liberar unico site:porta externo para todos da rede local

removido
(usa Nenhuma)

Enviado em 04/10/2010 - 09:55h

E ai resolveu o problema???

dufixtech
(usa Debian)

Enviado em 04/10/2010 - 15:11h

Nao ainda nao foi resolvido nao. A porta continua fechada
a saida do nmap:

ip .5 que é eth0 (placa ligada ao router)

Interesting ports on 192.168.1.5:
PORT STATE SERVICE
8000/tcp closed http-alt
8001/tcp closed unknown

e olha pro ip .8 que eh o eth1 (placa ligada a rede interna)

Interesting ports on 192.168.1.8:
PORT STATE SERVICE
8000/tcp closed http-alt
8001/tcp closed unknown

olha as portas abertas da eth0

Interesting ports on 192.168.1.5:
Not shown: 994 closed ports
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
139/tcp open netbios-ssn
445/tcp open microsoft-ds
3128/tcp open squid-http
10000/tcp open snet-sensor-mgmt

ou seja continua fechada e nao sei mais o que fazer!

wellingtoncunha
(usa Slackware)

Enviado em 09/10/2010 - 10:54h

Cara pelo que posso ver acho que tu pode liberar essa aplicacao pelo proprio proxy. soh vai mentalizando ai se ela roda via browser e os browsers estao apontando para o proxy entao o proxy resolve. agora se a applicacao roda fora do browser faz um DNAT e SNAT

wellingtoncunha
(usa Slackware)

Enviado em 09/10/2010 - 12:36h

Cara o que o nosso brother ai estava explicando tava quase certo.
ele fez a regra indo agora ele so tinha que ter feito a regra voltando.

entao tenta isso
iptables -A FORWARD -d fixtech.homelinux.com -p tcp --dport 8080 -j ACCEPT
(essa eh a regra indo. agora a regra voltando)

iptables -A FORWARD -s fixtech.homelinux.com -p tcp -j ACCEPT

faz ai se nao funcionar me avisa


Lembre-se quase toda regra indo tem uma regra voltando ainda mais quando se trabalha com o protocolo tcp (orientado a conexao)

removido
(usa Nenhuma)

Enviado em 15/10/2010 - 17:01h

Cara como nosso amigo ai explicou tem que funcionar pois com as duas regras postadas por ele está sendo liberado o site de destino, a porta usada, o protocolo, e a rede para usar o site.
Mas ainda acho que você poderia resolver tudo pelo proxy com as regras que postei antes.

mr_marcinho
(usa Ubuntu)

Enviado em 15/10/2010 - 17:11h

eu tive um problema esses dias pra uma aplicação especifica que usava a porta 80, mas q não deveria passar pelo proxy para todos os computadores, resolvi da seguinte forma:

no firewall adicionei:

# Destinos que nao passa pelo Proxy
iptables -t nat -I PREROUTING -d 200.180.72.107 -j RETURN
iptables -t nat -I PREROUTING -d 200.247.221.35 -j RETURN


no navegador, IE
ferramentas>opções da internet>conexões>configurações da lan>avançados

e la em excessões eu coloquei os dois IP q eu havia liberado no firewall ...

wellingtoncunha
(usa Slackware)

Enviado em 15/10/2010 - 17:57h

cara tambem concordo com o nosso amigo RAFAELRSR. libera pelo squid isso mais tem uma coisa quando for fazer a regra de redirecionamento de porta faz essa regra na CHAIN POSTROUTING pois na INPUT nao vai funcionar e tive testando isso aqui na empresa.
faz assim para facilitar para o teu lado.

iptables -t nat -A PREROUTING -s [tua rede] -p tcp --dport [porta do aplicativo ] -j REDIRECT --to-port [porta do teu squid]

Depois dar um telnet para uma aplicacao que usa a porta que foi redirecionada se tudo de OK vai aparecer a de erro do squid.
depois disso
criar uma acl no squid dando permissao para acessar tua aplicacao.

/*
* Obs: tem qu fazer as maquina usarem a porta do squid quando e
* precisar dessa aplicacao.
* fica mais facil interceptar esse pacote pela tabela nat
* usando a chain PREROUTING
* qualquer coisa posta ai que estamos aqui para dar uma forca
*/

dufixtech
(usa Debian)

Enviado em 18/10/2010 - 02:02h

bom galera muito obrigado pela ajuda de todos... é o seguinte.... depois de tanto tentar e monitorar o que esse aplicativo fazia numa estacao de trabalho com windows xp percebi que ela tentava se conectar ao windows server (necessario pois a aplicação nao roda em linux) que tem na rede.

Este programa nao roda sobre o browser... a aplicação roda fora do browser... e tbm nao sai pela porta 80 nao... e abre uma porta aleatoria e no destino (fixtech.homelinux.com) tem q chegar na porta 8001 e 8000...

Antes, o programador desse aplicativo dizia que esse socket error que dava era do proxy... isso me desviou muita a atenção pois nao era um erro por causa do proxy em si... simplesmente esse programa nao resolvia o DNS... o bind nao estava instalado... instalei o bind9 e adicionei lá no /etc/resolv.conf o "nameserver 127.0.0.1". A partir daih o software começou a estabilizar a conexao com o windows server e nao da mais o erro de socket... mas tento rodar a aplicação e monitoro com nmap as portas do servidor e permanecem fechadas....

no squid estou com a regra:

acl Safe_ports port 8000
acl Safe_ports port 8001
#####libera fixtech#####
acl fixtech dstdomain fixtech.homelinux.com
always_direct allow fixtech
#######

e no firewall
iptables -A FORWARD -d fixtech.homelinux.com -p tcp --dport 8000 -j ACCEPT
iptables -A FORWARD -s fixtech.homelinux.com -p tcp -j ACCEPT
iptables -A FORWARD -d fixtech.homelinux.com -p tcp --dport 8001 -j ACCEPT
iptables -A FORWARD -s fixtech.homelinux.com -p tcp -j ACCEPT

Vou fazer mais alguns testes... mas era pra ser essa regra certo? eu tentei com todas as opções e sugestões da galera, todas sem sucesso! Isso me trouxe uma duvida, será que nao é problema desse aplicativo?

Alguem pode me dizer um teste simples que eu possa fazer para saber se o servidor esta abrindo a porta 8000 e 8001? Assim eu conseguiria saber se o problema é que meu servidor nao abre essas portas ou se aplicação dele que por algum motivo esta com problemas? Esse aplicativo (programado em delphi) nao tem opção de configurar o proxy nas estações, entao nao sei direito como ele poderia funcionar na minha rede com proxy.

representacao da minha rede

|internet|-|roteador|-|servidor proxy e windows server 2003 (como se tivessem em paralelo)|-|switch|-|rede interna|

Valeu galera!!!!

dolivervl
(usa Slackware)

Enviado em 18/10/2010 - 02:16h

Pq ao invés de usar regra para retorno não usa -m state --state ESTABLISHED, isso já libera o retorno do pacote.

removido
(usa Nenhuma)

Enviado em 18/10/2010 - 21:52h

Usa o nmap para saber se suas portas estão abertas ou escutando para o aplicativo.

nmap ipdoservidor -p 8000
Se eu não me engano, mas creio que não terá dificuldades com o nmap

dufixtech
(usa Debian)

Enviado em 28/10/2010 - 06:50h

Fala Galera!

Obrigado pela ajuda de todos! Para consultas futuras nesse topico vou explicar melhor o problema.

Monitorando o caminho e a porta que o aplicativo fazia pude perceber que na verdade a aplicação nao saia pela porta 8000 nem 8001 como eu havia descrito. Ela abre uma porta qualquer (aleatoria) e no destino (fixtech.homelinux.com) deveria chegar na porta 8001 e retorna pela mesma porta que saiu.

No squid não mudei nada, e ficou:

#####libera fixtech#####
acl fixtech dstdomain fixtech.homelinux.com
always_direct allow fixtech
#######

Depois de tanto bater a cabeça com o firewall descobri que tem um bug no ubuntu, entao adicionei as linhas abaixo no final do arquivo /etc/sysctl.conf

#conserta bug ubuntu#
net.ipv4.conf.default.forwarding=1
net.ipv4.conf.all.forwarding=1

no firewall ficou:

#192.168.0.5 ip da placa de rede ligado a internet#
#192.168.1.0/24 faixa de ip interna#
# Abre para faixa de enderecos da rede local
iptables -A INPUT -s 192.168.1.0/255.255.255.0 -j ACCEPT

echo 1 > /proc/sys/net/ipv4/ip_forward

#regras para liberar conexao com fixtech.homelinux.com#
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p UDP -s 192.168.1.0/24 --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.1.0/24 -j LOG
iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 0/0 -j ACCEPT
iptables -t nat -A POSTROUTING -p UDP -s 192.168.1.0/24 --dport 53 -j SNAT --to 192.168.0.5
iptables -t nat -A POSTROUTING -p tcp -s 192.168.1.0/24 -d 0/0 -j SNAT --to 192.168.0.5

#redireciona porta 80 para squid#
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

# Abre uma porta (inclusive para a internet)
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT


Dessa maneira a aplicação está rodando certinho, mas quando mudo "-d 0/0" por "-d fixtech.homelinux.com" aplicação dá novamente erro de socket, parecendo que não esta resolvendo o nome de dominio ainda. A menos desse detalhe, meu problema está resolvido. Gostaria mais uma vez agradecer a todos que colaboraram, me desculpar por inicialmente nao fornecer as informações corretas e mesmo o assunto deste topico estando errado espero que possa servir de consultas futuras!

Abraços