[MASOCH-L] FW: [IPTABLES] - RDP nao responde SYN

Fernando Ulisses dos Santos fernando at bluesolutions.com.br
Tue Oct 1 17:51:36 BRT 2013 

Trocaram ou tiraram o gateway do Windows. O gw tem que apontar para o Linux.


Fernando Ulisses dos Santos
Sent from my Startac

-------- Mensagem original --------
De : Marcelo Ceoni <mceoni at hotmail.com> 
Data: 01/10/2013  16h33  (GMT-03:00) 
Para: masoch-l at eng.registro.br 
Assunto: [MASOCH-L] FW: [IPTABLES] - RDP nao responde SYN 
 
Senhores,

Possuo aqui no iptables algumas regras para acesso as maquinas da rede interna.
O que faço basicamente é PAT/NAT.

Ex:
iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 3391 -j DNAT --to 192.168.0.104:3389
iptables -A FORWARD -i eth2 -o eth0 -d 192.168.0.104 -p tcp --dport 3389 -j ACCEPT

Onde eth2 é a int ext e eth0 é a interna.

Tenho isso funcionando para varias máquinas, inclusive essa funcionava...mas parou de funcionar do nada...

Já verifiquei firewall do lado do windows...já verifiquei tudo que veio a minha cabeça...
Quando tento a conexão através do Linux/roteador ele funciona...mas quando tento externo, onde o Linux atua fazendo apenas encaminhando ele falha...

Abri o iptraf para dar uma olhada em que situação fica, e o que encontrei foi:

Na int eth0: 

Source Host:Port                            Packets            Bytes           Flag  Iface

_ 179.160.255.51:51562           =      11                 640               S--                eth0
|
|_192.168.0.104:3389                =       0                      0               ---                eth0

Pelo que entendo é que a estação windows não está respondendo o SYN...

Alguém tem alguma sugestão do que poderia ser ?
Não sei se pode ter alguma coisa haver...(porque não entendo muito de conntrack) mas a minha primeira linha do FORWARD é:

iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
´
Inclusive já tentei acrescentar o NEW e rodar com...mesmo assim não vai.
Tudo me leva a crer que existe algum tipo de DROP no windows...mas, como seria possivél conectar através do Linux/roteador diretamente, e não conectar quando a solicitação parte por um outro endereço e passar por ele. (Eu entendo que ao passar por ele, é feito a troca do endereço de origem, certo ? )

Obrigado!


     
__
masoch-l list
https://eng.registro.br/mailman/listinfo/masoch-l

More information about the masoch-l mailing list