quinta-feira, dezembro 13, 2018
Home » Linux » iptables » Acessando de fora o VNC de um host passando pelo iptables

Acessando de fora o VNC de um host passando pelo iptables

Bom dia Pessoal.
Se você precisa fazer um encaminhamento para acessar uma determinada máquina usando VNC passando pelo iptables, você está lento o artigo certo! Vamos lá?!

Problemática:

Estaremos em outro estado, acessando a internet por um modem 3G ou algo do tipo e precisaremos acessar um computador com VNC instalado.

Suponhamos que em nossa rede tenhamos a seguinte estrutura (Números meramente ilustrativos):

IP Externo: 201.201.201.201
IP Interno do Servidor com iptables: 192.168.0.200
IP Interno do computador com o VNC Instalado: 192.168.0.240
Porta utilizada pelo VNC: 5900
Porta que utilizaremos externamente: 9500

Pronto, com os dados acima, já podemos elaborar nosso comando iptables, que ficaria assim (O comando a seguir deve ser digitado em uma única linha):

$ iptables –t nat –A PREROUTING –p tcp –s 0/0 –d 201.201.201.201 ––dport 9500  -j DNAT –-to 192.168.0.240:5900

Explicando o comando:

  • PREROUNTING –> indica que será efetuado o encaminhamento quando pacote chegar.
  • -p tcp –> Tipo de protocolo usado no pacote
  • -s 0/0 –> IP de origem, neste caso qualquer um “0” com qualquer mascara de subrede “0”. Pode-se substituir por um IP fixo, por exemplo: 210.210.250.254/24
  • -d 201.201.201.201 –> destino que o pacote terá. Note que é o ip externo, não o ip da máquina.
  • –dport –> Aqui é o “X” do encaminhamento. Podemos ter muitos encaminhamentos, mas como o firewall diferencia para qual máquina mandar, se todos usam o mesmo IP Externo? Simples, pela porta de destino. Neste caso, quando o endereço de destino for o ip externo com a porta 9500, o iptables vai encaminhar para o endereço e porta que estiver depois do –j, que no nosso caso é a maquina com VNC e porta do VNC. Podemos ter varios encaminhamentos do VNC para vários computadores, desde que o –-dport seja diferente.
  • -j DNAT –> -j indica ao iptables o que fazer, o alvo da coisa, que pode ser LOG, DROP, ou, como no nosso exemplo, DNAT, que encaminha.
  • –to 192.168.0.240:5900 –> o –-to indica para onde encaminhar, no caso o IP do computador interno, seguido da porta usada pelo programa, como no caso do VNC, 5900.

Bom, se o firewall já estiver operacional, e o computador cliente já estiver com a porta 5900 liberada, o comando já irá conceder acesso.
Espero que esta postagem seja útil a você. Não deixe de ver o resumo de comandos iptebles que o Purainfo tem: http://www.purainfo.com.br/2011/07/comandos-iptables/
Fico por aqui e até a próxima.

Sobre Diego Duarte

Diego Duarte atua como coordenador de suporte, é apaixonado por TI e arranha um violãozinho nos finais de semana

Gostou do conteúdo? Deixe seu comentário