Zentyal Forum, Linux Small Business Server
International => Portuguese => Topic started by: andremedeiross on June 18, 2010, 02:33:34 pm
-
Olá Pessoal
verifiquei este mesmo problema, no forum e foi nosso amigo Jorge Quintão que o teve
http://forum.ebox-platform.com/index.php?topic=3199.0
porém pelo que vi a versão do ebox dele era 1.4, e o J.A.Calvo informou que o bug foi fixado na versão 1.4.3
pois é, a versão do meu ebox-firewall é 1.4.5 e estou com este problema, a algumas semanas atrás o Jorge Quintão sugeriu que eu colocasse o redirecionamento na unha em /etc/ebox/hooks/firewall.postservice
inseri isto
sudo iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 8080 -j DNAT --to 192.168.1.20:8080
mas mesmo assim continuou o problema, como não solucionou removi a linha
abaixo está a saída do iptables -t nat -L -n -v
Chain PREROUTING (policy ACCEPT 545 packets, 91500 bytes)
pkts bytes target prot opt in out source destination
151 28575 premodules all -- * * 0.0.0.0/0 0.0.0.0/0
2 108 DNAT tcp -- ppp0 * 0.0.0.0/0 XXX.XXX.XXX.XXX tcp dpt:8080 to:192.168.1.20
0 0 DNAT tcp -- eth0 * 0.0.0.0/0 162.198.100.2 tcp dpt:8080 to:192.168.1.20
0 0 DNAT tcp -- ppp0 * 0.0.0.0/0 XXX.XXX.XXX.XXX tcp dpt:7389 to:192.168.1.20:3389
0 0 DNAT tcp -- ppp0 * XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX tcp dpt:3050 to:162.198.100.1:7357
0 0 DNAT tcp -- ppp0 * XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX tcp dpt:3050 to:162.198.100.1:7357
0 0 DNAT tcp -- eth0 * 0.0.0.0/0 192.168.1.2 tcp dpt:8080 to:192.168.1.20
Chain POSTROUTING (policy ACCEPT 22438 packets, 1425K bytes)
pkts bytes target prot opt in out source destination
6376 403K postmodules all -- * * 0.0.0.0/0 0.0.0.0/0
34 2305 MASQUERADE all -- * ppp0 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT 22565 packets, 1435K bytes)
pkts bytes target prot opt in out source destination
Chain postmodules (1 references)
pkts bytes target prot opt in out source destination
Chain premodules (1 references)
pkts bytes target prot opt in out source destination
Coloquei XXX nos ips externos como segurança ao publicar no fórum
a minha intenção é sempre que entrar pela ppp0 na porta 8080 vá para 192.168.1.20:8080
pelo que vi na tabela de redirecionamentos do iptables minha configuração em eth2 está sendo feita corretamente para ppp0, pois no Port Forward do ebox ao invés de aparecer ppp0 está a eth2 que está plugada no modem, a conexão ppp0 está funcionando tanto é q o ebox está acessando a internet normalmente mas não está redirecionando as portas
-----------------------------------------------
Fiz uma comparação das tabelas de roteamento entre o ebox 1.4.5 e outro ebox 1.3 que tenho no mesmo local, o 1.3 está funcionando mas com o ip-fixo normal
e o 1.4.5 funcionando com um tal de ip-fixo plus que a companhia telefonica passou a disponibilizar agora como pppoe
ebox 1.3
647 32132 DNAT tcp -- eth0 * 0.0.0.0/0 XXX.XXX.XXX.XXX tcp dpt:8080 to:192.168.1.20:8080
ebox 1.4.5
1 60 DNAT tcp -- ppp0 * 0.0.0.0/0 XXX.XXX.XXX.XXX tcp dpt:8080 to:192.168.1.20:8080
espero que alguém possa me dar um help pois preciso desativar o 1.3 e passar a usar o 1.4.5 pois este link pppoe é de 4mb e o outro q está no 1.3 é só de 500k e o pessoal está me enchendo a paciência, acho q se eu tivesse feito o servidor todo na unha já estaria tranquilo a muito mais tempo, e com o ebox fico dependente de funcionar direito
-------------------------------
Agora por via das dúvidas criei um serviço no ebox com a porta 8080, e dei permissão no firewall para conexões externas ao ebox pela porta 8080, mas mesmo assim, nada de funcionar :(
-
Aí pessoal, preciso desse help mesmo, consegui algo mas tenho q solucionar
instalei o redir
aptitude install redir
ele redireciona portas facilmente sem aquelas linhas enormes e ainda por cima o redirecionamento fira um daemon na memória se quiser parar é só dar um kill
depois desabilitei o firewall do ebox
executei o comando
redir --lport=8080 --caddr=192.168.1.20 --cport=8080
testei de onde estou e voilá, num é que funcionou
agora não sei se o problema está no port forward ou no firewall
claro q no firewall eu desbloqueei a porta 8080 mas não sei oq se passa
-
é pelo jeito terei que criar um firewall na unha pois o port forward do ebox não está funcionando mesmo ou é o filtro de pacotes que não está, coloquei para exibir logs toda vez q acessar a porta 8080 pelo firewall do ebox mas não registra nada, liberei a porta 8080 de redes externas para o ebox, de redes externas para redes interna, de redes internas para redes externas, mas não funciona
já que não está funcionando o firewall do ebox então preciso de esclarecer algumas dúvidas
terei que criar um script de firewall
com o firewall do ebox parado funciona o proxy transparent ou preciso adicionar regras no script para redirecionamento de portas da 80 para 3128?
alguém tem alguma sugestão especial sobre o script que irei criar para bloquear portas e liberar somente as que irei utilizar no servidor
sei q tenho q liberar a 80, 443, 8080, 3128 somente interna, samba somente interno, bind somente interno, ssh,
nossa vai dar trabalho hein!
-
andre
nao entendo bem sua pergunta mas quanto Ebox firewall nao funcionar bem ?!
parece que vc esta achando problema onde nao ha.
eu tenho installado ebox em tres different locais - incluindo o meu escritorio e o firewall functiona muito bem,
tenho VPN,WWW,FTP,SMTP,POP redirecionados pelo firewall e funcionao sem problema.
abraco
Nicolas
-
nicolas
eu tbm tenho o e-box instalado em 3 lugares, e o firewall funciona sim muito bem, e é bem prático, mas leia mais acima qual o meu problema
no caso não está funcionando corretamente para conexão pppoe, pois ao fazer redirecionamento de portas pela interface ppp0 o firewall não está abrindo as portas para esta interface, e no caso preciso que seja interface ppp0 pois a companhia telefonica de são paulo somente está disponibilizando agora ip-fixo por pppoe ela não disponibiliza mais o antigo ipfixo que colocavamos o ip direto na interface e o modem vinha configurado para isso, agora os modens são todos em bridge e necessitam que seja feita conexão pppoe
por alguma razão desconhecida o firewall do e-box não está liberando as portas atravéz da interface ppp0, mas o redirecionamento está sendo feito, porém deque adianta o redirecionamento ser feito se as portas não são liberadas
até colocar regras de liberação de portas no ebox coloquei mas nada absolutamente nada, preciso de um help aqui da comunidade mas ninguém se dispõe, com certeza estão todos muito ocupados, então o meu jeito será criar um próprio script de firewall
--------------------------------------------------------------------
Fiz testes com o firewall do ebox e se eu libero a porta do ssh ou http para a interface ppp0 funciona, o caso então está no redirecionamento
nossa já estou ficando doido não sei onde está o problema
-
andre
desculpe ai mas meu portugues nao esta me ajudando a entender a sua situacao.
ebox reconhece o ppp0 modem?!
este modem e configurado com IP dinamico (externo) e IP fixo para Ebox - ou seja NATed.
assumindo que seu trafego pelo ppp0 requeira porta 8080 vc tera que redirecionar o trafego para a sua DMZ (192.168.1.0/24)
eu entendi que ebox nao e capaz de criar esta regra!
si a sua mudanca manual arruma o problem con certeza vc pode criar a mesma regra com ebox.
Nicolas
-
no caso minha conexão pppoe é ip-fixo e não dinâmico, mas não sou eu que coloco o ip na interface e sim o serviço pppoe, ou seja minha interface ppp0 sempre tem o mesmo endereço ip,
o modem é reconhecido sim, conecta, o firewall do ebox libera as portas que preciso na interface ppp0
quando vejo a saída do comando iptables -t nat -L -n -v, vejo que está sendo feito os redirecionamentos de portas pela interface ppp0 para meu outro servidor, mas o fato é que na prática não consigo acessar nada no outro servidor
já verifiquei os logs e o firewall do ebox 1.4.5 não bloqueia nada da minha porta 8080, e o meu outro servidor está funcionando normalmente pela porta 8080 pois eu tenho outro link q faz o mesmo redirecionamento de portas, não sei oque está acontecendo mesmo, se desabilito o firewall do ebox e crio a regra de redirecionamento de porta na mão mesmo funciona
preciso que isso abaixo funcione
1 60 DNAT tcp -- ppp0 * 0.0.0.0/0 201.93.130.59 tcp dpt:8080 to:192.168.1.20:8080
este é o redirecionamento que está sendo feito pelo ebox 1.4.5 criado em firewall>port forward
mas ao tentar acessar 201.93.130.59:8080 não acontece nada
o outro link não pppoe no mesmo local que usa o ebox 1.3 acessando 200.171.45.14:8080 funciona
-
Olá André,
Desculpe pela demora... Tive uns problemas pessoais e fiquei um pouco afastado do Forum... Estou retornando agora... Sobre o problema de redirecionamento, descobriu onde estava o problema?
Certa feita tive um problema semelhante com um cliente... Investigando o caso, descobri que o problema estava no switch... O cliente misturava ip's da rede válida (subnet 200.x.x.x) com ip's da rede local (subnet 192.168.x.x)...
Se ainda estiver com o problema, me mande a saída do comando:
iptables -L -n -t nat -v
Ai posso tentar ajudá-lo...
Abraços,
Jorge Quintão
-
Aí está a tabela nat
iptables -L -n -t nat -v
Chain PREROUTING (policy ACCEPT 5 packets, 622 bytes)
pkts bytes target prot opt in out source destination
5 622 premodules all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 DNAT tcp -- ppp0 * 0.0.0.0/0 201.93.130.59 tcp dpt:8080 to:192.168.1.20:8080
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 postmodules all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 MASQUERADE all -- * ppp0 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT 32 packets, 2312 bytes)
pkts bytes target prot opt in out source destination
Chain postmodules (1 references)
pkts bytes target prot opt in out source destination
Chain premodules (1 references)
pkts bytes target prot opt in out source destination
Sobre misturar endereços, não sei se é isto, mas vou explicar o local onde está o ebox, lá é uma igreja então tem pessoas que não fazem parte da administração mas tem acesso à internet por wifi, para não deixar uma brecha para localizarem impressoras ou pastas compartilhadas, criei uma interface virtual com um endereçamento de ip incomun, 162.198.200.0, e todos da administração utilizam esta faixa de ip, logo para os micros que não forem da administração não irão instalar automaticamente impressoras compartilhadas e nem mapear pastas compartilhadas, mas no caso o meu redirecionamento está vindo da ppp0 para um endereço 192.168.1.20, o ebox 1.3 que tenho também instalado no mesmo local está fazendo este redirecionamento de portas, mas como nele não funciona ppp0 não pude instalar o novo link de internet nele
-
Olá André,
Veja:
iptables -L -n -t nat -v
Chain PREROUTING (policy ACCEPT 5 packets, 622 bytes)
pkts bytes target prot opt in out source destination
5 622 premodules all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 DNAT tcp -- ppp0 * 0.0.0.0/0 201.93.130.59 tcp dpt:8080 to:192.168.1.20:8080
Note que o número de pacotes que passou pela regra e o total de bytes é 0... Ou seja, não existe nada passando por esta regra... Isto pode acontecer por vários motivos...
1) seu provedor internet bloqueia a porta 8080 de conexões entrantes...
2) a porta 8080 do ip 192.168.1.20 não está permitindo conexões de ip's externos...
3) execute "iptables -L -n | grep 192.168.1.20" e veja se existe uma regra permitindo conexões de 0.0.0.0/0 para o 192.168.1.20...
4) veja se o segmento de rede pelo qual vc fechou o PPPoe não é o mesmo onde está o ip 192.168.1.20 (o ideal é a conexão PPPoe ser através de um cabo crossover do modem adsl à placa de rede do firewall)...
Abraços,
Jorge
-
Olá Jorge
Aí está a saída do comando
iptables -L -n | grep 192.168.1.20
log tcp -- 0.0.0.0/0 192.168.1.20 tcp spt:8080
log tcp -- 0.0.0.0/0 192.168.1.20 tcp dpt:8080
ACCEPT tcp -- 0.0.0.0/0 192.168.1.20 tcp spt:8080
ACCEPT tcp -- 0.0.0.0/0 192.168.1.20 tcp dpt:8080
ACCEPT tcp -- 0.0.0.0/0 192.168.1.20 tcp spt:8080
ACCEPT tcp -- 0.0.0.0/0 192.168.1.20 tcp dpt:8080
ACCEPT tcp -- 192.168.1.20 189.38.85.61 tcp dpt:3050
ACCEPT tcp -- 192.168.1.20 189.38.80.72 tcp dpt:3050
ACCEPT tcp -- 0.0.0.0/0 192.168.1.20 state NEW tcp dpt:8080
Respostas às questões:
1-)1) seu provedor internet bloqueia a porta 8080 de conexões entrantes...
Não Bloqueia pois desabilitei o firewall do ebox, dei um apt-get install redir, para facilitar o redirecionamento e executei redir --lport=8080 --caddr=192.168.1.20 --cport=8080 com o firewall do ebox desabilitado, o redirecionamento funcionou
2-)2) a porta 8080 do ip 192.168.1.20 não está permitindo conexões de ip's externos...
Como eu disse o redirecionamento funcionou com o firewall do ebox desabilitado, e ainda tenho outro link com um ebox versão anterior funcionando que roda este redirecionamento normal, mas este link em breve será desativado devido a baixa taxa de transferencia, por isso preciso de fazer isso rodar
4-)4) veja se o segmento de rede pelo qual vc fechou o PPPoe não é o mesmo onde está o ip 192.168.1.20 (o ideal é a conexão PPPoe ser através de um cabo crossover do modem adsl à placa de rede do firewall)...
Creio que isso não é o caso, pois consigo acessar o ebox externamente, pelo que vejo somente o firewall que está com problemas. O cabo de rede entra pela interface do servidor, mas lembrando eu utilizo o ebox virtualizado, com as interfaces de rede em modo bridge, no mesmo servidor tenho outro ebox funcionando ok da mesma maneira e uma vm com o xp para servir um software internamente e externamente
agradeço a atenção!
-
Problema Solucionado
o problema não era no ebox, era na estação que estava servindo a porta 8080, o gateway padrão desta estação estava direcionado para o servidor que irei desativar, e para funcionar o redirecionamento precisou configurar o gateway padrão como o novo servidor...
quero dar o meu salve e agradecimentos para nosso amigo JQUINTAO pela atenção dada, pois os méritos da solução foram todos dele!
segundo o JQuintao o comando redir funcionou anteriormente pois ele cria um tunel, mesmo com o gateway padrão sendo outro
Agora é só eu trabalhar nas transferencias dos arquivos do ebox 1.3 para o 1.4 e deixar uma configuração parecida para poder desativar o 1.3
Bem que o 1.4 poderia migrar as configurações do 1.3 e adaptar a ele, mas já fiz isto e não vem tudo e acaba é bagunçando o 1.4, mas agora faço com tranquilidade
vlw Pessoal
Um Abraço Jorge!
qq coisa estamos aqui!