Iptables + VPN + Windows Server 2003 (menos para a rede Interna!!)

21 views
Skip to first unread message

"Flávio R. Lopes"

unread,
Dec 22, 2009, 8:14:34 AM12/22/09
to Lista SLACK USERS
Ol� galera!
Vamos ver se consigo explicar.

Temos um Servidor com o Windows Server 2003 que exporadicamente �
acessado via Terminal Remoto pela empresa que nos vendeu o Software.
Ou seja, quando eles precisam fazer um acesso para darem manuten��o no
sistema, eu rodo no meu Firewall as seguintes regras para liberar o acesso:

$iptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT
$iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT
--to-destination $win2003:3389

(onde $win2003 � o IP do servidor Windows)

Quando os caras terminam a manuten��o, eu comento estas linhas acima e
fecho o acesso!
At� a� blz!...tudo funciona belezinha.

O problema � quando eu tenho que liberar o acesso remoto ao Servidor
Win-2003 e quando eu preciso (ao mesmo tempo) dar manuten��o (DE DENTRO
DA MINHA REDE, ESTOU DENTRO DA MINHA REDE!) nas esta��es com Windows-XP,
onde tamb�m liberei o acesso via TERMINAL REMOTO.

Se as regras que mencionei acima estiverem sendo "rodadas" e eu tentar
me conectar a qualquer esta��o, eu sempre sou jogado (redirecionado) ao
Windows Server e n�o para a esta��o com a qual quero conectar...mesmo
colocando o IP desta esta��o na tela de Conex�o co a �rea de Trabalho Remota
Em outras palavras, posso colocar o IP que for na tela de CONEX�O DE
�REA DE TRABALHO REMOTA que sempre sou redirecionado para o Servidor
(Windows Server 2003).

Tem alguma outra forma de criar uma exce��o de redirecionamento para
minha rede interna?, ou seja, quero que somente quem estiver na rede
externa seja redirecionado para o Server-2003 e que quem esteja na rede
interna possa escolher (colocando o IP) qual m�quina ser� conectada via
Terminal Remoto?

Como fa�o isso no meu Firewall?

Grato,
Fl�vio

Marcelo

unread,
Dec 22, 2009, 8:18:04 AM12/22/09
to slack-u...@googlegroups.com
Fl�vio,

Como vc mesmo disse:

"quero que somente quem estiver na rede
externa seja redirecionado para o Server-2003"


Use o parametro: -i eth0(se eth0 for sua placa externa)


Abra�os,
Marcelo

---------------------------------------------------------------------
Esta mensagem pode conter informacao confidencial.
Se voce nao for o destinatario ou a pessoa autorizada a receber
esta mensagem, nao podera usar, copiar ou divulgar as informacoes nela
contidas ou tomar qualquer acao baseada nessas informacoes. Se
voce recebeu esta mensagem por engano, favor avisar imediatamente o
remetente, respondendo o e-mail e, em seguida, apague-o.
Agradecemos sua cooperacao.

This message may contain confidential information.
If you are not the addressee or authorized person to receive it for the
addressee, you must not use, copy, disclose or take any action based on
this message or any information herein. If you have received this message
in error, please advise the sender immediately by replying this e-mail
message and delete it.
Thanks in advance for your cooperation.
----------------------------------------------------------------------
LIM16 Faculdade de Medicina USP
----------------------------------------------------------------------

Noilson Caio

unread,
Dec 22, 2009, 8:21:15 AM12/22/09
to slack-u...@googlegroups.com
iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to-destination $win2003:3389

Veja que você só trata o destino a porta 3389 " qualque fonte com destino a porta 3389 mande para $win2003 "
Você pode iniciar já dando uma organizada .


2009/12/22 "Flávio R. Lopes" <flavio...@paradoxo.inf.br>
Olá galera!

Vamos ver se consigo explicar.

Temos um Servidor com o Windows Server 2003 que exporadicamente é

acessado via Terminal Remoto pela empresa que nos vendeu o Software.
Ou seja, quando eles precisam fazer um acesso para darem manutenção no

sistema, eu rodo no meu Firewall as seguintes regras para liberar o acesso:

$iptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT
$iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT
--to-destination $win2003:3389

(onde $win2003 é o IP do servidor Windows)

Quando os caras terminam a manutenção, eu comento estas linhas acima e
fecho o acesso!
Até aí blz!...tudo funciona belezinha.

O problema é quando eu tenho que liberar o acesso remoto ao Servidor
Win-2003 e quando eu preciso (ao mesmo tempo) dar manutenção (DE DENTRO
DA MINHA REDE, ESTOU DENTRO DA MINHA REDE!) nas estações com Windows-XP,
onde também liberei o acesso via TERMINAL REMOTO.


Se as regras que mencionei acima estiverem sendo "rodadas" e eu tentar
me conectar a qualquer estação, eu sempre sou jogado (redirecionado) ao
Windows Server e não para a estação com a qual quero conectar...mesmo
colocando o IP desta estação na tela de Conexão co a Área de Trabalho Remota
Em outras palavras, posso colocar o IP que for na tela de CONEXÃO DE
ÁREA DE TRABALHO REMOTA que sempre sou redirecionado para o Servidor
(Windows Server 2003).

Tem alguma outra forma de criar uma exceção de redirecionamento para

minha rede interna?, ou seja, quero que somente quem estiver na rede
externa seja redirecionado para o Server-2003 e que quem esteja na rede
interna possa escolher (colocando o IP) qual máquina será conectada via
Terminal Remoto?

Como faço isso no meu Firewall?

Grato,
Flávio

--
GUS-BR - Grupo de Usuários de Slackware Brasil
http://www.slackwarebrasil.org/
http://groups.google.com/group/slack-users-br

Antes de perguntar:
http://www.istf.com.br/perguntas/

Para sair da lista envie um e-mail para:
slack-users-b...@googlegroups.com



--
" Eu quero saber como renomear um arquivo " ele diz.
Por favor, é dia de pagamento, não é?! Mas eu estou de bom humor.
" Claro. Basta dar 'rm' e o nome do arquivo "
" Obrigado "

Noilson Caio T. de Araújo
LPI000182893

"Flávio R. Lopes"

unread,
Dec 22, 2009, 8:36:28 AM12/22/09
to slack-u...@googlegroups.com
Oi Marcelo.
Ent�o...
eu quiz dizer "tamb�m" para a rede interna.
Vamos ver se explico de outra forma.
Vamos supor que voc�, que est� fora da minha rede ir� acessar o
Server-2003 dentro da minha rede!....eu tenho que rodar aquelas regras
que mecieonei!...blz...mas, ao mesmo tempo eu tenho que dar uma
manuten��o numa outra maquina (esta��o comum) da minha rede tambem via
termianl remoto....mas se eu estiver rodando aquelas regras, n�o importa
qual IP eu coloque no meu terminal remoto que sempre vou cair no Server-2003

Espero que vc tenha entendido

Marcelo escreveu:

"Flávio R. Lopes"

unread,
Dec 22, 2009, 8:40:59 AM12/22/09
to slack-u...@googlegroups.com
T�, mas como fa�o isso?


Noilson Caio escreveu:


> iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT
> --to-destination $win2003:3389
>

> Veja que voc� s� trata o destino a porta 3389 " qualque fonte com

> destino a porta 3389 mande para $win2003 "

> Voc� pode iniciar j� dando uma organizada .
>
>
> 2009/12/22 "Fl�vio R. Lopes" <flavio...@paradoxo.inf.br
> <mailto:flavio...@paradoxo.inf.br>>
>
> Ol� galera!


> Vamos ver se consigo explicar.
>

> Temos um Servidor com o Windows Server 2003 que exporadicamente �


> acessado via Terminal Remoto pela empresa que nos vendeu o Software.

> Ou seja, quando eles precisam fazer um acesso para darem manuten��o no


> sistema, eu rodo no meu Firewall as seguintes regras para liberar
> o acesso:
>
> $iptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT
> $iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT
> --to-destination $win2003:3389
>

> (onde $win2003 � o IP do servidor Windows)
>
> Quando os caras terminam a manuten��o, eu comento estas linhas acima e
> fecho o acesso!
> At� a� blz!...tudo funciona belezinha.
>
> O problema � quando eu tenho que liberar o acesso remoto ao Servidor
> Win-2003 e quando eu preciso (ao mesmo tempo) dar manuten��o (DE
> DENTRO


> DA MINHA REDE, ESTOU DENTRO DA MINHA REDE!) nas esta��es com
> Windows-XP,

> onde tamb�m liberei o acesso via TERMINAL REMOTO.


>
> Se as regras que mencionei acima estiverem sendo "rodadas" e eu tentar

> me conectar a qualquer esta��o, eu sempre sou jogado
> (redirecionado) ao
> Windows Server e n�o para a esta��o com a qual quero conectar...mesmo
> colocando o IP desta esta��o na tela de Conex�o co a �rea de
> Trabalho Remota
> Em outras palavras, posso colocar o IP que for na tela de CONEX�O DE
> �REA DE TRABALHO REMOTA que sempre sou redirecionado para o Servidor
> (Windows Server 2003).
>
> Tem alguma outra forma de criar uma exce��o de redirecionamento para


> minha rede interna?, ou seja, quero que somente quem estiver na rede
> externa seja redirecionado para o Server-2003 e que quem esteja na
> rede

> interna possa escolher (colocando o IP) qual m�quina ser�
> conectada via
> Terminal Remoto?
>
> Como fa�o isso no meu Firewall?
>
> Grato,
> Fl�vio
>
> --
> GUS-BR - Grupo de Usu�rios de Slackware Brasil

> <mailto:slack-users-br%2Bunsu...@googlegroups.com>


>
>
>
>
> --
> " Eu quero saber como renomear um arquivo " ele diz.

> Por favor, � dia de pagamento, n�o �?! Mas eu estou de bom humor.


> " Claro. Basta dar 'rm' e o nome do arquivo "
> " Obrigado "
>

> Noilson Caio T. de Ara�jo
> LPI000182893
>
> --
> GUS-BR - Grupo de Usu�rios de Slackware Brasil

Marcelo

unread,
Dec 22, 2009, 8:40:32 AM12/22/09
to slack-u...@googlegroups.com
Flavio,

Vc n�o pode colocar mais regras?

tipo:
do que vem de fora(internet)
-i eth0

do que vem da rede interna(supondo que tua rede interna � 192.168.0.0 e
sua placa interna � eth1)
-i eth1 -s 192.168.0.0/24

Hudson Antonio

unread,
Dec 22, 2009, 8:48:51 AM12/22/09
to slack-u...@googlegroups.com
Então faça dessa forma Flavio,

entendeu o que o Marcelo quis dizer, foi vai dizer para seu firewall que tudo que vem da eth0:3389 caia no server2003:3389, como sua rede interna deve estar na eth1 não ira afetar nada.

Mas se esse for o problema, use outra porta para sua maquina internas.

2009/12/22 Marcelo <ult...@lim16.fm.usp.br>
Flavio,

Vc não pode colocar mais regras?


tipo:
do que vem de fora(internet)
-i eth0

do que vem da rede interna(supondo que tua rede interna é 192.168.0.0 e
sua placa interna é eth1)
-i eth1 -s 192.168.0.0/24

Abraços,
Marcelo


Flávio R. Lopes wrote:
> Oi Marcelo.
> Então...
> eu quiz dizer "também" para a rede interna.

> Vamos ver se explico de outra forma.
> Vamos supor que você, que está fora da minha rede irá acessar o

> Server-2003 dentro da minha rede!....eu tenho que rodar aquelas regras
> que mecieonei!...blz...mas, ao mesmo tempo eu tenho que dar uma
> manutenção numa outra maquina (estação comum) da minha rede tambem via
> termianl remoto....mas se eu estiver rodando aquelas regras, não importa

> qual IP eu coloque no meu terminal remoto que sempre vou cair no Server-2003
>
> Espero que vc tenha entendido
>
> Marcelo escreveu:
>
>> Flávio,

>>
>> Como vc mesmo disse:
>>
>> "quero que somente quem estiver na rede
>> externa seja redirecionado para o Server-2003"
>>
>>
>> Use o parametro: -i eth0(se eth0 for sua placa externa)
>>
>>
>> Abraços,
>> Marcelo
>>
>> Flávio R. Lopes wrote:
>>
>>
>>> Olá galera!

>>> Vamos ver se consigo explicar.
>>>
>>> Temos um Servidor com o Windows Server 2003 que exporadicamente é

>>> acessado via Terminal Remoto pela empresa que nos vendeu o Software.
>>> Ou seja, quando eles precisam fazer um acesso para darem manutenção no

>>> sistema, eu rodo no meu Firewall as seguintes regras para liberar o acesso:
>>>
>>> $iptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT
>>> $iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT
>>> --to-destination $win2003:3389
>>>
>>> (onde $win2003 é o IP do servidor Windows)
>>>
>>> Quando os caras terminam a manutenção, eu comento estas linhas acima e
>>> fecho o acesso!

>>> Até aí blz!...tudo funciona belezinha.
>>>
>>> O problema é quando eu tenho que liberar o acesso remoto ao Servidor
>>> Win-2003 e quando eu preciso (ao mesmo tempo) dar manutenção (DE DENTRO
>>> DA MINHA REDE, ESTOU DENTRO DA MINHA REDE!) nas estações com Windows-XP,
>>> onde também liberei o acesso via TERMINAL REMOTO.

>>>
>>> Se as regras que mencionei acima estiverem sendo "rodadas" e eu tentar
>>> me conectar a qualquer estação, eu sempre sou jogado (redirecionado) ao
>>> Windows Server e não para a estação com a qual quero conectar...mesmo
>>> colocando o IP desta estação na tela de Conexão co a Área de Trabalho Remota
>>> Em outras palavras, posso colocar o IP que for na tela de CONEXÃO DE
>>> ÁREA DE TRABALHO REMOTA que sempre sou redirecionado para o Servidor
>>> (Windows Server 2003).
>>>
>>> Tem alguma outra forma de criar uma exceção de redirecionamento para

>>> minha rede interna?, ou seja, quero que somente quem estiver na rede
>>> externa seja redirecionado para o Server-2003 e que quem esteja na rede
>>> interna possa escolher (colocando o IP) qual máquina será conectada via
>>> Terminal Remoto?
>>>
>>> Como faço isso no meu Firewall?
>>>
>>> Grato,
>>> Flávio
--
GUS-BR - Grupo de Usuários de Slackware Brasil

"Flávio R. Lopes"

unread,
Dec 22, 2009, 8:55:02 AM12/22/09
to slack-u...@googlegroups.com
sim, posso sim....j� tentei especificar somente minha eth1 (que � minha
interface para internet)....s� se fiz algo errado!
Vc pode postar a regra que vc est� sugerindo?

Se for ajudar:
eth0 = rede interna
eth1 = internet

Marcelo escreveu:

"Flávio R. Lopes"

unread,
Dec 22, 2009, 8:58:57 AM12/22/09
to slack-u...@googlegroups.com
Vixi...deixa ver se estou entendendo.
Eu preciso que quem esteja fora da minha rede, acesse o server-2003
Mas que quem estiver dentro dela possa optar por conectar em qq maquina
da rede, inclusive o Server-2003

O que est� acontecendo � que quando habilito as regras para quem estiver
fora poder acessar o Server-2003, eu n�o consigo acessar mais nenhuma
m�quina na minha rede interna (eu estou tb dentro da rede interna). Toda
conex�o que abro cai no Server-2003

Hudson Antonio escreveu:
> Ent�o fa�a dessa forma Flavio,


>
> entendeu o que o Marcelo quis dizer, foi vai dizer para seu firewall
> que tudo que vem da eth0:3389 caia no server2003:3389, como sua rede

> interna deve estar na eth1 n�o ira afetar nada.


>
> Mas se esse for o problema, use outra porta para sua maquina internas.
>
> 2009/12/22 Marcelo <ult...@lim16.fm.usp.br

> <mailto:ult...@lim16.fm.usp.br>>
>
> Flavio,
>
> Vc n�o pode colocar mais regras?


>
> tipo:
> do que vem de fora(internet)
> -i eth0
>

> do que vem da rede interna(supondo que tua rede interna �
> 192.168.0.0 e
> sua placa interna � eth1)
> -i eth1 -s 192.168.0.0/24 <http://192.168.0.0/24>
>
> Abra�os,
> Marcelo


>
> Fl�vio R. Lopes wrote:
> > Oi Marcelo.

> > Ent�o...
> > eu quiz dizer "tamb�m" para a rede interna.


> > Vamos ver se explico de outra forma.

> > Vamos supor que voc�, que est� fora da minha rede ir� acessar o


> > Server-2003 dentro da minha rede!....eu tenho que rodar aquelas
> regras
> > que mecieonei!...blz...mas, ao mesmo tempo eu tenho que dar uma

> > manuten��o numa outra maquina (esta��o comum) da minha rede
> tambem via
> > termianl remoto....mas se eu estiver rodando aquelas regras, n�o


> importa
> > qual IP eu coloque no meu terminal remoto que sempre vou cair no
> Server-2003
> >
> > Espero que vc tenha entendido
> >
> > Marcelo escreveu:
> >

> >> Fl�vio,


> >>
> >> Como vc mesmo disse:
> >>
> >> "quero que somente quem estiver na rede
> >> externa seja redirecionado para o Server-2003"
> >>
> >>
> >> Use o parametro: -i eth0(se eth0 for sua placa externa)
> >>
> >>

> >> Abra�os,
> >> Marcelo
> >>
> >> Fl�vio R. Lopes wrote:
> >>
> >>

> >>> Ol� galera!


> >>> Vamos ver se consigo explicar.
> >>>

> >>> Temos um Servidor com o Windows Server 2003 que exporadicamente �


> >>> acessado via Terminal Remoto pela empresa que nos vendeu o
> Software.
> >>> Ou seja, quando eles precisam fazer um acesso para darem

> manuten��o no


> >>> sistema, eu rodo no meu Firewall as seguintes regras para
> liberar o acesso:
> >>>
> >>> $iptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT
> >>> $iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT
> >>> --to-destination $win2003:3389
> >>>

> >>> (onde $win2003 � o IP do servidor Windows)
> >>>
> >>> Quando os caras terminam a manuten��o, eu comento estas linhas


> acima e
> >>> fecho o acesso!

> >>> At� a� blz!...tudo funciona belezinha.
> >>>
> >>> O problema � quando eu tenho que liberar o acesso remoto ao
> Servidor
> >>> Win-2003 e quando eu preciso (ao mesmo tempo) dar manuten��o
> (DE DENTRO


> >>> DA MINHA REDE, ESTOU DENTRO DA MINHA REDE!) nas esta��es com
> Windows-XP,

> >>> onde tamb�m liberei o acesso via TERMINAL REMOTO.


> >>>
> >>> Se as regras que mencionei acima estiverem sendo "rodadas" e
> eu tentar

> >>> me conectar a qualquer esta��o, eu sempre sou jogado
> (redirecionado) ao
> >>> Windows Server e n�o para a esta��o com a qual quero
> conectar...mesmo
> >>> colocando o IP desta esta��o na tela de Conex�o co a �rea de


> Trabalho Remota
> >>> Em outras palavras, posso colocar o IP que for na tela de

> CONEX�O DE
> >>> �REA DE TRABALHO REMOTA que sempre sou redirecionado para o
> Servidor
> >>> (Windows Server 2003).
> >>>
> >>> Tem alguma outra forma de criar uma exce��o de


> redirecionamento para
> >>> minha rede interna?, ou seja, quero que somente quem estiver
> na rede
> >>> externa seja redirecionado para o Server-2003 e que quem
> esteja na rede

> >>> interna possa escolher (colocando o IP) qual m�quina ser�
> conectada via
> >>> Terminal Remoto?
> >>>
> >>> Como fa�o isso no meu Firewall?
> >>>
> >>> Grato,
> >>> Fl�vio

> GUS-BR - Grupo de Usu�rios de Slackware Brasil

> <mailto:slack-users-br%2Bunsu...@googlegroups.com>
>
>
> --
> GUS-BR - Grupo de Usu�rios de Slackware Brasil

Hudson Antonio

unread,
Dec 22, 2009, 9:22:36 AM12/22/09
to slack-u...@googlegroups.com
Perai, parece que esta tão simples...

as maquinas da rede interna estão ligadas diretamente, através de um switch?
se estiverem, não faz sentido algum o firewall impedir o acesso da sua rede, por não estar passando pelo servidor.

tem alguma coisa a mais! tente ser mais claro!

Flws

2009/12/22 "Flávio R. Lopes" <flavio...@paradoxo.inf.br>
Vixi...deixa ver se estou entendendo.

Eu preciso que quem esteja fora da minha rede, acesse o server-2003
Mas que quem estiver dentro dela possa optar por conectar em qq  maquina
da rede, inclusive o Server-2003

O que está acontecendo é que quando habilito as regras para quem estiver
fora poder acessar o Server-2003, eu não consigo acessar mais nenhuma
máquina na minha rede interna (eu estou tb dentro da rede interna). Toda
conexão que abro cai no Server-2003

Hudson Antonio escreveu:
> Então faça dessa forma Flavio,

>
> entendeu o que o Marcelo quis dizer, foi vai dizer para seu firewall
> que tudo que vem da eth0:3389 caia no server2003:3389, como sua rede
> interna deve estar na eth1 não ira afetar nada.

>
> Mas se esse for o problema, use outra porta para sua maquina internas.
>
> 2009/12/22 Marcelo <ult...@lim16.fm.usp.br
> <mailto:ult...@lim16.fm.usp.br>>
>
>     Flavio,
>
>     Vc não pode colocar mais regras?

>
>     tipo:
>     do que vem de fora(internet)
>     -i eth0
>
>     do que vem da rede interna(supondo que tua rede interna é
>     192.168.0.0 e
>     sua placa interna é eth1)
>
>     Abraços,
>     Marcelo

>
>     Flávio R. Lopes wrote:
>     > Oi Marcelo.
>     > Então...
>     > eu quiz dizer "também" para a rede interna.

>     > Vamos ver se explico de outra forma.
>     > Vamos supor que você, que está fora da minha rede irá acessar o

>     > Server-2003 dentro da minha rede!....eu tenho que rodar aquelas
>     regras
>     > que mecieonei!...blz...mas, ao mesmo tempo eu tenho que dar uma
>     > manutenção numa outra maquina (estação comum) da minha rede
>     tambem via
>     > termianl remoto....mas se eu estiver rodando aquelas regras, não

>     importa
>     > qual IP eu coloque no meu terminal remoto que sempre vou cair no
>     Server-2003
>     >
>     > Espero que vc tenha entendido
>     >
>     > Marcelo escreveu:
>     >
>     >> Flávio,

>     >>
>     >> Como vc mesmo disse:
>     >>
>     >> "quero que somente quem estiver na rede
>     >> externa seja redirecionado para o Server-2003"
>     >>
>     >>
>     >> Use o parametro: -i eth0(se eth0 for sua placa externa)
>     >>
>     >>
>     >> Abraços,
>     >> Marcelo
>     >>
>     >> Flávio R. Lopes wrote:
>     >>
>     >>
>     >>> Olá galera!

>     >>> Vamos ver se consigo explicar.
>     >>>
>     >>> Temos um Servidor com o Windows Server 2003 que exporadicamente é

>     >>> acessado via Terminal Remoto pela empresa que nos vendeu o
>     Software.
>     >>> Ou seja, quando eles precisam fazer um acesso para darem
>     manutenção no

>     >>> sistema, eu rodo no meu Firewall as seguintes regras para
>     liberar o acesso:
>     >>>
>     >>> $iptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT
>     >>> $iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT
>     >>> --to-destination $win2003:3389
>     >>>
>     >>> (onde $win2003 é o IP do servidor Windows)
>     >>>
>     >>> Quando os caras terminam a manutenção, eu comento estas linhas

>     acima e
>     >>> fecho o acesso!
>     >>> Até aí blz!...tudo funciona belezinha.
>     >>>
>     >>> O problema é quando eu tenho que liberar o acesso remoto ao
>     Servidor
>     >>> Win-2003 e quando eu preciso (ao mesmo tempo) dar manutenção
>     (DE DENTRO

>     >>> DA MINHA REDE, ESTOU DENTRO DA MINHA REDE!) nas estações com
>     Windows-XP,
>     >>> onde também liberei o acesso via TERMINAL REMOTO.

>     >>>
>     >>> Se as regras que mencionei acima estiverem sendo "rodadas" e
>     eu tentar
>     >>> me conectar a qualquer estação, eu sempre sou jogado
>     (redirecionado) ao
>     >>> Windows Server e não para a estação com a qual quero
>     conectar...mesmo
>     >>> colocando o IP desta estação na tela de Conexão co a Área de

>     Trabalho Remota
>     >>> Em outras palavras, posso colocar o IP que for na tela de
>     CONEXÃO DE
>     >>> ÁREA DE TRABALHO REMOTA que sempre sou redirecionado para o
>     Servidor
>     >>> (Windows Server 2003).
>     >>>
>     >>> Tem alguma outra forma de criar uma exceção de

>     redirecionamento para
>     >>> minha rede interna?, ou seja, quero que somente quem estiver
>     na rede
>     >>> externa seja redirecionado para o Server-2003 e que quem
>     esteja na rede
>     >>> interna possa escolher (colocando o IP) qual máquina será
>     conectada via
>     >>> Terminal Remoto?
>     >>>
>     >>> Como faço isso no meu Firewall?
>     >>>
>     >>> Grato,
>     >>> Flávio
>     GUS-BR - Grupo de Usuários de Slackware Brasil

>     http://www.slackwarebrasil.org/
>     http://groups.google.com/group/slack-users-br
>
>     Antes de perguntar:
>     http://www.istf.com.br/perguntas/
>
>     Para sair da lista envie um e-mail para:
>     slack-users-b...@googlegroups.com
> GUS-BR - Grupo de Usuários de Slackware Brasil
--
GUS-BR - Grupo de Usuários de Slackware Brasil

Marcelo

unread,
Dec 22, 2009, 11:40:09 AM12/22/09
to slack-u...@googlegroups.com
Fl�vio,

Vamos l�, j� tomei umas cervejas e estou entrando de f�rias.(corrijam me
se necess�rio)
supondo que tua rede seja 192.168.0.0/24 e sua maquina seja $local, a
regra abaixo redireciona qualquer ip vindo de qualquer rede que nao seja
192.168.0.0/24 para o server win2003.

$iptables -t nat -A PREROUTING -p tcp -s ! 192.168.0.0/24 --dport 3389 -d $local -j DNAT --to-destination $win2003

vc pode fazer tb, redirecionar qualquer que venha da internet...

$iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -d $local -j DNAT --to-destination $win2003


Faz o teste ai... igh!

max

unread,
Dec 22, 2009, 1:00:44 PM12/22/09
to slack-u...@googlegroups.com
2009/12/22 Marcelo <ult...@lim16.fm.usp.br>:
> Flávio,
>
> Vamos lá, já tomei umas cervejas e estou entrando de férias.(corrijam me
> se necessário)

> supondo que tua rede seja 192.168.0.0/24 e sua maquina seja $local, a
> regra abaixo redireciona qualquer ip vindo de qualquer rede que nao seja
> 192.168.0.0/24 para o server win2003.
>
> $iptables -t nat -A PREROUTING -p tcp -s ! 192.168.0.0/24 --dport 3389 -d $local -j DNAT --to-destination $win2003

As negações no iptables são feitas de forma diferente agora, o certo
nas versões mais recentes é "! -s $redeinterna".


> vc pode fazer tb, redirecionar qualquer que venha da internet...
>
> $iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -d $local -j DNAT --to-destination $win2003

Se $local for o endereço público dele, essa regra funciona, se for o
endereço local (digamos 192.168.0.1) não vai funcionar nunca porque
quem faz o acesso remoto acessa o IP público.

Deveria ser assim:

$iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT
--to-destination $win2003

Se ele passa pelo roteador p/ chegar nas máquinas da rede dele tem
coisa errada e/ou mal explicada.


Flávio, dá um traceroute p/ uma das estações com windows, um acesso
normal deveria retornar o seguinte:

max@nuclearwaste:~$ traceroute -n willcrashforsure
traceroute to willcrashforsure.area51.local (192.168.1.112), 30 hops
max, 46 byte packets
1 192.168.1.112 14.286 ms 8.303 ms 5.356 ms

Se tiver mais do que um hop significa que tu ta passando por um
roteador, isso *não* deve acontecer numa rede local, deve ser algo nas
rotas, deveria ser assim:

max@willcrashforsure:~$ /sbin/ip route show
192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.112
127.0.0.0/8 dev lo scope link

max@nuclearwaste:~$ /sbin/ip route show
192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.10
127.0.0.0/8 dev lo scope link


> Faz o teste ai... igh!
>
>

> Abraços,
> Marcelo


>
>
> Flávio R. Lopes wrote:
>> Vixi...deixa ver se estou entendendo.
>> Eu preciso que quem esteja fora da minha rede, acesse o server-2003
>> Mas que quem estiver dentro dela possa optar por conectar em qq  maquina
>> da rede, inclusive o Server-2003
>>

>> O que está acontecendo é que quando habilito as regras para quem estiver
>> fora poder acessar o Server-2003, eu não consigo acessar mais nenhuma

>> máquina na minha rede interna (eu estou tb dentro da rede interna). Toda
>> conexão que abro cai no Server-2003
>>
>> Hudson Antonio escreveu:
>>
>>> Então faça dessa forma Flavio,


>>>
>>> entendeu o que o Marcelo quis dizer, foi vai dizer para seu firewall
>>> que tudo que vem da eth0:3389 caia no server2003:3389, como sua rede

>>> interna deve estar na eth1 não ira afetar nada.


>>>
>>> Mas se esse for o problema, use outra porta para sua maquina internas.
>>>
>>> 2009/12/22 Marcelo <ult...@lim16.fm.usp.br
>>> <mailto:ult...@lim16.fm.usp.br>>
>>>
>>>     Flavio,
>>>

>>>     Vc não pode colocar mais regras?


>>>
>>>     tipo:
>>>     do que vem de fora(internet)
>>>     -i eth0
>>>

>>>     do que vem da rede interna(supondo que tua rede interna é
>>>     192.168.0.0 e
>>>     sua placa interna é eth1)


>>>     -i eth1 -s 192.168.0.0/24 <http://192.168.0.0/24>
>>>

>>>     Abraços,
>>>     Marcelo


>>>
>>>     Flávio R. Lopes wrote:
>>>     > Oi Marcelo.

>>>     > Então...
>>>     > eu quiz dizer "também" para a rede interna.


>>>     > Vamos ver se explico de outra forma.

>>>     > Vamos supor que você, que está fora da minha rede irá acessar o


>>>     > Server-2003 dentro da minha rede!....eu tenho que rodar aquelas
>>>     regras
>>>     > que mecieonei!...blz...mas, ao mesmo tempo eu tenho que dar uma

>>>     > manutenção numa outra maquina (estação comum) da minha rede
>>>     tambem via
>>>     > termianl remoto....mas se eu estiver rodando aquelas regras, não


>>>     importa
>>>     > qual IP eu coloque no meu terminal remoto que sempre vou cair no
>>>     Server-2003
>>>     >
>>>     > Espero que vc tenha entendido
>>>     >
>>>     > Marcelo escreveu:
>>>     >

>>>     >> Flávio,


>>>     >>
>>>     >> Como vc mesmo disse:
>>>     >>
>>>     >> "quero que somente quem estiver na rede
>>>     >> externa seja redirecionado para o Server-2003"
>>>     >>
>>>     >>
>>>     >> Use o parametro: -i eth0(se eth0 for sua placa externa)
>>>     >>
>>>     >>

>>>     >> Abraços,
>>>     >> Marcelo
>>>     >>
>>>     >> Flávio R. Lopes wrote:
>>>     >>
>>>     >>

>>>     >>> Olá galera!


>>>     >>> Vamos ver se consigo explicar.
>>>     >>>

>>>     >>> Temos um Servidor com o Windows Server 2003 que exporadicamente é


>>>     >>> acessado via Terminal Remoto pela empresa que nos vendeu o
>>>     Software.
>>>     >>> Ou seja, quando eles precisam fazer um acesso para darem

>>>     manutenção no


>>>     >>> sistema, eu rodo no meu Firewall as seguintes regras para
>>>     liberar o acesso:
>>>     >>>
>>>     >>> $iptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT
>>>     >>> $iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT
>>>     >>> --to-destination $win2003:3389
>>>     >>>

>>>     >>> (onde $win2003 é o IP do servidor Windows)
>>>     >>>
>>>     >>> Quando os caras terminam a manutenção, eu comento estas linhas


>>>     acima e
>>>     >>> fecho o acesso!

>>>     >>> Até aí blz!...tudo funciona belezinha.
>>>     >>>
>>>     >>> O problema é quando eu tenho que liberar o acesso remoto ao
>>>     Servidor
>>>     >>> Win-2003 e quando eu preciso (ao mesmo tempo) dar manutenção
>>>     (DE DENTRO


>>>     >>> DA MINHA REDE, ESTOU DENTRO DA MINHA REDE!) nas estações com
>>>     Windows-XP,

>>>     >>> onde também liberei o acesso via TERMINAL REMOTO.


>>>     >>>
>>>     >>> Se as regras que mencionei acima estiverem sendo "rodadas" e
>>>     eu tentar

>>>     >>> me conectar a qualquer estação, eu sempre sou jogado
>>>     (redirecionado) ao
>>>     >>> Windows Server e não para a estação com a qual quero
>>>     conectar...mesmo
>>>     >>> colocando o IP desta estação na tela de Conexão co a Área de


>>>     Trabalho Remota
>>>     >>> Em outras palavras, posso colocar o IP que for na tela de

>>>     CONEXÃO DE
>>>     >>> ÁREA DE TRABALHO REMOTA que sempre sou redirecionado para o
>>>     Servidor
>>>     >>> (Windows Server 2003).
>>>     >>>
>>>     >>> Tem alguma outra forma de criar uma exceção de


>>>     redirecionamento para
>>>     >>> minha rede interna?, ou seja, quero que somente quem estiver
>>>     na rede
>>>     >>> externa seja redirecionado para o Server-2003 e que quem
>>>     esteja na rede

>>>     >>> interna possa escolher (colocando o IP) qual máquina será
>>>     conectada via
>>>     >>> Terminal Remoto?
>>>     >>>
>>>     >>> Como faço isso no meu Firewall?
>>>     >>>
>>>     >>> Grato,
>>>     >>> Flávio

>>>     GUS-BR - Grupo de Usuários de Slackware Brasil


>>>     http://www.slackwarebrasil.org/
>>>     http://groups.google.com/group/slack-users-br
>>>
>>>     Antes de perguntar:
>>>     http://www.istf.com.br/perguntas/
>>>
>>>     Para sair da lista envie um e-mail para:
>>>     slack-users-b...@googlegroups.com
>>>     <mailto:slack-users-br%2Bunsu...@googlegroups.com>
>>>
>>>
>>> --

>>> GUS-BR - Grupo de Usuários de Slackware Brasil


>>> http://www.slackwarebrasil.org/
>>> http://groups.google.com/group/slack-users-br
>>>
>>> Antes de perguntar:
>>> http://www.istf.com.br/perguntas/
>>>
>>> Para sair da lista envie um e-mail para:
>>> slack-users-b...@googlegroups.com
>>>
>>
>>
>
> ---------------------------------------------------------------------
> Esta mensagem pode conter informacao confidencial.
> Se voce nao for o destinatario ou a pessoa autorizada a receber
> esta mensagem, nao podera usar, copiar ou divulgar as informacoes nela
> contidas ou tomar qualquer acao baseada nessas informacoes. Se
> voce recebeu esta mensagem por engano, favor avisar imediatamente o
> remetente, respondendo o e-mail e, em seguida, apague-o.
> Agradecemos sua cooperacao.
>
> This message may contain confidential information.
> If you are not the addressee or authorized person to receive it for the
> addressee, you must not use, copy, disclose or take any action based on
> this message or any information herein. If you have received this message
> in error, please advise the sender immediately by replying this e-mail
> message and delete it.
> Thanks in advance for your cooperation.
> ----------------------------------------------------------------------
>               LIM16   Faculdade de Medicina USP
> ----------------------------------------------------------------------
>

> --
> GUS-BR - Grupo de Usuários de Slackware Brasil

spiderslack

unread,
Dec 22, 2009, 3:51:13 PM12/22/09
to slack-u...@googlegroups.com
On Tue, 2009-12-22 at 11:14 -0200, "Flávio R. Lopes" wrote:
Olá galera!
Vamos ver se consigo explicar.

Ola Flavio, tudo blz.

Temos um Servidor com o Windows Server 2003 que exporadicamente é 
acessado via Terminal Remoto pela empresa que nos vendeu o Software.
Ou seja, quando eles precisam fazer um acesso para darem manutenção no 
sistema, eu rodo no meu Firewall as seguintes regras para liberar o acesso:

$iptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT
$iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT 
--to-destination $win2003:3389

(onde $win2003 é o IP do servidor Windows)

Quando os caras terminam a manutenção, eu comento estas linhas acima e 
fecho o acesso!
Até aí blz!...tudo funciona belezinha.
blz

O problema é quando eu tenho que liberar o acesso remoto ao Servidor 
Win-2003 e quando eu preciso (ao mesmo tempo) dar manutenção (DE DENTRO 
DA MINHA REDE, ESTOU DENTRO DA MINHA REDE!) nas estações com Windows-XP, 
onde também liberei o acesso via TERMINAL REMOTO.

aqui ficou meio confuso, tipo se voce esta dentro da sua rede, com certeza esta dentro do mesmo segmento, e creio eu o teu firewall somente e utilizado quando o destino está fora da sua rede(fora do seu segmento), como você esta na mesma rede (segmento) das estações windows XP, o firewall nunca será contactado, correto?? mas bem no final você diz "onde também liberei o acesso via TERMINAL REMOTO." dá a impressão que você tambem esta remoto, e criou uma outra regra DNAT para você. Bom se for isso cria uma regra usando negação ou trabalhe com as interfaces. por exemplo se eth0 e a outside e eth1 a inside um exemplo seria:

iptables -t nat -A PREROUTING -i eth0 -s ! <seu Ip remoto> -p tcp --dport 3389 -j DNAT --to-destination <win2003> 
Se as regras que mencionei acima estiverem sendo "rodadas" e eu tentar 
me conectar a qualquer estação, eu sempre sou jogado (redirecionado) ao 
Windows Server e não para a estação com a qual quero conectar...mesmo 
colocando o IP desta estação na tela de Conexão co a Área de Trabalho Remota
Em outras palavras, posso colocar o IP que for na tela de CONEXÃO DE 
ÁREA DE TRABALHO REMOTA que sempre sou redirecionado para o Servidor 
(Windows Server 2003).

Tem alguma outra forma de criar uma exceção de redirecionamento para 
minha rede interna?, ou seja, quero que somente quem estiver na rede 
externa seja redirecionado para o Server-2003 e que quem esteja na rede 
interna possa escolher (colocando o IP) qual máquina será conectada via 
Terminal Remoto?

Como faço isso no meu Firewall?

Grato,
Flávio
Espero ter ajudado, Atenciosamente.

"Flávio R. Lopes"

unread,
Dec 23, 2009, 9:38:28 AM12/23/09
to slack-u...@googlegroups.com
Ol� Spider!
Bom...vou tentar resumir
Tem um pessoal que acessar� de fora da rede o Win-2003 e para isso eu
tenho que estar com aquelas regras que postei anteriormente ativas!
Mas quando estas regras est�o ativas e eu, que estou dentro da minha
rede interna, as vezes preciso dar manuten��o em alguma esta��o (dentro
da mesma rede) n�o consigo acessar as esta��es!!....se eu tentar abrir
uma conex�o, sou automaticamente redirecionado para o Win-2003.
Ent�o, tenho que baixar (limpar) aquelas regras para poder conectar-me
�s esta��es.

PS: Mesmo eu colocando o IP de uma das esta��es sou redirecionado para o
Servidor-2003. Isto p�ra de acontecer, como eu te disse, somente se eu
baixar as regras!


spiderslack escreveu:
> On Tue, 2009-12-22 at 11:14 -0200, "Fl�vio R. Lopes" wrote:
>> Ol� galera!


>> Vamos ver se consigo explicar.
>>

> *_Ola Flavio, tudo blz._*
>
>
>> Temos um Servidor com o Windows Server 2003 que exporadicamente �

>> acessado via Terminal Remoto pela empresa que nos vendeu o Software.

>> Ou seja, quando eles precisam fazer um acesso para darem manuten��o no

>> sistema, eu rodo no meu Firewall as seguintes regras para liberar o acesso:
>>
>> $iptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT
>> $iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT
>> --to-destination $win2003:3389
>>

>> (onde $win2003 � o IP do servidor Windows)
>>
>> Quando os caras terminam a manuten��o, eu comento estas linhas acima e
>> fecho o acesso!


>> At� a� blz!...tudo funciona belezinha.
>>

> *_blz_*


>> O problema � quando eu tenho que liberar o acesso remoto ao Servidor
>> Win-2003 e quando eu preciso (ao mesmo tempo) dar manuten��o (DE DENTRO
>> DA MINHA REDE, ESTOU DENTRO DA MINHA REDE!) nas esta��es com Windows-XP,

>> onde tamb�m liberei o acesso via TERMINAL REMOTO.
>>
>>
> *_aqui ficou meio confuso, tipo se voce esta dentro da sua rede, com

> certeza esta dentro do mesmo segmento, e creio eu o teu firewall

> somente e utilizado quando o destino est� fora da sua rede(fora do seu
> segmento), como voc� esta na mesma rede (segmento) das esta��es
> windows XP, o firewall nunca ser� contactado, correto?? mas bem no
> final voc� diz "onde tamb�m liberei o acesso via TERMINAL REMOTO." d�
> a impress�o que voc� tambem esta remoto, e criou uma outra regra DNAT
> para voc�. Bom se for isso cria uma regra usando nega��o ou trabalhe

> com as interfaces. por exemplo se eth0 e a outside e eth1 a inside um

> exemplo seria:_*
>
> *_iptables -t nat -A PREROUTING -i eth0 -s ! <seu Ip remoto> -p tcp
> --dport 3389 -j DNAT --to-destination <win2003>_*

>> Se as regras que mencionei acima estiverem sendo "rodadas" e eu tentar

>> me conectar a qualquer esta��o, eu sempre sou jogado (redirecionado) ao
>> Windows Server e n�o para a esta��o com a qual quero conectar...mesmo

>> colocando o IP desta esta��o na tela de Conex�o co a �rea de Trabalho Remota
>> Em outras palavras, posso colocar o IP que for na tela de CONEX�O DE
>> �REA DE TRABALHO REMOTA que sempre sou redirecionado para o Servidor
>> (Windows Server 2003).
>>
>> Tem alguma outra forma de criar uma exce��o de redirecionamento para

>> minha rede interna?, ou seja, quero que somente quem estiver na rede
>> externa seja redirecionado para o Server-2003 e que quem esteja na rede

>> interna possa escolher (colocando o IP) qual m�quina ser� conectada via
>> Terminal Remoto?
>>
>> Como fa�o isso no meu Firewall?
>>
>> Grato,
>> Fl�vio
>>
> Espero ter ajudado, Atenciosamente. --
> GUS-BR - Grupo de Usu�rios de Slackware Brasil

"Flávio R. Lopes"

unread,
Dec 23, 2009, 9:42:12 AM12/23/09
to slack-u...@googlegroups.com
Ol� Max e Marcelo.
Vou tentar aki....depois eu passo o resultado pra vcs (e pra galera tb!)

max escreveu:
> 2009/12/22 Marcelo <ult...@lim16.fm.usp.br>:


>
>> Fl�vio,
>>
>> Vamos l�, j� tomei umas cervejas e estou entrando de f�rias.(corrijam me
>> se necess�rio)

>> supondo que tua rede seja 192.168.0.0/24 e sua maquina seja $local, a
>> regra abaixo redireciona qualquer ip vindo de qualquer rede que nao seja
>> 192.168.0.0/24 para o server win2003.
>>
>> $iptables -t nat -A PREROUTING -p tcp -s ! 192.168.0.0/24 --dport 3389 -d $local -j DNAT --to-destination $win2003
>>
>

> As nega��es no iptables s�o feitas de forma diferente agora, o certo
> nas vers�es mais recentes � "! -s $redeinterna".


>
>
>
>> vc pode fazer tb, redirecionar qualquer que venha da internet...
>>
>> $iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -d $local -j DNAT --to-destination $win2003
>>
>

> Se $local for o endere�o p�blico dele, essa regra funciona, se for o
> endere�o local (digamos 192.168.0.1) n�o vai funcionar nunca porque
> quem faz o acesso remoto acessa o IP p�blico.


>
> Deveria ser assim:
>
> $iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT
> --to-destination $win2003
>

> Se ele passa pelo roteador p/ chegar nas m�quinas da rede dele tem


> coisa errada e/ou mal explicada.
>
>

> Fl�vio, d� um traceroute p/ uma das esta��es com windows, um acesso


> normal deveria retornar o seguinte:
>
> max@nuclearwaste:~$ traceroute -n willcrashforsure
> traceroute to willcrashforsure.area51.local (192.168.1.112), 30 hops
> max, 46 byte packets
> 1 192.168.1.112 14.286 ms 8.303 ms 5.356 ms
>
> Se tiver mais do que um hop significa que tu ta passando por um

> roteador, isso *n�o* deve acontecer numa rede local, deve ser algo nas


> rotas, deveria ser assim:
>
> max@willcrashforsure:~$ /sbin/ip route show
> 192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.112
> 127.0.0.0/8 dev lo scope link
>
> max@nuclearwaste:~$ /sbin/ip route show
> 192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.10
> 127.0.0.0/8 dev lo scope link
>
>
>
>> Faz o teste ai... igh!
>>
>>

>> Abra�os,
>> Marcelo


>>
>>
>> Fl�vio R. Lopes wrote:
>>
>>> Vixi...deixa ver se estou entendendo.
>>> Eu preciso que quem esteja fora da minha rede, acesse o server-2003
>>> Mas que quem estiver dentro dela possa optar por conectar em qq maquina
>>> da rede, inclusive o Server-2003
>>>

>>> O que est� acontecendo � que quando habilito as regras para quem estiver


>>> fora poder acessar o Server-2003, eu n�o consigo acessar mais nenhuma

>>> m�quina na minha rede interna (eu estou tb dentro da rede interna). Toda
>>> conex�o que abro cai no Server-2003
>>>
>>> Hudson Antonio escreveu:
>>>
>>>
>>>> Ent�o fa�a dessa forma Flavio,


>>>>
>>>> entendeu o que o Marcelo quis dizer, foi vai dizer para seu firewall
>>>> que tudo que vem da eth0:3389 caia no server2003:3389, como sua rede

>>>> interna deve estar na eth1 n�o ira afetar nada.


>>>>
>>>> Mas se esse for o problema, use outra porta para sua maquina internas.
>>>>
>>>> 2009/12/22 Marcelo <ult...@lim16.fm.usp.br
>>>> <mailto:ult...@lim16.fm.usp.br>>
>>>>
>>>> Flavio,
>>>>

>>>> Vc n�o pode colocar mais regras?


>>>>
>>>> tipo:
>>>> do que vem de fora(internet)
>>>> -i eth0
>>>>

>>>> do que vem da rede interna(supondo que tua rede interna �
>>>> 192.168.0.0 e
>>>> sua placa interna � eth1)

>>>> Abra�os,
>>>> Marcelo


>>>>
>>>> Fl�vio R. Lopes wrote:
>>>> > Oi Marcelo.

>>>> > Ent�o...
>>>> > eu quiz dizer "tamb�m" para a rede interna.


>>>> > Vamos ver se explico de outra forma.

>>>> > Vamos supor que voc�, que est� fora da minha rede ir� acessar o


>>>> > Server-2003 dentro da minha rede!....eu tenho que rodar aquelas
>>>> regras
>>>> > que mecieonei!...blz...mas, ao mesmo tempo eu tenho que dar uma

>>>> > manuten��o numa outra maquina (esta��o comum) da minha rede
>>>> tambem via
>>>> > termianl remoto....mas se eu estiver rodando aquelas regras, n�o


>>>> importa
>>>> > qual IP eu coloque no meu terminal remoto que sempre vou cair no
>>>> Server-2003
>>>> >
>>>> > Espero que vc tenha entendido
>>>> >
>>>> > Marcelo escreveu:
>>>> >

>>>> >> Fl�vio,


>>>> >>
>>>> >> Como vc mesmo disse:
>>>> >>
>>>> >> "quero que somente quem estiver na rede
>>>> >> externa seja redirecionado para o Server-2003"
>>>> >>
>>>> >>
>>>> >> Use o parametro: -i eth0(se eth0 for sua placa externa)
>>>> >>
>>>> >>

>>>> >> Abra�os,
>>>> >> Marcelo
>>>> >>
>>>> >> Fl�vio R. Lopes wrote:
>>>> >>
>>>> >>

>>>> >>> Ol� galera!


>>>> >>> Vamos ver se consigo explicar.
>>>> >>>

>>>> >>> Temos um Servidor com o Windows Server 2003 que exporadicamente �


>>>> >>> acessado via Terminal Remoto pela empresa que nos vendeu o
>>>> Software.
>>>> >>> Ou seja, quando eles precisam fazer um acesso para darem

>>>> manuten��o no


>>>> >>> sistema, eu rodo no meu Firewall as seguintes regras para
>>>> liberar o acesso:
>>>> >>>
>>>> >>> $iptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT
>>>> >>> $iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT
>>>> >>> --to-destination $win2003:3389
>>>> >>>

>>>> >>> (onde $win2003 � o IP do servidor Windows)
>>>> >>>
>>>> >>> Quando os caras terminam a manuten��o, eu comento estas linhas


>>>> acima e
>>>> >>> fecho o acesso!

>>>> >>> At� a� blz!...tudo funciona belezinha.
>>>> >>>
>>>> >>> O problema � quando eu tenho que liberar o acesso remoto ao
>>>> Servidor
>>>> >>> Win-2003 e quando eu preciso (ao mesmo tempo) dar manuten��o
>>>> (DE DENTRO


>>>> >>> DA MINHA REDE, ESTOU DENTRO DA MINHA REDE!) nas esta��es com
>>>> Windows-XP,

>>>> >>> onde tamb�m liberei o acesso via TERMINAL REMOTO.


>>>> >>>
>>>> >>> Se as regras que mencionei acima estiverem sendo "rodadas" e
>>>> eu tentar

>>>> >>> me conectar a qualquer esta��o, eu sempre sou jogado
>>>> (redirecionado) ao
>>>> >>> Windows Server e n�o para a esta��o com a qual quero
>>>> conectar...mesmo
>>>> >>> colocando o IP desta esta��o na tela de Conex�o co a �rea de


>>>> Trabalho Remota
>>>> >>> Em outras palavras, posso colocar o IP que for na tela de

>>>> CONEX�O DE
>>>> >>> �REA DE TRABALHO REMOTA que sempre sou redirecionado para o
>>>> Servidor
>>>> >>> (Windows Server 2003).
>>>> >>>
>>>> >>> Tem alguma outra forma de criar uma exce��o de


>>>> redirecionamento para
>>>> >>> minha rede interna?, ou seja, quero que somente quem estiver
>>>> na rede
>>>> >>> externa seja redirecionado para o Server-2003 e que quem
>>>> esteja na rede

>>>> >>> interna possa escolher (colocando o IP) qual m�quina ser�
>>>> conectada via
>>>> >>> Terminal Remoto?
>>>> >>>
>>>> >>> Como fa�o isso no meu Firewall?
>>>> >>>
>>>> >>> Grato,
>>>> >>> Fl�vio

>>>> GUS-BR - Grupo de Usu�rios de Slackware Brasil


>>>> http://www.slackwarebrasil.org/
>>>> http://groups.google.com/group/slack-users-br
>>>>
>>>> Antes de perguntar:
>>>> http://www.istf.com.br/perguntas/
>>>>
>>>> Para sair da lista envie um e-mail para:
>>>> slack-users-b...@googlegroups.com
>>>> <mailto:slack-users-br%2Bunsu...@googlegroups.com>
>>>>
>>>>
>>>> --

>>>> GUS-BR - Grupo de Usu�rios de Slackware Brasil

>> GUS-BR - Grupo de Usu�rios de Slackware Brasil

spiderslack

unread,
Dec 23, 2009, 1:40:27 PM12/23/09
to slack-u...@googlegroups.com
Ola Flavio.

se vc tem uma unica rede interna esse comportamento e anormal, caso voc�
tenha v�rias redes e o roteamento interno e este firewall esse
comportamento se justificaria e a regra passada anteriormente
resolveria. Digo isso porque digamos que voc� tenha o seguinte ambiente

internet <---> eth1 linux eth0 <----------> rede interna 192.168.0.0/24

E na rede 192.168.0.0/24 teriamos sua estacao como 192.168.0.10 e o ts
no windows 2003 como 192.168.0.20 e o gateway padrao como o linux na
eth0. Ambos, 192.168.0.10 e 192.168.0.20, est�o na mesma rede ent�o,
sendo assim, n�o h� necessidade de uso do gateway para comunica��o entre
eles estao na mesma rede, A menos que voc� tenha um erro de mascara de
rede( verifique isso). Me passe as configura��es de endere�amento IP da
tua estacao e do windows 2003 bem como do gateway linux. Porque se for
dessa forma que lhe disse acima o linux nao pode e nem deve influenciar
a comunicacao na rede interna o linux somente e "ativado" quando a
requisicoes para lugares(redes)fora do 192.168.0.0/24 usando meu
exemplo.

Atenciosamente.

__________________________________________________
Fa�a liga��es para outros computadores com o novo Yahoo! Messenger
http://br.beta.messenger.yahoo.com/

Reply all
Reply to author
Forward
0 new messages