2009/12/22 Marcelo <[email protected]>: > Flávio, > > Vamos lá, já tomei umas cervejas e estou entrando de férias.(corrijam me > se necessário) > supondo que tua rede seja 192.168.0.0/24 e sua maquina seja $local, a > regra abaixo redireciona qualquer ip vindo de qualquer rede que nao seja > 192.168.0.0/24 para o server win2003. > > $iptables -t nat -A PREROUTING -p tcp -s ! 192.168.0.0/24 --dport 3389 -d > $local -j DNAT --to-destination $win2003
As negações no iptables são feitas de forma diferente agora, o certo nas versões mais recentes é "! -s $redeinterna". > vc pode fazer tb, redirecionar qualquer que venha da internet... > > $iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -d $local -j DNAT > --to-destination $win2003 Se $local for o endereço público dele, essa regra funciona, se for o endereço local (digamos 192.168.0.1) não vai funcionar nunca porque quem faz o acesso remoto acessa o IP público. Deveria ser assim: $iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT --to-destination $win2003 Se ele passa pelo roteador p/ chegar nas máquinas da rede dele tem coisa errada e/ou mal explicada. Flávio, dá um traceroute p/ uma das estações com windows, um acesso normal deveria retornar o seguinte: m...@nuclearwaste:~$ traceroute -n willcrashforsure traceroute to willcrashforsure.area51.local (192.168.1.112), 30 hops max, 46 byte packets 1 192.168.1.112 14.286 ms 8.303 ms 5.356 ms Se tiver mais do que um hop significa que tu ta passando por um roteador, isso *não* deve acontecer numa rede local, deve ser algo nas rotas, deveria ser assim: m...@willcrashforsure:~$ /sbin/ip route show 192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.112 127.0.0.0/8 dev lo scope link m...@nuclearwaste:~$ /sbin/ip route show 192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.10 127.0.0.0/8 dev lo scope link > Faz o teste ai... igh! > > > Abraços, > Marcelo > > > Flávio R. Lopes wrote: >> Vixi...deixa ver se estou entendendo. >> Eu preciso que quem esteja fora da minha rede, acesse o server-2003 >> Mas que quem estiver dentro dela possa optar por conectar em qq maquina >> da rede, inclusive o Server-2003 >> >> O que está acontecendo é que quando habilito as regras para quem estiver >> fora poder acessar o Server-2003, eu não consigo acessar mais nenhuma >> máquina na minha rede interna (eu estou tb dentro da rede interna). Toda >> conexão que abro cai no Server-2003 >> >> Hudson Antonio escreveu: >> >>> Então faça dessa forma Flavio, >>> >>> entendeu o que o Marcelo quis dizer, foi vai dizer para seu firewall >>> que tudo que vem da eth0:3389 caia no server2003:3389, como sua rede >>> interna deve estar na eth1 não ira afetar nada. >>> >>> Mas se esse for o problema, use outra porta para sua maquina internas. >>> >>> 2009/12/22 Marcelo <[email protected] >>> <mailto:[email protected]>> >>> >>> Flavio, >>> >>> Vc não pode colocar mais regras? >>> >>> tipo: >>> do que vem de fora(internet) >>> -i eth0 >>> >>> do que vem da rede interna(supondo que tua rede interna é >>> 192.168.0.0 e >>> sua placa interna é eth1) >>> -i eth1 -s 192.168.0.0/24 <http://192.168.0.0/24> >>> >>> Abraços, >>> Marcelo >>> >>> Flávio R. Lopes wrote: >>> > Oi Marcelo. >>> > Então... >>> > eu quiz dizer "também" para a rede interna. >>> > Vamos ver se explico de outra forma. >>> > Vamos supor que você, que está fora da minha rede irá acessar o >>> > Server-2003 dentro da minha rede!....eu tenho que rodar aquelas >>> regras >>> > que mecieonei!...blz...mas, ao mesmo tempo eu tenho que dar uma >>> > manutenção numa outra maquina (estação comum) da minha rede >>> tambem via >>> > termianl remoto....mas se eu estiver rodando aquelas regras, não >>> importa >>> > qual IP eu coloque no meu terminal remoto que sempre vou cair no >>> Server-2003 >>> > >>> > Espero que vc tenha entendido >>> > >>> > Marcelo escreveu: >>> > >>> >> Flávio, >>> >> >>> >> Como vc mesmo disse: >>> >> >>> >> "quero que somente quem estiver na rede >>> >> externa seja redirecionado para o Server-2003" >>> >> >>> >> >>> >> Use o parametro: -i eth0(se eth0 for sua placa externa) >>> >> >>> >> >>> >> Abraços, >>> >> Marcelo >>> >> >>> >> Flávio R. Lopes wrote: >>> >> >>> >> >>> >>> Olá galera! >>> >>> Vamos ver se consigo explicar. >>> >>> >>> >>> Temos um Servidor com o Windows Server 2003 que exporadicamente é >>> >>> acessado via Terminal Remoto pela empresa que nos vendeu o >>> Software. >>> >>> Ou seja, quando eles precisam fazer um acesso para darem >>> manutenção no >>> >>> sistema, eu rodo no meu Firewall as seguintes regras para >>> liberar o acesso: >>> >>> >>> >>> $iptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT >>> >>> $iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT >>> >>> --to-destination $win2003:3389 >>> >>> >>> >>> (onde $win2003 é o IP do servidor Windows) >>> >>> >>> >>> Quando os caras terminam a manutenção, eu comento estas linhas >>> acima e >>> >>> fecho o acesso! >>> >>> Até aí blz!...tudo funciona belezinha. >>> >>> >>> >>> O problema é quando eu tenho que liberar o acesso remoto ao >>> Servidor >>> >>> Win-2003 e quando eu preciso (ao mesmo tempo) dar manutenção >>> (DE DENTRO >>> >>> DA MINHA REDE, ESTOU DENTRO DA MINHA REDE!) nas estações com >>> Windows-XP, >>> >>> onde também liberei o acesso via TERMINAL REMOTO. >>> >>> >>> >>> Se as regras que mencionei acima estiverem sendo "rodadas" e >>> eu tentar >>> >>> me conectar a qualquer estação, eu sempre sou jogado >>> (redirecionado) ao >>> >>> Windows Server e não para a estação com a qual quero >>> conectar...mesmo >>> >>> colocando o IP desta estação na tela de Conexão co a Área de >>> Trabalho Remota >>> >>> Em outras palavras, posso colocar o IP que for na tela de >>> CONEXÃO DE >>> >>> ÁREA DE TRABALHO REMOTA que sempre sou redirecionado para o >>> Servidor >>> >>> (Windows Server 2003). >>> >>> >>> >>> Tem alguma outra forma de criar uma exceção de >>> redirecionamento para >>> >>> minha rede interna?, ou seja, quero que somente quem estiver >>> na rede >>> >>> externa seja redirecionado para o Server-2003 e que quem >>> esteja na rede >>> >>> interna possa escolher (colocando o IP) qual máquina será >>> conectada via >>> >>> Terminal Remoto? >>> >>> >>> >>> Como faço isso no meu Firewall? >>> >>> >>> >>> Grato, >>> >>> Flávio >>> >>> >>> >>> >>> >>> >>> >>> >>> >> >>> --------------------------------------------------------------------- >>> >> Esta mensagem pode conter informacao confidencial. >>> >> Se voce nao for o destinatario ou a pessoa autorizada a receber >>> >> esta mensagem, nao podera usar, copiar ou divulgar as >>> informacoes nela >>> >> contidas ou tomar qualquer acao baseada nessas informacoes. Se >>> >> voce recebeu esta mensagem por engano, favor avisar imediatamente o >>> >> remetente, respondendo o e-mail e, em seguida, apague-o. >>> >> Agradecemos sua cooperacao. >>> >> >>> >> This message may contain confidential information. >>> >> If you are not the addressee or authorized person to receive it >>> for the >>> >> addressee, you must not use, copy, disclose or take any action >>> based on >>> >> this message or any information herein. If you have received >>> this message >>> >> in error, please advise the sender immediately by replying this >>> e-mail >>> >> message and delete it. >>> >> Thanks in advance for your cooperation. >>> >> >>> ---------------------------------------------------------------------- >>> >> LIM16 Faculdade de Medicina USP >>> >> >>> ---------------------------------------------------------------------- >>> >> >>> >> >>> >> >>> > >>> > >>> >>> --------------------------------------------------------------------- >>> Esta mensagem pode conter informacao confidencial. >>> Se voce nao for o destinatario ou a pessoa autorizada a receber >>> esta mensagem, nao podera usar, copiar ou divulgar as informacoes nela >>> contidas ou tomar qualquer acao baseada nessas informacoes. Se >>> voce recebeu esta mensagem por engano, favor avisar imediatamente o >>> remetente, respondendo o e-mail e, em seguida, apague-o. >>> Agradecemos sua cooperacao. >>> >>> This message may contain confidential information. >>> If you are not the addressee or authorized person to receive it >>> for the >>> addressee, you must not use, copy, disclose or take any action >>> based on >>> this message or any information herein. If you have received this >>> message >>> in error, please advise the sender immediately by replying this e-mail >>> message and delete it. >>> Thanks in advance for your cooperation. >>> ---------------------------------------------------------------------- >>> LIM16 Faculdade de Medicina USP >>> ---------------------------------------------------------------------- >>> >>> -- >>> GUS-BR - Grupo de Usuários de Slackware Brasil >>> http://www.slackwarebrasil.org/ >>> http://groups.google.com/group/slack-users-br >>> >>> Antes de perguntar: >>> http://www.istf.com.br/perguntas/ >>> >>> Para sair da lista envie um e-mail para: >>> [email protected] >>> <mailto:slack-users-br%[email protected]> >>> >>> >>> -- >>> GUS-BR - Grupo de Usuários de Slackware Brasil >>> http://www.slackwarebrasil.org/ >>> http://groups.google.com/group/slack-users-br >>> >>> Antes de perguntar: >>> http://www.istf.com.br/perguntas/ >>> >>> Para sair da lista envie um e-mail para: >>> [email protected] >>> >> >> > > --------------------------------------------------------------------- > Esta mensagem pode conter informacao confidencial. > Se voce nao for o destinatario ou a pessoa autorizada a receber > esta mensagem, nao podera usar, copiar ou divulgar as informacoes nela > contidas ou tomar qualquer acao baseada nessas informacoes. Se > voce recebeu esta mensagem por engano, favor avisar imediatamente o > remetente, respondendo o e-mail e, em seguida, apague-o. > Agradecemos sua cooperacao. > > This message may contain confidential information. > If you are not the addressee or authorized person to receive it for the > addressee, you must not use, copy, disclose or take any action based on > this message or any information herein. If you have received this message > in error, please advise the sender immediately by replying this e-mail > message and delete it. > Thanks in advance for your cooperation. > ---------------------------------------------------------------------- > LIM16 Faculdade de Medicina USP > ---------------------------------------------------------------------- > > -- > GUS-BR - Grupo de Usuários de Slackware Brasil > http://www.slackwarebrasil.org/ > http://groups.google.com/group/slack-users-br > > Antes de perguntar: > http://www.istf.com.br/perguntas/ > > Para sair da lista envie um e-mail para: > [email protected] -- GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br Antes de perguntar: http://www.istf.com.br/perguntas/ Para sair da lista envie um e-mail para: [email protected]
