» »

openwrt port forwarding problem

openwrt port forwarding problem

luuxiii ::

imam problem, z nastavitvami openwrt-ja, namreč vsako povezavo mi ruter drop-a.
prek siola sm forwardiru na ta openwrt...tam tut nastavu forward naprej na kamero...sam k pogledam pod firewall status vidim da povezavo prekine...nvm zakaj..tole je pod firewall status
 firewall status

firewall status



lepo prosim za pomoč

specing ::

prilimaj # iptables -S iz konzole

luuxiii ::

evo
root@OpenWrt:~# iptables -S
-P INPUT ACCEPT
-P FORWARD DROP
-P OUTPUT ACCEPT
-N forward
-N forwarding_lan
-N forwarding_rule
-N forwarding_wan
-N input
-N input_lan
-N input_rule
-N input_wan
-N output
-N output_rule
-N reject
-N syn_flood
-N zone_lan
-N zone_lan_ACCEPT
-N zone_lan_DROP
-N zone_lan_REJECT
-N zone_lan_forward
-N zone_wan
-N zone_wan_ACCEPT
-N zone_wan_DROP
-N zone_wan_REJECT
-N zone_wan_forward
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn_flood
-A INPUT -j input_rule
-A INPUT -j input
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j forwarding_rule
-A FORWARD -j forward
-A FORWARD -j reject
-A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -j output_rule
-A OUTPUT -j output
-A forward -i br-lan -j zone_lan_forward
-A forward -i eth0.2 -j zone_wan_forward
-A input -i br-lan -j zone_lan
-A input -i eth0.2 -j zone_wan
-A output -j zone_lan_ACCEPT
-A output -j zone_wan_ACCEPT
-A reject -p tcp -j REJECT --reject-with tcp-reset
-A reject -j REJECT --reject-with icmp-port-unreachable
-A syn_flood -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 25/s ec --limit-burst 50 -j RETURN
-A syn_flood -j DROP
-A zone_lan -p tcp -m tcp --dport 9100 -j ACCEPT
-A zone_lan -j input_lan
-A zone_lan -j zone_lan_ACCEPT
-A zone_lan_ACCEPT -o br-lan -j ACCEPT
-A zone_lan_ACCEPT -i br-lan -j ACCEPT
-A zone_lan_DROP -o br-lan -j DROP
-A zone_lan_DROP -i br-lan -j DROP
-A zone_lan_REJECT -o br-lan -j reject
-A zone_lan_REJECT -i br-lan -j reject
-A zone_lan_forward -j zone_wan_ACCEPT
-A zone_lan_forward -j forwarding_lan
-A zone_lan_forward -j zone_lan_REJECT
-A zone_wan -p udp -m udp --dport 68 -j ACCEPT
-A zone_wan -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A zone_wan -j input_wan
-A zone_wan -j zone_wan_REJECT
-A zone_wan_ACCEPT -o eth0.2 -j ACCEPT
-A zone_wan_ACCEPT -i eth0.2 -j ACCEPT
-A zone_wan_DROP -o eth0.2 -j DROP
-A zone_wan_DROP -i eth0.2 -j DROP
-A zone_wan_REJECT -o eth0.2 -j reject
-A zone_wan_REJECT -i eth0.2 -j reject
-A zone_wan_forward -j forwarding_wan
-A zone_wan_forward -j zone_wan_REJECT

specing ::

Ni videti da bi imel nastavljeno forwardanje... si prepričan da si po "save changes" pritisnil "apply changes" ?
(sicer možno da je malo drugače pri stock OpenWRTju, sam uporabljam X-wrt na 3 leta starem sistemu...

luuxiii ::

umes sm se še mal špilu pa tut zbrisu....:D
eno sm ga na nov nastavo no iptabel je pa :
root@OpenWrt:~# iptables -S
-P INPUT ACCEPT
-P FORWARD DROP
-P OUTPUT ACCEPT
-N forward
-N forwarding_lan
-N forwarding_rule
-N forwarding_wan
-N input
-N input_lan
-N input_rule
-N input_wan
-N nat_reflection_fwd
-N output
-N output_rule
-N reject
-N syn_flood
-N zone_lan
-N zone_lan_ACCEPT
-N zone_lan_DROP
-N zone_lan_REJECT
-N zone_lan_forward
-N zone_wan
-N zone_wan_ACCEPT
-N zone_wan_DROP
-N zone_wan_REJECT
-N zone_wan_forward
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn_flood
-A INPUT -j input_rule
-A INPUT -j input
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j forwarding_rule
-A FORWARD -j forward
-A FORWARD -j reject
-A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -j output_rule
-A OUTPUT -j output
-A forward -i br-lan -j zone_lan_forward
-A forward -i eth0.2 -j zone_wan_forward
-A forwarding_rule -j nat_reflection_fwd
-A input -i br-lan -j zone_lan
-A input -i eth0.2 -j zone_wan
-A nat_reflection_fwd -s 192.168.0.0/24 -d 192.168.0.139/32 -p tcp -m tcp --dport 80 -m comment --comment "wan" -j ACCEPT
-A output -j zone_lan_ACCEPT
-A output -j zone_wan_ACCEPT
-A reject -p tcp -j REJECT --reject-with tcp-reset
-A reject -j REJECT --reject-with icmp-port-unreachable
-A syn_flood -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 25/sec --limit-burst 50 -j RETURN
-A syn_flood -j DROP
-A zone_lan -p tcp -m tcp --dport 9100 -j ACCEPT
-A zone_lan -j input_lan
-A zone_lan -j zone_lan_ACCEPT
-A zone_lan_ACCEPT -o br-lan -j ACCEPT
-A zone_lan_ACCEPT -i br-lan -j ACCEPT
-A zone_lan_DROP -o br-lan -j DROP
-A zone_lan_DROP -i br-lan -j DROP
-A zone_lan_REJECT -o br-lan -j reject
-A zone_lan_REJECT -i br-lan -j reject
-A zone_lan_forward -j zone_wan_ACCEPT
-A zone_lan_forward -j forwarding_lan
-A zone_lan_forward -j zone_lan_REJECT
-A zone_wan -p udp -m udp --dport 68 -j ACCEPT
-A zone_wan -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A zone_wan -j input_wan
-A zone_wan -j zone_wan_REJECT
-A zone_wan_ACCEPT -o eth0.2 -j ACCEPT
-A zone_wan_ACCEPT -i eth0.2 -j ACCEPT
-A zone_wan_DROP -o eth0.2 -j DROP
-A zone_wan_DROP -i eth0.2 -j DROP
-A zone_wan_REJECT -o eth0.2 -j reject
-A zone_wan_REJECT -i eth0.2 -j reject
-A zone_wan_forward -d 192.168.0.139/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A zone_wan_forward -j forwarding_wan
-A zone_wan_forward -j zone_wan_REJECT


EDIT: na zgorni sliki sm meu še fiksn Source IP 192.168.1.89. tle sm pa zj kr prosto pustu...

Zgodovina sprememb…

  • spremenilo: luuxiii ()

SasoS ::

Kaj pa nat?

SeMiNeSanja ::

Tole pa meni izgleda kot neke vrste mazohizma.....

luuxiii ::

sm najdu...pod source Port more bit any, pa kot external port more bit tist port..
zakva mazohizma?...ka majo užitki z ruterji...8-O

SeMiNeSanja ::

Ma dej no, kje pa maš tu še kaj pregleda?
Saj sam vidiš, koliko časa si iskal vzrok za težavo - čisti mazohizem.

In to že pri enem samem port forwardu. Kako potem to izgleda, če hočeš res striktno filtrirat promet, ki zapušča mrežo, da imaš vse zaprto in spuščaš samo tisto, kar moraš?
Že Cisco konfiguracija je grozna, tole je pa še 3x bolj nepregledno.

luuxiii ::

1. mogoče se ne spoznam na te stvari tako kot ti, in lepo prosim za pomoč "normalnih" uporabnikov slo-tech-a.
2. gdo te je prosim da se vključiš v temo, če ne daš vsaj nekaj pametnega iz sebe.
3. včasih je bolje da se pozanimaš kaj pomeni določena beseda(direkt iz sskj "masohízem in mazohízem -zma m (ȋ) psiht. doživljanje spolnega užitka osebe, kadar je mučena ali poniževana: biti nagnjen k masohizmu // knjiž., s prilastkom naslada ob lastni bolečini: moralni, psihični masohizem "...link

Hvala :)

SeMiNeSanja ::

Lej ga, kako koj v luft skače, ko ga nekdo malenkostno zbode!

In JA - tole je čisti mazohizem s temi iptables, ker dejansko moraš imeti neka perverzna nagnjenja, da ti je to užitek (kot si sam zgoraj napisal).

Če nebi bil mazohist, bi si omislil katerega od številnih GUI-jev za iptables (če jih že moraš uporabljati).

luuxiii ::

sej delam z GUI port forwardingom...tut slike sm prložu z GUI. Pač en uporabnik, k je vsaj hotu pomagat, je rekel, naj prpopam post z podobnosti z CLI-ja ? nvm ka ti ni jasno


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Postavitev mySQL

Oddelek: Programiranje
92243 (1821) M01O
»

ProtFtp Passive mode in iptables

Oddelek: Programska oprema
252265 (2087) SasoS
»

iptables problem z SSH

Oddelek: Omrežja in internet
121928 (1782) sverde21
»

pomoč pri iptables

Oddelek: Omrežja in internet
102621 (2450) HellRaiseR
»

iptables skripta

Oddelek: Omrežja in internet
72129 (1909) karafeka

Več podobnih tem