Redirecionamento winvnc [RESOLVIDO]

marcelomfz · Enviada: Ter Jan 08, 2008 9:40 am Assunto: Redirecionamento winvnc [RESOLVIDO]

Bom estou com o seguinte problema tenho um firewall em minha rede, foi adquirido um software q a manutenção é feita remota pelo o winvnc estou tentando redirecionar todas conexão vinda nas seguintes portas 5500 ate 5900 para uma maquina windows da rede interna mas não esta funcionando

Estou usando estas regras
#Liberar portas para acesso do VNC
$ipt -t nat -A PREROUTING -d $ext -p tcp --dport 5500:5900 -j DNAT --to 10.10.0.5:5500-5900
$ipt -t nat -A POSTROUTING -s 10.10.0.5 -p tcp --sport 5500:5900 -j SNAT --to $ext

meu firewall.sh

#!/bin/bash
#SCRIPT USANDO VARIAVEIS PARA "COMANDOS MAIS USADOS"
#REDE INTERNA
rede="10.10.0.0/24"
#REDE 0.0.0.0/0.0.0.0
toda="0/0"
#INTERFACE EXTERNA
ext="eth0"
#INTERFACE INTERNA
int="eth1"
#DIRETORIO IPV4
net="/proc/sys/net/ipv4"
#IPTABLES
#ipt="/sbin/iptables"
ipt="iptables"
#EB NET
ebnet="200.199.248.60"
#SERPRO
serpro="161.148.40.200"
#PROTWEB
prot="192.125.40.4"
#
#
#INICIO PRIMEIRO PASSO
#
#ZERAR CADEIAS (INPUT, OUTPUT, FORWARD)
$ipt -F
#ZERAR CADEIAS CRIADAS PELO USUARIO (SE HOUVEREM)
$ipt -X
#ZERAR AS TABELAS DE NAT
$ipt -F -t nat
#
#FINAL PREIMEIRO PASSO
#
#
#INICIO SEGUNDO PASSO
#
#POLITICA DEFAULT DAS REGRAS (NEGAR)
#PROTEGE O FIREWALL
$ipt -P INPUT DROP
#PROTEGE A REDE INTERNA
$ipt -P FORWARD DROP
#OUTPUT (GERALMENTE DEIXADA ABERTA)
$ipt -P OUTPUT ACCEPT
#PERMITINDO SSH DE FORA DO FIREWALL (CASO QUEIRA FAZER MANUTENCAO DE FORA)
$ipt -A INPUT -i $ext -p tcp --dport 477 -j ACCEPT
#$ipt -I INPUT -i $ext -p tcp --dport 477 --sport 1024:65535 -j ACCEPT
#
#FINAL SEGUNDO PASSO
#
#
#INICIO TERCEIRO PASSO
#
#PARA GARANTIR A SEGURANCA CORTA-SE O ip_foward
echo "0" > $net/ip_forward
#
#FINAL TERCEIRO PASSO
#
#
#INICIO QUARTO PASSO
#
#ATIVAR O FILTRO ANTI SPOOFING
#ip_filter EM /proc/sys/net/ipv4/conf
for spoofing in $net/conf/*/rp_filter;
do echo "1" > $spoofing;
done
#
#FINAL QUARTO PASSO
#
#
#INICIO QUINTO PASSO
#
#
#INICIO FILTROS ADICIONAIS
#
#EVITA O PING NO ROTEADOR
echo "1" > $net/icmp_echo_ignore_broadcasts
echo "0" > $net/conf/all/accept_source_route
#EVITA REDIRECIONAMENTO DE PACOTES icmp
echo "0" > $net/conf/all/accept_redirects
echo "1" > $net/icmp_ignore_bogus_error_responses
#QUALQUER PACOTE COM IP INVALIDO LOGA O PACOTE NO /var/log/messages
echo "0" > $net/conf/all/log_martians
#SE O IP DA eth0 VEM POR DHP (EX ADSL)
echo "1" > $net/ip_dynaddr
#
#CRIANDO UMA CADEIA DE SANIDADE
#CRIAR CADEIA
$ipt -N SANITY
#ZERAR CADEIA (DEFINIDA PELO USUARIO)
$ipt -F SANITY
#DEFINIR O QUE A CADEIA VAI EXECUTAR
$ipt -A SANITY -m state --state INVALID -j DROP
#
#CRIANDO CADEIA CONTRA SYN-FLOODING [UTILIZAR SOMENTE SE RODAR ALGUM SERVIDOR NO FIREWALL]
#CRIAR CADEIA
$ipt -N SYN-FLOOD
#ZERA CADEIA
$ipt -F SYN-FLOOD
#DEFINIR O QUE A CADEIA VAI EXECUTAR
$ipt -A INPUT -i $ext -p tcp -j SYN-FLOOD
$ipt -A SYN-FLOOD -m limit --limit 1/s --limit-burst 4 -j RETURN
#
#REGRA CONTRA PACOTES FRAGMENTADOS
$ipt -A INPUT -i $ext -f -j DROP
#
#REGRA CONTRA O PING DA MORTE
$ipt -I INPUT -p icmp --icmp-type 8 -m limit --limit 1/s -j ACCEPT
#FINAL DOS FILTROS ADICIONAIS
#
#
#REGRAS PARA "INPUT" (TUDO QUE VEM DE FORA DA REDE - "INTERNET")
#REGRAS DE LOG
#$ipt -I INPUT -s ! $rede -d ! $rede -j LOG
#PERMITINDO ALGUNS PINGS
$ipt -A INPUT -p icmp -s $toda --icmp-type 0 -j ACCEPT
$ipt -A INPUT -p icmp -s $toda --icmp-type 3 -j ACCEPT
$ipt -A INPUT -p icmp -s $toda --icmp-type 8 -j ACCEPT
$ipt -A INPUT -p icmp -s $toda --icmp-type 11 -j ACCEPT
#PERMITIR TRAFEGO NA INTERFACE DE LOOPBACK
$ipt -A INPUT -i lo -j ACCEPT
#PERMITIR TRAFEGO NA ETH1 SENAO OS CLIENTES NAO CONSEGUIRAO COMUNICAR COM O FIREWALL
$ipt -A INPUT -i $int -j ACCEPT
#COMO "INPUT" ESTA EM "DROP" DEVEMOS INFORMAR TIPO DE CONEXAO PERMITIDA
$ipt -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#
#FINAL QUINTO PASSO
#
#INICIO SEXTO PASSO
#ATIVAR O MASCARAMENTO
modprobe iptable_nat
$ipt -A POSTROUTING -t nat -o $ext -j MASQUERADE
#
#REDIRECIONANDO O SQUID
$ipt -t nat -A PREROUTING -i $int -p tcp --dport 80 -j REDIRECT --to-port 3128
#
#DEFINIR QUAIS SOCKETS SAO VALIDAS PARA A CHAIN
$ipt -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#CRIAR REGRAS DE FIREWALL PARA CLIENTES INTERNOS SEMPRE NA CHAIN "FORWARD"
#EMAIL
#SMTP - IDA
$ipt -A FORWARD -p tcp -s $rede --sport 25 -d $toda -j ACCEPT
#SMTP - VOLTA
$ipt -A FORWARD -p tcp -s $rede --dport 25 -d $toda -j ACCEPT
#POP3 - IDA
$ipt -A FORWARD -p tcp -s $rede --sport 110 -d $toda -j ACCEPT
#POP3 - VOLTA
$ipt -A FORWARD -p tcp -s $rede --dport 110 -d $toda -j ACCEPT
#Outlook Americano
$ipt -A FORWARD -p tcp -s $rede --sport 3535 -d $toda -j ACCEPT
#POP3 - VOLTA
$ipt -A FORWARD -p tcp -s $rede --dport 3535 -d $toda -j ACCEPT
#IMAP - IDA
$ipt -A FORWARD -p tcp -s $rede --sport 143 -d $toda -j ACCEPT
#IMAP - VOLTA
$ipt -A FORWARD -p tcp -s $rede --dport 143 -d $toda -j ACCEPT
#WEB
$ipt -A FORWARD -p tcp -s $rede --sport 80 -d $toda -j ACCEPT
$ipt -A FORWARD -p tcp -s $rede --dport 80 -d $toda -j ACCEPT
#HABILITAR SE ESTIVER USANDO UM SERVIDOR WEB QUE QUEIRA ACESSAR DE FORA
#iptables -A FORWARD -p tcp -i eth0 --sport 80 -j ACCEPT
#iptables -A FORWARD -p tcp -i eth0 --dport 80 -j ACCEPT
#EB NET
$ipt -A FORWARD -p udp -s $rede --sport 500 -d $ebnet -j ACCEPT
$ipt -A FORWARD -p udp -s $rede --dport 500 -d $ebnet -j ACCEPT
$ipt -A FORWARD -p udp -s $rede --sport 4500 -d $ebnet -j ACCEPT
$ipt -A FORWARD -p udp -s $rede --dport 4500 -d $ebnet -j ACCEPT
$ipt -A FORWARD -p udp -s $ebnet --sport 500 -d $rede -j ACCEPT
$ipt -A FORWARD -p udp -s $ebnet --dport 500 -d $rede -j ACCEPT
$ipt -A FORWARD -p udp -s $ebnet --sport 4500 -d $rede -j ACCEPT
$ipt -A FORWARD -p udp -s $ebnet --dport 4500 -d $rede -j ACCEPT
$ipt -A FORWARD -p udp --destination-port 500 -j ACCEPT
$ipt -A FORWARD -p udp --destination-port 4500 -j ACCEPT
#ACESSO REDE SERPRO
$ipt -A FORWARD -p tcp --destination-port 23000 -j ACCEPT
$ipt -A FORWARD -p udp --destination-port 23000 -j ACCEPT
$ipt -A FORWARD -p udp -s $rede --sport 443 -d $serpro -j ACCEPT
$ipt -A FORWARD -p udp -s $serpro --dport 443 -d $rede -j ACCEPT
$ipt -A FORWARD -p tcp -s $rede --sport 443 -d $serpro -j ACCEPT
$ipt -A FORWARD -p tcp -s $serpro --dport 443 -d $rede -j ACCEPT
$ipt -A FORWARD -p udp -s $rede --sport 23000 -d $serpro -j ACCEPT
$ipt -A FORWARD -p udp -s $serpro --dport 23000 -d $rede -j ACCEPT
$ipt -A FORWARD -p tcp -s $rede --sport 23000 -d $serpro -j ACCEPT
$ipt -A FORWARD -p tcp -s $serpro --dport 23000 -d $rede -j ACCEPT
$ipt -A FORWARD -p tcp --destination-port 443 -j ACCEPT
$ipt -A FORWARD -p udp --destination-port 443 -j ACCEPT
$ipt -A FORWARD -p tcp --dport 8999 -j ACCEPT

#Conectividade Social Caixa Economica Federal
$ipt -A FORWARD -p tcp --dport 2631 -j ACCEPT

#$ipt -A FORWARD -p udp -s $rede --sport 443 -d $serpro -j ACCEPT
#$ipt -A FORWARD -p udp -s $serpro --dport 443 -d $rede -j ACCEPT
#ACESSO PROTWEB
$ipt -A FORWARD -p tcp -s $rede -d $prot -j ACCEPT
$ipt -A FORWARD -p tcp -s $prot -d $rede -j ACCEPT
#ACESSO SIRF
$ipt -A FORWARD -p tcp --destination-port 13352 -j ACCEPT
$ipt -A FORWARD -p udp --destination-port 13352 -j ACCEPT
$ipt -A FORWARD -p tcp --destination-port 13353 -j ACCEPT
$ipt -A FORWARD -p udp --destination-port 13353 -j ACCEPT
#$ipt -A FORWARD -p udp -s $rede --sport 13352 -d $serpro -j ACCEPT
#$ipt -A FORWARD -p udp -s $serpro --dport 13352 -d $rede -j ACCEPT
#IBERAÇÃO DA PORTA PARA MENSAGENS INSTANTÂNEAS DA 6ª BDA
$ipt -A FORWARD -p tcp --destination-port 5222 -j ACCEPT
$ipt -A FORWARD -p udp --destination-port 5222 -j ACCEPT
$ipt -A FORWARD -p tcp -s $rede --sport 5222 -d $toda -j ACCEPT
$ipt -A FORWARD -p tcp -s $toda --sport 5222 -d $rede -j ACCEPT
#
#RECEITA NET
$ipt -A FORWARD -p tcp --destination-port 3456 -j ACCEPT
$ipt -A FORWARD -p udp --destination-port 3456 -j ACCEPT
#REDE COMANDO
$ipt -A FORWARD -p tcp --sport 465 -j ACCEPT
$ipt -A FORWARD -p tcp --sport 995 -j ACCEPT
#DNS
$ipt -A FORWARD -p udp -s $rede --sport 53 -d $toda -j ACCEPT
$ipt -A FORWARD -p udp -s $rede --dport 53 -d $toda -j ACCEPT
#SSH
$ipt -A FORWARD -p tcp -s $rede --sport 22 -d $toda -j ACCEPT
$ipt -A FORWARD -p tcp -s $rede --dport 22 -d $toda -j ACCEPT
#FTP
$ipt -A FORWARD -p tcp -s $rede --sport 20 -d $toda -j ACCEPT
$ipt -A FORWARD -p tcp -s $rede --dport 20 -d $toda -j ACCEPT
$ipt -A FORWARD -p tcp -s $rede --sport 21 -d $toda -j ACCEPT
$ipt -A FORWARD -p tcp -s $rede --dport 21 -d $toda -j ACCEPT
#SSL - HTTPS
$ipt -A FORWARD -p tcp -s $rede --sport 443 -d $toda -j ACCEPT
$ipt -A FORWARD -p tcp -s $rede --dport 443 -d $toda -j ACCEPT
#PERMITINDO PINGS NA REDE
$ipt -A FORWARD -p icmp -s $toda --icmp-type 0 -j ACCEPT
$ipt -A FORWARD -p icmp -s $toda --icmp-type 3 -j ACCEPT
$ipt -A FORWARD -p icmp -s $toda --icmp-type 8 -j ACCEPT
$ipt -A FORWARD -p icmp -s $toda --icmp-type 11 -j ACCEPT
#
#acesso remoto MST
#$ipt -A FORWARD -s $rede -p tcp --dport 3389 -j ACCEPT
#
#Liberar portas para acesso do VNC
$ipt -t nat -A PREROUTING -d $ext -p tcp --dport 5500:5900 -j DNAT --to 10.10.0.5:5500-5900
$ipt -t nat -A POSTROUTING -s 10.10.0.5 -p tcp --sport 5500:5900 -j SNAT --to $ext
#FINAL SEXTO PASSO
#
#
#FINAL DO SCRIPT
#
#ATIVAR O "ip_forward"
echo "1" > $net/ip_forward
#
#
echo "********* FIREWALL CARREGADO COM SUCESSO *********"

Mar · Enviada: Ter Jan 08, 2008 12:42 pm Assunto:

Olá
Em vez de
$ipt -t nat -A PREROUTING -d $ext -p tcp --dport 5500:5900 -j DNAT --to 10.10.0.5:5500-5900
$ipt -t nat -A POSTROUTING -s 10.10.0.5 -p tcp --sport 5500:5900 -j SNAT --to $ext

tente
$ipt -t nat -A PREROUTING -m tcp -p tcp --dport 5500:5900 -j DNAT --to 10.10.0.5

Se não me engano não é necessária a segunda regra.
_________________
Mar

--------------------------------------------------------------------------
"Quem dá aos pobres, empresta a Deus, quem empresta ao Governo, dá adeus".

marcelomfz · Enviada: Ter Jan 08, 2008 12:54 pm Assunto:

Não funcionou eu já tinha tentado esta regra mesmo assim valeu...

JPaulo · Enviada: Ter Jan 08, 2008 3:25 pm Assunto:

marcelomfz · Enviada: Qua Jan 09, 2008 5:34 am Assunto:

Sim eu desabilitei o firewall do WinXP

JPaulo · Enviada: Qua Jan 09, 2008 7:03 am Assunto:

marcelomfz · Enviada: Qua Jan 09, 2008 8:09 am Assunto:

JPaulo nos temos uma linha de dados aqui uma LP com 7 ips fixo(validos) eu entrei em contato com o pessoal do suporte tecnico e foi dito q não tem restições de portas no modem q todas portas estão liberadas eu coloquei a maquina direto no link sem passas pelo meu firewall e conectou normalmente então o problema é mesmo no meu roteador lembrando q é firewall(iptables)+squid.

JPaulo · Enviada: Qua Jan 09, 2008 8:18 am Assunto:

Ok, bem aqui esta a regra que utilizo, e funciona ha muito tempo:

$ipt -N NAT
$ipt -A NAT -j ACCEPT
$ipt -A FORWARD -p tcp -i eth1 --dport 25 -d ip_server -j NAT
$ipt -t nat -A PREROUTING -p tcp -d ip_eth1 --dport 25 -j DNAT --to ip_server
$ipt -t nat -A POSTROUTING -p tcp -s ip_server --sport 25 -j SNAT --to ip_eth1

eth1 = interface wan
_________________
João Paulo Guimarães

marcelomfz · Enviada: Qua Jan 09, 2008 9:03 am Assunto:

Não funcionou
ip_eth1 seria o ip da maquina da minha rede q recebera o acesso

as conf de rede

eth0
ip=XXX.XXX.XXX.210 seria meu ip valido
netmask=255.255.255.248
gw=xxx.xxx.xxx.209 outro ip valido no caso o primeiro

eth1
ip=10.10.0.13
netmask=255.255.255.0

maquina da rede q recebera o acesso
ip=10.10.0.5
netmask=255.255.255.0
gw=10.10.0.13

$ipt -N NAT
$ipt -A NAT -j ACCEPT
$ipt -A FORWARD -p tcp -i eth1 --dport 5500:6000 -d 10.10.0.5 -j NAT
$ipt -t nat -A PREROUTING -p tcp -d XXX.XXX.XXX.210 --dport 5500:6000 -j DNAT --to 10.10.0.5
$ipt -t nat -A POSTROUTING -p tcp -s 10.10.0.5 --sport 5500:6000 -j SNAT --to XXX.XXX.XXX.210

JPaulo · Enviada: Qua Jan 09, 2008 9:58 am Assunto:

marcelomfz · Enviada: Qua Jan 09, 2008 11:59 am Assunto:

Eu tinha definido como eth0 no firewall foi na hora de digitar aqui q deixei eth1 mas não funcionou.

JPaulo · Enviada: Qua Jan 09, 2008 12:58 pm Assunto:

Cara coloque o ipforward = 1:
echo "1" >/proc/sys/net/ipv4/ip_forward.

http://focalinux.cipsga.org.br/guia/avancado/ch-fw-iptables.html#s-fw-iptables-nat-snat
_________________
João Paulo Guimarães

JPaulo · Enviada: Qua Jan 09, 2008 1:02 pm Assunto:

marcelomfz · Enviada: Qui Jan 10, 2008 6:33 am Assunto:

Vou testar agora ontem tive q sair qq posto aki...

marcelomfz · Enviada: Qui Jan 10, 2008 7:34 am Assunto:

Não funcionou no squid tem tb liberei as portas e nada...