[slack-users] Iptables -> Direcionamento de Portas Slack p/ Windows 2003 Server

Sat, 22 Dec 2007 06:00:27 -0800 

Ola Amigos.

Possuo um servidor linux (Slackware 10.0), conectado a internet
atraves de um ip fixo. Na minha rede local possuo um outro servidor
com o Windows 2003 Server instalado. Preciso fazer o direcionamento de
portas, para que seja possivel fazer acesso remoto pelo terminal
service. Tentei varias configuracoes diferentes, que eu encontrei em
varios foruns na internet, mas ainda nao obtive sucesso. Alguem sabe
dizer o que esta errado no meu arquivo de configuracao do firewall ??

Segue abaixo o arquivo rc.firewall


#Variaveis
LAN1="eth1"
WAN1="eth0"
# IP Servidor Windows 2003 Server: 192.168.10.200
# IP Real Internet (Fixo) Servidor Linux: 200.xxx.xxx.3

REDE="192.168.10.0/24"
P_PX="35000"

iptables -F
iptables -t nat -F
iptables -X
iptables -Z

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 563 -j ACCEPT
#iptables -A INPUT -p tcp --dport 1863 -j ACCEPT # - MSN
iptables -A INPUT -p tcp --dport 3389 -j ACCEPT
iptables -A INPUT -p tcp --dport 31000 -j ACCEPT
iptables -A INPUT -p tcp --dport 31001 -j ACCEPT
iptables -A INPUT -p tcp --dport 31002 -j ACCEPT
iptables -A INPUT -i $LAN1 -p tcp --dport $P_PX -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -s 192.168.10.200 -d 0.0.0.0/0 -j ACCEPT #Maquina
com acesso total - Servidor
iptables -A FORWARD -s 192.168.10.101 -d 0.0.0.0/0 -j ACCEPT #Maquina
com acesso total - Notebook


iptables -A FORWARD -i $LAN1 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -i $LAN1 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -s $REDE -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -s $REDE -p tcp --dport 563 -j ACCEPT

iptables -A FORWARD -i $LAN1 -d 0.0.0.0/0 -p  tcp --dport 25 -j ACCEPT
#Acesso a qualquer smtp
iptables -A FORWARD -i $LAN1 -d 0.0.0.0/0 -p tcp --dport 110 -j ACCEPT
#Accesso a qualquer pop
iptables -A FORWARD -i $LAN1 -p tcp --dport $P_PX -j ACCEPT #Aceita da
rede local o acesso proxy

iptables -A FORWARD -i $LAN1 -p tcp --dport 80 -j DROP #Bloqueia a
porta 80

iptables -t nat -A POSTROUTING -o $WAN1 -j MASQUERADE

#Direcionamento de Portas para o Terminal Service do Windows 2003
iptables -A INPUT -i eth0 -p TCP --dport 3389 --syn  -j ACCEPT
iptables -A INPUT -i eth0 -p UDP --dport 3389 -j ACCEPT

# DE EXT PARA LAN
iptables -A FORWARD -i eth0 -o eth1 -s 200.xxx.xxx.3  -d
192.168.10.200 -p TCP --dport 3389 -j ACCEPT

# DE EXT PARA EXT
iptables -A FORWARD -i eth0 -o eth1 -s 200.xxx.xxx.3  -d
192.168.10.200 -p UDP --dport 3389 -j ACCEPT

iptables -t nat -A PREROUTING -i eth0 -p TCP --dport 3389 -j DNAT --to-
destination 192.168.10.200:3389
iptables -A FORWARD -i eth0 -d 192.168.10.200/24 -p TCP --dport 3389 -
j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p UDP --dport 3389 -j DNAT --to-
destination 192.168.10.200:3389
iptables -A FORWARD -i eth0 -d 192.168.10.200/24 -p UDP --dport 3389 -
j ACCEPT

#Outra regra que tambem nao funcionou
#iptables -t nat -A PREROUTING -i $WAN1 -p tcp --dport 3389 -j DNAT --
to 192.168.10.200
iptables -t nat -A PREROUTING -i $WAN1 -p tcp --dport 58000 -j DNAT --
to 192.168.10.200
iptables -t nat -A PREROUTING -i $WAN1 -p tcp --dport 59000 -j DNAT --
to 192.168.10.200

#Contra Syn-fllod
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT

#Contra Ping da Morte
#iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit
1/s -j ACCEPT

#Contra nmap
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --
limit 1/s -j ACCEPT

#iptables -A FORWARD -p tcp -tcp-flags SYN,ACK -j DROP

#Logando os pacotes
#Logando pacotes bloqueados vindo da internet
iptables -A INPUT -p tcp -i $LAN1 -j LOG --log-level DEBUG --log-
prefix "Pacote tcp : "
iptables -A INPUT -p icmp -i $LAN1 -j LOG --log-level DEBUG --log-
prefix "Pacote icmp : "

iptables -A FORWARD -m unclean -j DROP


echo "Firewall Carregado com Sucesso"

--~--~---------~--~----~------------~-------~--~----~
GUS-BR - Grupo de Usuários de Slackware Brasil
http://www.slackwarebrasil.org/
http://groups.google.com/group/slack-users-br
-~----------~----~----~----~------~----~------~--~---

Responder a