Arnaldo bom dia, *Vamos supor um ambiente em que:*
1. eu tenho um cliente dentro da rede rodando VNC (vino-server ou x11-vnc que seja) este cliente tem ip 192.168.0.60 2. eu tenho um servidor firewall conectado diretamente a rede externa com IP fixo 20.20.20.20 Agora eu quero acessar o cliente 192.168.0.60 por VNC estando na minha casa. Para solução fácil e segura eu faria assim: iptables -A FORWARD -d 192.168.0.60 -p tcp --dport 5900 -j ACCEPT iptables -A FORWARD -s 192.168.0.60 -p tcp --sport 5900 -j ACCEPT iptables -t nat -A POSTROUTING -s IP_DA_MINHA_CASA -d 192.168.0.60 -p tcp --sport 5900 -j SNAT --to 20.20.20.20:5900 iptables -t nat -A PREROUTING -s IP_DA_MINHA_CASA -d 20.20.20.20 -p tcp -m tcp --dport 5900 -j DNAT --to 192.168.0.60:5900 Desta eu baixaria um client VNC qualquer na minha casa e acessaria diretamente o ip 20.20.20.20 porém isto só seria possível a partir do IP_DA_MINHA_CASA, do contrário caso as regras do iptables estejam com a política padrão como DROP o acesso não seria possível a partir de outro IP que não fosse o IP_DA_MINHA_CASA. *Respondendo as questões:* Sobre Tunnelamento acredito que role cara... mas eu não sei fazer (assumo) :D. A tua sugestão é colocar isso no iptables do servidor? ou do cliente? R: No servidor, no cliente não rola A outra duvida que fiquei pensando, é: Qual é o IP externo que colocas na regra? R: IP externo eu defini como o ip do server da sua faculdade, no caso do seu desenho ele seria o "PC interno", agora eu que pergunto o "PC interno" é um firewall?? Essa regra de iptables, mesmo que no "PC de fora" não vai limitar o meu acesso à web, por vincular à conexão ao redirecionamento NAT, para uma única máquina interna? R: Não, vc apenas usará a porta X da sua máquina na sua casa para se conectar ao servidor. *Dica:* * * Para fazer da forma como falei acima você vai precisar saber qual a porta o servidor de licenças distribui a licença em si para depois fazer o redirecionamento. Tenha o ambiente montado na sua cabeça primeiro para depois criar regras do iptables... esse é o fundamento mais importante :D Espero te dar uma luz Abraço Em 6 de dezembro de 2011 09:29, Arnaldo Russo <[email protected]>escreveu: > Opa, valeu Rafael, pela possibilidade. > > A tua sugestão é colocar isso no iptables do servidor? ou do cliente? > A outra duvida que fiquei pensando, é: Qual é o IP externo que colocas na > regra? > > No caso, o que estou tentando fazer é acessar (externamente) uma licença > que está disponível para um pc do laboratório, através de um servidor > interno. > > | | 1 # PC interno # 2 # > Servidor # > | Pc fora | --------> # # ---------> # > Licença # > | | # Universidade # # > Universidade # > > a conexão 2, não é feita por ssh, entretanto, preciso pegar o caminho da > licença que o "PC interno" estabelece com o "servidor", por isso pensei em > fazer esse acesso por ssh, colocando isso através de um export no .bashrc > (para que o programa entenda que a licença não é local e sim através de um > túnel). Espero estar sendo claro com esse problema. > > Essa regra de iptables, mesmo que no "PC de fora" não vai limitar o meu > acesso à web, por vincular à conexão ao redirecionamento NAT, para uma > única máquina interna? > > Desculpe-me pela falta de conhecimento em redirecionamentos. > > abraço, > Arnaldinho. > > > ---- > *Arnaldo D'Amaral Pereira Granja Russo* > Lab. de Estudos dos Oceanos e Clima > Instituto de Oceanografia > Universidade Federal do Rio Grande > e-mail arnaldorusso [at] gmail [dot] com > tel (53) 3233-6855 > > > > Em 5 de dezembro de 2011 23:15, Rafael Henrique da Silva Correia < > [email protected]> escreveu: > > Fazer redirecionamento NAT com iptables não funcionaria? >> >> iptables -t nat -A PREROUTING -d IP_INTERNO -p tcp --dport PORTA -j DNAT >> --to IP_EXTERNO:PORTA >> iptables -t nat -A POSTROUTING -d IP_EXTERNO -p tcp --sport PORTA -j SNAT >> --to IP_INTERNO:PORTA >> >> Qualquer dúvida é só perguntar .. :D >> >> Abraço >> >> Em 2 de dezembro de 2011 12:25, caio ferreira <[email protected]>escreveu: >> >>> Prezado Arnaldo >>> >>> >>> Uma solução seria você instalar um servidor web e disponibilizar o >>> dado via https. >>> >>> Outra solução seria utilizar o comando wget para que o usuário possa >>> fazer o download do arquivo no servidor web, através do túnel ssh. O >>> usuário iria executar o comando "wget >>> http://IP_SERVIDOR/licenca/arquivo.txt";. >>> >>> -- >>> >>> .''`. Caio Abreu Ferreira >>> : :' : [email protected] >>> `. `'` Debian User >>> `- >>> >>> 2011/12/2 Arnaldo Russo <[email protected]>: >>> > Pessoal, >>> > gostaria de uma ajuda com o seguinte: >>> > Existe um programa no laboratório da Universidade, que para funcionar, >>> é >>> > necessário pegar uma licença, que é exportada por uma outra máquina >>> (Windows >>> > :-( ) que não a do Usuário. >>> > >>> > Quando um Usuário (linux ou win), está na rede interna, ele consegue >>> acessar >>> > a licença nesse servidor (através de um export no .bashrc), mas para >>> acessar >>> > no meio do mar, é necessário fazer um túnel do Notebook, para o pc do >>> > laboratório e redirecionar e conseguir pegar o export da licença que >>> está no >>> > servidor. >>> > >>> > O que preciso fazer é apenas pegar a licença através do tunel. Por >>> motivos >>> > de tráfego em uma rede externa, não se pode rodar o programa por ssh. >>> O que >>> > se quer é rodadar o programa diretamente da máquina do usuário, mas >>> pegando >>> > a licença, como se estivesse em um tunel ssh da máquina do usuário >>> local. >>> > >>> > A licença exportada no .bashrc do Usuário é esse: >>> > export LM_LICENSE_FILE=porta@IP >>> > >>> > Alguém tem alguma luz de como fazer isso? >>> > Fazer um export no .bashrc de uma licença que será pega por ssh? >>> > >>> > Obrigado desde de já pala atenção >>> > ---- >>> > Arnaldo D'Amaral Pereira Granja Russo >>> > Lab. de Estudos dos Oceanos e Clima >>> > Instituto de Oceanografia >>> > Universidade Federal do Rio Grande >>> > e-mail arnaldorusso [at] gmail [dot] com >>> > tel (53) 3233-6855 >>> >>> >>> -- >>> To UNSUBSCRIBE, email to [email protected] >>> with a subject of "unsubscribe". Trouble? Contact >>> [email protected] >>> Archive: >>> http://lists.debian.org/cajrsrclvyvgaduo7armrxoawq7vup1ztudclh-dkk4b-92...@mail.gmail.com >>> >>> >> >> >> -- >> Rafael Henrique da Silva Correia >> http://abraseucodigo.com.br >> >> Administrador de Sistemas Linux >> Certificado pela LPIC - 101 >> ID: LPI000160699 >> >> > -- Rafael Henrique da Silva Correia http://abraseucodigo.com.br Administrador de Sistemas Linux Certificado pela LPIC - 101 ID: LPI000160699
