www.geisler.eti.br

liberdade....

  • Increase font size
  • Default font size
  • Decrease font size

Acesso a maquina sem default gateway configurado.

Thursday, 11 March 2010 17:09 administrator
E-mail Print PDF

Bom pessoal, antes de mais nada, deixa eu explicar o cenário, quando eu digo acesso a maquina sem default gateway configurado, me refiro a uma estação da rede interna do site 2 , e estamos no site 1 querendo acessar-la via RDP (Remote Desktop protocol) usando o link da internet. Isso sem regra de NAT seria algo impossível, o cenário é como a figura abaixo:

 Cenario

Normalmente para ter um acesso comum ao serviço de RDP no servidor, precisáriamos fazer apenas 2 regras no iptables e ativar o roteamento:

  • Ativar o roteamento: 
echo "1" >/proc/sys/net/ipv4/ip_forward
  • Ativar Mascaramento na saída do pacote, lembrando que a interfacedo firewall ligado a internet é a eth1:
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
  • Criar a regra de nat.
iptables -t nat -A PREROUTING -p tcp --dport  3389 -j DNAT --to 192.168.1.23:3389


Se o servidor estiver com o gateway configurado corretamente, já estaria funcionando normalmente, vamos entender como ficou o trafego do pacote neste cenário:

  1. O cliente abre uma conexão com o firewall fornecendo uma porta randomica no cliente e na porta 3389 do firewall.
  2. O firewall por sua vez, olha a tabela de nat, onde será trocado o destino ( DNAT ) e repassa para o servidor RDP.
  3. O servidor RDP encaminha um pacote de resposta para o default gw para ser entregue ao cliente.
  4. O Firewall encaminha o pacote mascarando a saída ( MASQUERADE ) para o computador cliente.

 Caminho comum

 

Observe que quando o pacote chega ao servidor RDP, a origem é o computador cliente, como não faz parte da rede do servidor RDP ele encaminha para  o seu default gateway para que o mesmo repasse o pacote para proxima rede, se o computador estiver sem o default gateway, ele vai descartar o pacote por não saber para quem entregar.

sem retorno

 

Para que o computador saiba devolver o pacote, devemos criar mais uma regra no iptables, para que seja mascarado a origem do pacote, abaixo a regra:

iptables -t nat -A POSTROUTING -d 192.168.1.23 -p tcp --dport 3389 -j SNAT --to 192.168.1.1

 Desta forma o pacote que for para o servidor vão aparecer com se tivesem vindo do Firewall, que está na mesma rede do servidor RDP.

 Pacote retorna sem erro

Desta forma o computador sem default gateway consegue responder para o Firewall que mas o mascaramento da saída do pacote, chegando até o computador cliente.

 

Espero ter ajudado alguem com esse post.

  This e-mail address is being protected from spambots. You need JavaScript enabled to view it

Next >
 

Add comment


Security code
Refresh

Banner

Menu principal

Usuário