Responder 
 
Avaliação do Tópico:
  • 0 Votos - 0 Média
  • 1
  • 2
  • 3
  • 4
  • 5
Terminal Services x Iptables
09/10/2010, 20:36
Resposta: #1
Terminal Services x Iptables
Blz galera. Estou com um problemaço. Programei um proxy/firewall com iptables. Tudo redondinho, exceto pelo TS. as estações precisam acessar um servidor rodando Windows Server 2008. Mas não acessa nem a pau. dá mensagem que o computador remoto não respondeu. Já varri internet, tutoriais, etc. Nada. Já formatei instalei e configurei do zero, coloquei modem como bridge com o próprio servidor conectando. Nada. Se alguém puder me dar uma luz, pq já não sei mais o que fazer. Segue meu script de firewall.
Código:
eth0 = rede local
eth1 = net

## Ativa Modulos
# -------------------------------------------------------
modprobe ip_tables
modprobe ip_conntrack
modprobe iptable_filter
modprobe iptable_mangle
modprobe iptable_nat
modprobe ipt_LOG
modprobe ipt_limit
modprobe ipt_state
modprobe ipt_REDIRECT
modprobe ipt_owner
modprobe ipt_REJECT
modprobe ipt_MASQUERADE
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

## Zera regras
# -------------------------------------------------------
iptables -F
iptables -Z
iptables -X
iptables -t nat -F

## Determina a politica padrao
# -------------------------------------------------------
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

## Ativa roteamento no kernel
# -------------------------------------------------------
echo "1" > /proc/sys/net/ipv4/ip_forward

echo "1" > /proc/sys/net/ipv4/ip_dynaddr

echo "1" > /proc/sys/net/ipv4/tcp_syncookies

echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

echo "1" > /proc/sys/net/ipv4/conf/all/proxy_arp

echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route

echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects

echo "1" > /proc/sys/net/ipv4/conf/all/secure_redirects

echo "1" > /proc/sys/net/ipv4/conf/all/log_martians

echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

## Abre para a interface de loopback.
# -------------------------------------------------------
iptables -A INPUT -s 127.0.0.1 -i lo -j ACCEPT
iptables -A INPUT -s 192.168.3.0 -i lo -j ACCEPT
iptables -A INPUT -s 192.168.2.0 -i lo -j ACCEPT

## ACCEPT (libera) pacotes de retorno da internet
# -------------------------------------------------------
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

## Libera o HTTP
# -------------------------------------------------------
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

## DNS - Libera a resolucao de nomes
# -------------------------------------------------------
#INPUT
iptables -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --sport 53 -j ACCEPT
iptables -A INPUT -p udp -m udp --sport 53 -j ACCEPT

## DHCP
# -------------------------------------------------------
iptables -A INPUT -p udp -i eth0 --sport 79 -d 192.168.2.254 -j ACCEPT

## Mascaramento de rede para acesso externo
# -------------------------------------------------------
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

## Redirencionar portas 80 para 3128
# -------------------------------------------------------
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 3128

# -------------------------------------------------------
iptables -I FORWARD -p tcp -i eth0 --dport 80 -j ACCEPT
iptables -I FORWARD -p tcp -i eth0 --dport 443 -j ACCEPT

## Fechando LocalHost:
# -------------------------------------------------------
iptables -A INPUT -m tcp -p tcp -s 127.0.0.1 --dport 3128 -j DROP

## Libera a conexao para a rede interna
# -------------------------------------------------------
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

## TLL
# -------------------------------------------------------
iptables -t mangle -A OUTPUT -o eth1 -j TTL --ttl-set 200

## Aceita conexoes vindas da rede interna com destino ao web server
# -------------------------------------------------------
iptables -A INPUT -p tcp -i eth0 --syn --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --syn --dport 443 -j ACCEPT

## Abre para uma faixa de endereco da rede local
# -------------------------------------------------------
iptables -A INPUT -p tcp --syn -i eth0 -j ACCEPT

## Abre rede
# -------------------------------------------------------
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A OUTPUT -o eth0 -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A OUTPUT -o eth1 -j ACCEPT

## Libera o MSN
# -------------------------------------------------------
#iptables -A INPUT -p tcp --dport 1863 -j ACCEPT

## Terminal Server
# -------------------------------------------------------
#iptables -A INPUT -p tcp --dport 3389 -j ACCEPT
#iptables -t nat -A PREROUTING -p tcp --dport 3389 -i eth1 -j DNAT --to 192.168.2.253:3389

## VNC
# -------------------------------------------------------
#iptables -A INPUT -p tcp --dport 5900 -j ACCEPT
#iptables -A INPUT -p tcp --dport 5800 -j ACCEPT

## Liberando SSH (porta 6689 e 22 )
# -------------------------------------------------------
iptables -A INPUT -p tcp --dport 6689 -j ACCEPT

## Liberando Webmin (porta 332)
# -------------------------------------------------------
iptables -A INPUT -p tcp --dport 332 -j ACCEPT

## Libera o mysql
# -------------------------------------------------------
#iptables -A INPUT -p tcp --dport 3306 -j ACCEPT
#iptables -A INPUT -p tcp --dport 3310 -j ACCEPT

## Libera o POP SMTP
# -------------------------------------------------------
#iptables -A INPUT -p tcp --dport 25 -j ACCEPT #SMTP
#iptables -A INPUT -p tcp --dport 110 -j ACCEPT #POP
#iptables -A INPUT -p tcp --dport 465 -j ACCEPT #SMTP
#iptables -A INPUT -p tcp --dport 587 -j ACCEPT #SMTP
#iptables -A INPUT -p tcp --dport 995 -j ACCEPT #POP

## Fechando as portas do samba caso fique de cara para a internet.
# -------------------------------------------------------
iptables -A INPUT -p tcp -i eth1 --syn --dport 137 -j DROP
iptables -A INPUT -p tcp -i eth1 --syn --dport 138 -j DROP
iptables -A INPUT -p tcp -i eth1 --syn --dport 139 -j DROP
iptables -A INPUT -p tcp -i eth1 --syn --dport 445 -j DROP

## Bloqueando U89 - software burlador de proxy
# -------------------------------------------------------
iptables -A FORWARD -p tcp --dport 9666 -j DROP

##Bloqueio de Multicast
# -------------------------------------------------------
iptables -A INPUT -s 224.0.0.0/8 -d 0/0 -j DROP
iptables -A INPUT -s 0/0 -d 224.0.0.0/8 -j DROP

##Bloqueio de Black Orifice
# -------------------------------------------------------
iptables -A INPUT -p tcp -i eth1 --dport 12345:12345 -j DROP
iptables -A INPUT -p udp -i eth1 --dport 12345:12345 -j DROP

##Bloqueio acesso X server
# -------------------------------------------------------
iptables -A INPUT -p tcp -i eth1 --dport 5999:6003 -j DROP
iptables -A INPUT -p udp -i eth1 --dport 5999:6003 -j DROP
iptables -A INPUT -p tcp -i eth1 --dport 7100 -j DROP

##Bloqueio de NetBus
# -------------------------------------------------------
iptables -A INPUT -p tcp -i eth1 --dport 31337 -j DROP
iptables -A INPUT -p udp -i eth1 --dport 31337 -j DROP

##Proteç Contra IP Spoofing
# -------------------------------------------------------
iptables -A INPUT -s 10.0.0.0/8 -i eth1 -j DROP
iptables -A INPUT -s 127.0.0.0/8 -i eth1 -j DROP
iptables -A INPUT -s 172.16.0.0/16 -i eth1 -j DROP
iptables -A INPUT -s 192.168.0.0/24 -i eth1 -j DROP

## Protecao diversas contra portscanners, ping of death, ataques DoS, etc.
# -------------------------------------------------------
#INPUT
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -m state --state INVALID -j REJECT
iptables -A INPUT -p tcp -i eth1 --dport 1023:65535 -j ACCEPT
iptables -A INPUT -p udp -i eth1 --dport 1023:65535 -j ACCEPT
iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p udp -s 0/0 -i eth1 --dport 33435:33525 -j REJECT
iptables -A INPUT -p icmp -i eth1 -j DROP
iptables -A INPUT -p icmp --icmp-type echo-reply -s 0/0 -i eth1 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type destination-unreachable -s 0/0 -i eth1 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type time-exceeded -s 0/0 -i eth1 -j ACCEPT
iptables -A OUTPUT -p icmp -o eth1 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p icmp -j DROP
iptables -A INPUT -i eth1 -p tcp --syn -j DROP

#FORWARD
iptables -A FORWARD -m state --state INVALID -j DROP
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --dport 135 -i eth1 -j REJECT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP

#VALID
iptables -N VALID_CHECK
iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL ALL -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL NONE -j DROP

# Protecao contra port scanners
# -------------------------------------------------------
iptables -N SCANNER
iptables -A SCANNER -m limit --limit 5/m -j LOG --log-level 6 --log-prefix "FIREWALL: port scanner: "
iptables -A SCANNER -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -i eth1 -j SCANNER
iptables -A INPUT -p tcp --tcp-flags ALL NONE -i eth1 -j SCANNER
iptables -A INPUT -p tcp --tcp-flags ALL ALL -i eth1 -j SCANNER
iptables -A INPUT -p tcp --tcp-flags ALL FIN,SYN -i eth1 -j SCANNER
iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -i eth1 -j SCANNER
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -i eth1 -j SCANNER
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -i eth1 -j SCANNER

# Protecao contra tronjans
# -------------------------------------------------------
iptables -N TROJAN
iptables -A TROJAN -m limit --limit 5/m -j LOG --log-level 6 --log-prefix "FIREWALL: trojan: "
iptables -A TROJAN -j DROP
iptables -A INPUT -p tcp -i eth1 --dport 666 -j TROJAN
iptables -A INPUT -p tcp -i eth1 --dport 666 -j TROJAN
iptables -A INPUT -p tcp -i eth1 --dport 4000 -j TROJAN
iptables -A INPUT -p tcp -i eth1 --dport 6000 -j TROJAN
iptables -A INPUT -p tcp -i eth1 --dport 6006 -j TROJAN
iptables -A INPUT -p tcp -i eth1 --dport 16660 -j TROJAN

# Protecao contra trinoo
# -------------------------------------------------------
iptables -N TRINOO
iptables -A TRINOO -m limit --limit 5/m -j LOG --log-level 6 --log-prefix "FIREWALL: trinoo: "
iptables -A TRINOO -j DROP
iptables -A INPUT -p tcp -i eth1 --dport 1524 -j TRINOO
iptables -A INPUT -p tcp -i eth1 --dport 27444 -j TRINOO
iptables -A INPUT -p tcp -i eth1 --dport 27665 -j TRINOO
iptables -A INPUT -p tcp -i eth1 --dport 31335 -j TRINOO
iptables -A INPUT -p tcp -i eth1 --dport 34555 -j TRINOO
iptables -A INPUT -p tcp -i eth1 --dport 35555 -j TRINOO

##Negar Ident
# -------------------------------------------------------
iptables -A INPUT -p tcp -m tcp --dport 113 -j REJECT --reject-with tcp-reset

## Reset em conexoes para portas desconhecidas
# ---------------------------------------------------------
iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset

## Esta regra e coracao do firewall ,
# -------------------------------------------------------
iptables -A INPUT -p tcp --syn -j DROP

O modem está somente como bridge, sem nat, sem DMZ, nada. Não sei mais o que fazer.
Se alguém puder recomendar um script que libere orkut, msn, conectividade social, ssh, terminal service, aceito.
Uma coisa estranha é que não é nem o acesso externo ao servidor que não funciona. Nem as máquinas que estão na mesma rede interna que o ervidor não conseguem acessá-lo.
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
10/10/2010, 20:45
Resposta: #2
Re: Terminal Services x Iptables
Ninguém? Amanhã vou repcisar voltar no cliente resolver isso e não sei por onde começar!
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
13/10/2010, 10:09
Resposta: #3
Re: Terminal Services x Iptables
Na verdade não entendi seu problema. As máquinas da rede interna n ão conseguem acessar o TS na porta 3389? Ou você quer liberar uma máquina interna na porta 3389?
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
13/10/2010, 13:00
Resposta: #4
Re: Terminal Services x Iptables
spikey, os micros da rede interna não acessam o servidor usando area de trabalho remota. Tipo, uma estação de ip 10.1.1.5, acessar o desktop remoto do servidor 10.1.1.150 (na mesma rede), passando pelo meu firewall 10.1.1.1.
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
13/10/2010, 16:15
Resposta: #5
Re: Terminal Services x Iptables
Olá,

Pelo que descreveu, seu problema não esta relacionado com o seu firewall.

Acesso na mesma subrede não passa pelo gateway. Recomendo verificar o seu servidor de Terminal. Dê um telnet ipdoservidordeterminalservice 3389 de seu servidor de TS e veja se fecha conexão.

Verifique o firewall do Windows Server 2008. Em seus testes, desabilite-o. Anti-virus como o Kaspersky e outros se mal configurado também pode bloquear conexões ao seu servidor.

Verifique nos log's do Windows Server 2008 se existe algum problema também.

Espero ter ajudado

André Luiz
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
13/10/2010, 20:37
Resposta: #6
Re: Terminal Services x Iptables
valeu andlss. Realmente o antivírus no escritório é Kasper (inclusive no servidor TS). Mas nem cheguei a cogitar essas hipótese, pois afinal quando tiro o firewall da rede e deixo somente o modem como gateway, conecta. Mas vou conciderar sua sugestão e vou verificar o Kasper no servidor.
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
14/10/2010, 09:12
Resposta: #7
Re: Terminal Services x Iptables
Você tem proxy setado no navegador? Faça o seguinte somente para ver se funciona:

Código:
iptables -I FORWARD -p tcp --dport 3389 -j ACCEPT

Após testa remova a regra ou crie o source.
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
14/10/2010, 09:30
Resposta: #8
Re: Terminal Services x Iptables
spikey, não é setado no navegador, é um proxy transparente. Jah havia colocado essa regra, e não deu também. Caras, eu já vasculhei internet a fora em busca de solução, já formatei e refiz do zero o firewall (com uma configuração diferente). Tah difícil.
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
14/10/2010, 17:20
Resposta: #9
Re: Terminal Services x Iptables
Boa tarde,

Se a sua desconfiança e o firewall, habilite o log do mesmo e verifique pelo log o que esta acontecendo.

Até mais...

A melhor forma de aprendizado e aquela em que um grupo de pessoas, tentam ajudar umas as outras.
________________
Marcelo R. Silva
http://mrs-linux.blogspot.com
Visitar o website do usuário Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
15/10/2010, 11:03
Resposta: #10
Re: Terminal Services x Iptables
Neste caso recomendo também um monitoramento com o tcpdump:

Código:
tcpdump -i any port 3389 -n

Veja onde para a conexão.
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
15/10/2010, 11:54
Resposta: #11
Re: Terminal Services x Iptables
galera, parece que era o Firewall do windows server 2008 que estava conflitando com minhas regras de firewall iptables. Desativei o firewall do server e funcionou. Deicei ainda em teste. Amanhã terei certeza.
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
Responder 


Ir ao Fórum:


Usuários visualizando este tópico: 1 Visitantes

Entre em Contato | Fórum Debian | Voltar ao Topo | Voltar ao Conteúdo | Modo Leve (Arquivo) | Feeds RSS