WebServer X DynDNS X Velox

[bigreen]

Olá pessoal,

Estou tomando uma surra pra configurar o Apache2 para atender requisições externas. Como não possuo IP fixo me cadastrei no DynDNS. Até aqui blz.
O apache, Firewall, Gateway e Squid estão no mesmo servidor, Debian 3.1 Sarge (Até aqui não estou preocupado com segurança).
Minha conexão é ADSL (Velox) com PPPoE. Não faço uso do IpChains e sim do ShoreWall que é mais amigável. Habilitei devidamente as regras de excessão DNAT para as entradas da porta 80 ser atendida pelo própria máquina. Depois tentei com porta 8080, 8000, 8081 e nenhuma delas tive sucesso. É claro mudando tb o Apache para escutar lá.
O DynDNS está devidamente configurado e funcionando certinho sendo atualizado pelo ez-ipupdate, parece tudo 100%. Inclusive pela rede local acesso o endereço DynDNS e sou direcionado certinho pro meu WebServer, acho que não sou barrado porque a conexão eth0 está como segura (local), enquanto minha ppp0 é a internet.
Falei tudo, ou falta mais alguma coisa? Socorro...
Toda e qualquer sugestão e observação será uma verdadeira benção!
[]s

[Fernando]

Olá,

Dê uma olhada nos itens abaixo, ok?

- Peça para alguma pessoa que esteja fora da sua rede pingar o seu endereço do dyndns e dizer o ip que retorna. Após isso, digite ifconfig e compare o ip que está na interface ppp0 com o ip que a pessoa pegou.

- Como exatamente você alterou a porta do apache? Lembrou de reinicializá-lo?

- Qual o seu modem?

Fernando.

[bigreen]

O ping ainda não experimentei, no entanto monitorei pelo site do DynDNS e a base de dados indicava corretamente o IP da ppp0. De qualquer forma vou experimentar.
O curioso é que pingando da máquina (dialup) diretamente para o IP da ppp0 ele não responde e não vejo nenhuma atividade aparente do firewall.
Todas as vezes que mudei a porta de escuta do apache fiz seu restart.
Meu modem é Huawei MT800 e está configurado para PPPoE.

[Fernando]

bigreen,

Eu recomendo que você pare o Shorewall e também tire tire qualquer regra iptables que você possa ter (momentaneamente). Peça para alguém de fora da sua rede tentar entrar no seu servidor e poste o resultado.

Fernando.

[bigreen]

Pinguei o domínio e obtive resposta correta do IP (ppp0), sinal que o ez-ipupdate está funcionando.
Desativei o firewall testei o apache na porta 80 e depois na 8081, sem sucesso.
Estou fazendo os testes aqui mesmo, pois tenho outro micro fora da rede que se conecta via linha discada.
O interessante é que o ping da máquina standalone para meu domínio ou direto para o IP público da conexão PPPoE do servidor encontram o destino, porém dão timeout, mesmo o firewall estando desligado. Quando pingo do servidor para o IP da máquila standalone obtenho respostas completas.
Minha máquina de origem dos teste é:
-Micro standalone: Win98 num K6II-400 conectado via modem provedor click21 (totalmente desplugado da rede local).
Vou descolar um tempo pra instalar um servidor com conexão discada e tirar minhas conclusões se tem alguma barreira imposta pelo velox.
Mesmo assim continuo na esperaça de que haja uma luz no fim do túnel.
No aguardo de mais dicas,
[]s

[Fernando]

bigreen,

Já tentou conectar (quando o apache está na 8081) assim http://seu_ip_externo:8081/ de uma máquina de fora da rede?

Se mesmo assim não der acho que o velox está impondo alguma restrição.

Fernando.

[bigreen]

Olá Fernando,

Obtive alguns avanços agora a noite. Com o auxílio de outra máquina rodando IIS sob XuxaPark(XP) consegui fazer o DNAT redirecionar com sucesso para ela usando as portas 8079, 8080, 8081 e 8082.
Então ficou claro que o problema é de firewall/roteamento/DNAT para o próprio servidor. A mesma regra que apliquei no DNAT para direcionar para a máquina XP tentei empregar e não deu certo em nenhuma das portas. Como uso Shorewall em vez do ipchains não estou conseguindo entender legal como inserir corretamente estas regras. Elas estão assim:
DNAT net loc:192.168.1.254:80 tcp 8081
DNAT net loc:192.168.1.2:80 tcp 8079
A segunda está direcionando para o XP. A primeira que deveria liberar o apache não acontece. Falta alguma coisa para aceitar conexões na porta local? Observe que a máquina 192.168.1.254 está como firewall, gateway, proxy e WebServer. Tem como?
Sei que não é recomendado, mais insisto nesta arquitetura porque só posso deixar uma máquina ligado full-time.
[]
Jair

[Fernando]

bigreen,

Nunca usei o Shorewall, por isso acho que não consigo tentar te ajudar nessa parte. A única coisa que eu acho que você poderia fazer é rodar iptables -L para ver se você não está com nenhuma regra do iptables que esteja bloqueando a porta em que o apache está rodando.

Fernando.

[bigreen]

Aí é que a "vaca tosse". Para um iniciante entender as regras listadas pelo iptables é complicado. Tem um monte de chains e tabelas, não sei onde procurar.
Posso colocar ele aqui pra ver se consegue ajudar?

[Fernando]

bigreen Escreveu:Posso colocar ele aqui pra ver se consegue ajudar?

É claro, poste ai e vamos tentar arrumar um jeito.

[bigreen]

Matei a charada! Faço um DNAT pra outra máquina e funciona. Porém não posso fazer DNAT para o próprio servidor, não é isto?
Inseri a regra ACCEPT net fw tcp 8080 e funcionou. Ou seja, tenho que aceitar conexões de entrada da internet nesta porta. O porém dos poréns, é que não posso usar esta regra no mesmo servidor que faz mascaramento para acesso a internet (roteamento), pois dá m... geral.
Fico temporariamente satisfeito com esta conclusão e vou optar por um webserver à parte.
Muito obrigado!