Roteamento Windows Terminal Server

richardandrade
(usa Debian)

Enviado em 21/10/2009 - 12:01h

suas regras estão erradas, olha só apague todas suas regras referentes a porta 3389 e coloque as minhas que postei mais acima:

#iptables -t nat -A PREROUTING -s 189.0.0.0/24 -p tcp --dport 3389 -j DNAT --to-destination ip:3389
#iptables -t nat -A PREROUTING -s 200.0.0.0/24 -p tcp --dport 3389 -j DNAT --to-destination ip:3389
#iptables -t nat -A PREROUTING -s 201.0.0.0/24 -p tcp --dport 3389 -j DNAT --to-destination ip:3389
#iptables -A FORWARD --dport 3389 -j ACCEPT

lembrando que:

INPUT = pacotes com destino o firewall
OUTPUT = pacotes com origem o firewall
FORWARD = pacotes que passaram pelo firewall
PREROUTING = pacotes que serão tratados na entrada do firewall
POSTROUTING = pacotes que serão tratados na saída do firewall


valeu e abraço.

Tom_Skunk
(usa Ubuntu)

Enviado em 21/10/2009 - 12:41h

Boa tarde, Richard Andrade. Fiz um script com as regras que você passou, da seguinte forma:

# Habilita o repasse de pacotes
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

iptables -t nat -A PREROUTING -s 0/0 --dport 3389 -j DNAT --to-destination 192.168.1.110:3389
iptables -A FORWARD --dport 3389 -j ACCEPT

Não funcionou. Na verdade o iptables não aceitou o argumento --dport na regra. Essa foi a saída:

[root@firewall ~]# /bin/habilita_navegacao
iptables v1.3.8: Unknown arg `--dport'
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.3.8: Unknown arg `--dport'
Try `iptables -h' or 'iptables --help' for more information.
[root@firewall ~]#

balani
(usa Slackware)

Enviado em 22/10/2009 - 20:11h

Vc já usou o nmap para ver se as portas estão abertas?

faça assim:

# nmap localhost > nmap.txt

E posta o resultado dentro do arquivo txt, aqui para gente analisar.

Tom_Skunk
(usa Ubuntu)

Enviado em 23/10/2009 - 08:53h

Segue a saída do nmap:

[root@firewall ~]# cat nmap.txt

Starting Nmap 4.20 ( http://insecure.org ) at 2009-10-23 08:44 BRT
Interesting ports on firewall.xxxx.com.br (127.0.0.1):
Not shown: 1692 closed ports
PORT STATE SERVICE
22/tcp open ssh
111/tcp open rpcbind
963/tcp open unknown
3128/tcp open squid-http
3389/tcp open ms-term-serv

Nmap finished: 1 IP address (1 host up) scanned in 0.306 seconds

balani
(usa Slackware)

Enviado em 24/10/2009 - 15:01h

No seu firewall crie um bloco de regras igual esse liberando a porta do terminal 3389:

iptables -A INPUT -p tcp --dport 3389 -j ACCEPT
iptables -A INPUT -p udp --dport 3389 -j ACCEPT
iptables -A FORWARD -p tcp --dport 3389 -j ACCEPT
iptables -A FORWARD -p udp --dport 3389 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 3389 -j ACCEPT
iptables -A OUTPUT -p udp --dport 3389 -j ACCEPT

e verifique se o redir está rodando com a regra de redirecionamento

balani
(usa Slackware)

Enviado em 24/10/2009 - 18:49h

eu criei um script com todas as portas que eu tive que redirecionar e coloquei o script para inicializar automaticamente usei a regra da maneira abaixo:

redir --lport=3389 --laddr=aki_ip_externo --cport=3389 --caddr=aki_ip_interno &


Testa aí e fala pra nós.

hrapytor
(usa Debian)

Enviado em 25/10/2009 - 14:53h

Olá tomskunk,

Tenta usar essa regra:

iptables -t nat -A PREROUTING -i ethX(o X é a placa de rede externa) -p tcp --dport 3389 -j DNAT --to-destination 192.168.1.110:3389

Nas suas regras de FORWARD coloque assim:

iptables -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Repare que tem um NEW nessa regra.

Testa ai e posta o resultado.

Uso dessa forma no meu trabalho e funciona perfeitamente.

Tom_Skunk
(usa Ubuntu)

Enviado em 25/10/2009 - 15:39h

Olá Balani: eu consegui com o redir. Porém, tive que deixar o firewall parado, e eu não posso ficar sem o iptables.

Olá Hrapytor: infelizmente não deu certo...

balani
(usa Slackware)

Enviado em 26/10/2009 - 23:34h

Me desculpe, mais vc tem feito oque a gente tem falado aki? vc tem q fazer alguns testes, igual te pedi anteriormente, pois tenho o script de firewall no meu servidor e o redir roda normalmente, pq tá ficando dificil de te ajudar.

tom_skunk
(usa Ubuntu)

Enviado em 27/10/2009 - 20:54h

Boa noite, Balani.

Desculpe se tenho incomodado. Porém, realmente as regras não deram certo. Na verdade, eu já havia testado regras assim antes, como você pode ver no exemplo da minha primeira mensagem. Com o redir deu certo, porém, tenho que deixar o firewall aberto. E assim não é legal. Se você quiser conferir meu script de firewall, ele está postado. E, certamente, eu tenho feito tudo o que foi dito aqui.

Abraços

balani
(usa Slackware)

Enviado em 27/10/2009 - 23:48h

Amigo, vc não tá incomodando, pelo contrario tenho um prazer enorme em poder ajudar, pois passei por problema semelhante, simplesmente feedback que vc tá passando não tá suficiente.

tom_skunk
(usa Ubuntu)

Enviado em 28/10/2009 - 07:08h

Bom dia, Balani.

Cara, eu até já postei o meu script de firewall. Postei também um script que fiz somente com as regras mencionadas aqui, e a saída do nmap. Só que não funciona!!!! E eu realmente preciso fazer isto rodar.

Forte abraço.