liberar porta 3389 terminal server [RESOLVIDO]

salles2000
(usa Conectiva)

Enviado em 16/02/2009 - 09:09h

Saudações a todos!

Prezado colegas,

Preciso liberar a porta 3389 para o acesso ao terminal server em uma maquina da minha rede.

Cenário 1: WAN -> Modem -> Maquina interna = Conexão OK

Cenário 2: WAN -> Modem -> IPTables -> Maquina interna = Não conecta.


Para obter a conexão desejada implementei as seguintes linhas no final do meu script do iptables:

Podem em ajudar a descobir o que mais preciso configurar ?

(também tenho o squid, nele eu não fiz nada)

------ Script do Firewall iptabels ----------

# Libera acesso na porta 3389 para o windows - terminal server

$IPTABLES -t nat -A PREROUTING -p TCP -s 0/0 -d <meu_ip_fixo> --dport 3389 -j DNAT --to 192.168.1.172
$IPTABLES -t nat -A PREROUTING -P UDP -s 0/0 -d <meu_ip_fixo> --dport 3389 -j DNAT --to 192.168.1.172
$IPTABLES -A FORWARD -s <meu_ip_fixo> -d 192.168.1.172 -j ACCEPT
$IPTABLES -A FORWARD -s 192.168.1.172 -d <meu_ip_fixo> -j ACCEPT

############################################

echo -e "\nDone.\n"

Agradeço a todos.

Um abraço!

Salles

rrafael
(usa Debian)

Enviado em 16/02/2009 - 09:47h

Porta 3389 do WTS e so TCP, nao abre a UDP por que ela nao e utilizada.

junior
(usa Ubuntu)

Enviado em 16/02/2009 - 10:41h

Lembre-se de trocar os endereços de IP:

iptables -t nat -A PREROUTING -p tcp --dport 3389 -s 193.189.xx/xx -j ACCEPT (Faixa de Rede Local)
iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to 193.189.x.x
iptables -A FORWARD -p tcp --dport 3389 -j ACCEPT
iptables -A INPUT -p tcp --dport 3389 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --sport 3389 -s 193.189.x.x/24 -j ACCEPT
iptables -A FORWARD -p tcp --dport 3389 -s 0/0 -d 193.189.x.x/24 -j ACCEPT
iptables -A FORWARD -p tcp --sport 3389 -s 193.189.x.x/24 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --sport 3389 -s 193.189.x.x/24 -j ACCEPT
iptables -A FORWARD -p tcp --dport 3389 -s 0/0 -d 193.189.x.x/24 -j ACCEPT
iptables -A FORWARD -p tcp --sport 3389 -s 193.189.x.x/24 -j ACCEPT

richardandrade
(usa Debian)

Enviado em 16/02/2009 - 11:12h

faz o seguinte tenta modificar a regra de iptables

#iptables -t nat -A PREROUTING -p tcp --dport 3389 -s 0/0 -d ip_fixo -j DNAT --to-destination ip:porta

valeu e abraço.

salles2000
(usa Conectiva)

Enviado em 16/02/2009 - 17:22h

Junior.rocha,

O ip 193.189.x.x é um ip interno ? equivalente ao meu 192.168.1.172 ???

Em nenhuma destas linhas de comando, precioso informar o meu ip_fixo ?

junior
(usa Ubuntu)

Enviado em 17/02/2009 - 08:23h

Bom Dia Salles, o 193.189.x.x é um ip da sua rede interna.
No cenário que utilizo, não precisa identificar o IP Fixo, pois faço o DMZ no modem, assim como te expliquei no e-mail.

Qualquer dúvida, continue postando.

lucianopqd
(usa Ubuntu)

Enviado em 17/02/2009 - 08:52h

Amigo olha essa dica: http://www.vivaolinux.com.br/dica/Redirecionamento-de-portas

salles2000
(usa Conectiva)

Enviado em 17/02/2009 - 17:33h

Pessoal,

Ainda não consegui finalizar o tópico, pq dependo de terceiros para testar a conexão já que tenho apenas uma conexão aqui.

Assim que tiver resolvido eu posto aqui. Por enquanto muito obrigado a todos pela ajuda.

salles2000
(usa Conectiva)

Enviado em 19/02/2009 - 16:37h

Pessoal, mais uma vez agradeço a todos que participaram do tópico.

Vou colocar aqui de que forma resolvi o meu problema para consultas futuras:

iptables -t nat -p tcp -I PREROUTING -s 0/0 -d <meu_ip_fixo> --dport 3389 -j DNAT --to <ip_local>
iptables -I FORWARD -p TCP --dport 3389 -j ACCEPT

O argumento -I <insert> ao invés do -A <add> que eu estava usando antes, fez a diferença. Ao usar o -I esta regra teve prioridade sobre as outras, ou seja, meu firewall ainda precisa ser revisto, para saber exatamente o que estava bloquendo esta regra.

Desta forma, já consegui liberar provisóriamente a porta, teste e ficou tudo ok, mas foi apenas para testar. Agora vou esquentar a cabeça estudando meios de fazer isto de forma mais segura.

Inicialmente vou partir de uma VPN para chegar ao TS, mas esta ainda não deve ser a solução mais efetiva no que tange a segurança.

Apliquei o comando REDIR apresentado pelo Luciano, mas infelizmente não funcionou, acho que a mesma regra que estava barrando a tentativa anterior barrou o REDIR.

Não apliquei a proposta do Junior, por eu não ter experiência o suficiente e julguei utilizar uma DMZ um pouco perigoso.

Mas esta necessidade, vai me forçar a estudar bastante e quem sabe até mesmo retribuir a ajuda recebeida aqui num futuro próximo.

Obrigado e boa sorte a todos.

E vamos nos correspondendo pelos tópicos do VOL.

Salles

Ps. Se eu marcar o tópico como [RESOLVIDO], as pessoas ainda conseguem opinar nele ?

mateustads
(usa Debian)

Enviado em 19/02/2009 - 18:34h

conseguem opinar sim...
pô bacana o jeito que vc resolveu... vou aproveitar o tópico e liberar umas portas lá em casa... :D

junior
(usa Ubuntu)

Enviado em 03/03/2009 - 15:50h

Olá amigo Salles, tudo bom?
Na verdade, a utilização do DMZ é o no modem, pelo fato de no meu caso a conexão bater primeiro no modem, e eu sou obrigado a fazer o DMZ no modem. =/

Bom amigo, admiro a sua solução, porém vale lembrar que se você utilizar o parâmetro -I no iptables, a regra será adicionada em uma posição específica e se você utilizar o -A você estará adicionando no "final" do chain específico.
Tem que dar uma olhada no seu script de firewall, e ver onde ele adicionou a regra que você postou e deu certo.

Um abração Salles.
=D

salles2000
(usa Conectiva)

Enviado em 04/03/2009 - 10:11h

Pelo que me informaram o parametro -I tem precedência, sobre as demais regras, sou seja tem alguma outra regra no meu script que está conflitando, mas usar o -I é como dizer, faça isto e esqueça o resto que foi dito antes.

Mas realmente preciso rever o meu firewall, preciso entender como funciona a DMZ e o mais importante: preciso fazer com que este acesso que estou liberando, passe primeiro por um túnel de VPN criptografado com certificado. Esta foi uma solução paleativa, mas agora estou estudando para aprimorar, assim que eu consegui outros resultados eu posto aqui para compartilhar com vcs.