Liberar portas para acesso Externo

leandrosu
(usa Slackware)

Enviado em 22/09/2011 - 14:06h

Desculpa renato,

Creio que nao consegui me expressar direito.

Vamos la deixa eu tentar de novo.

Procurei a configuracao do proxy no Filezilla ( Apenas digitei o ip do servidor proxy:porta ), realmente assim funciona legal.
Mas o problema e que diversos softwares nao disponibilizam essa opcao, assim acabo ficando sem acesso. Um exemplo e o Mysql-Front este nao da a opcao de configurar um proxy.

Ai quando tento acesso nao tenho.
( tenho acesso se ligar o modem direto no switch ai sim tudo roda legal, ja utilizando o proxy nao tenho. Utilizando o proxy consigo navegar normal, mas nao consigo acesso "utilizando programas de 3" ).

teria alguma regra iptables que eu consigo fazer esse desbloqueio ? ou de repente ate mesmo no prorpio squid.

Grato pela paciencia e ajuda ate agora

renato_pacheco
(usa Debian)

Enviado em 22/09/2011 - 14:14h

Agora entendi. Pode estar rodando um firewall nessa máquina ae, não? Certifique-se:

# iptables -nL
# iptables -t nat -nL

leandrosu
(usa Slackware)

Enviado em 22/09/2011 - 14:18h

Ixii deve ta uma zona isso ja testei de tudo =/

Segue:

root@servidor:/usr/bin# iptables -nL
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:465
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:995
ACCEPT all -- 192.168.0.0/24 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:3389
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:1194
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:5900
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:5901
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:5902
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:5903
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:5904
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:139

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 192.168.0.2 tcp dpt:5900
ACCEPT tcp -- 0.0.0.0/0 192.168.0.2 tcp dpt:5900
ACCEPT tcp -- 0.0.0.0/0 192.168.0.2 tcp dpt:5900

Chain OUTPUT (policy ACCEPT)
target prot opt source destination



root@servidor:/usr/bin# iptables -t nat -nL
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 redir ports 3128
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:3389 to:192.168.0.2
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:5901 to:192.168.0.2:5900
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:5902 to:192.168.0.2:5900
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:5903 to:192.168.0.2:5900
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:5904 to:192.168.0.2:5900
REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 redir ports 3128
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:3389 to:192.168.0.2
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:5901 to:192.168.0.2:5900
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:5902 to:192.168.0.2:5900
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:5903 to:192.168.0.2:5900
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:5904 to:192.168.0.2:5900

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- 192.168.0.0/24 0.0.0.0/0
SNAT all -- 0.0.0.0/0 192.168.0.2 to:192.168.0.2
MASQUERADE all -- 192.168.0.0/24 0.0.0.0/0
SNAT all -- 0.0.0.0/0 192.168.0.2 to:192.168.0.2

renato_pacheco
(usa Debian)

Enviado em 22/09/2011 - 14:33h

Muito estranho suas regras... se a política está como ACCEPT para INPUT, OUTPUT e FORWARD, pra q vc tá usando regras d liberação d novo??

Bom, o esquema pra saber se tá indo blz é limpar as regras:

<b># iptables -F</b>

Não se preocupe q as regras d mascaramento e DNAT estarão preservadas.

leandrosu
(usa Slackware)

Enviado em 22/09/2011 - 14:37h

ok executei o comando.

Apos isso deveria funcionar ?
( aqui continua na mesma )

renato_pacheco
(usa Debian)

Enviado em 22/09/2011 - 14:46h

É isso q vamos v. Agora limpe as regras da tabela nat:

<b># iptables -t nat -F</b>

E insira o mascaramento da rede:

<b># iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE</b>

E teste d novo...

Obs.: vc tem o script com essas regras, né?

leandrosu
(usa Slackware)

Enviado em 22/09/2011 - 15:01h

inseri os comando, fiz o teste tanto nos e-mails como para conectar o Mysql e continuei na mesma.

Obs: qto ao script ( como eu falei eu "gerencio" se é que posso chamar de gerenciar o que eu estou fazendo ashhuh, enfim eu gerencio via webmin )

O arquivo do firewall esta em /etc/iptables.up.rules

Segue o conteudo dele agora:

# Generated by iptables-save v1.4.4 on Thu Sep 22 14:57:15 2011
*nat
:PREROUTING ACCEPT [6029:1081596]
:OUTPUT ACCEPT [2531:121649]
:POSTROUTING ACCEPT [2517:120824]
-A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
COMMIT
# Completed on Thu Sep 22 14:57:15 2011
# Generated by iptables-save v1.4.4 on Thu Sep 22 14:57:15 2011
*mangle
:PREROUTING ACCEPT [113055:62842733]
:INPUT ACCEPT [109397:61894033]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [106664:51621320]
:POSTROUTING ACCEPT [106979:51672211]
-A OUTPUT -p tcp -m tcp --dport 25 -j MARK --set-xmark 0x1/0xffffffff
-A OUTPUT -p tcp -m tcp --dport 587 -j MARK --set-xmark 0x1/0xffffffff
-A OUTPUT -p tcp -m tcp --dport 25 -j MARK --set-xmark 0x1/0xffffffff
-A OUTPUT -p tcp -m tcp --dport 587 -j MARK --set-xmark 0x1/0xffffffff
-A OUTPUT -p tcp -m tcp --dport 25 -j MARK --set-xmark 0x1/0xffffffff
-A OUTPUT -p tcp -m tcp --dport 587 -j MARK --set-xmark 0x1/0xffffffff
COMMIT
# Completed on Thu Sep 22 14:57:15 2011
# Generated by iptables-save v1.4.4 on Thu Sep 22 14:57:15 2011
*filter
:INPUT ACCEPT [64503:45000629]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [91225:48221068]
COMMIT
# Completed on Thu Sep 22 14:57:15 2011

renato_pacheco
(usa Debian)

Enviado em 22/09/2011 - 15:11h

Perae então... nessa sua afirmação, vc disse q ligando direto no switch funciona. Então o modem/roteador q tá distribuindo IP's na rede, é isso? A sua rede tá ligada assim?

Internet <---> modem/roteador <---> firewall/proxy <---> switch <---> estações d trabalho

Ou dessa forma?

Internet <---> modem/roteador <---> firewall <---> switch <---> estações d trabalho + proxy

leandrosu
(usa Slackware)

Enviado em 22/09/2011 - 15:21h

Entao renato estou utiliazando a sua primeira opcao.

No caso o modem faz a conexao direta com a net ( conectado na eth0 ) por usa vez ligo o roteador na eth1 ( roteador sai com faixa de ip de 192.168.0.3 pra frente ) e ai sim compartilho a internet com as estacoes

eth0 192.168.254.1

eth1 192.168.0.2 ( servidor proxy ) Esse é o endereco que utilizo, porta 3128

Roteador 192.168.0.1

Estacoes 192.168.0.3,4,5,6,7,8

renato_pacheco
(usa Debian)

Enviado em 22/09/2011 - 15:33h

Kra, essa ligação tá errada. O certo era vc colocar um switch em vez d roteador. Ae quem distribuiria IP's era o seu firewall e não o roteador. A impressão q tenho é q todos os pacotes procuram o roteador e não o seu firewall pra se conectar. Faça assim

<b>Internet <---> modem/roteador <---> firewall/proxy <---> switch <---> estações d trabalho</b>

<b>eth0 --> 192.168.254.1/24</b>
<b>eth1 --> 192.168.0.1/24</b>
<b>Estações --> 192.168.0.3-8</b>

Dae insira a regra d mascaramento, apenas. Se tudo der certo, comece a fechar o cerco no seu firewall...

leandrosu
(usa Slackware)

Enviado em 22/09/2011 - 16:09h

Renato

Cara fiz um teste aqui, e por incrivel que pareca funcionou.
Pelo menos agora sabemos que o problema nao e no servidor.

O que fiz foi o seguinte, conectei direto um cliente no servidor ( eth1 ) e configurei a conexao com o gateway 192.168.0.2. O cliente rodou sem erro o Outlook e tb o MYSQL-Front.

Agora so falta colocar fogo nesse roteador acho huahuh
O roteador que estou usando aqui é um dl-524 ( sera que tem algum jeito de deixar ele funcionando como um switch? )

renato_pacheco
(usa Debian)

Enviado em 22/09/2011 - 16:13h

Vc tá usando um roteador sem fio? As estações d trabalho estão se comunicando sem fio tb? Se não, é só trocar por um switch. Caso contrário, tem como fazermos com ele, só q seria mais complexo a parada... mas dá.