none
Liberação de Portas no MS Windows Server 2003-SP2-PT-BR RRS feed

  • Pergunta


  • Pessoal,

    Estou com um probleminha na liberação de portas no MS Windows Server 2003-SP2-PT-BR. É o seguinte:

    Tenho um servidor rodando o MS Windows Server 2003-STD-SP2-PT-BR, na minha rede com a função de Proxy/Firewall. Nele está rodando o MS ISA Server 2006-STD-PT-BR, com todas as configurações e regras já definidas, onde nele entra um link de internet da Embratel, com IP fixo. O acesso a internet por ele tá funcionando tudo direitinho, porém estou com um problema com relação a liberação de portas (mas especificamente uma, que é a que estou tentando usar). Tenho um cliente de correio (Lotus Domino) que precisa fazer replicação da base a partir da rede externa, usando a porta 1352, porém não está sendo possível. Estou fazendo testes, a partir de uma rede externa, usando o telnet com essa porta (telnet 189.16.Y.Z 1352), mas dá a seguinte mensagem: "Não pôde abrir a conexão para o host na porta 1352. Conexão falhou". Pensei ser o ISA Server, mas não, pois existe regras no firewall liberando essa porta (tipo de conexão ENTRADA). Então fiz um outro teste com telnet (telnet 192.X.Y.254 1352), só que desta vez dentro da rede interna (mesma rede do servidor ISA Server) e apresentou o mesmo problema, por isso estou achando que o bloqueio está no MS Windows Server 2003, rodando nesse servidor.

    DADOS DO SERVIDOR:
    HOSTNAME: recsvfirep
    IP INTERNO (LAN): 192.X.Y.254
    IP EXTERNO (WAN): 189.16.Y.Z

    Tenho um outro servidor, só que rodando o MS Windows 2000 Server-EN-SP4, com o MS ISA Server 2004-EN, com a mesma estrutura de configuração (ISA Server 2004) do citado acima, com outro link de internet de outra ioperadora, também com IP fixo, com mesmas regras e políticas criadas, porém neste servidor eu consigo fazer o procedimento de replicação, a partir da rede externa, usando a porta 1352 sem nenhum problema, inclusive dar telnet (telnet 189.20.Y.Z 1352) nessa porta e consigo acesso com sucesso.

    DADOS DO SERVIDOR:
    HOSTNAME: recsvfirew
    IP INTERNO (LAN): 192.X.Y.3
    IP EXTERNO (WAN): 189.20.Y.Z

    Alguém poderia dar uma ajuda de como solucionar este problema, pois preciso colocar o servidor no ar e só depois que tudo estiver funcionando sem problemas poderei fazer isso, ou seja, como FAÇO PARA LIBERAR UMA PORTA (CONEXÃO DE ENTRADA) num servidor com MS Windows Server 2003-STD-SP2-PT-BR?

    Agradeço a todos que puderem ajudar.


    Um abraço,

    Mauro Galdino
    Recife - PE.


    terça-feira, 3 de junho de 2008 14:59

Todas as Respostas

  • Pessoal,

     

    Alguém poderia dar uma ajuda nesse problema? Porque preciso colocar esta máquina no ar o mais BREVE POSSÍVEL.

     

    Abraços,

     

    Mauro Galdino

    quarta-feira, 4 de junho de 2008 18:40
  • Mauro,

     

    Se seu ISA 2006 estiver atualizado. Voce pode utilizar a opção de troubleshooting e analizar os logs durante o processo de replicacao.

     

    Sobre as portas outra ferramenta que voce pode utilizar é PortQuery.

     

    Se util classifique.

     

    Vechiatto

     

    quinta-feira, 5 de junho de 2008 07:13
  • Vechiatto,

     

    Eu usei a ferramenta PortQuery, conforme sugestão, a partir de uma estação de trabalho da mesma rede onde encontra-se o servidor, usando a porta 1352 e deu o seguinte resultado:

     

    PROTOCOLO UDP

    ---------------------------

    Starting portqry.exe -n 192.168.0.254 -e 1352 -p UDP ...

    Querying target system called: 192.168.0.254

    Attempting to resolve IP address to a name...

    IP address resolved to recsvfirep.connet.rec.br querying...

    UDP port 1352 (unknown service): LISTENING or FILTERED portqry.exe -n 192.168.0.254 -e 1352 -p UDP exits with return code 0x00000002.

    PROTOCOLO TCP

    ---------------------------

    Starting portqry.exe -n 192.168.0.254 -e 1352 -p TCP ...

    Querying target system called: 192.168.0.254

    Attempting to resolve IP address to a name...

    IP address resolved to recsvfirep.connet.rec.br querying...

    TCP port 1352 (unknown service): NOT LISTENING portqry.exe -n 192.168.0.254 -e 1352 -p TCP exits with return code 0x00000001.

     

    Observamos que a porta 1352/TCP não está liberada, apenas a 1352/UDP, apesar que já tinha feito um outro teste usando uma outra ferramenta, só que no próprio servidor, e já tinha percebido isto, por isso o meu questionamento de como liberar uma porta no MS Windows Server 2003.

     

    Quanto a utilizar a opção de troubleshooting e analizar os logs, também já analisei e no log do ISA Server aparece como conexão iniciada, sendo que este teste foi feito com o telnet e não com a replicação, poisqueria apenas verificar se a porta estava liberada. Como disse antes no ISA a porta está liberada sim, o problema parece ser no Wink3.

     

    Então como poderei liberar essa porta e/ou outra qq no Win2k3?

     

    De qualquer forma valeu pela ajuda.

     

    Abraços,

     

    Mauro Galdino

     

    quinta-feira, 5 de junho de 2008 14:27
  • Mauro,

     

    Para que o protocolo de rede de um skip em alguma prota da camada TCP. Voce precisa adicionar via registry do windows e claro reinciar a maquina depois.

     

    Adicione o valor abaixo.

     

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

    Value Name: ReservedPorts

    Data Type: REG_MULTI_SZ

    Value: 1352-1352

     

    Se funcionar classifique

     

    Valeu,

    quinta-feira, 5 de junho de 2008 20:55
  • Vechiatto,

     

    Executei os procedimentos que vc sugeriu, mas não resolveu o problema. Depois de executar a sua sugestão, fiz testes usando o telnet e a ferramenta Port Query, na porta 1352, mas sem sucesso. Agora quando eu faço esses mesmos testes usando a porta 80 (tanto telnet como com o Port Query), o acesso à máquina acontece com sucesso, pois a porta 80, por padrão já está liberada no MS Windows Server 2003.

     

    De qualquer forma obrigado pela dica, se tiver mais alguma outra alternativa de solução, agradeço muito e é bem vinda.

     

    Abraços,

     

    Mauro Galdino

     

     

    sexta-feira, 6 de junho de 2008 14:16
  • Grande Vechiatto!!! Beleza?

     

    Mano, a configuração desta chave de registro não se aplica ao nosso colega Mauro, pois somente seria utilizável se ele fosse executar o sistema no mesmo servidor do ISA Server e ele quisesse evitar que alguma outra aplicação TCP/IP usasse esta porta.

     

    Mauro pode fazer o seguinte:

    1. Verificar as rotas entre ISA e servidor de destino;
    2. checar direção e sentido do tráfego;
    3. reavaliar detalhadamente as configurações de protocolo baseado nas informações dos itens 1 e 2;
    4. colocar uma máquina com exatamente as mesmas configurações de TCP/IP do ISA, só que sem instalar o ISA, no lugar do firewall atual e testar a comunicação entre ela e a aplicação desejada.

    Espero ter ajudado!!!!

     

    Abraços!

    domingo, 8 de junho de 2008 22:14
  • Rogério,

     

    1- Entre o Servidor ISA e o destino tá ok, inclusive fiz um teste com telnet na porta 1352 (do servidor ISA para o destino) e a resposta foi com sucesso, porém ao contrário não é possível.

    2- No ISA Server a porta 1352 está liberada nos dois sentidos (INBOUND e OUTBOUND), pois criei duas Access Rules, uma para IN e outra para OUT, sendo que o INBOUND o destino é localhost e o Servidor para onde as requisições serão endereçadas e OUTBOUND o destino é Rede Externa.

    3- Quanto ao item 4 só poderei fazer isso depois, pois não tenho uma máquina dispoível para executar esse procedimento.

     

    Eu continuo achando que o problema parece ser no próprio Windows 2003, ou seja, o firewall padrão do mesmo (Firewall do Windows/Compart. conexão com internet (ICS)) bloqueia quase todas as portas, por uma questão de segurança. Está correto o meu entendimento? Caso possitivo queria ver como liberar uma porta no Windows 2003, pois já tentei com algumas sugestões passadas aqui no fórum e de pesquisa na web, mas não consegui, inclusive quando o ISA é instalado náquina o firewall do windows 2k3 a gente não consegue alterar.

     

    Fiz um teste numa outra máquina, rodando MS Windows Server 2003, dando um telnet na porta 1352, a partir de uma estação de trabalho, e a ocorre exatamente a mesma mensagem: "Conectando-se a 192.168.0.7...Não foi possível abrir conexão com host na porta 1352: conexão falhou". Então ativei o firewall do win2k3 dessa máquina, e em Excessões incluir a porta 1352 (TCP e UDP), mas mesmo assim continuou dando a mesma mensagem.

     

    Um abraço,

     

    Mauro Galdino

     

    segunda-feira, 9 de junho de 2008 12:58
  • Oi Mauro. Bom dia.

     

    Vou começar pela questão do Firewall do Windows 2003 (ICS). Não se preocupe com ele, pois ele é desativado quando o ISA é instalado. Portanto é impossível que ele esteja provocando algum problema.

     

    Pensando aqui com meus botões, lembrei-me que há uma série de outras questões relacionadas à liberação do acesso da rede interna para outros recursos, como por exemplo as regras de roteamento (NAT ou rota).

     

    Na verdade, para resolvermos seu problema, precisamos de informações mais detalhadas e objetivas. Vou delineá-las abaixo e você altera os dados numa resposta a este post para refletir as configurações.

    1. Quantas placas de rede tem seu ISA?
    2. Quais as definições destas placas de rede e quais os endereços IP? P. ex.: Interna, Externa, DMZ, etc. Não precisa passar informações verídicas sobre as configurações; basta colocar informações semelhantes.
    3. Há rota para algum destino? Qual é a rota?
    4. Quais são as redes existentes e quais os endereços IP das redes associadas a elas? P. ex.: Internal: 192.168.1.z/24
    5. Quais são as regras de roteamento entre as redes e qual é a ordem de aplicação destas regras? P. ex.: Internal -> External: NAT; Internal -> Filiais: Roteamento.
    6. Quais são as regras de acesso que existem e, na ordem de execução, qual é a que se refere ao tráfego entre Cliente e Servidor do protocolo desejado?
    7. O Cliente se localiza em que rede? P. ex.: Internal, Filiais, etc.
    8. O Servidor de destino está posicionado em que rede? P. ex.: Internal, external, DMZ, etc.

    Eu só faria algumas considerações adicionais:

    1. Se o tráfego for entre redes Internal e DMZ e tu tiveres configurado roteamento como regra de rota entre estas redes, há rota do servidor de destino para a rede de origem (Internal)?
    2. Não há a necessidade de criar-se um protocolo com entradas Inbound e Outbound simultaneamente. Se por exemplo os clientes estão na rede Internal e o servidor na DMZ, se a aplicação cria um Windows Socket simples (qualquer porta de origem, porta de destino 1352) basta criar um protocolo Outbound para a porta 1352. Protocolos que utilizam a configuração de Inbound são normalmente usados para regras de publicação, mas não para regras de acesso (que é o caso aqui).
    3. Pelo que observei, o teste que tu fizeste utilizando o ISA que roda no Windows 2000 foi destinado a um servidor diferente do que foi testado no ISA que roda no Windows 2003. Verifique este ponto.

    Acho que já dá pra te dar o caminho das pedras...

     

    Um grande abraço!

    segunda-feira, 9 de junho de 2008 14:54