NAT e Team Viewer

Este tópico contém respostas, possui 7 vozes e foi atualizado pela última vez por  natafor 10 mes, 2 semanas atrás.

  • Autor
    Posts
  • #1684

    hawk_braz
    Participante

    Estou com algumas dores de cabeça…

    A primeira delas é com o redirecionamento de portas / NAT. Criei um redirecionamento de porta para o serviço de RDP porém o mesmo não funciona. A porta de entrada é 33891 e saída 3389.

    Tenho que configurar mais alguma coisa além do Redirecionamento de Portas/NAT?

    http://img341.imageshack.us/img341/9612/natp.png

    Outra coisa é que não consigo liberar o acesso do Team Viewer de jeito nenhum… Quero que pessoas que estão do lado de fora acessem pcs aqui dentro.

    O que acontece é que quando a pessoa do lado de fora as vezes até consegue conectar mas não passa nenhum minuto e cai. Isso quando consegue.

    E por último e não menos importante, eu não consigo liberar acesso externo ao Endian de jeito nenhum!! Como faço para poder acessar da Internet (externo) o console web do Endian?

    A minha versão é a 2.5.1

    Desde já agradeço muito a todos!!

  • #10705

    mantunespb
    Participante

    Amigo,

    pela foto, vc esta usando um modem routeado. para o NAT funcionar, o endian tem que fazer a conexão e o modem é bridge.

    Quanto ao Team Viewer ele é via porta 80, se a conexão está caindo não é problema dele e sim da conexão ou então está usando alguma versão do team viewer gratis que limita o tempo, geralmente é 5 minutos. Lembrando que o mesmo é livre para uso domestico e não comercial.

  • #10706

    Eduardo Jonck
    Participante

    mantunespb, você está errado, o que esta dando errado é a origem #hawk_braz, deixa “QUALQUER” e o Destino deixa “Definido pelo Utilizador” .

    Outra coisa importante é no modem que vc tem que fazer NAT também ou uma DMZ, não sei como é sua rede no momento, mas se o seu Gateway é o Modem, pode fazer uma DMZ direcionado todos os pacotes para o Endian e o restante ele faz, isso é feijão com arroz para um Técnico em Informática, creio que vc já tenha a manha.

    O restante ta certo, testa ai e ve se funciona.

  • #10707

    Diego Pontes
    Participante

    Sobre a regra de redirecionamento você pode fazer dos dois modos acima, eu acho que o ideal é o Endian fazer a conexão e ele ser o gw da rede, sobre o teamviewer é só você criar uma regra de outgoing para a porta 5938, essa é a porta utilizada pelo teamviewer, não a 80.

  • #10708

    thiagomespb
    Participante

    o mantunespb esta certo…

    O problema amigo eduardo.. é que esse modem está routeado, mania deste povo colocar um firewall fazendo conexão em modo router.. o correto e boa pratica é BRIDGE.. o endian fazendo conexão..

  • #10709

    mantunespb
    Participante

    Para falar que o teamview usa a porta 5938, tem que conhecer primeiro sobre ele.

    Eis o documento.. e trecho onde fala sobre “http-tunnelling”

    http://www.teamviewer.com/pt/res/pdf/TeamViewer_SecurityStatement_pt.pdf

    Ao criar uma sessão, o TeamViewer determina o tipo de conexão ideal. Após o handshake feito através de nosso servidores mestre, em 70% dos casos é estabelecida uma conexão direta via UDP ou TCP (mesmo passando por gateways padrão, NATs e firewalls). O restante das conexões é encaminhado através de nossa rede de routers altamente complexa via TCP ou “http-tunnelling”. Não é necessário abrir qualquer porta para trabalhar com o

  • #10710

    gst.freitas
    Participante

    Tambem concordo com mantunespb com relação ao modo BRIDGE e o Teamviewew usa a porta 80 com “http-tunnelling” por isso que firewall não consegue bloquear..

  • #10711

    Diego Pontes
    Participante

    Velho se você monitorar via tcpdump a máquina que está com o teamviewer ligada você verá que só existem conexões TCP, na porta 5938, nada na porta 80.

    Teste a regra que eu falei jovem, depois agradeça.

    Sem a regra criada (SEM FUNCIONAR):

    root@fw6b:~ # tcpdump -nni any host 10.3.3.249 and not port 22 and not port 10443

    tcpdump: WARNING: Promiscuous mode not supported on the “any” device

    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

    listening on any, link-type LINUX_SLL (Linux cooked), capture size 96 bytes

    10:38:50.908281 IP 10.3.3.249.35645 > 10.3.0.253.53: 33166+ A? ping3.teamviewer.com. (38)

    10:38:50.908281 IP 10.3.3.249.35645 > 10.3.0.253.53: 33166+ A? ping3.teamviewer.com. (38)

    10:38:50.974133 IP 10.3.0.253.53 > 10.3.3.249.35645: 33166 4/0/0 A[|domain]

    10:38:50.974180 IP 10.3.0.253.53 > 10.3.3.249.35645: 33166 4/0/0 A[|domain]

    10:38:50.974955 IP 10.3.3.249.54262 > 62.75.246.130.5938: S 8926386:8926386(0) win 14600 <mss 1460,sackOK,timestamp 7957875 0,nop,wscale 2>

    10:38:50.974955 IP 10.3.3.249.54262 > 62.75.246.130.5938: S 8926386:8926386(0) win 14600 <mss 1460,sackOK,timestamp 7957875 0,nop,wscale 2>

    10:38:51.975319 IP 10.3.3.249.54262 > 62.75.246.130.5938: S 8926386:8926386(0) win 14600 <mss 1460,sackOK,timestamp 7958876 0,nop,wscale 2>

    10:38:51.975319 IP 10.3.3.249.54262 > 62.75.246.130.5938: S 8926386:8926386(0) win 14600 <mss 1460,sackOK,timestamp 7958876 0,nop,wscale 2>

    10:38:53.979227 IP 10.3.3.249.54262 > 62.75.246.130.5938: S 8926386:8926386(0) win 14600 <mss 1460,sackOK,timestamp 7960880 0,nop,wscale 2>

    10:38:53.979227 IP 10.3.3.249.54262 > 62.75.246.130.5938: S 8926386:8926386(0) win 14600 <mss 1460,sackOK,timestamp 7960880 0,nop,wscale 2>

    Depois da regra criada (FUNCIONANDO):

    root@fw6b:~ # tcpdump -nni any host 10.3.3.249 and not port 22 and not port 10443

    tcpdump: WARNING: Promiscuous mode not supported on the “any” device

    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

    listening on any, link-type LINUX_SLL (Linux cooked), capture size 96 bytes

    10:42:11.273047 IP 10.3.3.249.52313 > 10.3.0.253.53: 10903+ A? ping3.teamviewer.com. (38)

    10:42:11.273047 IP 10.3.3.249.52313 > 10.3.0.253.53: 10903+ A? ping3.teamviewer.com. (38)

    10:42:11.274035 IP 10.3.0.253.53 > 10.3.3.249.52313: 10903 4/0/0 A[|domain]

    10:42:11.274074 IP 10.3.0.253.53 > 10.3.3.249.52313: 10903 4/0/0 A[|domain]

    10:42:11.274605 IP 10.3.3.249.59863 > 85.214.154.223.5938: S 1209827167:1209827167(0) win 14600 <mss 1460,sackOK,timestamp 8158175 0,nop,wscale 2>

    10:42:11.274605 IP 10.3.3.249.59863 > 85.214.154.223.5938: S 1209827167:1209827167(0) win 14600 <mss 1460,sackOK,timestamp 8158175 0,nop,wscale 2>

    10:42:11.495525 IP 85.214.154.223.5938 > 10.3.3.249.59863: S 2772582221:2772582221(0) ack 1209827168 win 8192 <mss 1452,sackOK,timestamp 2525296299 8158175>

    10:42:11.495569 IP 85.214.154.223.5938 > 10.3.3.249.59863: S 2772582221:2772582221(0) ack 1209827168 win 8192 <mss 1452,sackOK,timestamp 2525296299 8158175>

    10:42:11.495978 IP 10.3.3.249.59863 > 85.214.154.223.5938: . ack 1 win 14600 <nop,nop,timestamp 8158396 2525296299>

    10:42:11.495978 IP 10.3.3.249.59863 > 85.214.154.223.5938: . ack 1 win 14600 <nop,nop,timestamp 8158396 2525296299>

    10:42:11.496619 IP 10.3.3.249.59863 > 85.214.154.223.5938: P 1:10(9) ack 1 win 14600 <nop,nop,timestamp 8158397 2525296299>

    10:42:11.496619 IP 10.3.3.249.59863 > 85.214.154.223.5938: P 1:10(9) ack 1 win 14600 <nop,nop,timestamp 8158397 2525296299>

    10:42:11.708298 IP 85.214.154.223.5938 > 10.3.3.249.59863: P 1:10(9) ack 10 win 64800 <nop,nop,timestamp 2525296321 8158397>

    10:42:11.708342 IP 85.214.154.223.5938 > 10.3.3.249.59863: P 1:10(9) ack 10 win 64800 <nop,nop,timestamp 2525296321 8158397>

    10:42:11.708698 IP 10.3.3.249.59863 > 85.214.154.223.5938: . ack 10 win 14600 <nop,nop,timestamp 8158609 2525296321>

    10:42:11.708698 IP 10.3.3.249.59863 > 85.214.154.223.5938: . ack 10 win 14600 <nop,nop,timestamp 8158609 2525296321>

  • #10712

    mantunespb
    Participante

    Amigo,

    Certamente você nem viu o documento do link.. leia e depois volte aqui. sabe qual é porta usada pela “http-tunnelling” ??

    Todo mundo pensa que a porta é 5938. Entenda o funcionamento do TW, eu uso a versão comercial com suporte deles.. a porta 5938 só é usada para conectar ao servidor deles.. depois é feito pela porta “http-tunnelling”

    Faça o teste.. bloqueia a porta 5938. para ver se o TW ainda funcionar.

    Entendeu ???

  • #10713

    Eduardo Jonck
    Participante

    Pois é pessoal, eu vejo muitos que administram redes falarem que por boas praticas o Modem tem que ficar em BRIDGE e o Firewall fazendo a autenticação e Roteamento.

    Agora se alguém puder explicar o porque disso seria interessante, pois não vejo diferença entre os dois modos.

    Na minha opinião tudo é uma questão de como vc vai montar sua infra.

    O que vcs estão discutindo nesse post, eu tenho rodando no meu cliente em perfeito estado, sem maiores problemas.

    Eu tenho o TW também la e eu liberei a saída da porta 5938 e esta tudo certinho com os acessos, não necessitou de mais nada para rodar.

    Também tenho o acesso a Administração do Endian via WEB em modo VPN e pela porta 10443.

    Um abraço a todos e vamos rever essas boas praticas ai!!!!!

  • #10714

    gst.freitas
    Participante

    É simples meu amigo..

    Deixando o Modem em modo bridge, o endian é firewall e roteador, o gerenciamento de conexões é dele e não do modem/router, se tiver algum problema de firmaware como já aconteceu em alguns modens em modo router simplesmente, ele não fazia conexão com a porta SIP/VoIP, fora o “armengue” de colocar em DMZ do modem. etc, fora o NAT que não é direto..etc.. fora os bugs de segurança que tem em modens..

    Boas praticas deve ser seguidas pena que a maioria não fazem.. Isso é trivial para quem está na Área de rede e segurança.. Se quiser veja NBR/ISO 20001 e 20002 e veja o que diz.

  • #10715

    thiagomespb
    Participante

    gst.freitas, vc tem razão, só corrigido é ISO/IES 27001 e 27002.

    bastaria o pessoal ler esse material e entender sobre boas praticas de segurança.. Isso inclui o próprio pessoal que desenvolve o endian community. Saiu duas vulnerabilidades graves para gravíssima.. e nada de correção..

    Aos poucos estou substituindo o endian para outro.. já tinha que dá.. estou usando outra UTM que tem muito mais recursos.. um exemplo é limitar a banda por IP, fora o QoS que funciona.. é excelente.. fora outros pacotes.. o nome dele é PFSENSE.

  • #10716

    mantunespb
    Participante

    Uma coisa leva outra, porém já mudou o foco.. porem a discussão é válida

    pelo visto, ninguém dar devida importância a segurança, instala um Firewall via tutorial (next to next) ..

    Quando eu vejo firewall fazer um NAT (aceita conexão) na porta 3389(RDP) e 5900 (VNC) me dá até calafrios. Sabendo que é um grande furo de segurança certos direcionamentos.. ficam liberando de porta 3389, 8080 para qual lugar.

    A prática é Bloqueio de todas as portas.. Libera somente o que usar com endereço destino.

    Liberar uma porta, sem destino é dizer, é melhor nem usar um firewall, pq não tem a necessidade. vai ficar cheio de furos igual a queijo suíço.. outro detalhe é o modem adsl em mode router, nem mudar a senha padrão do fabricante mudam.(admin/admin).. Usar Rede sem Fio WEP, para mim é caso de demissão sumária..

    Ai vão perguntar, mas como usar o meu terminal server. Simples, se é filial usa IPSEC ou OpenVPN, se é um cliente faz conexão OpenVPN.. e durma feliz..

  • #10717

    Eduardo Jonck
    Participante

    mantunespb, os direcionamentos de portas se faz da seguinte forma, 33890 para 3389, 80800 para 8080, assim vc mascara as portas entende. Pensando como vc falou, o firewall não pode ter nada de porta aberta? E ai, como faz então? Meio rigoroso essa sua politica.

    E ja como falei acima, depende da infraestrutura que vc ta usando, pois onde tem 15 computadores é uma coisa, agora mexer com infra de matriz e filial, ai me desculpa, ja existe Firewall/Proxy bem mais arrojados que o Endian Community, o pago ja é um deles, onde existe menos “furos” como vc diz e com maiores recurso.

    Concluindo, tudo é uma questão de ponto de vista, nem sempre vc consegue aplicar todas as politicas de segurança dentro de uma Infraestrutura, pois quem trabalha com TI sabe que os imprevistos sempre acontece, e os desafios as veses faz com que nos desviamos um pouco do que é pra ser feito, infelizmente!!!

  • #10718

    hawk_braz
    Participante

    Obrigado pelas dicas. Vou testar e assim que tiver algum resultado eu informo para vocês.

    Novamente, muito obrigado!

  • #10719

    natafor
    Participante

    Para funcionar só basta abrir porta no firewall tráfego de Saída, apontando para a porta 5938 teamviewer

O tópico ‘NAT e Team Viewer’ está fechado para novas respostas.