera da Conexao sem Resposta
$ECHO 45 > /proc/sys/net/ipv4/tcp_fin_timeout

# Tempo Maximo de Conexco KeepAlive
$ECHO 90 > /proc/sys/net/ipv4/tcp_keepalive_intvl

# Habilita Redirecionamento de Pacotes (Necessario para NAT)
$ECHO 1 > /proc/sys/net/ipv4/ip_forward

# Protege Contra Ataques Syn Flood
$ECHO 1 > /proc/sys/net/ipv4/tcp_syncookies
}


# Funcao que Limpa as Regras e Volta ao Default
limpa() {

# Habilita Regra Default de Entrada de Pacotes como ACEITAR
$IPT -P INPUT ACCEPT

# Habilita Regra Default de Passagem de Pacotes como ACEITAR
$IPT -P FORWARD ACCEPT

# Habilita Regra Default de Saida de Pacotes como ACEITAR
$IPT -P OUTPUT ACCEPT

# Deleta Todas as Cadeias da Tabela Filter
$IPT -X

# Limpa Todas Regras da Tabela Filter
$IPT -F

# Zera os Contadores da Tabela Filter
$IPT -Z

# Deleta Todas as Cadeias da Tabela NAT
$IPT -t nat -X

# Limpa Todas Regras da Tabela NAT
$IPT -t nat -F

# Zera os Contadores da Tabela NAT
$IPT -t nat -Z
}

# Funcao Default
protege() {

# Habilita Regra Default de Entrada de Pacotes como NEGAR
$IPT -P INPUT DROP

# Habilita Regra Default de Passagem de Pacotes como NEGAR
$IPT -P FORWARD DROP

# Habilita Regra que permite Conexues "Established" ou "Related"
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Habilita Regra que permite Conexues "Established" ou "Related"
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
}

# Funcao de Regras de Acesso
regras() {

#Interface de LoopBack
$IPT -A INPUT -i lo -j ACCEPT

######## Acesso Ao Servidor Firewall #######

# Regra de Acesso ao Servico DNS
$IPT -A INPUT -i $LAN -p tcp --dport $DNS --syn -j ACCEPT
$IPT -A INPUT -i $LAN -p udp --dport $DNS -j ACCEPT

# Regra de Acesso ao Servigo SSH
$IPT -A INPUT -p tcp --syn --dport $SSH -j ACCEPT

# Libera ICMP Para os Servidores
$IPT -A INPUT -p icmp --icmp-type 8 -m limit --limit 5/s -j ACCEPT
$IPT -A FORWARD -p icmp --icmp-type 8 -m limit --limit 5/s -j ACCEPT

#Libera Apache
$IPT -A INPUT -i $LAN -p tcp --dport $HTTP --syn -j ACCEPT

#### Fim de Acesso Ao Servidor Firewall ####
######### BLOQUEIA TUDO ##########

#Lago de Repetigco Executado para Cada Maquina Dentro do Arquivo do Block All
for n in `$CAT $DIR/$BLOCKALL`
do

# Regras de Bloqueio a Tudo para Maquinas do Grupo Block All
$IPT -A FORWARD -s $n -j DROP

#Se quiser bloquear Navegacao no Firewall
# $IPT -A INPUT -s $n -p tcp --dport $SQUID -j DROP

done

###### Fim de BLOQUEIA TUDO ######

######### LIBERA TUDO ##########

#Lago de Repetigco Executado para Cada Maquina Dentro do Arquivo do Allow All
for n in `$CAT $DIR/$ALLOWALL`
do

# Regras de Liberagco para Maquinas do Grupo Allow All
$IPT -A FORWARD -s $n -j ACCEPT
done


#Lago de Repetigco Executado para Cada Maquina Dentro do Arquivo do Block All
for n in `$CAT $DIR/$TERMINAL`
do

# Regras de Bloqueio a Tudo para Maquinas do Grupo Block All
$IPT -A FORWARD -s $n -d $IP_FALSO_WIN -p tcp --dport $RTS --syn -j ACCEPT
done


###### Fim de LIBERA TUDO ######

######### Acesso a Internet ##########

#Acesso ao Squid
$IPT -A INPUT -i $LAN -p tcp --dport $SQUID --syn -j ACCEPT
# Acesso ao Protocolo de E-mail POP
$IPT -A FORWARD -i $LAN -p tcp --dport $POP --syn -j ACCEPT

# Acesso ao Protocolo de E-mail SMTP / SMTPS
$IPT -A FORWARD -i $LAN -p tcp --dport $SMTP --syn -j ACCEPT
$IPT -A FORWARD -i $LAN -p tcp --dport $SMTPS --syn -j ACCEPT

# Acesso ao Protocolo de WEB HTTPS
$IPT -A FORWARD -i $LAN -p tcp --dport $HTTPS --syn -j ACCEPT
$IPT -A FORWARD -i $LAN -p tcp --dport $HTTP --syn -j ACCEPT
######### Fim de Acesso a Internet ##########

# Redireciona todas as Conexoes para Servigos WEB para o Servigo Proxy
$IPT -t nat -A PREROUTING -i $LAN -p tcp -d ! $CONECTIVIDADE1 --dport $HTTP -j REDIRECT --to-ports $SQUID
$IPT -t nat -A PREROUTING -i $LAN -p tcp -d ! $CONECTIVIDADE2 --dport $HTTP -j REDIRECT --to-ports $SQUID
$IPT -t nat -A PREROUTING -i $LAN -p tcp -d ! $CONECTIVIDADE3 --dport $HTTP -j REDIRECT --to-ports $SQUID
$IPT -t nat -A PREROUTING -i $LAN -p tcp -d ! $CONECTIVIDADE4 --dport $HTTP -j REDIRECT --to-ports $SQUID
$IPT -t nat -A PREROUTING -i $LAN -p tcp -d ! $CONECTIVIDADE5 --dport $HTTP -j REDIRECT --to-ports $SQUID
$IPT -t nat -A PREROUTING -i $LAN -p tcp -d ! $CAGED --dport $HTTP -j REDIRECT --to-ports $SQUID

#Teste
$IPT -t nat -A PREROUTING -i $WAN -d $IP_REAL_WIN -j DNAT --to-destination $IP_FALSO_WIN
$IPT -t nat -A POSTROUTING -o $WAN -s $IP_FALSO_WIN -j SNAT --to-source $IP_REAL_WIN

# Converte todas as Saidas como O Enderego IP Real do Servidor
$IPT -t nat -A POSTROUTING -o $WAN -j SNAT --to-source $IP_REAL
###### Fim de Acesso a NAT ######


}

case $1 in
start)
$ECHO -n "Iniciando Firewall: "
inicio
limpa
protege
regras
$ECHO "OK."
;;

stop)
$ECHO -n "Parando Firewall: "
inicio
limpa
$ECHO "OK."
;;

restart|reload)
$0 stop
$0 start
;;

*)
$ECHO "Uso: firewall start | stop | restart | reload"
;;

esac


tentei realizar esse procedimento que me foi passado porém não consegui acesso..

ola amigo
iptables -t nat -A PREROUTING -s {ip da vpn de uma ponta} -d {ip da vpn da outra ponta} -j ACCEPT
Regra permite o trafego entre o ip de origem e o ip de destino passem por fora do proxy. vc pode especificar a porta com --dport
ex. iptables -t nat -A PREROUTING -s 192.168.10.90 -d 192.168.10.91 -p tcp --dport 1090 -j ACCEPT