liberar porta [RESOLVIDO]

mrjeday
(usa Debian)

Enviado em 24/08/2010 - 21:21h

Possuo um squid NÃO transparente e to enfrentando o seguinte problema:
Tenho uma aplicação em Delphi que se conecta a um banco de dados em uma outra máquina, ambos na porta 1433. Então é mais ou menos assim...

10.0.0.5:1433 <==> 10.0.0.1 <==> 200.200.200.200:1433

10.0.0.5 = ip da máquina que está rodando a aplicação
10.0.0.1 = ip do proxy não transparente
200.200.200.200 = ip da máquina de destino, onde fica o banco de dados.

Não tenho nenhuma regra iptables implementada.
Quando dou um nmap no proxy, recebo o seguinte resultado:
Not shown: 1673 closed ports
PORT STATE SERVICE
22/tcp open ssh
53/tcp open domain
80/tcp open http
111/tcp open rpcbind
113/tcp open auth
3128/tcp open squid-http
8080/tcp open http-proxy

Quando dou um nmap na máquina de destino, recebo o seguinte resultado:
Not shown: 1679 filtered ports
PORT STATE SERVICE
1433/tcp open ms-sql-s


Percebam que a porta 1433 não aparece como aberta no proxy, por mais que eu force a abertura para aparecer no nmap não funciona.

Ao fazer um tcpdump na origem tenho o seguinte resultado:

21:02:37.797972 IP 10.0.0.5.4571 > 200.200.200.200.1433: S 67184945:67184945(0) win 65535 <mss 1460,nop,nop,sackOK>
21:02:40.778583 IP 10.0.0.5.4571 > 200.200.200.200.1433: S 67184945:67184945(0) win 65535 <mss 1460,nop,nop,sackOK>
21:02:46.813890 IP 10.0.0.5.4571 > 200.200.200.200.1433: S 67184945:67184945(0) win 65535 <mss 1460,nop,nop,sackOK>

e fica nisso até a conexão ser rejeitada a origem.

O NAT está desabilitado, e se possível gostaria de deixar assim.
E minha rede é dinâmica, cabendo ao servidor DNS entregar o proxy aos navegadores.

Possuo windows XP na origem;
Possuo windows server 2003 no destino;
E no proxy, é Debian com iptables+squid+dansguardian.

Qualquer idéia é bem vinda, agradeço desde já.

Victor Figueira

renato_pacheco
(usa Debian)

Enviado em 24/08/2010 - 21:26h

Bom, apesar d vc não ter nenhuma regra aplicada referente ao iptables (filter), vc tem mascaramento (NAT), portanto, vc deve liberar sua porta da seguinte maneira:

# iptables -t nat -A PREROUTING -i eth0 -s 200.200.200.200 -p tcp --dport 1433 -j DNAT --to-destination 10.0.0.5

Teste e poste o resultado.

mrjeday
(usa Debian)

Enviado em 25/08/2010 - 09:29h

Infelizmente testei e não deu certo, continuo na mesma sem acesso.
Alguma outra sugestão?
Obrigado.

renato_pacheco
(usa Debian)

Enviado em 25/08/2010 - 13:16h

Coloque suas regras d iptables aki.

mrjeday
(usa Debian)

Enviado em 30/08/2010 - 07:51h

iptables -A INPUT -i eth3 -j ACCEPT

iptables -A INPUT -m state --state INVALID -j DROP

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A INPUT -s 10.0.0.0/23 -p tcp --dport 3128 -j ACCEPT

iptables -A INPUT -s 10.0.0.0/23 -p tcp --dport 22 -j ACCEPT

iptables -A FORWARD -m state --state INVALID -j DROP

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A FORWARD -s 10.0.0.5/23 -d 200.200.200.200 -p tcp --dport 1433 -j ACCEPT

iptables -t nat -A PREROUTING -i eth0 -s 200.200.200.200 -p tcp --dport 1433 -j DNAT --to-destination 10.0.0.5

iptables -A FORWARD -s 10.0.0.0/23 -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -s 10.0.0.0/23 -d messenger.hotmail.com -j REJECT
iptables -A FORWARD -s 10.0.0.0/23 -d webmessenger.msn.com -j REJECT
iptables -A FORWARD -p tcp --dport 1080 -j DROP
iptables -A FORWARD -s 10.0.0.0/23 -p tcp --dport 1080 REJECT

renato_pacheco
(usa Debian)

Enviado em 30/08/2010 - 09:00h

Sua regra d PREROUTING deve ficar antes d todas as outras regras, ok? Teste ae.

mrjeday
(usa Debian)

Enviado em 30/08/2010 - 09:21h

Ok. já foi corrigido. Porém não funcionou.
Vou tentar te explicar melhor o cenário.

Tenho um servidor proxy não transparente, portanto não preciso criar nenhuma regra para redirecionar para porta do squid no meu firewall e nem habilitar o compartilhamento NAT. Pois se eu quiser posso até deixar de preencher o DNS no cliente, desde que informe ao navegar quem é o proxy, que ele navega normalmente.

Assim tenho:

Origem ====== Proxy não transparente / firewall ====== destino
Windows XP ========== Debian ========== Microsoft Server 2003
Fonte de Dados ODBC ========= ========= Microsoft SQL server

Se quiseres mais algum esclarecimento aí é só falar.

Abraços

mrjeday
(usa Debian)

Enviado em 30/08/2010 - 09:29h

Acho que se eu não habilitar o NAT não vai ter como fazer isso rolar.

mrjeday
(usa Debian)

Enviado em 30/08/2010 - 09:52h

modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE

Habilitando o nat com as regras acima rola que é uma beleza, porém minhas regras de squid e dansguardian somem ficando tudo liberado!

renato_pacheco
(usa Debian)

Enviado em 30/08/2010 - 10:30h

O mascaramento é obrigatório, kra (achei q vc tinha posto, mas tudo bem). O lance, agora, é descartar os pacotes q passam pela rede pela porta 80:

iptables -A FORWARD -p tcp --dport 80 -j DROP

Assim vc irá forçar a sua rede a usar o proxy.

mrjeday
(usa Debian)

Enviado em 03/09/2010 - 14:30h

Já foi feito, mas continuo sem consegui fazer o tráfego passar por fora!

renato_pacheco
(usa Debian)

Enviado em 03/09/2010 - 20:08h

Acho q ainda não tou entendendo. Vc quer acessar esse serviço d fora pra dentro ou d dentro pra fora?