Author Topic: problema com port forward na interface pppoe (Resolvido)  (Read 4029 times)

andremedeiross

  • Zen Monk
  • **
  • Posts: 69
  • Karma: +0/-0
    • View Profile
problema com port forward na interface pppoe (Resolvido)
« on: June 18, 2010, 02:33:34 pm »
Olá Pessoal

verifiquei este mesmo problema, no forum e foi nosso amigo Jorge Quintão que o teve
http://forum.ebox-platform.com/index.php?topic=3199.0

porém pelo que vi a versão do ebox dele era 1.4, e o J.A.Calvo informou que o bug foi fixado na versão 1.4.3

pois é, a versão do meu ebox-firewall é 1.4.5 e estou com este problema, a algumas semanas atrás o Jorge Quintão sugeriu que eu colocasse o redirecionamento na unha em /etc/ebox/hooks/firewall.postservice

inseri isto
 sudo iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 8080 -j DNAT --to 192.168.1.20:8080

mas mesmo assim continuou o problema, como não solucionou removi a linha

abaixo está a saída do iptables -t nat -L -n -v
Quote
Chain PREROUTING (policy ACCEPT 545 packets, 91500 bytes)
 pkts bytes target     prot opt in     out     source               destination        
  151 28575 premodules  all  --  *      *       0.0.0.0/0            0.0.0.0/0          
    2   108 DNAT       tcp  --  ppp0   *       0.0.0.0/0            XXX.XXX.XXX.XXX       tcp dpt:8080 to:192.168.1.20
    0     0 DNAT       tcp  --  eth0   *       0.0.0.0/0            162.198.100.2       tcp dpt:8080 to:192.168.1.20
    0     0 DNAT       tcp  --  ppp0   *       0.0.0.0/0            XXX.XXX.XXX.XXX       tcp dpt:7389 to:192.168.1.20:3389
    0     0 DNAT       tcp  --  ppp0   *       XXX.XXX.XXX.XXX         XXX.XXX.XXX.XXX       tcp dpt:3050 to:162.198.100.1:7357
    0     0 DNAT       tcp  --  ppp0   *       XXX.XXX.XXX.XXX         XXX.XXX.XXX.XXX       tcp dpt:3050 to:162.198.100.1:7357
    0     0 DNAT       tcp  --  eth0   *       0.0.0.0/0            192.168.1.2         tcp dpt:8080 to:192.168.1.20

Chain POSTROUTING (policy ACCEPT 22438 packets, 1425K bytes)
 pkts bytes target     prot opt in     out     source               destination        
 6376  403K postmodules  all  --  *      *       0.0.0.0/0            0.0.0.0/0          
   34  2305 MASQUERADE  all  --  *      ppp0    0.0.0.0/0            0.0.0.0/0          

Chain OUTPUT (policy ACCEPT 22565 packets, 1435K bytes)
 pkts bytes target     prot opt in     out     source               destination        

Chain postmodules (1 references)
 pkts bytes target     prot opt in     out     source               destination        

Chain premodules (1 references)
 pkts bytes target     prot opt in     out     source               destination

Coloquei XXX nos ips externos como segurança ao publicar no fórum
a minha intenção é sempre que entrar pela ppp0 na porta 8080 vá para 192.168.1.20:8080

pelo que vi na tabela de redirecionamentos do iptables minha configuração em eth2 está sendo feita corretamente para ppp0, pois no Port Forward do ebox ao invés de aparecer ppp0 está a eth2 que está plugada no modem, a conexão ppp0 está funcionando tanto é q o ebox está acessando a internet normalmente mas não está redirecionando as portas

-----------------------------------------------

Fiz uma comparação das tabelas de roteamento entre o ebox 1.4.5 e outro ebox 1.3 que tenho no mesmo local, o 1.3 está funcionando mas com o ip-fixo normal
e o 1.4.5 funcionando com um tal de ip-fixo plus que a companhia telefonica passou a disponibilizar agora como pppoe

ebox 1.3
Quote
 647 32132 DNAT       tcp  --  eth0   *       0.0.0.0/0            XXX.XXX.XXX.XXX       tcp dpt:8080 to:192.168.1.20:8080

ebox 1.4.5
Quote
  1    60      DNAT       tcp  --  ppp0   *       0.0.0.0/0            XXX.XXX.XXX.XXX       tcp dpt:8080 to:192.168.1.20:8080

espero que alguém possa me dar um help pois preciso desativar o 1.3 e passar a usar o 1.4.5 pois este link pppoe é de 4mb e o outro q está no 1.3 é só de 500k e o pessoal está me enchendo a paciência, acho q se eu tivesse feito o servidor todo na unha já estaria tranquilo a muito mais tempo, e com o ebox fico dependente de funcionar direito

-------------------------------

Agora por via das dúvidas criei um serviço no ebox com a porta 8080, e dei permissão no firewall para conexões externas ao ebox pela porta 8080, mas mesmo assim, nada de funcionar  :(
« Last Edit: July 15, 2010, 04:56:53 pm by andremedeiross »
-----------------------------------------------
Buscai ao Senhor enquanto se pode achar,
invocai-o enquanto está perto.
-----------------------------------------------

andremedeiross

  • Zen Monk
  • **
  • Posts: 69
  • Karma: +0/-0
    • View Profile
Re: problema com port forward na interface pppoe
« Reply #1 on: June 18, 2010, 09:38:47 pm »
Aí pessoal, preciso desse help mesmo, consegui algo mas tenho q solucionar

instalei o redir
aptitude install redir

ele redireciona portas facilmente sem aquelas linhas enormes e ainda por cima o redirecionamento fira um daemon na memória se quiser parar é só dar um kill

depois desabilitei o firewall do ebox

executei o comando
redir --lport=8080 --caddr=192.168.1.20 --cport=8080

testei de onde estou e voilá, num é que funcionou
agora não sei se o problema está no port forward ou no firewall

claro q no firewall eu desbloqueei a porta 8080 mas não sei oq se passa
-----------------------------------------------
Buscai ao Senhor enquanto se pode achar,
invocai-o enquanto está perto.
-----------------------------------------------

andremedeiross

  • Zen Monk
  • **
  • Posts: 69
  • Karma: +0/-0
    • View Profile
Re: problema com port forward na interface pppoe
« Reply #2 on: June 21, 2010, 02:57:38 pm »
é pelo jeito terei que criar um firewall na unha pois o port forward do ebox não está funcionando mesmo ou é o filtro de pacotes que não está, coloquei para exibir logs toda vez q acessar a porta 8080 pelo firewall do ebox mas não registra nada, liberei a porta 8080 de redes externas para o ebox, de redes externas para redes interna, de redes internas para redes externas, mas não funciona

já que não está funcionando o firewall do ebox então preciso de esclarecer algumas dúvidas
terei que criar um script de firewall

com o firewall do ebox parado funciona o proxy transparent ou preciso adicionar regras no script para redirecionamento de portas da 80 para 3128?

alguém tem alguma sugestão especial sobre o script que irei criar para bloquear portas e liberar somente as que irei utilizar no servidor

sei q tenho q liberar a 80, 443, 8080, 3128 somente interna, samba somente interno, bind somente interno, ssh,

nossa vai dar trabalho hein!
-----------------------------------------------
Buscai ao Senhor enquanto se pode achar,
invocai-o enquanto está perto.
-----------------------------------------------

nicolasdiogo

  • Forum Moderator
  • Zen Samurai
  • *****
  • Posts: 263
  • Karma: +3/-0
  • a pessimist, but trying out optimism
    • View Profile
    • BrainPowered Business Intelligence Consultancy - UK
Re: problema com port forward na interface pppoe
« Reply #3 on: June 21, 2010, 11:51:43 pm »
andre

nao entendo bem sua pergunta mas quanto Ebox firewall nao funcionar bem ?!

parece que vc esta achando problema onde nao ha.

eu tenho installado ebox em tres different locais - incluindo o meu escritorio e o firewall functiona muito bem,

tenho VPN,WWW,FTP,SMTP,POP redirecionados pelo firewall e funcionao sem problema.

abraco

Nicolas
my opinions and suggestion expressed on this forum are my own as a user.
please note that i am not part of the Zentyal Development Team

www.brainpowered.net - supporting open-source Business Intelligence in Europe

andremedeiross

  • Zen Monk
  • **
  • Posts: 69
  • Karma: +0/-0
    • View Profile
Re: problema com port forward na interface pppoe
« Reply #4 on: June 22, 2010, 02:23:24 pm »
nicolas

eu tbm tenho o e-box instalado em 3 lugares, e o firewall funciona sim muito bem, e é bem prático, mas leia mais acima qual o meu problema

no caso não está funcionando corretamente para conexão pppoe, pois ao fazer redirecionamento de portas pela interface ppp0 o firewall não está abrindo as portas para esta interface, e no caso preciso que seja interface ppp0 pois a companhia telefonica de são paulo somente está disponibilizando agora ip-fixo por pppoe ela não disponibiliza mais o antigo ipfixo que colocavamos o ip direto na interface e o modem vinha configurado para isso, agora os modens são todos em bridge e necessitam que seja feita conexão pppoe

por alguma razão desconhecida o firewall do e-box não está liberando as portas atravéz da interface ppp0, mas o redirecionamento está sendo feito, porém deque adianta o redirecionamento ser feito se as portas não são liberadas

até colocar regras de liberação de portas no ebox coloquei mas nada absolutamente nada, preciso de um help aqui da comunidade mas ninguém se dispõe, com certeza estão todos muito ocupados, então o meu jeito será criar um próprio script de firewall

--------------------------------------------------------------------
Fiz testes com o firewall do ebox  e se eu libero a porta do ssh ou http para a interface ppp0 funciona, o caso então está no redirecionamento

nossa já estou ficando doido não sei onde está o problema
« Last Edit: June 22, 2010, 04:46:55 pm by andremedeiross »
-----------------------------------------------
Buscai ao Senhor enquanto se pode achar,
invocai-o enquanto está perto.
-----------------------------------------------

nicolasdiogo

  • Forum Moderator
  • Zen Samurai
  • *****
  • Posts: 263
  • Karma: +3/-0
  • a pessimist, but trying out optimism
    • View Profile
    • BrainPowered Business Intelligence Consultancy - UK
Re: problema com port forward na interface pppoe
« Reply #5 on: June 22, 2010, 11:05:37 pm »
andre

desculpe ai mas meu portugues nao esta me ajudando a entender a sua situacao.
ebox reconhece o ppp0 modem?!
este modem e configurado com IP dinamico (externo) e IP fixo para Ebox - ou seja NATed.

assumindo que seu trafego pelo ppp0 requeira porta 8080 vc tera que redirecionar o trafego para a sua DMZ (192.168.1.0/24)

eu entendi que ebox nao e capaz de criar esta regra!
si a sua mudanca manual arruma o problem con certeza vc pode criar a mesma regra com ebox.

Nicolas
my opinions and suggestion expressed on this forum are my own as a user.
please note that i am not part of the Zentyal Development Team

www.brainpowered.net - supporting open-source Business Intelligence in Europe

andremedeiross

  • Zen Monk
  • **
  • Posts: 69
  • Karma: +0/-0
    • View Profile
Re: problema com port forward na interface pppoe
« Reply #6 on: June 23, 2010, 04:13:51 pm »
no caso minha conexão pppoe é ip-fixo e não dinâmico, mas não sou eu que coloco o ip na interface e sim o serviço pppoe, ou seja minha interface ppp0 sempre tem o mesmo endereço ip,

o modem é reconhecido sim, conecta, o firewall do ebox libera as portas que preciso na interface ppp0
quando vejo a saída do comando iptables -t nat -L -n -v, vejo que está sendo feito os redirecionamentos de portas pela interface ppp0 para meu outro servidor, mas o fato é que na prática não consigo acessar nada no outro servidor

já verifiquei os logs e o firewall do ebox 1.4.5 não bloqueia nada da minha porta 8080, e o meu outro servidor está funcionando normalmente pela porta 8080 pois eu tenho outro link q faz o mesmo redirecionamento de portas, não sei oque está acontecendo mesmo, se desabilito o firewall do ebox e crio a regra de redirecionamento de porta na mão mesmo funciona

preciso que isso abaixo funcione
Quote
   1    60      DNAT       tcp  --  ppp0   *       0.0.0.0/0            201.93.130.59       tcp dpt:8080 to:192.168.1.20:8080

este é o redirecionamento que está sendo feito pelo ebox 1.4.5 criado em firewall>port forward
mas ao tentar acessar 201.93.130.59:8080 não acontece nada

o outro link não pppoe no mesmo local que usa o ebox 1.3 acessando 200.171.45.14:8080 funciona
« Last Edit: June 23, 2010, 04:22:02 pm by andremedeiross »
-----------------------------------------------
Buscai ao Senhor enquanto se pode achar,
invocai-o enquanto está perto.
-----------------------------------------------

jquintao

  • Moderator
  • Zen Hero
  • *****
  • Posts: 648
  • Karma: +14/-0
  • jquintao
    • View Profile
    • NetSol
Re: problema com port forward na interface pppoe
« Reply #7 on: July 06, 2010, 12:12:09 am »
Olá André,

Desculpe pela demora... Tive uns problemas pessoais e fiquei um pouco afastado do Forum... Estou retornando agora... Sobre o problema de redirecionamento, descobriu onde estava o problema?

Certa feita tive um problema semelhante com um cliente... Investigando o caso, descobri que o problema estava no switch... O cliente misturava ip's da rede válida (subnet 200.x.x.x) com ip's da rede local (subnet 192.168.x.x)...

Se ainda estiver com o problema, me mande a saída do comando:

iptables -L -n -t nat -v

Ai posso tentar ajudá-lo...

Abraços,
Jorge Quintão


andremedeiross

  • Zen Monk
  • **
  • Posts: 69
  • Karma: +0/-0
    • View Profile
Re: problema com port forward na interface pppoe
« Reply #8 on: July 06, 2010, 03:26:42 pm »
Aí está a tabela nat
Quote
iptables -L -n -t nat -v
Chain PREROUTING (policy ACCEPT 5 packets, 622 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    5   622 premodules  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 DNAT       tcp  --  ppp0   *       0.0.0.0/0            201.93.130.59       tcp dpt:8080 to:192.168.1.20:8080

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 postmodules  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 MASQUERADE  all  --  *      ppp0    0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT 32 packets, 2312 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain postmodules (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain premodules (1 references)
 pkts bytes target     prot opt in     out     source               destination       


Sobre misturar endereços, não sei se é isto, mas vou explicar o local onde está o ebox, lá é uma igreja então tem pessoas que não fazem parte da administração mas tem acesso à internet por wifi, para não deixar uma brecha para localizarem impressoras ou pastas compartilhadas, criei uma interface virtual com um endereçamento de ip incomun, 162.198.200.0, e todos da administração utilizam esta faixa de ip, logo para os micros que não forem da administração não irão instalar automaticamente impressoras compartilhadas e nem mapear pastas compartilhadas, mas no caso o meu redirecionamento está vindo da ppp0 para um endereço 192.168.1.20, o ebox 1.3 que tenho também instalado no mesmo local está fazendo este redirecionamento de portas, mas como nele não funciona ppp0 não pude instalar o novo link de internet nele
-----------------------------------------------
Buscai ao Senhor enquanto se pode achar,
invocai-o enquanto está perto.
-----------------------------------------------

jquintao

  • Moderator
  • Zen Hero
  • *****
  • Posts: 648
  • Karma: +14/-0
  • jquintao
    • View Profile
    • NetSol
Re: problema com port forward na interface pppoe
« Reply #9 on: July 12, 2010, 03:10:34 pm »
Olá André,

Veja:

Code: [Select]
iptables -L -n -t nat -v
Chain PREROUTING (policy ACCEPT 5 packets, 622 bytes)
 pkts bytes target     prot opt in     out     source               destination        
    5   622 premodules  all  --  *      *       0.0.0.0/0            0.0.0.0/0          
    0     0 DNAT       tcp  --  ppp0   *       0.0.0.0/0            201.93.130.59       tcp dpt:8080 to:192.168.1.20:8080

Note que o número de pacotes que passou pela regra e o total de bytes é 0... Ou seja, não existe nada passando por esta regra... Isto pode acontecer por vários motivos...

1) seu provedor internet bloqueia a porta 8080 de conexões entrantes...
2) a porta 8080 do ip 192.168.1.20 não está permitindo conexões de ip's externos...
3) execute "iptables -L -n | grep 192.168.1.20" e veja se existe uma regra permitindo conexões de 0.0.0.0/0 para o 192.168.1.20...
4) veja se o segmento de rede pelo qual vc fechou o PPPoe não é o mesmo onde está o ip 192.168.1.20 (o ideal é a conexão PPPoe ser através de um cabo crossover do modem adsl à placa de rede do firewall)...

Abraços,
Jorge

andremedeiross

  • Zen Monk
  • **
  • Posts: 69
  • Karma: +0/-0
    • View Profile
Re: problema com port forward na interface pppoe
« Reply #10 on: July 13, 2010, 03:24:46 pm »
Olá Jorge
Aí está a saída do comando
Quote
iptables -L -n | grep 192.168.1.20
log        tcp  --  0.0.0.0/0            192.168.1.20        tcp spt:8080
log        tcp  --  0.0.0.0/0            192.168.1.20        tcp dpt:8080
ACCEPT     tcp  --  0.0.0.0/0            192.168.1.20        tcp spt:8080
ACCEPT     tcp  --  0.0.0.0/0            192.168.1.20        tcp dpt:8080
ACCEPT     tcp  --  0.0.0.0/0            192.168.1.20        tcp spt:8080
ACCEPT     tcp  --  0.0.0.0/0            192.168.1.20        tcp dpt:8080
ACCEPT     tcp  --  192.168.1.20         189.38.85.61        tcp dpt:3050
ACCEPT     tcp  --  192.168.1.20         189.38.80.72        tcp dpt:3050
ACCEPT     tcp  --  0.0.0.0/0            192.168.1.20        state NEW tcp dpt:8080

Respostas às questões:
1-)
Quote
1) seu provedor internet bloqueia a porta 8080 de conexões entrantes...
Não Bloqueia pois desabilitei o firewall do ebox, dei um apt-get install redir, para facilitar o redirecionamento e executei redir --lport=8080 --caddr=192.168.1.20 --cport=8080 com o firewall do ebox desabilitado, o redirecionamento funcionou

2-)
Quote
2) a porta 8080 do ip 192.168.1.20 não está permitindo conexões de ip's externos...
Como eu disse o redirecionamento funcionou com o firewall do ebox desabilitado, e ainda tenho outro link com um ebox versão anterior funcionando que roda este redirecionamento normal, mas este link em breve será desativado devido a baixa taxa de transferencia, por isso preciso de fazer isso rodar

4-)
Quote
4) veja se o segmento de rede pelo qual vc fechou o PPPoe não é o mesmo onde está o ip 192.168.1.20 (o ideal é a conexão PPPoe ser através de um cabo crossover do modem adsl à placa de rede do firewall)...
Creio que isso não é o caso, pois consigo acessar o ebox externamente, pelo que vejo somente o firewall que está com problemas. O cabo de rede entra pela interface do servidor, mas lembrando eu utilizo o ebox virtualizado, com as interfaces de rede em modo bridge, no mesmo servidor tenho outro ebox funcionando ok da mesma maneira e uma vm com o xp para servir um software internamente e externamente

agradeço a atenção!
-----------------------------------------------
Buscai ao Senhor enquanto se pode achar,
invocai-o enquanto está perto.
-----------------------------------------------

andremedeiross

  • Zen Monk
  • **
  • Posts: 69
  • Karma: +0/-0
    • View Profile
[RESOLVIDO] Problema com port forward na interface pppoe
« Reply #11 on: July 15, 2010, 04:56:17 pm »
Problema Solucionado

o problema não era no ebox, era na estação que estava servindo a porta 8080, o gateway padrão desta estação estava direcionado para o servidor que irei desativar, e para funcionar o redirecionamento precisou configurar o gateway padrão como o novo servidor...

quero dar o meu salve e agradecimentos para nosso amigo JQUINTAO pela atenção dada, pois os méritos da solução foram todos dele!

segundo o JQuintao o comando redir funcionou anteriormente pois ele cria um tunel, mesmo com o gateway padrão sendo outro

Agora é só eu trabalhar nas transferencias dos arquivos do ebox 1.3 para o 1.4 e deixar uma configuração parecida para poder desativar o 1.3
Bem que o 1.4 poderia migrar as configurações do 1.3 e adaptar a ele, mas já fiz isto e não vem tudo e acaba é bagunçando o 1.4, mas agora faço com tranquilidade

vlw Pessoal
Um Abraço Jorge!
qq coisa estamos aqui!
« Last Edit: August 07, 2010, 02:48:25 am by jquintao »
-----------------------------------------------
Buscai ao Senhor enquanto se pode achar,
invocai-o enquanto está perto.
-----------------------------------------------