por Claudio Roberto Cussuol » Seg Mar 14, 2005 3:55 pm
Não é bem assim.
Imagine a seguinte situação (QUE NÃO É O SEU CASO):
Você tem um link de internet e o seu provedor te forneceu 3 ips fixos.
Você pode fazer o coyote trabalhar com os 3, basta entrar na tela Internet configuration e preencher o campos Secundary/Tertiary ip address. Neste caso, e somente neste caso, você pode ter 3 webservers rodando dentro da sua rede, todos eles na mesma porta 80. No redirecionamento de porta você redireciona:
A porta 80 do primeiro ip externo para a maquina X
A porta 80 do segundo ip externo para a maquina y
A porta 80 do terceiro ip externo para a maquina Z
Para que isso seja possível existe um campo na pagina de redirecionamento de portas (External Ip Adress) que serve para você informar qual dos seus IPs externos estará sendo redirecionado, mas só se você tiver mais de um, claro.
Você confundiu a função deste campo. Ele não serve para controlar quem terá acesso e quem não terá. O redirecionamento de portas não faz nenhuma especie de controle de acesso. Quando você redireciona você redireciona para qualquer um que tentar entrar por aquela porta.
Percebeu o erro?
Que bom. Agora vamos ao SEU caso:
Voce fez o redirecionamento de uma porta (por ex: 5901) para o vnc de uma maquina interna, mas não quer que todo mundo tenha acesso a esta porta, apenas um determinado ip externo QUE VOCÊ SABE QUAL É. (Por ex: 200.200.200.200). Todos os outros internautas do mundo deverão enchergar esta porta como se ela estivesse fechada. Como se faz isso?
1o. - Você faz o redirecionamento de porta normalmente, como se fosse para todo mundo. O redirecionamento de porta NÃO CONTROLA ACESSO.
2o. - Você entra na pagina: Advanced Firewall Configuration e cria uma regra (Access) assim:
Active = yes
Rule = Deny
Protocol = tcp
Source Adress = """NOT""" ip ou host name 200.200.200.200
Destination Adress = Local Network
Start Port Number = 5901
End Port Number = (nada)
O que essa regra significa: se uma conexão para a porta 5901 chegar de uma maquina que não seja a 200.200.200.200 ela será NEGADA. Pronto.
Mas o que fazer se a maquina externa não tiver ip fixo? Eu posso usar um dyndns no lugar do 200.200.... ?
Mais ou menos. O coyote não cria regras para um nome de dominio, ele cria para um numero de ip. Quando você fizer o reload firewall o iptables vai resolver o nome de dominio e criar a regra para o ip que ele tiver NAQUELE MOMENTO. Se dias depois o ip da maquina externa mudou e você não fez nenhum reload firewall e coyote vai bloqueá-la porque ele só vai aceitar conexões de um ip que não existe mais. O coyote não tem como saber quando o ip da maquina externa muda a não ser que você fique fazendo o reload firewall toda hora.
Espero não ter te complicado ainda mais.