On Tue, 2009-12-22 at 11:14 -0200, "Flávio R. Lopes" wrote: > Olá galera! > Vamos ver se consigo explicar.
Ola Flavio, tudo blz. > Temos um Servidor com o Windows Server 2003 que exporadicamente é > acessado via Terminal Remoto pela empresa que nos vendeu o Software. > Ou seja, quando eles precisam fazer um acesso para darem manutenção no > sistema, eu rodo no meu Firewall as seguintes regras para liberar o acesso: > > $iptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT > $iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT > --to-destination $win2003:3389 > > (onde $win2003 é o IP do servidor Windows) > > Quando os caras terminam a manutenção, eu comento estas linhas acima e > fecho o acesso! > Até aí blz!...tudo funciona belezinha. blz > > O problema é quando eu tenho que liberar o acesso remoto ao Servidor > Win-2003 e quando eu preciso (ao mesmo tempo) dar manutenção (DE DENTRO > DA MINHA REDE, ESTOU DENTRO DA MINHA REDE!) nas estações com Windows-XP, > onde também liberei o acesso via TERMINAL REMOTO. > aqui ficou meio confuso, tipo se voce esta dentro da sua rede, com certeza esta dentro do mesmo segmento, e creio eu o teu firewall somente e utilizado quando o destino está fora da sua rede(fora do seu segmento), como você esta na mesma rede (segmento) das estações windows XP, o firewall nunca será contactado, correto?? mas bem no final você diz "onde também liberei o acesso via TERMINAL REMOTO." dá a impressão que você tambem esta remoto, e criou uma outra regra DNAT para você. Bom se for isso cria uma regra usando negação ou trabalhe com as interfaces. por exemplo se eth0 e a outside e eth1 a inside um exemplo seria: iptables -t nat -A PREROUTING -i eth0 -s ! <seu Ip remoto> -p tcp --dport 3389 -j DNAT --to-destination <win2003> > Se as regras que mencionei acima estiverem sendo "rodadas" e eu tentar > me conectar a qualquer estação, eu sempre sou jogado (redirecionado) ao > Windows Server e não para a estação com a qual quero conectar...mesmo > colocando o IP desta estação na tela de Conexão co a Área de Trabalho Remota > Em outras palavras, posso colocar o IP que for na tela de CONEXÃO DE > ÁREA DE TRABALHO REMOTA que sempre sou redirecionado para o Servidor > (Windows Server 2003). > > Tem alguma outra forma de criar uma exceção de redirecionamento para > minha rede interna?, ou seja, quero que somente quem estiver na rede > externa seja redirecionado para o Server-2003 e que quem esteja na rede > interna possa escolher (colocando o IP) qual máquina será conectada via > Terminal Remoto? > > Como faço isso no meu Firewall? > > Grato, > Flávio Espero ter ajudado, Atenciosamente. -- GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br Antes de perguntar: http://www.istf.com.br/perguntas/ Para sair da lista envie um e-mail para: [email protected]
