Re: Dúvidas sobre Iptables

2009-12-28 Por tôpico Flávio R. Lopes 




Olá Pessoal!...bom dia e Feliz Natal!!!

Bom...minha interface externa (WAN) é minha eth1. Ele tem IP dinâmico,
mas tenho este servidor linux cadastrado no serviço DynDns.org onde
qualquer alteração do IP válido ele altera o IP para meu nome de host.

Bijani, Thiago escreveu:
Olá Flávio,
  
  
  Primeiramente Feliz Natal.
  
  
  1) O que é sua interface eth1 ? (deverá ser sua interface wan)
  2) "Escutar" não é o verbo ideal Encaminhar é melhor.
  3) De uma olhada no netfilter-hacking-HOWTO (txt ou html, como
preferir) em http://www.netfilter.org/documentation/HOWTO/ (para
entender a ordem de processamento das chains)
  
  
  Qualquer duvida, só falar.
  
  
  Abrs.,
  
Thiago Bijani
Mobile: +55 21 7898-9032
Direct Connect: 55*82*44254
  
  
  2009/12/24 Flavio Lopes 
  
Olá lista!

Atualmente tenho estas regras funcionando perfeitamente para liberar o
acesso via Terminal Service para um servidor com Windows 2003 Server:
$iptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT
$iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT
--to-destination $win2003:3389


Mas se eu substituir a segunda linha por:
$iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j
DNAT
--to-destination $win2003:3389

eu não consigo mais acessar o Win-Server-2003, ou seja, não é possível
mais fazer a conexão!!!
Qual a diferença entre estas duas linhas?...no caso da segunda, não era
só pra especificar qual interface ("-i eth1") eu quero que fique
"escutando" ???

Em resumo, se eu substituir:
$iptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT
$iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT
--to-destination $win2003:3389

por:
$iptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j
ACCEPT
$iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT
--to-destination $win2003:3389

pára de funcionar o acesso!

Alguém sabe me dizer porque acontece isso?

grato,
Flávio

  
  
  
  






-- 
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org

Re: Dúvidas sobre Iptables

2009-12-25 Por tôpico Lucas Salies Brum 
Só mais um detalhe, acho que isso aqui tá errado:
 $win2003:3389

Acho que tem que ser assim:
 ${win2003}:3389

Sei lá...
*
*
2009/12/24 Bijani, Thiago 

> Olá Flávio,
>
> Primeiramente Feliz Natal.
>
> 1) O que é sua interface eth1 ? (deverá ser sua interface wan)
> 2) "Escutar" não é o verbo ideal Encaminhar é melhor.
> 3) De uma olhada no netfilter-hacking-HOWTO (txt ou html, como preferir)
> em http://www.netfilter.org/documentation/HOWTO/ (para entender a ordem de
> processamento das chains)
>
> Qualquer duvida, só falar.
>
> Abrs.,
>
> Thiago Bijani
> Mobile: +55 21 7898-9032
> Direct Connect: 55*82*44254
>
>
> 2009/12/24 Flavio Lopes 
>
>>  Olá lista!
>>
>>
>> Atualmente tenho estas regras funcionando perfeitamente para liberar o
>> acesso via Terminal Service para um servidor com Windows 2003 Server:
>> *$iptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT
>> $iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT
>> --to-destination $win2003:3389
>> *
>>
>> Mas se eu substituir a segunda linha por:
>> *$iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT
>> --to-destination $win2003:3389*
>>
>> eu não consigo mais acessar o Win-Server-2003, ou seja, não é possível
>> mais fazer a conexão!!!
>> Qual a diferença entre estas duas linhas?...no caso da segunda, não era só
>> pra especificar qual interface (*"-i eth1"*) eu quero que fique
>> "escutando" ???
>>
>> Em resumo, se eu *substituir*:
>> $*iptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT
>> $iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT
>> --to-destination $win2003:3389
>> *
>> *por*:
>> *$*i*ptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT
>> $iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT
>> --to-destination $win2003:3389*
>>
>> *pára* de funcionar o acesso!
>>
>> Alguém sabe me dizer porque acontece isso?
>>
>> grato,
>> Flávio
>>
>
>

Re: Dúvidas sobre Iptables

2009-12-24 Por tôpico Bijani, Thiago 
Olá Flávio,

Primeiramente Feliz Natal.

1) O que é sua interface eth1 ? (deverá ser sua interface wan)
2) "Escutar" não é o verbo ideal Encaminhar é melhor.
3) De uma olhada no netfilter-hacking-HOWTO (txt ou html, como preferir) em
http://www.netfilter.org/documentation/HOWTO/ (para entender a ordem de
processamento das chains)

Qualquer duvida, só falar.

Abrs.,

Thiago Bijani
Mobile: +55 21 7898-9032
Direct Connect: 55*82*44254


2009/12/24 Flavio Lopes 

>  Olá lista!
>
> Atualmente tenho estas regras funcionando perfeitamente para liberar o
> acesso via Terminal Service para um servidor com Windows 2003 Server:
> *$iptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT
> $iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to-destination
> $win2003:3389
> *
>
> Mas se eu substituir a segunda linha por:
> *$iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT
> --to-destination $win2003:3389*
>
> eu não consigo mais acessar o Win-Server-2003, ou seja, não é possível mais
> fazer a conexão!!!
> Qual a diferença entre estas duas linhas?...no caso da segunda, não era só
> pra especificar qual interface (*"-i eth1"*) eu quero que fique
> "escutando" ???
>
> Em resumo, se eu *substituir*:
> $*iptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT
> $iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to-destination
> $win2003:3389
> *
> *por*:
> *$*i*ptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT
> $iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT
> --to-destination $win2003:3389*
>
> *pára* de funcionar o acesso!
>
> Alguém sabe me dizer porque acontece isso?
>
> grato,
> Flávio
>

Re: Dúvidas sobre Iptables

2009-12-24 Por tôpico Alex Paulo Laner 
Flavio,

A rede externa esta na eth1 ?
E se estiver com ip externo fixo, faz um teste tirando o -i eth1 e colodo -s
0/0 -d 200.200.200.200 (onde seria o ip válido).
Uma outra coisa você esta limpando a regra anterior ? Senão use o -I no
lugar do -A.


Alex Paulo Laner aka rootsh


2009/12/24 Flavio Lopes 

>  Olá Alex, obrigado pela ajuda.
> Então carapor exemplo agora estou testando isso de fora da rede (onde
> está o Server 2003)!...e como lhe disse, se usar a regra onde menciono a
> "eth1" eu não consigo entrar!
>
> Em 24-12-2009 15:14, Alex Paulo Laner escreveu:
>
> Flavio,
>
> É o seguinte se a eth1 for seu link externo você tem que testar
> externamente, pois a regra anterior independete de onde vier a conexão para
> porta 3389 ele vai enviar para o $win2003.
> Então se o cenário for esse teste externamente e use o tcpdump para
> entender onde os pacotes estão indo.
>
> Alex Paulo Laner aka rootsh
>
> 2009/12/24 Flavio Lopes 
>
>> Olá lista!
>>
>> Atualmente tenho estas regras funcionando perfeitamente para liberar o
>> acesso via Terminal Service para um servidor com Windows 2003 Server:
>> *$iptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT
>> $iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT
>> --to-destination $win2003:3389
>> *
>>
>> Mas se eu substituir a segunda linha por:
>> *$iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT
>> --to-destination $win2003:3389*
>>
>> eu não consigo mais acessar o Win-Server-2003, ou seja, não é possível
>> mais fazer a conexão!!!
>> Qual a diferença entre estas duas linhas?...no caso da segunda, não era só
>> pra especificar qual interface (*"-i eth1"*) eu quero que fique
>> "escutando" ???
>>
>> Em resumo, se eu *substituir*:
>> $*iptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT
>> $iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT
>> --to-destination $win2003:3389
>> *
>> *por*:
>> *$*i*ptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT
>> $iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT
>> --to-destination $win2003:3389*
>>
>> *pára* de funcionar o acesso!
>>
>> Alguém sabe me dizer porque acontece isso?
>>
>> grato,
>> Flávio
>>
>
>
>

Re: Dúvidas sobre Iptables

2009-12-24 Por tôpico Alex Paulo Laner 
Flavio,

É o seguinte se a eth1 for seu link externo você tem que testar
externamente, pois a regra anterior independete de onde vier a conexão para
porta 3389 ele vai enviar para o $win2003.
Então se o cenário for esse teste externamente e use o tcpdump para entender
onde os pacotes estão indo.

Alex Paulo Laner aka rootsh

2009/12/24 Flavio Lopes 

>  Olá lista!
>
> Atualmente tenho estas regras funcionando perfeitamente para liberar o
> acesso via Terminal Service para um servidor com Windows 2003 Server:
> *$iptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT
> $iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to-destination
> $win2003:3389
> *
>
> Mas se eu substituir a segunda linha por:
> *$iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT
> --to-destination $win2003:3389*
>
> eu não consigo mais acessar o Win-Server-2003, ou seja, não é possível mais
> fazer a conexão!!!
> Qual a diferença entre estas duas linhas?...no caso da segunda, não era só
> pra especificar qual interface (*"-i eth1"*) eu quero que fique
> "escutando" ???
>
> Em resumo, se eu *substituir*:
> $*iptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT
> $iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to-destination
> $win2003:3389
> *
> *por*:
> *$*i*ptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT
> $iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT
> --to-destination $win2003:3389*
>
> *pára* de funcionar o acesso!
>
> Alguém sabe me dizer porque acontece isso?
>
> grato,
> Flávio
>