Redirecionamento de portas no Iptables

bestmoor
(usa Debian)

Enviado em 22/06/2017 - 11:36h

Bom dia a todos
tenho o seguinte ambiente
Internet dedicada de 60Mb fibra >> Debian 8 (firewall - Iptables ) >> servidores de Terminal Serve (Windows server) portas 3100, 3102, 3900
Por questoes de segurança altero sempre a porta de acesso do TS de 3389 para 3100, 3102 , ...
oque esta acontecente é muito estranho
so consigo acessar um dos servidores os outros nao consigo redirecionar
exemplo
-A PREROUTING -i eth2 -p tcp -m tcp --dport 3102 -j DNAT --to-destination 192.168.1.6:3100
-A PREROUTING -i eth2 -p tcp -m tcp --dport 3100 -j DNAT --to-destination 192.168.1.2:3100
-A PREROUTING -i eth2 -p tcp -m tcp --dport 3900 -j DNAT --to-destination 192.168.1.5:3389

na regra acima so consigo acessar o TS da porta -A PREROUTING -i eth2 -p tcp -m tcp --dport 3102 -j DNAT --to-destination 192.168.1.6:3100 os outros nao funcionam
fiz varias outras combinaçoes e mesmo assim so funciona 1 por vez .
Nos servidores Windows o TS esta ok porque consigo acessar pelas mesmas portas pela rede interna.
somente quando tento externamente passando pelo Iptables é que tenho problema.
ja limpei as regras do firewall mais o erro persiste sera que alguem consegue me dar uma luz
segue regras completas

#!/bin/sh
### BEGIN INIT INFO
# Provides: dovecot
# Required-Start: $local_fs $network
# Required-Stop: $local_fs
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Short-Description:
# Description: firewall iptables protecao
### END INIT INFO

#######################
### Variaveis ###
#######################
rede_externa="eth2"
rede_externa2="eth0"
rede_interna="eth1"

#/sbin/modprobe iptable_nat
iptables -F
iptables -t nat -F
modprobe iptable_nat

### bloqueio de peer and peer
#iptables -A FORWARD -p tcp -m ipp2p --edk -j DROP
#iptables -A FORWARD -p udp -m ipp2p --edk -j DROP
#iptables -A FORWARD -p tcp -m ipp2p --dc -j DROP
#iptables -A FORWARD -p tcp -m ipp2p --kazaa -j DROP
#iptables -A FORWARD -p udp -m ipp2p --kazaa -j DROP
#iptables -A FORWARD -p tcp -m ipp2p --gnu -j DROP
#iptables -A FORWARD -p udp -m ipp2p --gnu -j DROP
#iptables -A FORWARD -p tcp -m ipp2p --bit -j DROP
#iptables -A FORWARD -p udp -m ipp2p --bit -j DROP
#iptables -A FORWARD -p tcp -m ipp2p --apple -j DROP
#iptables -A FORWARD -p tcp -m ipp2p --winmx -j DROP
#iptables -A FORWARD -p tcp -m ipp2p --soul -j DROP
#iptables -A FORWARD -p tcp -m ipp2p --ares -j DROP

################# REDIRECIONANDO PORTA P/ SQUID E COMPARTILHAOD INTERNET #####################
#iptables -t nat -A PREROUTING -i $rede_interna -p tcp --dport 80 -j REDIRECT --to-port 3128
#iptables -t nat -A PREROUTING -i $rede_interna -p tcp --dport 443 -j REDIRECT --to-port 3129
iptables -t nat -A POSTROUTING -o $rede_externa2 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $rede_externa -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

################# REDIRECIONANDO PORTAS #####################
#iptables -A FORWARD -i eth2 -p tcp --dport 3100 -j ACCEPT
#iptables -A FORWARD -i eth2 -p tcp --dport 3101 -j ACCEPT

iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 3102 -j DNAT --to 192.168.1.6:3100
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3120 -j DNAT --to 192.168.1.6:3102
#iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 2999 -j DNAT --to 192.168.1.5:3389
#iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 3900 -j DNAT --to 192.168.1.5:3389
#iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 3100 -j DNAT --to 192.168.1.3:3100
iptables -t nat -A PREROUTING -i eth2 -p tcp -m tcp --dport 3100 -j DNAT --to-destination 192.168.1.2:3100
iptables -t nat -A PREROUTING -i $rede_externa -p tcp --dport 3900 -j DNAT --to 192.168.1.5:3389
#iptables -t nat -A PREROUTING -i $rede_externa2 -p tcp --dport 3102 -j DNAT --to 192.168.1.6:3100
#iptables -t nat -A PREROUTING -i $rede_externa2 -p tcp --dport 3101 -j DNAT --to 192.168.1.5:3389


##log ativar somente para depuracao. porque pode deixar o log do kernel gigantesco
#iptables -A INPUT -j LOG
#iptables -A FORWARD -j LOG
#iptables -A OUTPUT -j LOG


################# Bloqueio de acesso ssh brutal force #####################
iptables -I INPUT -p tcp --dport 22 -i eth2 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i eth2 -m state --state NEW -m recent --update --seconds 600 --hitcount 4 -j DROP
iptables -I INPUT -p tcp --dport 22 -i eth1 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i eth1 -m state --state NEW -m recent --update --seconds 600 --hitcount 4 -j DROP
iptables -A INPUT -s 58.218.204.181 -j DROP

################# BLOQUEANDO REDE ####################################################

# chamado dos ips para liberacao
#for t in `cat /etc/squid3/ips_liberados` ; do
#libera ips do firewall
#iptables -A FORWARD -d $t -j ACCEPT
#iptables -A FORWARD -s $t -j ACCEPT

################# rede social ####################################################
# registrar log facebook
#iptables -A FORWARD -i $rede_interna -m string --algo bm --string "facebook.com" -j LOG --log-level 6 --log-prefix "FIREWALL: facebook: "
#iptables -A FORWARD -i $rede_interna -m string --algo bm --string "facebook.com" -j DROP
#iptables -A FORWARD -i $rede_interna -m string --algo bm --string "twitter.com" -j DROP
#iptables -A FORWARD -i $rede_interna -m string --algo bm --string "instagram" -j DROP


#libera faixa de ips
#iptables -I FORWARD -m iprange --src-range 10.0.0.1-10.0.0.10 -m string --algo kmp --string "facebook.com" -j ACCEPT
#iptables -I OUTPUT -m iprange --src-range 10.0.0.1-10.0.0.10 -m string --algo kmp --string "facebook.com" -j ACCEPT

#done


#WWWWWWWWWWWWWWWWWWWWWW Bloqueio Wattsapp #WWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWWW
#iptables -A FORWARD -p tcp --dport xmpp-client -j DROP
#iptables -A FORWARD -m string --algo bm --string "whatsapp.com" -j DROP
#iptables -A FORWARD -p tcp --dport 5222 -j REJECT
#iptables -A FORWARD -p tcp --dport 5223 -j REJECT
#for zazap in `cat /etc/squid3/ip_what`;do
#iptables -A FORWARD -p tcp -d $zazap --dport 443 -j DROP


######### Liberando whats por mac antes do done ####
#for cel in `cat /etc/squid3/cel_mac`;do
#iptables -I FORWARD -m mac --mac-source $cel -d $zazap -j ACCEPT
#done

#done


####################################################################################
exit 0

souzacarlos
(usa Outra)

Enviado em 22/06/2017 - 12:03h

Bom dia
Vamor dividir e tentar entender:
01 - Você não citou o POLICE DEFAULT então creio que esteja tudo como ACCEPT para suas chains. Se essa informações for verdadeira logo todas as regras que vc incluiu no teu script COM -J ACCEPT são desnecessárias, uma vez que o padrão é aceitar tudo.

Vou me concentrar aqui >>>

################# REDIRECIONANDO PORTAS #####################
#iptables -A FORWARD -i eth2 -p tcp --dport 3100 -j ACCEPT <REGRA DESNECESSÁRIA> CASO POLICE DEFAULT ACCEPT
#iptables -A FORWARD -i eth2 -p tcp --dport 3101 -j ACCEPT <REGRA DESNECESSÁRIA> CASO POLICE DEFAULT ACCEPT

iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 3102 -j DNAT --to 192.168.1.6:3100
iptables -t nat -A PREROUTING -i eth2 -p tcp -m tcp --dport 3100 -j DNAT --to-destination 192.168.1.2:3100 <AQUI VC GARANTE Q A PORTA INTERNA É 3100 é NÃO 3389 CERTO? >
iptables -t nat -A PREROUTING -i $rede_externa -p tcp --dport 3900 -j DNAT --to 192.168.1.5:3389

A nível de testes experimente deixar a porta default do serviço para 3389 <isso somente para acesso interno, a externa vc pode usar oq quiser>
Para ajudar a compreensão utiliza apenas <eth2> ou <A variável definida> (Só mesmo para organizar, sem fins de mudar nada a nível de código)
Eu indico também utilizar uma por vez, só para matar a possibilidade de um serviço está impactando no outro. (Isso para testes, depois vc pode utilizar todos juntos)

E outra dica interessante: Teu código tá começando a crescer, seria uma boa também testar esses REDIRECTS em um código mais enxuto com o mínimo de regras possíveis, só pra avaliar se algo está impactando.

Network Analyst - Consultor para empresas
contact skype: carlossouzainfo
21 99180-8165 (WhattsApp)

bestmoor
(usa Debian)

Enviado em 22/06/2017 - 13:16h

obrigado pela ajuda
fiz um limpa no firewall ainda estou na duvida porque sera que nao redireciona
segue saida do iptalbes

# Generated by iptables-save v1.4.21 on Thu Jun 22 13:03:52 2017
*mangle
:PREROUTING ACCEPT [57390:13169967]
:INPUT ACCEPT [54690:12835833]
:FORWARD ACCEPT [1137:256154]
:OUTPUT ACCEPT [36587:6654104]
:POSTROUTING ACCEPT [37780:6920971]
COMMIT
# Completed on Thu Jun 22 13:03:52 2017
# Generated by iptables-save v1.4.21 on Thu Jun 22 13:03:52 2017
*nat
:PREROUTING ACCEPT [36:3961]
:INPUT ACCEPT [35:3929]
:OUTPUT ACCEPT [51:4038]
:POSTROUTING ACCEPT [53:4142]
-A PREROUTING -i eth2 -p tcp -m tcp --dport 3102 -j DNAT --to-destination 192.168.1.2:3102
COMMIT
# Completed on Thu Jun 22 13:03:52 2017
# Generated by iptables-save v1.4.21 on Thu Jun 22 13:03:52 2017
*filter
:INPUT ACCEPT [180:35599]
:FORWARD ACCEPT [5:256]
:OUTPUT ACCEPT [87:18842]
COMMIT
# Completed on Thu Jun 22 13:03:52 2017


essa mesma regra funciona para outro ip. Mais o outro servidor tenho certeza que esta na porta 3102 porque consigo acessa-lo via rede
-A PREROUTING -i eth2 -p tcp -m tcp --dport 3102 -j DNAT --to-destination 192.168.1.5:3389

Buckminster
(usa Debian)

Enviado em 22/06/2017 - 14:30h

PREROUTING - para alterar pacotes no momento que eles chegam, antes do roteamento ou compartilhamento. Utilizada para analisar pacotes que estão entrando no kernel para sofrerem NAT. O PREROUTING pode fazer ações de NAT com o endereço de destino do pacote. Isso é conhecido como DNAT (Destination NAT).

dnat :: Este alvo só é válido na tabela nat, nas chains prerouting e output e chains definidas pelo usuário que são chamadas somente a partir dessas chains. Ele especifica que o endereço de destino do pacote deve ser modificado (e todos os outros pacotes, neste contexto, também serão modificados) e as regras deixam de ser examinadas. É preciso um tipo de opção:

--to-destination [ipaddr][-ipaddr][:port[-port]] :: Que pode especificar um novo endereço IP de destino único, uma gama abrangente de endereços IP e, opcionalmente, uma gama de portas (que só são válidas se a regra também especifica -p tcp ou -p udp). Se nenhum intervalo de porta for especificado, então a porta de destino nunca será modificada. Se nenhum endereço IP for especificado, então somente a porta de destino será modificada.
Caso a porta de destino não seja especificada, valerá a porta de origem e a porta de origem que será redirecionada não pode existir ou estar ocupada.

Vou te dar um exemplo bem básico, mas que tu poderá aplicar nas tuas regras por osmose:

iptables -t nat -A PREROUTING -p tcp -d 10.0.0.2 --dport 80 -j DNAT --to 172.20.0.1

Redireciona todos os pacotes destinados à porta 80 da máquina 10.0.0.2 para a máquina 172.20.0.1. Esse tipo de regra exige a especificação do protocolo. Como não foi especificada uma porta de destino, a porta 80 será mantida como destino.


iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 3102 -j DNAT --to 192.168.1.6:3100

No teu caso tu está colocando -i eth2, isso significa que todos os pacotes com entrada (-i, input) pela eth2 no protocolo tcp com destino à porta 3900 DA MÁQUINA NA QUAL ESTÁ O FIREWALL serão redirecionados para o IP 192.168.1.6 na porta 3100 da máquina desse IP. Por isso que somente a primeira regra prerouting funciona.

Outra coisa importante, você tem dois links de internet pela eth0 e eth2 e fez duas regras de mascaramento/compartilhamento:
iptables -t nat -A POSTROUTING -o $rede_externa2 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $rede_externa -j MASQUERADE

Essa regras acima dizem que tudo que entrar pela eth0 é para ser compartilhado com todas as outras placas de rede da máquina. A mesma coisa com a regra da eth2.
Como tu tens dois links tu deverá fazer uma definição de rotas para que o Iptables não se perca nos pacotes ao endereçar para cada placa de rede. O que pode estar acontecendo é que alguns pacotes da eth2 vão parar na eth0 em vez de na eth1.
Além disso tu tem dois links externos e somente uma placa de rede interna, isso dá problemas sem definição de rotas e/ou balanceamento de links..
Ou nas tuas regras de redirecionamento tu coloca o IP do firewall:
iptables -t nat -A PREROUTING -p tcp -d ip_do_firewall --dport 3102 -j DNAT --to 192.168.1.6:3100
e assim nas outras regras.
Mas aconselho a definir rotas, pois as duas regras de mascaramento compartilham TUDO da eth2 e da eth0 com todas as outras placas de rede incluindo elas mesmas e isso pode dar conflitos.
https://www.vivaolinux.com.br/artigo/Manual-do-IPtables-Comentarios-e-sugestoes-de-regras/?pagina=1

souzacarlos
(usa Outra)

Enviado em 22/06/2017 - 14:42h

Boa tarde, vou me concentrar aqui:

-A PREROUTING -i eth2 -p tcp -m tcp --dport 3102 -j DNAT --to-destination 192.168.1.2:3102

essa mesma regra funciona para outro ip. Mais o outro servidor tenho certeza que esta na porta 3102 porque consigo acessa-lo via rede
-A PREROUTING -i eth2 -p tcp -m tcp --dport 3102 -j DNAT --to-destination 192.168.1.5:3389

Se esta assim como vc postou quer dizer que vc espera receber uma conexão WAN com destino a porta 3102, mas, como ele saberá para quem enviar se existem 2 destinos possíveis?
Dá uma olhada nisso.

Sobre o POLICE DEFAULT, realmente vc está com tudo marcado como ACCEPT, então realmente não há necessidade de regras que tenham como alvo ACCEPT.
Obs: Não é o melhor caminho pra quem busca segurança, mas por enquanto tá valendo.

Network Analyst - Consultor para empresas
contact skype: carlossouzainfo
21 99180-8165 (WhattsApp)

bestmoor
(usa Debian)

Enviado em 22/06/2017 - 14:56h

obrigado Carlos pela ajuda
nao ha esse problema de destino porque na regra original cada um usa uma porta de entrada e saida
neste de teste so usei um redirecionamento ficando assim
primeiro teste
-A PREROUTING -i eth2 -p tcp -m tcp --dport 3102 -j DNAT --to-destination 192.168.1.5:3389 FUNCIONOU
segundo teste na mesma regra so alterei as portas e ip
-A PREROUTING -i eth2 -p tcp -m tcp --dport 3102 -j DNAT --to-destination 192.168.1.2:3100 Nao funcionou
terceiro teste na mesma regra alterei somente as portas
-A PREROUTING -i eth2 -p tcp -m tcp --dport 3100 -j DNAT --to-destination 192.168.1.3:3100 Nao funcionou


estou usado ACCEPT proque esse redirecionamentos nao estao funcionando depois que resolver farei em Drop
como nao estou conseguindo identificar o problema coloquei tudo em ACCEPT para facilitar os testes

qxada07
(usa Slackware)

Enviado em 22/06/2017 - 15:37h

bestmoor

O problema não esta nas suas regras de firewall, o problema provavelmente está na porta 3100 dos IPS 192.168.1.2 e 192.168.1.3.

Faz um scan nestes ips para verificar as portas abertas.

nmap -v 192.168.1.2
nmap -v 192.168.1.3

Deverá mostrar a porta 3100 como open dos seus 2 ips.

Att.

Ricardo Vasconcellos
Analista TI Sênior

Jesus Cristo morreu por mim e por você para que tenhamos vida eterna. Jesus Te ama
João 3:16

qxada07
(usa Slackware)

Enviado em 22/06/2017 - 15:55h

Se a porta 3100 não aparecer ou se aparecer como closed é porque ela está fechada
Att.

Ricardo Vasconcellos
Analista TI Sênior

Jesus Cristo morreu por mim e por você para que tenhamos vida eterna. Jesus Te ama
João 3:16

souzacarlos
(usa Outra)

Enviado em 22/06/2017 - 16:02h

Cara não vai funcionar

-A PREROUTING -i eth2 -p tcp -m tcp --dport 3102 -j DNAT --to-destination 192.168.1.5:3389 FUNCIONOU
segundo teste na mesma regra so alterei as portas e ip
-A PREROUTING -i eth2 -p tcp -m tcp --dport 3102 -j DNAT --to-destination 192.168.1.2:3100 Nao funcionou

A porta de destino para o cliente externo é a mesma, NÃO posso ter 2 redirects na mesma porta se não teu firewall não sabe pra quem entregar.
A primeira funciona porque provavelmente ele tá consultando essa regra primeiro, agora quando vc tenta encaminhar para o segundo tende a dar erro.

Essa aqui realmente não tem porque esta dando problema, não existem problema com a regra, mas não posso afirmar em relação ao serviço rodando na estação
-A PREROUTING -i eth2 -p tcp -m tcp --dport 3100 -j DNAT --to-destination 192.168.1.3:3100 Nao funcionou


Network Analyst - Consultor para empresas
contact skype: carlossouzainfo
21 99180-8165 (WhattsApp)

bestmoor
(usa Debian)

Enviado em 22/06/2017 - 16:37h

Ola Carlos acho que nao expliquei direito
nao estou usando duas regras para mesma porta de entrada usei a regra somente para testar as 2 situaçoes
primeiro testei
-A PREROUTING -i eth2 -p tcp -m tcp --dport 3102 -j DNAT --to-destination 192.168.1.5:3389 FUNCIONOU

depois mudeir o ip de saida e porta de saida
b]-A PREROUTING -i eth2 -p tcp -m tcp --dport 3102 -j DNAT --to-destination 192.168.1.2:3100[/b] Nao funcionou

na verdade no firewall so tem essa regra retirei todas as outras como vc havia sugerido. segue abaixo o arquivo

#!/bin/sh
### BEGIN INIT INFO
# Provides: dovecot
# Required-Start: $local_fs $network
# Required-Stop: $local_fs
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Short-Description: kyojin
# Description: firewall iptables protecao
### END INIT INFO

#######################
### Variaveis ###
#######################
rede_externa="eth2"
rede_externa2="eth0"
rede_interna="eth1"

#/sbin/modprobe iptable_nat
iptables -F
iptables -t nat -F
modprobe iptable_nat


################# REDIRECIONANDO PORTA P/ SQUID E COMPARTILHAOD INTERNET #####################
#iptables -t nat -A POSTROUTING -o $rede_externa2 -j MASQUERADE
#iptables -t nat -A POSTROUTING -o $rede_externa -j MASQUERADE
#echo 1 > /proc/sys/net/ipv4/ip_forward

################# REDIRECIONANDO PORTAS #####################
iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 3102 -j DNAT --to 192.168.1.5:3389 ## fucnciona

#iptables -t nat -A PREROUTING -i eth2 -p tcp -m tcp --dport 3100 -j DNAT --to-destination 192.168.1.2:3100 # nao funciona

bestmoor
(usa Debian)

Enviado em 22/06/2017 - 16:40h

Obrigado pela ajuda Ricardo
tambem pensei nesta possibilidade da porta nao estar recebendo
mais eu consigo acessar dentro da rede pelo ip 192.168.1.3 porta 3100 o ts funciona na rede interna porisso nao acredito que seja porta

souzacarlos
(usa Outra)

Enviado em 22/06/2017 - 16:53h

Entendi, ai complica, cara monta esse cenário em paralelo em VMs e vai testando, fora isso por hora não sei como ajudar.
Abs


Network Analyst - Consultor para empresas
contact skype: carlossouzainfo
21 99180-8165 (WhattsApp)