Problema com NAT
-
Estou com um problema aqui meio complicado.
Tenho uma rede, onde o firewall é um pfsense 2.0-BETA4 (i386) (de cara pra internet com ip dedicado) e preciso fazer acesso ssh externo (de fora pra dentro) até um servidor rodando CentOS 5.3.
====
Na tabela NAT do pfsense ja montei o seguinte redirecionamento de porta:
If | Proto | Src. addr | Src. ports | Dest. addr | Dest. ports | NAT IP | NAT Ports
WAN | TCP/UDP | * | * | * | 3522 | 192.168.10.251 | 22 (SSH)
WAN | TCP/UDP | * | * | * | 5050 | 192.168.10.230 | 3389 (RDP)Ou seja onde qualquer conexão que venha através da rede WAN na porta 3522 seja redirecionada ao servidor na porta 22 (pelo menos essa é minha idéia)
No servidor CentOS criei a seguinte regra:
====
iptables -A INPUT -p tcp -s 0/0 –dport 22 -j ACCEPT
iptables -A FOWARD -p tcp -s 0/0 --dport 22 -j ACCEPTou seja, criei uma regra para as requisições via protocolo tcp na porta 22 de qualquer IP sejam aceitas
====
Alterei o /etc/ssh/sshd_config e descomentei a opção: Port 22
O problema é que Não consigo o acesso via o putty. O putty retorna: Network error: Connection timed out
No entando consigo acesso via putty quando é interno. ( Obs: Não estou tentando sair pela porta wan do firewall pra voltar, tenho duas conexões distintas aqui, uma passa pelo firewal (uma operadora) e a outra é somente minha que acessa somente um computador que está fora da rede (outra operadora)Obs: Quando vou utilizar o MSTSC para conexão remota aos servidores Windows o PF faz o redirecionamento
certinho da porta utilizada para o IPdoservidor na porta 3389O que eu acho muito estranho é o seguinte, ao solicitar acesso via RDP a um servidor Windows pela porta 5050 ( ex. mstsc IPDEDICADO:5050 ) ele encaminha para 192.168.10.230:3389 e me libera o acesso.. Utilizando a mesma conexão, quando solicito acesso ao IPDEDICADO:3522 atravez do putty ele da o erro mencionado acima.
Alguém tem alguma idéia do que pode estar acontecendo???
Tentei ser o mais detalhista possivel para poder ajudar voces a me ajudarem =D
Obrigado pela ajuda!!!
-
GabrielCaim,
Bem vindo ao fórum! :)
mude o destination address da sua regra de nat para wan address e verifique se existe regra de firewall na wan liberando acesso para os ips internos nas portas 22 e 3389.
Com relação ao seu pfsense 2.0 beta, faça backup e planeje um upgrade assim que possível.
att,
Marcello Coutinho -
Obrigado pelas boas vindas =D
Quanto a atualização ja esta agendado para esse FDS =) o antigo TI aqui que deixou assim…
Quanto ao que voce disse... fiz e não deu certo.. Link para imagem: http://imageshack.us/photo/my-images/805/ficouassim.jpg/
So lembrando que apenas o acesso via ssh externo nao funciona... o resto está funcionando e por isso nao mexi...
-
So lembrando que apenas o acesso via ssh externo nao funciona… o resto está funcionando e por isso nao mexi...
Está na hora de usar o bom e velho tcpdump para descobrir onde o pacote está parando. ;)
-
Onde eu encontro os logs de requisição de conexão no PF… tem como filtrar por um determinado IP?
Tipo tem como eu verificar se ao menos o pacote esta chegando nele...?
Como é possivel eu conseguir acesso TS via mstsc e nao conseguir acesso via o putty??
Creio que o problema esta aí...
As regras estão corretas?
nunca utilizei tcpdump e no momento estou muito apertado de tempo para poder aprender...
vlw a atenção =D
-
Onde eu encontro os logs de requisição de conexão no PF… tem como filtrar por um determinado IP?
Tipo tem como eu verificar se ao menos o pacote esta chegando nele...?
nunca utilizei tcpdump e no momento estou muito apertado de tempo para poder aprender...Está na hora de aprender. Na minha opinião tcpdump é ferramenta básica para o sysadmin de firewall.
para saber o básico do tcpdump, leia o tópico sobre tcpdump nos tutoriais aqui do fórum
-
BLZ Marcello… Brigadao a força! =D
-
Como o Marcelloc falou, utilize o tcpdump, e pra ficar mais facil, vá em Diagnostic -> States filtre as portas 3522 e 22, vc saberá se o pf esta redirecionando por exemplo 200.xxx.xxx.232 -> Ip_wan -> 192.168.10.251. Caso contrario va em Status -> System logs-> Firewall e filtre as portas pra ver se está sendo bloqueado.
-
Kelsen… Muito obrigado.... vou verificar isso sim...
Abs.