dh-00

gostaria de saber como posso fazer para q ao meu server receber uma chamada em determinada porta( e como posso configurar esta porta?) , a conexão seja transferida para outro micro e em outra porta.
desde ja agradeço.

geekbr

Veja o exemplo


ip_wan=ip da wan/internet
ip_http=ip da lan

iptables -A PREROUTING -t nat -p tcp -d $ip_wan --dport 80 -j DNAT --to
$ip_http:80


qualquer duvida veja aki
http://iptables.linuxit.com.br

dh-00

-----------
cara, nao deu certo
utlizo uma estação em linux como servidor de dados, e atraves dela quero fazer uma ponte q me comunique com outro micro windows
assim:
me conecto pelo vnc por exemplo a estação linux pela porta 145, a estação linux q redireciona para a estação windows na porta 145.
desde ja agradeço.

dh-00

só mais uma duvida, para mim aplicar essa regra é so ir em um terminal como root, escreve-la e dar enter?
sou novato em regras de firewall ainda

geekbr

Cara .. essa tua makina linux tá ligada na internet ?? tem firewall ?? que distro roda nela ??


passe mais informações ok ??
8O

jqueiroz

O comando fica numa linha só, ok? saiu em 2 linhas por engano.

Não esqueça de preencher os valores do seu endereço IP da internet, e do endereço da LAN. Não esqueça também que esse comando tem que ser executado na máquina que faz o compartilhamento, não no servidor.

Aliás, como está montada sua rede? Se o compartilhamento estiver sendo feito num modem ADSL router, nem é pra usar o comando acima.

__________________

Edivan013

Olá Pessoal, seguinte dê uma olhada nesse link:

http://www.forumboadica.com.br/viewtopic.php?t=55714

__________________
Edivan013

Edivan013

Desculpa o link acima é para "Firewall"

# Para redirecionar portas é o seguinte:

/sbin/ipmasqadm autofw -A -r tcp 5800 5800 -h 192.168.0.37
/sbin/ipmasqadm autofw -A -r tcp 5900 5900 -h 192.168.0.37


# Portas usadas pelo vnc = 5800 e 5900
# IP (192.168.0.37) que eu quero redirecionar a chamada

boa sorte
Edivan

__________________
Edivan013

dh-00

------------
sim ela esta na net, com firewall, e etc...

waraujo

Bom dia Amigo!

Como está a sua rede ?

Um exemplo:
Interface eth0 = Interface da Internet = 200.201.xxx.xxx
Interface eth1 = Interface da sua LAN = 192.168.10.1

AS suas máquinas da LAN estão acessando a internet através de NAT (por exemplo), todas ligadas a interface eth1.

Os pacotes da direção INTERNET -> SUA LAN, (que requisitam conexão pela porta do vnc - 5800/5900 por padrão) devem ser alterados, de forma que sejam repassados para a sua máquina com VNC.
Ou seja, a conexão "tentará" ser formada com seu linux, o filtro de pacotes irá ler o cabeçalho, e redirecionar para a máquina adequada, de acordo com a regra no seu firewall.

Por exemplo, se vc quer que a máquina 192.168.10.2 que aceite as conexões VNC.


iptables -t nat -A PREROUTING -p tcp --dport 5900 -i eth0 -j DNAT --to 192.168.0.2:5900

TUDO NA MESMA LINHA.

Ah .. só mais uma dica -> Esse negócio de VNC é meio perigoso, se vc puder, na linha do iptables onde está -i eth0, mude para -s [ip permitido para acessar a máquina].

Se vc quiser enteder mesmo de filtragem de pacotes, redirecionamento, firewall, dá uma olhada em www.itpables.org, na parte de Tutoriais, tem alguns em portugues.

Sobre NAT:
http://www.iptables.org/documentation/HOWTO/pt/NAT-HOWTO.html

[]'s

__________________
William Araujo - MCP

domus

gostei do topico, complementou algumas de minhas duvidas, agora tenho uma outra, se eu possuir um FW, cujo a eth0 está na 200.x.x.x e a eth1 está numa rede 10.30.10.x cujo o roteador dessa rede nao pertence a esse FW mas sim uma outra rede DHCP (que nao está sobe meu controle) como posso fazer para que um pedido chegue a min eth0 200.x.x.x) e direcione para um micro 10.30.10.20 por exemplo que sempre obtem esse ip por DHCP de uma outra rede, que bloqueia VNC de fora (200.X.X.X) mas libera o vnc na faixa interna (10.30.10.x)?

estou usando ip fixo na eth1, com a mesma mascara de rede das estaçoes "dhcp" e o mesmo possibilita que eu "converse" com quem está atribuido sob o DHCP

se nao entenderam, eu disponho um esquema por PDF para entederem melhor

obrigado

__________________
http://teltech-life.blogspot.com/

domus

Olá amigo, é perigoso ate que ponto? eu pergunto isso, pq invalidaria aqueles que precisam acessar de locais diferentes que, consequentimente teriam ips diferentes, existe uma politica do iptables que vise a segurança nesse ponto?

__________________
http://teltech-life.blogspot.com/

waraujo

Então, eu acho q em termos de segurança o VNC é perigoso, pois ele não fornece muito em questão de segurança, existem cracks para descobrir as senhas, ele é detectado por portscanners, as pessoas geralmente instalam ele com um serviço no windows ...

Como informei, eu especificaria qual IP pode acessar ele, e até colocaria ele pra escutar em outra porta (que não seja 5800 ou 5900). E no client, é claro, vc vai ter que mudar a porta de conexão também (não sei se é possível, nunca tentei), mas se vc puder, tente.
Na hora de conectar, coloque o IP:PoRTa.

[]´s

__________________
William Araujo - MCP

domus

valeu pela resposta, ainda nao ficou claro a questao de liberar ips para que deem acesso, isso é valido para um 1 ou mais ips clientes certo?

vamos supor que eu seja um cliente vnc que estou em casa utilizando um ADSL ( ip dinamico) e preciso acessar um vnc cujo o FW adotou essa politica de liberar o acesso apenas para ips autorizados, eu como cliente que usa ip dinamico nao ficaria impossibilitado de ter acesso? pelo que entendi isso seria mais viavel para aquele cliente quetem ip fixo e os que nao tem existe uma politca voltada pra isso? ou tem de abrir mao da segurança ficando ciente da exposiçao como mencinou?

__________________
http://teltech-life.blogspot.com/

waraujo

se vc puder disponibilizar o esquema acho q fica melhor

Mas pelo que eu entendi, vc quer acessar uma máquina VNC que está atrás do roteador, certo ? Ah ... e vc quer acessar pela Internet, é isso ?

Internet -> eth0 200.x.x.x -> FW -> eth1 10.30.10.x

se for, vc vai ter que jogar todas as conexões vindas de etjh0 porta 5900 para a sua máquina que está atras do router.

Só que a coisa eh um pouquinho mais complexa.
Como está exatamente sua rede ? Toda rede atras do fw eh 10.30.10.0/255.255.255.0 ? Se for, é soh vc fazer o que eu falei acima, se não, vc vai esbarrar em alguns problemas de roteamento, redirecionamento ... qual é o roteador ? De onde que ele obtem o IP ? O Router é ligado diretamente a um servidor DHCP que recebe um IP válido ?

Se vc puder disponibilizar o diagrama da sua rede, acho que fica um pouco mais fácil

[]´s

__________________
William Araujo - MCP

domus

opa é pra já

http://www.geocities.com/otavio_maia/esquema.pdf

a rede em vermelho nao está sob nosso comando, o certo era essa maquina ficar na rede azul, mas ela esta numa sala bem distante apenas pegando "carona" na rede do parceiro, estou aproveiando apenas o ponto fisico da rede dhcp dele, pra fazer essa nossa estaçao win xp receber conexoes vnc

obrigado

__________________
http://teltech-life.blogspot.com/

dh-00

Li sobre conexão sobre adsl, meu servidor trabalha com adsl, e gostaria de fazer isso, uma conexão vinda de casa, acessar meu servidor via vnc, e poder configurar remotamente os meus serviços.
mas li q não da, e ai, como faço........

domus

fazer isso da, vc pode usar os serviços de subdominios free que existem por ae um deles é o www.dyndns.org

para direcionar o vnc basta fazer que o pessoal explicou direitinho ai em cima, pois eu tb utilizo da mesma forma, a minha duvida é parecida so que sem a funçao do nat

__________________
http://teltech-life.blogspot.com/

geekbr

Na boa .. o vnc transfere dados criptografados, é relativamente seguro sim, mesmo se o cara te estiver snifando só vai pega sujeira alem disso, vc pode aceitar apenas um ou alguns ips externos pra acessarem ele .. da pra fazer pelo iptables, e logar tentativas de outros ips !!

8)

waraujo

Exato !
Infelizmente você teria que saber quais IP´s poderiam acessar a máquina, ou seja, os IP´s teriam que ser fixo sim.
Eu uso O AcesseRápido na minha cidade (banda larga da NET), por isso eu esqueço, apesar de eu assinar o serviço com IP Dinâmico, meu IP muda MUITO raramente, o que o servidor DHCP faz é somente ver se o meu cable modem tá no ar ou não.

__________________
William Araujo - MCP