Impossível colocar aplicação ONLINE porta 8080 fechada - Linux Mint

zimbabwe
(usa Linux Mint)

Enviado em 12/10/2015 - 23:11h

Boa noite pessoal,
Estou com um problema a dias e não consigo resolver. Estou desenvolvendo meu trabalho de conclusão de curso e tenho que colcoar um site que desenvolvi online, porém ainda não obtive sucesso. É o seguinte:

Meu provedor de internet é a radio. Eu tenho acesso ao gateway da antena, que está localizado no 192.168.2.1. Ja liberei as portas 80 e 8080 no gateway da antena e ativei o dmz. Meu roteador possui o firmware DD-WRT(consigo acessa-lo via telnet e fazer modificações iptable). O gateway do roteador é 192.168.2.2 e também está com as portas 80 e 8080 liberadas. o Firewall do linux (ufw) está desativado. O ip da minha maquina(onde esta hospedada minha aplicação) é 192.168.2.200(no port forward do router coloquei este ip, e no da antena coloquei este ip e o ip do gateway do router 192.168.2.2). Estou utilizando o apache tomcat como servidor, meu projeto .war esta localizado na webapps. Criei um host dns no-ip. Consigo acessar minha aplicação com o host dns (exemplo:http://tfgluizerogerio.ddns.net:8080/tfg_projeto/login.html), porém este host não está visivel para todos na internet. Estou utilizando o linux Mint Rafaela(17.2). Ja fiz diversas modificações do iptables, segui diversos tutoriais e nada funcionou.

Ao realizar o comando nmap 192.168.2.200 obtenho que a porta 80 e a 8080 estão abertas. Ao executar nmap 192.168.2.2 obtenho que apenas a porta 80 está aberta. O mesmo ocorre para o comando nmap 192.168.2.1 e nmap e meu ip da internet (189.90.249.xxx). Não sei mais o que fazer. Alguem tem alguma sugestão!? Desde já grato pela atenção.

di4s
(usa XUbuntu)

Enviado em 13/10/2015 - 00:39h

Oi, tudo bem?

Pelo que entendi você não têm nenhum equipamento com IP externo. Veja que a antena e o roteador estão usando IP de rede local

Logo o IP externo está configurando em outro equipamento, penso que você vai precisar entrar em contato com a empresa que está fornecendo esse link de internet e pedir para que sejam realizadas as configurações necessárias.

Devido ao esgotamento do IPv4 várias empresas estão usando NAT para poder atender novos clientes...

Linux Professional Institute - LPIC-1
Novell Certified Linux Administrator - CLA

http://twitter.com/p4ulodi4s
http://www.prminformatica.com.br/

zimbabwe
(usa Linux Mint)

Enviado em 13/10/2015 - 07:51h

Olá tudo bem, primeiramente obrigado pela resposta. Esse IP externo que voce fala não seria meu WAN IP? E realmente parece que estão usando NAT. O problema é que quando entro em contato com eles, eles falam que nao podem fazer mais configuração nenhuma, pois a porta ja esta liberada no gateway da antena -.- ... Não sei mais o que fazer, segue um print do network do gateway da antena que esta localizada em minha residencia, e se conecta a torre que fornece o link de internet..

http://i.imgur.com/5XXvrb5.png

patrickpcs
(usa Nenhuma)

Enviado em 13/10/2015 - 09:44h

Vamos por partes, estou tentando entender a sua infraestrutura de rede, nunca trabalhei com ISP a rádio.


“Eu tenho acesso ao gateway da antena, que está localizado no 192.168.2.1”

O que você está chamando de gateway é o ip de acesso aos equipamentos como o roteador e a antena?

Pois está confuso quando você fala que o gateway do seu roteador é 192.168.2.2, pois gateway significa saída de uma rede ou nexthop (próximo salto) como estão chamando ultimamente. Imaginando que o seu roteador está atrás da sua antena, a antena é o gateway do roteador, ou seja, o gateway do roteador é o 192.168.2.1…..a antena. 192.168.2.2 seria o ip LAN do seu roteador na rede entre ele e a antena o qual você acessa a configuração via telnet do seu pc, oque significa que seu pc, roteador e antena estão todos na mesma sub rede...?


Para mim está bem confusa sua apresentação de infraestrutura de rede, você poderia colocar as mascaras de rede também? Pra ajudar a entender sua rede, vou pedir por gentileza que realize um traceroute do seu pc (mint). Assim poderemos entender melhor sua estrutura de rede.

Veja meu exemplo.

patrick@X550LN:~$ traceroute 8.8.8.8

traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets

 1  10.0.0.1 (10.0.0.1)  1.950 ms  3.194 ms  3.195 ms

 2  sky.teste (192.168.100.1)  9.213 ms  9.220 ms  9.216 ms

 3  11-224-13-177.skybandalarga.com.br (177.13.224.11)  54.864 ms  54.871 ms  57.742 ms

 4  34-1-55-177.skybandalarga.com.br (177.55.1.34)  58.717 ms  63.714 ms  64.480 ms

 5  177.15.192.45 (177.15.192.45)  87.899 ms  102.555 ms  102.556 ms

 6  * * *

 7  * * *

 8  177.14.3.77 (177.14.3.77)  84.375 ms  101.064 ms  101.077 ms

 9  as15169.sp.ix.br (187.16.216.55)  69.441 ms  69.897 ms  71.685 ms

10  216.239.54.23 (216.239.54.23)  71.702 ms 216.239.48.177 (216.239.48.177)  66.235 ms 216.239.54.23 (216.239.54.23)  59.213 ms

11  216.239.56.55 (216.239.56.55)  71.642 ms 216.239.56.49 (216.239.56.49)  56.969 ms 72.14.238.223 (72.14.238.223)  57.837 ms

12  google-public-dns-a.google.com (8.8.8.8)  58.377 ms  72.353 ms  59.772 ms

patrick@X550LN:~$ 

 

Na minha situação atual, eu fiz uma vaquinha com o pessoal do trabalho e assinamos um ponto da SKY 4G. Mas o roteador da sky fica em uma sala que tem janela para melhor recepção de sinal e ligamos outro roteador wifi nele via cabo até minha sala. Ou seja, tenho dois roteadores, veja só…

Primeiro salto – 10.0.0.1 – é o ip LAN do meu primeiro roteador que está na minha sala.
Segundo salto – 192.168.100.1 – é o ip LAN do roteador da sky que está na outra sala.

Os passos seguintes já são dentro da infraestrutura da própria sky. O ip WAN do meu roteador da sky não é valido na internet, ou seja, a sky já está fazendo um NAT para me atender também. Mas imaginando que o ip WAN do meu roteador da SKY fosse válido na internet, qualquer pessoa consegue pingar ele se eu não bloquear essa função.

Imagine o seguinte então, tenho um roteador com acesso direto a internet, este faz NAT para a rede LAN dele, nesta rede LAN está o meu segundo roteador. Tenho que fazer um forward da porta 80 por exemplo, do meu roteador SKY para o IP lan da rede wan do meu roteador interno (192.168.100.2), depois no meu roteador interno tenho que fazer um forward da porta 80 para o IP lan do meu PC com o serviço hospedado que está na rede lan do meu segundo roteador.


http://i.imgur.com/3OtKTcx.png


espero que tenho ajudado a esclarecer um pouco =x....

Dica, evite dmz. Você estará deixando o equipamento totalmente exposto a rede externa...e como você disse que o firewall do seu pc está desativado.......

_____________________________________________________

The quiter you become, the more you are able to hear.

----------------------------------------------------- 

zimbabwe
(usa Linux Mint)

Enviado em 13/10/2015 - 10:33h

Olá amigo, muito obrigado por responder. Vou tentar explicar melhor:

Minha conexão estava lenta a alguns dias e depois que eu reclamei, veio um técnico aqui e alterou todo o esquema da rede. Não tenho muito conhecimento em redes(me desculpe se falar besteiras), entaum vou tentar explicar como tudo está configurado. Meu equipamento possui uma antena, que se conecta a outra antena do meu provedor. Esta primeira antena (localizada em minha residência) eu consigo acessar suas configurações com o ip 192.168.2.1 (configurações que postei na imagem do post anterior), esta antena também possui um ip WAN (que é fornecido de forma dinâmica a cada conexão com a segunda antena) onde provavelmente é feito um NAT.

Meu computador se conecta ao roteador com o cabo ethernet ligado na interface LAN do roteador. O cabo WAN da antena que possuo em minha residência, também está ligado em uma interface LAN do roteador, e não WAN como habitualmente é feito. Consigo acesso ao roteador pelo IP 192.168.2.2 e minha máquina está configurada com o IP local fixo: 192.168.2.200. Abaixo seguem alguns prints da minha interface de rede local, e do meu roteador respectivamente:

http://i.imgur.com/JVcIXSS.png
Interface de rede local

http://i.imgur.com/R6MghNl.png
Como está configurado o Port Forward no router

http://i.imgur.com/hsnH92g.png
Com o está configurado o setup do router




Pelo que entendi do que você explicou teria que ser feito oseguinte na minha rede:
1 - No endereço 192.168.2.1(antena) , eu teria que fazer um forward da porta 80 para o endereço 192.168.2.2 (roteador)
2 - No endereço 192.168.2.2 (roteador), eu teria que fazer um forward para minha maquina local, que possui o ip 192.168.2.200

Se estiver correto, estas configurações ja foram feitas e não surtiram efeito ;/

Segue abaixo o resultado do traceroute do dns do google.

http://i.imgur.com/f3SLI7f.png

patrickpcs
(usa Nenhuma)

Enviado em 13/10/2015 - 11:15h

Esquece minha sugestão de forwarding da antena pro roteador e do roteador para o PC, seu caso é diferente como deu para entender agora.

Antena, roteador e pc estão na mesma sub-rede e pelo que entendi a única utilidade do seu roteador é servir de interface de enlace para o seu PC e dispositivos WiFi se for o caso.
Como o serviço DHCP está desativado no seu roteador, imagino que o responsável por isso seja a sua antena....imagino que ela esteja encarregada do NAT também como você disse que fez um portforwarding nela também...

Como o nexthop(gateway) configurado no seu PC é o IP da antena, esquece seu roteador, ele não interfere em nada no seu PC.

Vamos focar na antena, o IP lan da sua antena é o 192.168.2.1, você tem que configurar para que todas as requisições para a porta 80 que baterem na sua antena sejam redirecionadas para o IP do seu PC (192.168.2.x). Entretanto imagino que tenha outra rede usando NAT entre a sua antena e a antena do seu provedor já que quando você executou o traceroute vimos que o primeiro salto (gateway) é sua antena (192.168.2.1) e logo em seguida ele chega em outro equipamento que imagino seu a antena do seu provedor (192.168.254.61).

Você por acaso tem acesso administrativo a esse equipamento (192.168.254.61)? Se caso for, você deverá configurar um port forwarding nele dessa forma. Todas os pacotes que baterem na porta 80 da antena do provedor, deverão ser encaminhadas para a porta 80 da antena na sua casa. Note que vc deverá encaminhar para o IP na interface WAN da sua antena e não a LAN da sua antea (192.168.2.1)....Depois outro forwarding da sua Antena para o seu PC.

Ou seja, todos os pacotes ou requisições que chegarem na porta 80 da interface WAN da antena do provedor, serão encaminhados para a porta 80 da sua antena, e a sua antena deverá encaminhar todas as requisições que baterem na porta 80 dela para a porta 80 do seu PC.


Agora vem um problema, sobre o seu provedor aceitar isso. Imagino que a própria antena do provedor esteja atrás de outra rede com NAT, e que talvez seu provedor só tenha digamos 1 ip válido na internet.

Outra observação para melhor entendimento sobre oque sua provedora quis dizer com "a porta 80 já está liberada"..
Por 80 está liberada no firewall, não quer dizer que ele vai encaminhar os pacotes para sua rede.

PortForwarding da porta X para porta X é diferente de porta X liberada no firewall.

_____________________________________________________

The quiter you become, the more you are able to hear.

----------------------------------------------------- 

zimbabwe
(usa Linux Mint)

Enviado em 13/10/2015 - 11:28h

Entendi perfeitamente e imaginava que fosse dessa forma. Eu não tenho acesso administrativo antena do provedor, apenas a antena local. O jeito vai ser ligar la e ver o que eles podem fazer. Outro problema seria que eles teriam que atribuir um IP estático para minha antena, ja que atualmente ele é atribuido por DHCP. O problema é que os técnicos que trabalham no suporte parecem não ter este conhecimento e talvez nem autorização para fazer isso.

Não exite nenhuma outra forma para que eu possa hospedar minha aplicação Java Jsp, sem ter que pagar por um servidor?

Grato de mais pela sua ajuda, ajudou a esclarecer varios pontos que eu tinha dúvidas.

di4s
(usa XUbuntu)

Enviado em 13/10/2015 - 11:49h

Oi,
esse é um problema comum atualmente... O fato da operadora atender os clientes com um NAT dificulta bastante criar aplicações em ambiente residencial.

Acredito que você não vai conseguir realizar essa configuração sem a boa vontade de alguém dessa empresa, mas supondo que as configurações já tenham sido realizadas pela empresa, tente:

Pelos IPs e pela forma que seu roteador está ligado, provavelmente ele está em brigde. Logo não está roteando. Por tanto, faça um direcionamento de porta na antena diretamente para o computador onde está a aplicação. E retire qualquer outro direcionamento que já esteja configurado com a mesma porta( pela imagem parece haver mais de um direcionamento para a porta 8080 ).

Além disso, é necessário observar como você está acessando a aplicação localmente. Se você acessa a aplicação no seu computador apenas com o endereço http://localhost, a sua aplicação está rodando na porta 80( padrão do HTTP ). Sendo assim, o redirecionamento deve ser feito seguindo a regra: Porta publica 8080 e porta privada 80.

Tente fazer dessa forma, mas lembre que a empresa também deve fazer um direcionamento do equipamento com IP externo até a sua antena para isso funcionar. Seu IP externo pode ser visto nesse link https://www.whatismyip.com/ a empresa deve redirecionar do equipamento onde esse IP está configurado até a sua antena( criando tantas regras quanto o necessário), para que o redirecionamento da antena encaminhe para o seu computador.

Linux Professional Institute - LPIC-1
Novell Certified Linux Administrator - CLA

http://twitter.com/p4ulodi4s
http://www.prminformatica.com.br/

zimbabwe
(usa Linux Mint)

Enviado em 13/10/2015 - 12:13h

Acabei de ligar la, achei um cara com boa vontade (hehe). É o seguinte ele disse pra eu usar a porta 4080. Mas enquanto estava no telefone com ele, fiz testes no site http://www.canyouseeme.org/, com o ip WAN do meu equipamento (ele disse que eles não fazem NAT lá, que este seria meu ip msm) e as portas 4080 (resultado porta fechada), e 4090(resultado porta aberta). Ele mesmo ja redirecionou as requisições para o meu ip (192.168.2.200), e disse pra mim utilizar a porta 4080 que eu teria sucesso. Mas agora não estou conseguindo mais ter acesso a antena local ;s
Agora preciso configurar o apache pra rodar na porta 4080? e quais seriam as configurações iptables para esta porta?

Ps: Meu endereço localhost, anteriormente eu acessava com localhost:8080, ou dns.no-ip:8080 também funcionava.

Edit: Alterei para porta 4080 no server.xml do apache..agora consigo acessar minha aplicação de forma local em ambos endereços:

http://tfgluizerogerio.ddns.net:4080/tfg_projeto/login.html

ou

http://tfgluizerogerio.ddns.net/tfg_projeto/login.html


Mas ainda tenho dúvidas relacionadas a quais configurações fazer no iptables.

di4s
(usa XUbuntu)

Enviado em 13/10/2015 - 22:51h

Oi,

Usando outro dispositivo na mesma rede você consegue acessar a aplicação ?

Acesse de outro computador com o IP 192.168.2.200:4080 e veja se abre a aplicação. Se funcionar, provavelmente não será necessário configurar uma regra no iptables do seu computador.

Depois de testar na rede local, faça outro teste no http://www.canyouseeme.org/. Se a porta 4080 aparecer aberta e a aplicação não abrir, ou ainda se a porta estiver fechada, provavelmente o redirecionamento está sendo feito para outro dispositivo ou não foi feito corretamente.

Linux Professional Institute - LPIC-1
Novell Certified Linux Administrator - CLA

http://twitter.com/p4ulodi4s
http://www.prminformatica.com.br/

zimbabwe
(usa Linux Mint)

Enviado em 13/10/2015 - 23:19h

Olá,

De outro computador da rede local, eu consigo acessar, com o ip 192.168.2.200, porém com o host dns no-ip não funciona. Fiz o teste no can you see me e ainda obtenho a resposta que a prota está fechada ;/

Quando executo o comando nmap 192.168.2.200, a porta 4080 não é listada como aberta, isto é correto?

di4s
(usa XUbuntu)

Enviado em 14/10/2015 - 10:33h

Oi,

tente assim:


sudo nmap -sS -p 4080 192.168.2.200


Acho que a porta vai estar aberta... o problema deve ser os redirecionamentos.

Linux Professional Institute - LPIC-1
Novell Certified Linux Administrator - CLA

http://twitter.com/p4ulodi4s
http://www.prminformatica.com.br/