Problema com NAT



  • Estou com um problema aqui meio complicado.

    Tenho uma rede, onde o firewall é um pfsense 2.0-BETA4 (i386)  (de cara pra internet com ip dedicado) e preciso fazer acesso ssh externo (de fora pra dentro) até um servidor rodando CentOS 5.3.

    ====

    Na tabela NAT do pfsense ja montei o seguinte redirecionamento de porta:

    If      | Proto    | Src. addr | Src. ports | Dest. addr | Dest. ports | NAT IP            | NAT Ports

    WAN | TCP/UDP | *            | *            | *            | 3522        | 192.168.10.251 | 22 (SSH)
    WAN | TCP/UDP | *            | *            | *            | 5050        | 192.168.10.230 | 3389 (RDP)

    Ou seja onde qualquer conexão que venha através da rede WAN na porta 3522 seja redirecionada ao servidor na porta 22 (pelo menos essa é minha idéia)

    No servidor CentOS criei a seguinte regra:

    ====

    iptables -A INPUT -p tcp -s 0/0 –dport 22 -j ACCEPT
    iptables -A FOWARD -p tcp -s 0/0 --dport 22 -j ACCEPT

    ou seja, criei uma regra para as requisições via protocolo tcp na porta 22 de qualquer IP sejam aceitas

    ====

    Alterei o /etc/ssh/sshd_config e descomentei a opção: Port 22

    O problema é que Não consigo o acesso via o putty. O putty retorna: Network error: Connection timed out
    No entando consigo acesso via putty quando é interno. ( Obs: Não estou tentando sair pela porta wan do firewall pra voltar, tenho duas conexões distintas aqui, uma passa pelo firewal (uma operadora) e a outra é somente minha que acessa somente um computador que está fora da rede (outra operadora)

    Obs: Quando vou utilizar o MSTSC para conexão remota aos servidores Windows o PF faz o redirecionamento
    certinho da porta utilizada para o IPdoservidor na porta 3389

    O que eu acho muito estranho é o seguinte, ao solicitar acesso via RDP a um servidor Windows pela porta 5050 ( ex. mstsc IPDEDICADO:5050 ) ele encaminha para 192.168.10.230:3389 e me libera o acesso.. Utilizando a mesma conexão, quando solicito acesso ao IPDEDICADO:3522 atravez do putty ele da o erro mencionado acima.

    Alguém tem alguma idéia do que pode estar acontecendo???

    Tentei ser o mais detalhista possivel para poder ajudar voces a me ajudarem =D

    Obrigado pela ajuda!!!



  • GabrielCaim,

    Bem vindo ao fórum! :)

    mude o destination address da sua regra de nat para wan address e verifique se existe regra de firewall na wan liberando acesso para os ips internos nas portas 22 e 3389.

    Com relação ao seu pfsense 2.0 beta, faça backup e planeje um upgrade assim que possível.

    att,
    Marcello Coutinho



  • Obrigado pelas boas vindas =D

    Quanto a atualização ja esta agendado para esse FDS =) o antigo TI aqui que deixou assim…

    Quanto ao que voce disse... fiz e não deu certo.. Link para imagem: http://imageshack.us/photo/my-images/805/ficouassim.jpg/

    So lembrando que apenas o acesso via ssh externo nao funciona... o resto está funcionando e por isso nao mexi...



  • @GabrielCaim:

    So lembrando que apenas o acesso via ssh externo nao funciona… o resto está funcionando e por isso nao mexi...

    Está na hora de usar o bom e velho tcpdump para descobrir onde o pacote está parando. ;)



  • Onde eu encontro os logs de requisição de conexão no PF… tem como filtrar por um determinado IP?

    Tipo tem como eu verificar se ao menos o pacote esta chegando nele...?

    Como é possivel eu conseguir acesso TS via mstsc e nao conseguir acesso via o putty??

    Creio que o problema esta aí...

    As regras estão corretas?

    nunca utilizei tcpdump e no momento estou muito apertado de tempo para poder aprender...

    vlw a atenção =D



  • @GabrielCaim:

    Onde eu encontro os logs de requisição de conexão no PF… tem como filtrar por um determinado IP?
    Tipo tem como eu verificar se ao menos o pacote esta chegando nele...?
    nunca utilizei tcpdump e no momento estou muito apertado de tempo para poder aprender...

    Está na hora de aprender. Na minha opinião tcpdump é ferramenta básica para o sysadmin de firewall.

    para saber o básico do tcpdump, leia o tópico sobre tcpdump nos tutoriais aqui do fórum



  • BLZ Marcello… Brigadao a força! =D



  • Como o Marcelloc falou, utilize o tcpdump, e pra ficar mais facil, vá em Diagnostic -> States  filtre as portas 3522 e 22, vc saberá se o pf esta redirecionando por exemplo 200.xxx.xxx.232 -> Ip_wan -> 192.168.10.251. Caso contrario va em Status -> System logs-> Firewall e filtre as portas pra ver se está sendo bloqueado.



  • Kelsen… Muito obrigado.... vou verificar isso sim...

    Abs.


Log in to reply