Acessar maquina na rede interna

viniciuspedra
(usa Debian)

Enviado em 09/03/2017 - 07:36h

Pessoal... tenho o seguinte problema, acessar determinada maquina via TS porém já tentei as diversas linhas de comando e não surtiu efeito...

Já tentei...
iptables -t nat -A PREROUTING -p tcp -d $IP_Real --dport 3389 -j DNAT --to 192.168.55.98:3398

Já tentei...
iptables -A FORWARD -s 192.168.55.98 -p tcp --dport 3389 -j ACCEPT
iptables -t nat -A PREROUTING -d $IP_Real -p tcp --dport 3389 -j DNAT --to 192.168.55.98
iptables -t nat -A POSTROUTING -d 192.168.55.98 -p tcp --dport 3389 -j SNAT --to $IP_Real
iptables -t nat -A PREROUTING -d $IP_Real -p udp --dport 3389 -j DNAT --to 192.168.55.98
iptables -t nat -A POSTROUTING -d 192.168.55.98 -p udp --dport 3389 -j SNAT --to $IP_Real

Já tentei...
iptables -t nat -A PREROUTING -s $IP_Real -p tcp -m tcp --dport 3389 -j DNAT --to 192.168.55.98
iptables -t nat -A POSTROUTING -s 192.168.55.98 -p tcp -m tcp --dport 3389 -j SNAT --to $IP_Real

e tentei...
iptables -t nat -A PREROUTING -p tcp --dport 3389 -d $IP_Real -j DNAT --to-destination 192.168.55.98:3389
iptables -t nat -A POSTROUTING -p tcp -d 192.168.55.98 -j MASQUERADE

ao colocar o endereço de ip real, no TS, não acessa...
uso IP fixo

degamber
(usa Red Hat)

Enviado em 09/03/2017 - 08:26h

Eu utilizo apenas essas duas linhas:

iptables -I FORWARD -p tcp --dport 3389 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 3390 -j DNAT --to 192.168.X.X:3389

ip_publico:3390

Até mais

souzacarlos
(usa Outra)

Enviado em 09/03/2017 - 19:50h

Boa noite
As regras são um pouco mais complexas do que isso, se vc puder postar teu script de firewall seria ótimo, acontece que outras coisas são envolvidas quando precisamos tratar o NAT, o que o amigo postou acima faz parte do processo, talvez eu utiliza-se de forma diferente mais é o jeito de projetar.
Por gentileza dar mais detalhes sobre sua topologia, interfaces envolvidas, outras regras de NAT que vc tenha e que estejam funcionando, configurações IP deste TS, enfim acho que seria um bom caminho para começarmos a resolução deste problema

Network Analyst - Consultor para empresas (Cisco, Mikrotik and Server Linux Iptables)
contact skype: carlossouzainfo
21 99180-8165 (WhattsApp)

viniciuspedra
(usa Debian)

Enviado em 09/03/2017 - 22:04h

pois é... tentei o que o amigo acima falou mas não deu...

o ip da maquina interna em que está o TS é 192.168.55.98

segue meu script de firewall..

#!/bin/bash
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "==== : Compartilhando a conexao: OK!"

iptables -F
iptables -t nat -F
iptables -t mangle -F
echo "==== : Limpando as regras existentes: OK!"

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
echo "==== : Compartilhamento de internet atrav�s de mascaramento: OK!"



iptables -A FORWARD -i eth0 -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p udp --dport 443 -j ACCEPT
echo "==== : Liberando acesso HTTPS: OK!"


iptables -A FORWARD -p udp --sport 53 -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -j ACCEPT

echo "==== : Liberando DNS: OK!"

iptables -A FORWARD -p tcp --sport 25 -j ACCEPT
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp --sport 110 -j ACCEPT
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
echo "==== : Liberando E-mail: OK!"

iptables -A FORWARD -p tcp --sport 1863 -j ACCEPT
iptables -A FORWARD -p tcp --dport 1863 -j ACCEPT

echo "==== : Liberando MSN: OK!"

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
echo "==== : Liberando SSH: OK!"

iptables -A FORWARD -p tcp --dport 20561 -j ACCEPT
iptables -A FORWARD -p tcp --sport 20561 -j ACCEPT

echo "###########################################"
# LIBERANDO ALGUMAS PORTAS

/sbin/iptables -A INPUT -p udp --dport 21 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 21 -j ACCEPT
/sbin/iptables -A INPUT -s 192.168.55.0/255.255.255.0 -p udp --dport 88 -j ACCEPT

/sbin/iptables -A INPUT -s 192.168.55.0/255.255.255.0 -p udp --dport 3074 -j ACCEPT
/sbin/iptables -A INPUT -s 192.168.55.0/255.255.255.0 -p tcp --dport 3074 -j ACCEPT

/sbin/iptables -A INPUT -s 192.168.55.0/255.255.255.0 -p udp --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -s 192.168.55.0/255.255.255.0 -p tcp --dport 53 -j ACCEPT

/sbin/iptables -A INPUT -s 192.168.55.0/255.255.255.0 -p udp --dport 1863 -j ACCEPT
/sbin/iptables -A INPUT -s 192.168.55.0/255.255.255.0 -p tcp --dport 1863 -j ACCEPT

/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#echo "TESTE"


iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
echo "==== : Redirecionando trafego da 80 para a 3128: OK!"

souzacarlos
(usa Outra)

Enviado em 09/03/2017 - 23:03h

Boa noite, baseado nas configurações nada disso aqui é necessário

iptables -A FORWARD -i eth0 -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p udp --dport 443 -j ACCEPT
echo "==== : Liberando acesso HTTPS: OK!"


iptables -A FORWARD -p udp --sport 53 -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -j ACCEPT

echo "==== : Liberando DNS: OK!"

iptables -A FORWARD -p tcp --sport 25 -j ACCEPT
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp --sport 110 -j ACCEPT
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
echo "==== : Liberando E-mail: OK!"

iptables -A FORWARD -p tcp --sport 1863 -j ACCEPT
iptables -A FORWARD -p tcp --dport 1863 -j ACCEPT

echo "==== : Liberando MSN: OK!"

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
echo "==== : Liberando SSH: OK!"

iptables -A FORWARD -p tcp --dport 20561 -j ACCEPT
iptables -A FORWARD -p tcp --sport 20561 -j ACCEPT

echo "###########################################"
# LIBERANDO ALGUMAS PORTAS

/sbin/iptables -A INPUT -p udp --dport 21 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 21 -j ACCEPT
/sbin/iptables -A INPUT -s 192.168.55.0/255.255.255.0 -p udp --dport 88 -j ACCEPT

/sbin/iptables -A INPUT -s 192.168.55.0/255.255.255.0 -p udp --dport 3074 -j ACCEPT
/sbin/iptables -A INPUT -s 192.168.55.0/255.255.255.0 -p tcp --dport 3074 -j ACCEPT

/sbin/iptables -A INPUT -s 192.168.55.0/255.255.255.0 -p udp --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -s 192.168.55.0/255.255.255.0 -p tcp --dport 53 -j ACCEPT

/sbin/iptables -A INPUT -s 192.168.55.0/255.255.255.0 -p udp --dport 1863 -j ACCEPT
/sbin/iptables -A INPUT -s 192.168.55.0/255.255.255.0 -p tcp --dport 1863 -j ACCEPT

/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#echo "TESTE"

Vou explicar o pq, como a política default do Iptables é ACCEPT não faz sentido vc ter esse monte de regras liberando as coisas, isso só está sujando teu código.
Continuando

Tenta assim somente iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT --to 192.168.55.98:3389

Isso diz que ele espera receber conexões na sua interface ligada a Internet <WAN> como definimos que a porta a ser escutada é a 3389 não precisa fazer nenhum tipo de config extra no cliente, funcionando recomendo mudar a porta default do RDP, essa porta pode gerar um monte de ameaças já conhecidas aos seus servidores e clientes.
Aproveita e posta o log das tentativas de conexão em caso de erro
Aguardo


Network Analyst - Consultor para empresas
contact skype: carlossouzainfo
21 99180-8165 (WhattsApp)

viniciuspedra
(usa Debian)

Enviado em 10/03/2017 - 08:21h

ficou bem enxuto porém não funcionou...

segue:

#!/bin/bash
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "==== : Compartilhando a conexao: OK!"

iptables -F
iptables -t nat -F
iptables -t mangle -F
echo "==== : Limpando as regras existentes: OK!"

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
echo "==== : Compartilhamento de internet atrav&#65533;s de mascaramento: OK!"

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT --to 192.168.55.98:3389

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
echo "==== : Redirecionando trafego da 80 para a 3128: OK!"

souzacarlos
(usa Outra)

Enviado em 10/03/2017 - 13:23h

Boa tarde
Cara posta o resultado do tcpdump aqui, não tem o que da erro ai, provavelmente outras coisas estão faltando, tenho essa regra funcionando de boa aqui. Diz pra mim como está as suas configurações.

Última pergunta: Olhando pelo lado de quem tá acessando seu firewall a partir da Internet, Antes do teu firewall não tem nenhum roteador não né?


Network Analyst - Consultor para empresas
contact skype: carlossouzainfo
21 99180-8165 (WhattsApp)

viniciuspedra
(usa Debian)

Enviado em 10/03/2017 - 17:43h

segue o tcp dump

root@internet-server-01:~# tcpdump -i eth0 dst port 3389
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
17:22:38.007789 IP 192.168.55.198.17873 > webstyle.static.gvt.net.br.3389: Flags [S], seq 2861110786, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
17:22:38.007819 IP 192.168.55.198.17873 > 192.168.55.98.3389: Flags [S], seq 2861110786, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
17:22:41.062688 IP 192.168.55.198.17873 > webstyle.static.gvt.net.br.3389: Flags [S], seq 2861110786, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
17:22:41.062709 IP 192.168.55.198.17873 > 192.168.55.98.3389: Flags [S], seq 2861110786, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
17:22:47.063331 IP 192.168.55.198.17873 > webstyle.static.gvt.net.br.3389: Flags [S], seq 2861110786, win 8192, options [mss 1460,nop,nop,sackOK], length 0
17:22:47.063361 IP 192.168.55.198.17873 > 192.168.55.98.3389: Flags [S], seq 2861110786, win 8192, options [mss 1460,nop,nop,sackOK], length 0
17:24:10.182553 IP 195-162-95-65.ringo.kg.11236 > 192.168.55.98.3389: Flags [SEW], seq 1699689381, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
17:24:10.479182 IP 195-162-95-65.ringo.kg.11236 > 192.168.55.98.3389: Flags [.], ack 894381650, win 256, length 0
17:24:10.479222 IP 195-162-95-65.ringo.kg.11236 > 192.168.55.98.3389: Flags [P.], seq 0:43, ack 1, win 256, length 43
17:24:10.747986 IP 195-162-95-65.ringo.kg.11236 > 192.168.55.98.3389: Flags [P.], seq 43:248, ack 20, win 256, length 205
17:24:11.079464 IP 195-162-95-65.ringo.kg.11236 > 192.168.55.98.3389: Flags [.], ack 862, win 253, length 0
17:24:11.096286 IP 195-162-95-65.ringo.kg.11236 > 192.168.55.98.3389: Flags [P.], seq 248:574, ack 862, win 253, length 326
17:24:11.376095 IP 195-162-95-65.ringo.kg.11236 > 192.168.55.98.3389: Flags [P.], seq 574:659, ack 921, win 253, length 85
17:24:11.648395 IP 195-162-95-65.ringo.kg.11236 > 192.168.55.98.3389: Flags [P.], seq 659:1336, ack 1214, win 251, length 677
17:24:11.919070 IP 195-162-95-65.ringo.kg.11236 > 192.168.55.98.3389: Flags [R.], seq 1336, ack 1251, win 0, length 0


Minhas configurações são as seguintes...
tenho uma fibra (link dedicado) da gvt onde passa por um conversor e um roteador de borda da cisco que não tem bloqueio algum...
dele vai para uma interface do meu servidor que esta com o IP real configurado e depois vai para a rede interna tendo como gateway 192.168.55.254
Dele teria que ir ao ip 192.168.55.98

Ao acessar pela rede interna, ele vai normal, não há firewall ativado nessa maquina na rede interna, e ela é windows server 2008 r2.

souzacarlos
(usa Outra)

Enviado em 10/03/2017 - 18:57h

Vamos lá
Primeiro sobre o acesso interno, funciona pq não existe firewall para segmento local uma vez que origem e destino estão no mesmo segmento lógico.
Uma dica: Sobe um outro serviço em outra máquina tipo uma VM só pra testar se não existe nada de errado configurado no acesso remoto para esse RDP
Você pode subir por exemplo um servidor apache para testar, pq de boa o NAT tá ok fazendo o trabalho dele, se teu server não consegue entregar a conexão de volta (acesso externo) tem que verificar mais a fundo, mas nesse momento recomendo testar outro serviço em outro host

Network Analyst - Consultor para empresas
contact skype: carlossouzainfo
21 99180-8165 (WhattsApp)