Problema com NAT

GabrielCaim

Estou com um problema aqui meio complicado.

Tenho uma rede, onde o firewall é um pfsense 2.0-BETA4 (i386)  (de cara pra internet com ip dedicado) e preciso fazer acesso ssh externo (de fora pra dentro) até um servidor rodando CentOS 5.3.

====

Na tabela NAT do pfsense ja montei o seguinte redirecionamento de porta:

If      | Proto    | Src. addr | Src. ports | Dest. addr | Dest. ports | NAT IP            | NAT Ports

WAN | TCP/UDP | *            | *            | *            | 3522        | 192.168.10.251 | 22 (SSH)
WAN | TCP/UDP | *            | *            | *            | 5050        | 192.168.10.230 | 3389 (RDP)

Ou seja onde qualquer conexão que venha através da rede WAN na porta 3522 seja redirecionada ao servidor na porta 22 (pelo menos essa é minha idéia)

No servidor CentOS criei a seguinte regra:

====

iptables -A INPUT -p tcp -s 0/0 –dport 22 -j ACCEPT
iptables -A FOWARD -p tcp -s 0/0 --dport 22 -j ACCEPT

ou seja, criei uma regra para as requisições via protocolo tcp na porta 22 de qualquer IP sejam aceitas

====

Alterei o /etc/ssh/sshd_config e descomentei a opção: Port 22

O problema é que Não consigo o acesso via o putty. O putty retorna: Network error: Connection timed out
No entando consigo acesso via putty quando é interno. ( Obs: Não estou tentando sair pela porta wan do firewall pra voltar, tenho duas conexões distintas aqui, uma passa pelo firewal (uma operadora) e a outra é somente minha que acessa somente um computador que está fora da rede (outra operadora)

Obs: Quando vou utilizar o MSTSC para conexão remota aos servidores Windows o PF faz o redirecionamento
certinho da porta utilizada para o IPdoservidor na porta 3389

O que eu acho muito estranho é o seguinte, ao solicitar acesso via RDP a um servidor Windows pela porta 5050 ( ex. mstsc IPDEDICADO:5050 ) ele encaminha para 192.168.10.230:3389 e me libera o acesso.. Utilizando a mesma conexão, quando solicito acesso ao IPDEDICADO:3522 atravez do putty ele da o erro mencionado acima.

Alguém tem alguma idéia do que pode estar acontecendo???

Tentei ser o mais detalhista possivel para poder ajudar voces a me ajudarem =D

Obrigado pela ajuda!!!

marcelloc

GabrielCaim,

Bem vindo ao fórum! :)

mude o destination address da sua regra de nat para wan address e verifique se existe regra de firewall na wan liberando acesso para os ips internos nas portas 22 e 3389.

Com relação ao seu pfsense 2.0 beta, faça backup e planeje um upgrade assim que possível.

att,
Marcello Coutinho

GabrielCaim

Obrigado pelas boas vindas =D

Quanto a atualização ja esta agendado para esse FDS =) o antigo TI aqui que deixou assim…

Quanto ao que voce disse... fiz e não deu certo.. Link para imagem: http://imageshack.us/photo/my-images/805/ficouassim.jpg/

So lembrando que apenas o acesso via ssh externo nao funciona... o resto está funcionando e por isso nao mexi...

marcelloc

@GabrielCaim:

So lembrando que apenas o acesso via ssh externo nao funciona… o resto está funcionando e por isso nao mexi...

Está na hora de usar o bom e velho tcpdump para descobrir onde o pacote está parando. ;)

GabrielCaim

Onde eu encontro os logs de requisição de conexão no PF… tem como filtrar por um determinado IP?

Tipo tem como eu verificar se ao menos o pacote esta chegando nele...?

Como é possivel eu conseguir acesso TS via mstsc e nao conseguir acesso via o putty??

Creio que o problema esta aí...

As regras estão corretas?

nunca utilizei tcpdump e no momento estou muito apertado de tempo para poder aprender...

vlw a atenção =D

marcelloc

@GabrielCaim:

Onde eu encontro os logs de requisição de conexão no PF… tem como filtrar por um determinado IP?
Tipo tem como eu verificar se ao menos o pacote esta chegando nele...?
nunca utilizei tcpdump e no momento estou muito apertado de tempo para poder aprender...

Está na hora de aprender. Na minha opinião tcpdump é ferramenta básica para o sysadmin de firewall.

para saber o básico do tcpdump, leia o tópico sobre tcpdump nos tutoriais aqui do fórum

GabrielCaim

BLZ Marcello… Brigadao a força! =D

kelsen

Como o Marcelloc falou, utilize o tcpdump, e pra ficar mais facil, vá em Diagnostic -> States  filtre as portas 3522 e 22, vc saberá se o pf esta redirecionando por exemplo 200.xxx.xxx.232 -> Ip_wan -> 192.168.10.251. Caso contrario va em Status -> System logs-> Firewall e filtre as portas pra ver se está sendo bloqueado.

GabrielCaim

Kelsen… Muito obrigado.... vou verificar isso sim...

Abs.