Olá Max e Marcelo. Vou tentar aki....depois eu passo o resultado pra vcs (e pra galera tb!)
max escreveu: > 2009/12/22 Marcelo <[email protected]>: > >> Flávio, >> >> Vamos lá, já tomei umas cervejas e estou entrando de férias.(corrijam me >> se necessário) >> supondo que tua rede seja 192.168.0.0/24 e sua maquina seja $local, a >> regra abaixo redireciona qualquer ip vindo de qualquer rede que nao seja >> 192.168.0.0/24 para o server win2003. >> >> $iptables -t nat -A PREROUTING -p tcp -s ! 192.168.0.0/24 --dport 3389 -d >> $local -j DNAT --to-destination $win2003 >> > > As negações no iptables são feitas de forma diferente agora, o certo > nas versões mais recentes é "! -s $redeinterna". > > > >> vc pode fazer tb, redirecionar qualquer que venha da internet... >> >> $iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -d $local -j DNAT >> --to-destination $win2003 >> > > Se $local for o endereço público dele, essa regra funciona, se for o > endereço local (digamos 192.168.0.1) não vai funcionar nunca porque > quem faz o acesso remoto acessa o IP público. > > Deveria ser assim: > > $iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT > --to-destination $win2003 > > Se ele passa pelo roteador p/ chegar nas máquinas da rede dele tem > coisa errada e/ou mal explicada. > > > Flávio, dá um traceroute p/ uma das estações com windows, um acesso > normal deveria retornar o seguinte: > > m...@nuclearwaste:~$ traceroute -n willcrashforsure > traceroute to willcrashforsure.area51.local (192.168.1.112), 30 hops > max, 46 byte packets > 1 192.168.1.112 14.286 ms 8.303 ms 5.356 ms > > Se tiver mais do que um hop significa que tu ta passando por um > roteador, isso *não* deve acontecer numa rede local, deve ser algo nas > rotas, deveria ser assim: > > m...@willcrashforsure:~$ /sbin/ip route show > 192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.112 > 127.0.0.0/8 dev lo scope link > > m...@nuclearwaste:~$ /sbin/ip route show > 192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.10 > 127.0.0.0/8 dev lo scope link > > > >> Faz o teste ai... igh! >> >> >> Abraços, >> Marcelo >> >> >> Flávio R. Lopes wrote: >> >>> Vixi...deixa ver se estou entendendo. >>> Eu preciso que quem esteja fora da minha rede, acesse o server-2003 >>> Mas que quem estiver dentro dela possa optar por conectar em qq maquina >>> da rede, inclusive o Server-2003 >>> >>> O que está acontecendo é que quando habilito as regras para quem estiver >>> fora poder acessar o Server-2003, eu não consigo acessar mais nenhuma >>> máquina na minha rede interna (eu estou tb dentro da rede interna). Toda >>> conexão que abro cai no Server-2003 >>> >>> Hudson Antonio escreveu: >>> >>> >>>> Então faça dessa forma Flavio, >>>> >>>> entendeu o que o Marcelo quis dizer, foi vai dizer para seu firewall >>>> que tudo que vem da eth0:3389 caia no server2003:3389, como sua rede >>>> interna deve estar na eth1 não ira afetar nada. >>>> >>>> Mas se esse for o problema, use outra porta para sua maquina internas. >>>> >>>> 2009/12/22 Marcelo <[email protected] >>>> <mailto:[email protected]>> >>>> >>>> Flavio, >>>> >>>> Vc não pode colocar mais regras? >>>> >>>> tipo: >>>> do que vem de fora(internet) >>>> -i eth0 >>>> >>>> do que vem da rede interna(supondo que tua rede interna é >>>> 192.168.0.0 e >>>> sua placa interna é eth1) >>>> -i eth1 -s 192.168.0.0/24 <http://192.168.0.0/24> >>>> >>>> Abraços, >>>> Marcelo >>>> >>>> Flávio R. Lopes wrote: >>>> > Oi Marcelo. >>>> > Então... >>>> > eu quiz dizer "também" para a rede interna. >>>> > Vamos ver se explico de outra forma. >>>> > Vamos supor que você, que está fora da minha rede irá acessar o >>>> > Server-2003 dentro da minha rede!....eu tenho que rodar aquelas >>>> regras >>>> > que mecieonei!...blz...mas, ao mesmo tempo eu tenho que dar uma >>>> > manutenção numa outra maquina (estação comum) da minha rede >>>> tambem via >>>> > termianl remoto....mas se eu estiver rodando aquelas regras, não >>>> importa >>>> > qual IP eu coloque no meu terminal remoto que sempre vou cair no >>>> Server-2003 >>>> > >>>> > Espero que vc tenha entendido >>>> > >>>> > Marcelo escreveu: >>>> > >>>> >> Flávio, >>>> >> >>>> >> Como vc mesmo disse: >>>> >> >>>> >> "quero que somente quem estiver na rede >>>> >> externa seja redirecionado para o Server-2003" >>>> >> >>>> >> >>>> >> Use o parametro: -i eth0(se eth0 for sua placa externa) >>>> >> >>>> >> >>>> >> Abraços, >>>> >> Marcelo >>>> >> >>>> >> Flávio R. Lopes wrote: >>>> >> >>>> >> >>>> >>> Olá galera! >>>> >>> Vamos ver se consigo explicar. >>>> >>> >>>> >>> Temos um Servidor com o Windows Server 2003 que exporadicamente é >>>> >>> acessado via Terminal Remoto pela empresa que nos vendeu o >>>> Software. >>>> >>> Ou seja, quando eles precisam fazer um acesso para darem >>>> manutenção no >>>> >>> sistema, eu rodo no meu Firewall as seguintes regras para >>>> liberar o acesso: >>>> >>> >>>> >>> $iptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT >>>> >>> $iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT >>>> >>> --to-destination $win2003:3389 >>>> >>> >>>> >>> (onde $win2003 é o IP do servidor Windows) >>>> >>> >>>> >>> Quando os caras terminam a manutenção, eu comento estas linhas >>>> acima e >>>> >>> fecho o acesso! >>>> >>> Até aí blz!...tudo funciona belezinha. >>>> >>> >>>> >>> O problema é quando eu tenho que liberar o acesso remoto ao >>>> Servidor >>>> >>> Win-2003 e quando eu preciso (ao mesmo tempo) dar manutenção >>>> (DE DENTRO >>>> >>> DA MINHA REDE, ESTOU DENTRO DA MINHA REDE!) nas estações com >>>> Windows-XP, >>>> >>> onde também liberei o acesso via TERMINAL REMOTO. >>>> >>> >>>> >>> Se as regras que mencionei acima estiverem sendo "rodadas" e >>>> eu tentar >>>> >>> me conectar a qualquer estação, eu sempre sou jogado >>>> (redirecionado) ao >>>> >>> Windows Server e não para a estação com a qual quero >>>> conectar...mesmo >>>> >>> colocando o IP desta estação na tela de Conexão co a Área de >>>> Trabalho Remota >>>> >>> Em outras palavras, posso colocar o IP que for na tela de >>>> CONEXÃO DE >>>> >>> ÁREA DE TRABALHO REMOTA que sempre sou redirecionado para o >>>> Servidor >>>> >>> (Windows Server 2003). >>>> >>> >>>> >>> Tem alguma outra forma de criar uma exceção de >>>> redirecionamento para >>>> >>> minha rede interna?, ou seja, quero que somente quem estiver >>>> na rede >>>> >>> externa seja redirecionado para o Server-2003 e que quem >>>> esteja na rede >>>> >>> interna possa escolher (colocando o IP) qual máquina será >>>> conectada via >>>> >>> Terminal Remoto? >>>> >>> >>>> >>> Como faço isso no meu Firewall? >>>> >>> >>>> >>> Grato, >>>> >>> Flávio >>>> >>> >>>> >>> >>>> >>> >>>> >>> >>>> >> >>>> --------------------------------------------------------------------- >>>> >> Esta mensagem pode conter informacao confidencial. >>>> >> Se voce nao for o destinatario ou a pessoa autorizada a receber >>>> >> esta mensagem, nao podera usar, copiar ou divulgar as >>>> informacoes nela >>>> >> contidas ou tomar qualquer acao baseada nessas informacoes. Se >>>> >> voce recebeu esta mensagem por engano, favor avisar imediatamente o >>>> >> remetente, respondendo o e-mail e, em seguida, apague-o. >>>> >> Agradecemos sua cooperacao. >>>> >> >>>> >> This message may contain confidential information. >>>> >> If you are not the addressee or authorized person to receive it >>>> for the >>>> >> addressee, you must not use, copy, disclose or take any action >>>> based on >>>> >> this message or any information herein. If you have received >>>> this message >>>> >> in error, please advise the sender immediately by replying this >>>> e-mail >>>> >> message and delete it. >>>> >> Thanks in advance for your cooperation. >>>> >> >>>> ---------------------------------------------------------------------- >>>> >> LIM16 Faculdade de Medicina USP >>>> >> >>>> ---------------------------------------------------------------------- >>>> >> >>>> >> >>>> >> >>>> > >>>> > >>>> >>>> --------------------------------------------------------------------- >>>> Esta mensagem pode conter informacao confidencial. >>>> Se voce nao for o destinatario ou a pessoa autorizada a receber >>>> esta mensagem, nao podera usar, copiar ou divulgar as informacoes nela >>>> contidas ou tomar qualquer acao baseada nessas informacoes. Se >>>> voce recebeu esta mensagem por engano, favor avisar imediatamente o >>>> remetente, respondendo o e-mail e, em seguida, apague-o. >>>> Agradecemos sua cooperacao. >>>> >>>> This message may contain confidential information. >>>> If you are not the addressee or authorized person to receive it >>>> for the >>>> addressee, you must not use, copy, disclose or take any action >>>> based on >>>> this message or any information herein. If you have received this >>>> message >>>> in error, please advise the sender immediately by replying this e-mail >>>> message and delete it. >>>> Thanks in advance for your cooperation. >>>> ---------------------------------------------------------------------- >>>> LIM16 Faculdade de Medicina USP >>>> ---------------------------------------------------------------------- >>>> >>>> -- >>>> GUS-BR - Grupo de Usuários de Slackware Brasil >>>> http://www.slackwarebrasil.org/ >>>> http://groups.google.com/group/slack-users-br >>>> >>>> Antes de perguntar: >>>> http://www.istf.com.br/perguntas/ >>>> >>>> Para sair da lista envie um e-mail para: >>>> [email protected] >>>> <mailto:slack-users-br%[email protected]> >>>> >>>> >>>> -- >>>> GUS-BR - Grupo de Usuários de Slackware Brasil >>>> http://www.slackwarebrasil.org/ >>>> http://groups.google.com/group/slack-users-br >>>> >>>> Antes de perguntar: >>>> http://www.istf.com.br/perguntas/ >>>> >>>> Para sair da lista envie um e-mail para: >>>> [email protected] >>>> >>>> >>> >> --------------------------------------------------------------------- >> Esta mensagem pode conter informacao confidencial. >> Se voce nao for o destinatario ou a pessoa autorizada a receber >> esta mensagem, nao podera usar, copiar ou divulgar as informacoes nela >> contidas ou tomar qualquer acao baseada nessas informacoes. Se >> voce recebeu esta mensagem por engano, favor avisar imediatamente o >> remetente, respondendo o e-mail e, em seguida, apague-o. >> Agradecemos sua cooperacao. >> >> This message may contain confidential information. >> If you are not the addressee or authorized person to receive it for the >> addressee, you must not use, copy, disclose or take any action based on >> this message or any information herein. If you have received this message >> in error, please advise the sender immediately by replying this e-mail >> message and delete it. >> Thanks in advance for your cooperation. >> ---------------------------------------------------------------------- >> LIM16 Faculdade de Medicina USP >> ---------------------------------------------------------------------- >> >> -- >> GUS-BR - Grupo de Usuários de Slackware Brasil >> http://www.slackwarebrasil.org/ >> http://groups.google.com/group/slack-users-br >> >> Antes de perguntar: >> http://www.istf.com.br/perguntas/ >> >> Para sair da lista envie um e-mail para: >> [email protected] >> > > -- GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br Antes de perguntar: http://www.istf.com.br/perguntas/ Para sair da lista envie um e-mail para: [email protected]
