Vnc Reverso Instavel

[gcdieter]

Bom Dia!
Meu nome é Gabriel, sou novo no linux, assumi um servidor de internet na empresa onde eu trabalho. Deu pau no squid e formatei a maquina, instalei o ubuntu 10.10 e voltei o backup do squid e firewall. A internet está funcionando e os usuários conseguem autenticação normalmente com suas regras e bloqueios. Acontece que prestamos suporte remoto para nossos clientes e usamos o vnc reverso para isso. Temos quatro maquinas que fazem esse serviço, cada uma com seu ip, direcionei as portas 5500 a 5510 no modem para o ip 192.168.254.1 (ip internet) que é o ETH0.
O meu problema é o seguinte, quando o usuário abre o programa com o vnc reverso abre a lista com os funcionarios que prestam suporte aqui na empresa só que nem sempre estamos online, fica oscilando, as vezes um aqui dentro fica online e tres ficam offline, tres online e um offline, todos offline, todos online... A conexão funciona normal quando um se conecta com alguem daqui de dentro.
Valeu a todos do forum, tem sido muito util esse site!

ETH1: 192.168.0.1
ETH0: 192.168.254.1

#!/bin/bash
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_MASQUERADE
#echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
iptables -t mangle -A FORWARD -o eth1 -j TTL --ttl-set 128
iptables -N VALID_CHECK
iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL ALL -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p ipv6 -j DROP


iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 6/s -j ACCEPT #Protege contra os "Ping of Death"
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT #Protege contra os ataques do tipo "Syn-flood, DoS, etc"
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT #Permitir repassamento (NAT,DNAT,SNAT) de pacotes estabilizados e os relatados
iptables -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG #Logar os pacotes mortos por inatividade
iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP #Protege contra pacotes que podem procurar e obter informaçs da rede interna
iptables -t filter -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT #Protege contra ataques

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A PREROUTING -i eth1 -d cvsoft.com.br -j ACCEPT
iptables -t filter -A FORWARD -i eth1 -d cvsoft.com.br -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -d interno.cvsoft.com.br -j ACCEPT
iptables -t filter -A FORWARD -i eth1 -d interno.cvsoft.com.br -j ACCEPT

iptables -t nat -A PREROUTING -s 200.234.196.148 -p tcp -i eth1 --dport 80 -j ACCEPT

iptables -I INPUT -p tcp --dport 5017 --source 192.168.0.0/24 -i eth1 -j ACCEPT
iptables -I FORWARD -p tcp --dport 5017 -j ACCEPT
iptables -I FORWARD -p tcp --sport 5017 -j ACCEPT
iptables -I FORWARD -p all -s cafe.dataprev.gov.br -j ACCEPT
iptables -I FORWARD -p all -d cafe.dataprev.gov.br -j ACCEPT
iptables -I FORWARD -p all -s 192.168.0.0/24 -d cafe.dataprev.gov.br -j ACCEPT
iptables -I FORWARD -p all -d 192.168.0.0/24 -s cafe.dataprev.gov.br -j ACCEPT

#iptables -A INPUT -s 192.168.0.3/24 -j ACCEPT
#iptables -A FORWARD -s 192.168.0.3/24 -j ACCEPT
#iptables -A OUTPUT -s 192.168.0.3/24 -j ACCEPT

iptables -t nat -I PREROUTING -p tcp --dport 443 -s 192.168.0.0 -d 200.241.32.196 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 200.241.32.196 -j ACCEPT
iptables -A FORWARD -p tcp -d 200.241.32.196 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp --dport 443 -s 192.168.0.0 -d 189.31.180.195 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 189.31.180.195 -j ACCEPT
iptables -A FORWARD -p tcp -d 189.31.180.195 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp --dport 443 -s 192.168.0.0 -d 200.241.32.197 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 200.241.32.197 -j ACCEPT
iptables -A FORWARD -p tcp -d 200.241.32.197 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp --dport 443 -s 192.168.0.0 -d 201.49.164.105 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 201.49.164.105 -j ACCEPT
iptables -A FORWARD -p tcp -d 201.49.164.105 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -d www.sefaz.mt.gov.br -j ACCEPT
iptables -I FORWARD -d 200.203.106.0/32 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -d extranet.migrate.com.br -j ACCEPT
iptables -t filter -A FORWARD -i eth1 -d extranet.migrate.com.br -j ACCEPT
iptables -t nat -A PREROUTING -s 200.203.106.114 -p tcp -i eth0 --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -d nfe.sefaz.rs.gov.br -j ACCEPT
iptables -t filter -A FORWARD -i eth1 -d nfe.sefaz.rs.gov.br -j ACCEPT
iptables -t nat -A PREROUTING -s 200.203.106.114 -p tcp -i eth1 --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -d homologacao.nfe.ms.gov.br -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -d homologacao.nfe.ms.gov.br -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -d producao.nfe.ms.gov.br -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -d producao.nfe.ms.gov.br -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -d www.nfe.fazenda.gov.br -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -d www.nfe.fazenda.gov.br -j ACCEPT

iptables -I FORWARD -d 200.201.160/20 -p tcp --dport 80 -j ACCEPT
iptables -t nat -I PREROUTING -d 200.201.160/20 -p tcp --dport 80 -j ACCEPT
iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
iptables -I FORWARD -d 200.201.173.0/32 -p tcp --dport 80 -j ACCEPT
iptables -t nat -I PREROUTING -d 200.201.173.0/32 -p tcp --dport 80 -j ACCEPT
iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -d 200.198.128.51 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -d 200.198.128.51 -j ACCEPT

iptables -t nat -A PREROUTING -i eth1 -p tcp -d 200.201.174.207 --dport 80 -j REDIRECT --to-port 3128

iptables -A FORWARD -s 192.168.0.11 -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.0.11 -d loginnet.passport.com -j ACCEPT
iptables -A FORWARD -s 192.168.0.11 -d 64.4.13.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.0.11 -d login.live.com -j ACCEPT
iptables -A FORWARD -s 192.168.0.11 -d login.passport.com -j ACCEPT
iptables -A FORWARD -s 192.168.0.11 -d gateway.messenger.hotmail.com -j ACCEPT
iptables -A FORWARD -s 192.168.0.3 -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.0.3 -d loginnet.passport.com -j ACCEPT
iptables -A FORWARD -s 192.168.0.3 -d 64.4.13.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.0.3 -d login.live.com -j ACCEPT
iptables -A FORWARD -s 192.168.0.3 -d login.passport.com -j ACCEPT
iptables -A FORWARD -s 192.168.0.3 -d gateway.messenger.hotmail.com -j ACCEPT
iptables -A FORWARD -s 192.168.0.2 -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.0.2 -d loginnet.passport.com -j ACCEPT
iptables -A FORWARD -s 192.168.0.2 -d 64.4.13.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.0.2 -d login.live.com -j ACCEPT
iptables -A FORWARD -s 192.168.0.2 -d login.passport.com -j ACCEPT
iptables -A FORWARD -s 192.168.0.2 -d gateway.messenger.hotmail.com -j ACCEPT
iptables -A FORWARD -s 192.168.0.5 -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.0.5 -d loginnet.passport.com -j ACCEPT
iptables -A FORWARD -s 192.168.0.5 -d 64.4.13.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.0.5 -d login.live.com -j ACCEPT
iptables -A FORWARD -s 192.168.0.5 -d login.passport.com -j ACCEPT
iptables -A FORWARD -s 192.168.0.5 -d gateway.messenger.hotmail.com -j ACCEPT

iptables -t nat -A PREROUTING -p TCP --dport 80 -j REDIRECT --to-port 3128

iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

iptables -A PREROUTING -t nat -p tcp --dport 5505 -d 192.168.254.1 -j DNAT --to 192.168.0.5
iptables -A POSTROUTING -t nat -p tcp --dport 5505 -d 192.168.0.5 -j MASQUERADE
iptables -A PREROUTING -t nat -p tcp --dport 5900 -d 192.168.254.1 -j DNAT --to 192.168.0.1
iptables -A POSTROUTING -t nat -p tcp --dport 5900 -d 192.168.0.1 -j MASQUERADE

iptables -A PREROUTING -t nat -p tcp --dport 5507 -d 192.168.254.1 -j DNAT --to 192.168.0.16
iptables -A POSTROUTING -t nat -p tcp --dport 5507 -d 192.168.0.16 -j MASQUERADE

iptables -A PREROUTING -t nat -p tcp --dport 5508 -d 192.168.254.1 -j DNAT --to 192.168.0.2
iptables -A POSTROUTING -t nat -p tcp --dport 5508 -d 192.168.0.2 -j MASQUERADE

iptables -A PREROUTING -t nat -p tcp --dport 5506 -d 192.168.254.1 -j DNAT --to 192.168.0.3
iptables -A POSTROUTING -t nat -p tcp --dport 5506 -d 192.168.0.3 -j MASQUERADE

iptables -A PREROUTING -t nat -p tcp --dport 5509 -d 192.168.254.1 -j DNAT --to 192.168.0.4
iptables -A POSTROUTING -t nat -p tcp --dport 5509 -d 192.168.0.4 -j MASQUERADE

iptables -A INPUT -p tcp -s 0/0 --dport 3389 --syn -j ACCEPT

iptables -t nat -A PREROUTING -p tcp --dport 3389 -i eth0 -j DNAT --to 192.168.0.100

[zekkerj]

O meu problema é o seguinte, quando o usuário abre o programa com o vnc reverso abre a lista com os funcionarios que prestam suporte aqui na empresa só que nem sempre estamos online, fica oscilando, as vezes um aqui dentro fica online e tres ficam offline, tres online e um offline, todos offline, todos online... A conexão funciona normal quando um se conecta com alguem daqui de dentro.

Não entendi seu problema.

As pessoas não conseguem se conectar ao IP que aparece como "online", ou vocês não estão aparecendo como "online" pras pessoas?

[gcdieter]

Não entendi seu problema.

As pessoas não conseguem se conectar ao IP que aparece como "online", ou vocês não estão aparecendo como "online" pras pessoas?

O meu nome que esta no vnc do cliente oscila, as vezes ta online as vezes ta offline, o cliente tem que ficar atualizando o programa até aparecer online. Isso acontece com os 4 nomes que aparece no vnc pro cliente. Mas quando está online ele consegue se conectar comigo.

[gcdieter]

Uma coisa que eu notei é que se um ip interno (ex:192.168.0.4) estiver em 3 conexões remotas com 3 clientes é mais dificel os outros 3 ips internos aparecerem disponivel para outros clientes que tem o suporte remoto. Como se fosse alguma coisa com os pacotes internos que o servidor de internet libera. Desculpa se faltar alguma informação ai. Qualquer coisa é só perguntar. O estranho é que antes de formatar o servidor nao dava problemas no vnc reverso, o squid e firewall são os mesmo, só o servidor do dns dinamico eu mudei, é o dyndns agora. E mais uma coisa antes de colocar o servidor eu tinha liberado a internet pra todos e direcionado as portas do vnc direto para os ips internos e nao deu problemas.
muito obrigado!

[gcdieter]

Abaixo o Squid e o Interfaces:




http_port 3128 transparent
#############


auth_param basic realm Servidor
auth_param basic children 5
auth_param basic credentialsttl 100 hour
auth_param basic casesensitive off


#Pode ser definido o DNS
dns_nameservers 200.175.89.139
dns_nameservers 200.175.5.139

#tempo de vida de um arquivo no cache do squid
refresh_pattern -i (/cgi-bin/|\?) 0  0% 0
refresh_pattern -i .*\.(cab|exe|dll|msi|iso|zip|rar|) 525960 50% 525960
refresh_pattern .             0 20% 10800

#Melhoria nos requerimentos de paginas
ipcache_size 1024
ipcache_low 90
ipcache_high 95
fqdncache_size 1024

#metodo de substituicao de objetos no cache e memoria
cache_replacement_policy heap LFUDA

#Resolve um problema com conexao persistentes que ocorre com certos servidores,
detect_broken_pconn on

#Provoca um ganho de performance ao usar conexao pipeline
pipeline_prefetch on

#memory_replacement_policy heap GDSF

#fechamento de conexoes meio abertas
half_closed_clients off

#evita que sites saibam a classe de IP interna da rede
forwarded_for off

#tamanho de cache para guardar aquivos HD|PASTAS|DIRETORIOS
cache_dir ufs /var/spool/squid 262144 16 256

#tamanho maximo para gravao no cache Squid
maximum_object_size 700 MB

#tamanho minimo para gravacao no cache Squid
minimum_object_size 0 KB

# Resolve um problema com conexoes persistentes que ocorre com certos servidores
detect_broken_pconn on
cache_access_log /var/log/squid/access.log


auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/userspwd
#auth_param basic children 5
#auth_param basic realm Bem vindo ao servidor de internet da Dicon!!


auth_param basic credentialsttl 100 minute
#auth_param basic casesensitive off

#teste de monitoracao
#acl manager proto cache_object
#acl webserver src 192.168.0.1/255.255.255.255
#http_access allow manager webserver
#http_access deny manager


##DECLARACAO DAS ACLS

acl all src 0.0.0.0/0.0.0.0


acl ip_liberado src "/etc/squid/ip_liberado"
acl users proxy_auth url_regex -i "/etc/squid/users"
acl sites_liberados url_regex -i "/etc/squid/sites_liberados"
acl palavras_bloqueadas url_regex -i "/etc/squid/palavras_bloqueadas"
acl almoco url_regex -i "/etc/squid/almoco"
acl blockdown url_regex -i "/etc/squid/blockdown"
acl admin proxy_auth -i "/etc/squid/admin"

##definir hora de horario de almoco
acl libera time MTWHF 11:30-12:50

##Ativa ACL
http_access allow admin
http_access allow ip_liberado
http_access deny users palavras_bloqueadas
http_access allow users sites_liberados
http_access allow almoco libera
http_access deny users blockdown
http_access deny all


error_directory /usr/share/squid/errors/pt-br
#################################################







INTERFACES

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 192.168.254.1
netmask 255.255.255.0
broadcast 192.168.254.255
gateway 192.168.254.254

auto eth1
iface eth1 inet static
address 192.168.0.1
netmask 255.255.255.0
broadcast 192.168.0.255
gateway 192.168.254.1

[zekkerj]

vc só pode ter um gateway em sua máquina. Retire a linha "gateway" da interface eth1.

[gcdieter]

vc só pode ter um gateway em sua máquina. Retire a linha "gateway" da interface eth1.

O eth0 Recebe a internet, o IP do modem é 192.168.254.254... se eu tirar o gateway do eth1 eu vou ficar sem internet?

[gcdieter]

o eth1 compartilha a internet pra rede*

[zekkerj]

O eth0 Recebe a internet, o IP do modem é 192.168.254.254... se eu tirar o gateway do eth1 eu vou ficar sem internet?

o eth1 compartilha a internet pra rede*

Essa informação no arquivo interfaces não vai pras outras máquinas. Vc não precisa dela aí.

[gcdieter]

vc só pode ter um gateway em sua máquina. Retire a linha "gateway" da interface eth1.

Ok, preciso dar algum comando pra que as alterações no interface tenham efeito? pq estamos no horario de trabalho agora e fica um poco complicado reiniciar o servidor.

[zekkerj]

Não precisa reiniciar o servidor, vc pode reiniciar só o serviço de rede. Note que isso não influencia necessariamente o funcionamento do VNC, e não precisa ser feito agora: pode esperar uma hora de menor movimento.

Antes de prosseguir... pode fazer um teste? Execute o comando "route -n" e cole o resultado aqui.

[gcdieter]

Não precisa reiniciar o servidor, vc pode reiniciar só o serviço de rede. Note que isso não influencia necessariamente o funcionamento do VNC, e não precisa ser feito agora: pode esperar uma hora de menor movimento.

Antes de prosseguir... pode fazer um teste? Execute o comando "route -n" e cole o resultado aqui.

route -n:

Destino         Roteador        MscaraGen.    Opes Mtrica Ref   Uso Iface
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.254.0   0.0.0.0         255.255.255.0   U     0      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 eth0
0.0.0.0         192.168.254.254 0.0.0.0         UG    100    0        0 eth0


amanha meio dia vou fazer a alteração em interfaces, obrigado por enquanto zekkerj.

[zekkerj]

OK. A alteração no "interfaces" é secundária, o gateway não está duplicado (era meu medo).

[gcdieter]

RESOLVIDO POR ENQUANTO! Hoje pela manhã dei um comando de reset no firewall  ufw reset  e estamos aparecendo online para o cliente e não estamos oscilando, ficamos online constate!
Ja tinha dado os comandos ./firewall, ./firewall stop, ./firewall start, ufw disable, ufw enable na pasta /etc/init.d e não tinha funcionando e o comando  ufw reset  fez o firewall ficar estavel, acredito que foi isso.
Vou ficar testando agora pela manhã o remoto em um notebook com internet 3g por ser fora da rede da empresa e qualquer coisa aviso, de tarde falo com foi... valeu pela ajuda zekkerj!