1 Temat przez xrace (edytowany przez xrace 2014-01-20 11:12:18)

  • xrace
  • Użytkownik
  • Nieaktywny
  • Skąd: Wrocław
  • Zarejestrowany: 2010-03-22
  • Posty: 162

Temat: Przekierowanie portow w GG

Mam dziwny problem. Po przesiadce na nowego GG mam jakiś dziwny problem z przekierowaniem portów na na wewnętrzny adres IP. Na router z zewnątrz mogę się dostać (po SSH, HTTP, HTTPS) ale mając reguły przekierowania portów na jakiś komputer w sieci wewnętrznej - niestety pojawia się problem.
Przykładowo:
Mam na raspberry serwer www na porcie 9092. Po adresie wewnętrznym 192.168.1.13:9092 mogę się dostać. Robię przekierowanie portu w GG i lipa.

root@Gargoyle:~# cat /etc/config/firewall

config defaults
        option syn_flood '1'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'REJECT'

config zone
        option name 'lan'
        option network 'lan'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'REJECT'

config zone
        option name 'wan'
        option network 'wan'
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option masq '1'
        option mtu_fix '1'

config forwarding
        option src 'lan'
        option dest 'wan'

config rule
        option name 'Allow-DHCP-Renew'
        option src 'wan'
        option proto 'udp'
        option dest_port '68'
        option target 'ACCEPT'
        option family 'ipv4'

config rule
        option name 'Allow-Ping'
        option src 'wan'
        option proto 'icmp'
        option icmp_type 'echo-request'
        option family 'ipv4'
        option target 'ACCEPT'

config rule
        option name 'Allow-DHCPv6'
        option src 'wan'
        option proto 'udp'
        option src_ip 'fe80::/10'
        option src_port '547'
        option dest_ip 'fe80::/10'
        option dest_port '546'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Input'
        option src 'wan'
        option proto 'icmp'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'
        list icmp_type 'echo-request'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        list icmp_type 'router-solicitation'
        list icmp_type 'neighbour-solicitation'

config rule
        option name 'Allow-ICMPv6-Forward'
        option src 'wan'
        option dest '*'
        option proto 'icmp'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'
        list icmp_type 'echo-request'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'

config include
        option path '/etc/firewall.user'

config include
        option path '/usr/lib/gargoyle_firewall_util/gargoyle_additions.firewall'

config remote_accept 'ra_443_443'
        option local_port '443'
        option remote_port '443'
        option proto 'tcp'
        option zone 'wan'

config remote_accept 'ra_80_8080'
        option local_port '80'
        option remote_port '8080'
        option proto 'tcp'
        option zone 'wan'

config remote_accept 'ra_22_22'
        option local_port '22'
        option remote_port '22'
        option proto 'tcp'
        option zone 'wan'

config redirect 'redirect_enabled_number_0'
        option name 'R_9092'
        option src 'wan'
        option dest 'lan'
        option proto 'tcp'
        option src_dport '9092'
        option dest_ip '192.168.1.13'
        option dest_port '9092'

config redirect 'redirect_enabled_number_1'
        option name 'R_9092'
        option src 'wan'
        option dest 'lan'
        option proto 'udp'
        option src_dport '9092'
        option dest_ip '192.168.1.13'
        option dest_port '9092'
root@Gargoyle:~# /etc/init.d/firewall reload
Warning: Section 'redirect_enabled_number_0' has no target specified, defaulting to DNAT
Warning: Section 'redirect_enabled_number_1' has no target specified, defaulting to DNAT
 * Clearing IPv4 filter table
 * Clearing IPv4 nat table
 * Clearing IPv4 mangle table
 * Clearing IPv4 raw table
 * Populating IPv4 filter table
   * Zone 'lan'
   * Zone 'wan'
   * Rule 'Allow-DHCP-Renew'
   * Rule 'Allow-Ping'
   * Redirect 'R_9092'
   * Redirect 'R_9092'
   * Forward 'lan' -> 'wan'
 * Populating IPv4 nat table
   * Zone 'lan'
   * Zone 'wan'
   * Redirect 'R_9092'
   * Redirect 'R_9092'
 * Populating IPv4 mangle table
   * Zone 'lan'
   * Zone 'wan'
 * Populating IPv4 raw table
   * Zone 'lan'
   * Zone 'wan'
 * Set tcp_ecn to off
 * Set tcp_syncookies to on
 * Set tcp_window_scaling to on

Jakieś pomysły co może być przyczyną? Próbowałem nawet ustawić 192.168.1.13 w DMZ i co najlepsze też nie moge się połączyć z zewnątrz.

Gargoyle PL 1.5.11.7 (3afc491)
OpenWrt Attitude Adjustment 12.09.1 (r39154)

Skanowałem też z zewnątrz i niestety, pokazuje ze port 9092 jest zamknięty. Czyli jakby firewall nie przekierowywał ruchu.

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,913

Odp: Przekierowanie portow w GG

Kto jest dostawcą internetu? Jaki adres ip masz na wan?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez xrace (edytowany przez xrace 2014-01-20 20:24:55)

  • xrace
  • Użytkownik
  • Nieaktywny
  • Skąd: Wrocław
  • Zarejestrowany: 2010-03-22
  • Posty: 162

Odp: Przekierowanie portow w GG

Dostawcą jest dialog. rtrdialog.dyndns.org - jak spingujesz dostaniesz aktualny adres IP. Problem jest tylko z raspberry. Sprawdzałem na innym kompie VNC zdalnie i poszło.
Teraz myślę inaczej. Mam przekierowane porty 8000 i 9092 z WAN do raspberry. Te porty są wykorzystywane przez serwer http który znajduje się również na raspberry. Wydaje mi się, że wpisując w przeglądarkę adres WAN:9092 szuka czy czasem GG na http nie nadaje (szuka czy na porcie 9092 na GG jest usługa http) zamiast przekierować to na raspberry.
Kurcze, przeciez powinienem móc mieć kilka serwerów http na różnych maszynach z różnymi portami.

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,913

Odp: Przekierowanie portow w GG

Nie. 8080 i 80 ma na gargyle, jak specjalnie gui nie przestawiłeś to na 9092 nic nie szuka.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez xrace

  • xrace
  • Użytkownik
  • Nieaktywny
  • Skąd: Wrocław
  • Zarejestrowany: 2010-03-22
  • Posty: 162

Odp: Przekierowanie portow w GG

Nie było tematu. Jak się okazuje raspberry jest o tyle sprytnym urządzeniem ze pozwala na zarządzanie adresom z sieci wewnętrzej, a z zewnątrz już nie.  Wystarczyło wyłączyć firewalla i poszło. Nie spodziewałem się i w pierszej kolejnosci obstawiałem router, ale tcpdump pokazał co innego.