1 Temat przez j000

  • j000
  • Użytkownik
  • Nieaktywny
  • Skąd: Kraków/Rybnik
  • Zarejestrowany: 2011-12-01
  • Posty: 18

Temat: Nie rozumiem firewalla/Problem z firewallem

W związku z tym, że po ostatnich kłopotach z mr3220 posiadam tymczasowo drugi router. Więc na mr3220 postanowiłem poeksperymentować.
Przy poniższych ustawieniach nmap mówi:

PORT      STATE    SERVICE
22/tcp filtered unknown
22222/tcp filtered unknown
22224/tcp open     unknown
30001/tcp open     unknown

A porty 22222 i 30001 moim zdaniem powinny być oba w takim samym stanie.

I to jest /etc/config/firewall:

config 'rule'
        option 'name' 'Allow ICMP Input - WAN'
        option 'src' 'wan'
        option 'proto' 'icmp'
        option 'family' 'ipv4'
        option 'target' 'ACCEPT'
        list 'icmp_type' 'echo-reply'
        list 'icmp_type' 'destination-unreachable'
        list 'icmp_type' 'echo-request'
        list 'icmp_type' 'time-exceeded'

config 'rule'
        option 'target' 'ACCEPT'
        option 'name' 'Allow 22224 (transmission webui) - WAN'
        option 'src' 'wan'
        option 'proto' 'tcp'
        option 'dest_port' '22224'

config 'rule'
        option 'name' 'Block rest - WAN'
        option 'src' 'wan'
        option 'target' 'REJECT'
        option 'proto' 'tcp'
        option 'extra' ' --reject-with icmp-host-unreachable'

config 'defaults'
        option 'syn_flood' '1'
        option 'output' 'ACCEPT'
        option 'forward' 'REJECT'
        option 'drop_invalid' '1'
        option 'input' 'REJECT'

config 'zone'
        option 'name' 'lan'
        option 'network' 'lan'
        option 'input' 'ACCEPT'
        option 'output' 'ACCEPT'
        option 'forward' 'REJECT'

config 'zone'
        option 'name' 'wan'
        option 'network' 'wan'
        option 'output' 'ACCEPT'
        option 'masq' '1'
        option 'mtu_fix' '1'
        option 'input' 'REJECT'
        option 'forward' 'REJECT'

config 'forwarding'
        option 'src' 'lan'
        option 'dest' 'wan'

config 'redirect'
        option 'name' '22222 -> 22 (SSH) - WAN'
        option 'src' 'wan'
        option 'proto' 'tcp'
        option 'src_dport' '22222'
        option 'dest_port' '22'
        option 'target' 'DNAT'
        option 'dest' 'lan'
        option 'dest_ip' '192.168.0.1'

config 'redirect'
        option 'name' '30001 -> .2 (uTorrent) - WAN'
        option 'src' 'wan'
        option 'proto' 'tcpudp'
        option 'src_dport' '30001'
        option 'dest_ip' '192.168.0.2'
        option 'target' 'DNAT'
        option 'dest' 'lan'
        option 'dest_port' '30001'

config 'include'
        option 'path' '/etc/firewall.user'

Nic się nie zmienia jak dodam

config 'rule'
        option 'target' 'ACCEPT'
        option 'name' 'Allow 22222 (SSH) - WAN'
        option 'src' 'wan'
        option 'proto' 'tcp'
        option 'dest_port' '22222'

ale jak zmienię w tej sekcji port na 22 to nmap pokazuje że 22 i 22222 są otwarte. Oczywiście dodaję przed blokowaniem wszystkiego.
Czy ja czegoś nie rozumiem czy coś zepsułem?
Skoro przekierowanie otwiera port 30001 to czemu to samo nie działa dla 22222? Reguły iptables tworzą się takie same. Wiem, bo oglądałem do się tworzy przy FW_TRACE=1 /etc/init.d/firewall restart.

I druga sprawa: domyślnie dodaje się reguła ACCEPT z state RELATED,ESTABLISHED, czy to dlatego DHCP po WANie działa bez reguły?

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,920

Odp: Nie rozumiem firewalla/Problem z firewallem

Tyle że na 22 to masz tam demona, a dla utorrenta musi być on uruchomiony żeby nmap tak zareagował?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez j000

  • j000
  • Użytkownik
  • Nieaktywny
  • Skąd: Kraków/Rybnik
  • Zarejestrowany: 2011-12-01
  • Posty: 18

Odp: Nie rozumiem firewalla/Problem z firewallem

Tak, dropbear działa. I jest uruchomiony. A 30001 to firewall/utorrent na komputerze obiera.
To jak mam zrobić, żeby od wana 22222 było dla ssh, a 22 od strony lan?
Uci tworzy takie reguły:

iptables --table nat --insert zone_wan_prerouting 1 --jump DNAT -p tcp --dport 22222 --to-destination 192.168.0.1:22
iptables --table filter --insert zone_wan_forward 1 --jump ACCEPT -d 192.168.0.1/32 -p tcp --dport 22
iptables --table nat --insert zone_wan_prerouting 2 --jump DNAT -p tcp --dport 30001 --to-destination 192.168.0.2:30001
iptables --table filter --insert zone_wan_forward 2 --jump ACCEPT -d 192.168.0.2/32 -p tcp --dport 30001

I nie rozumiem, dlaczego port 30001 jest otwarty, a 22222 nie.
I dlaczego otwarcie 22 od strony wan otwiera też 22222?

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,920

Odp: Nie rozumiem firewalla/Problem z firewallem

Pisałem o tym że inaczej nmap się zachowuje jak masz otwarty porty i coś tam nasłuchuje, inaczej jak masz otwarty i nic tam nie działa jeszcze, inaczej jak masz drop na porcie i inaczej jak jest Reject.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez j000

  • j000
  • Użytkownik
  • Nieaktywny
  • Skąd: Kraków/Rybnik
  • Zarejestrowany: 2011-12-01
  • Posty: 18

Odp: Nie rozumiem firewalla/Problem z firewallem

To jak mam zrobić, żeby ssh mieć na 22222 na WANie, a 22 na lanie?

6 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,920

Odp: Nie rozumiem firewalla/Problem z firewallem

Przecież zrobiłeś tak.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

7 Odpowiedź przez j000

  • j000
  • Użytkownik
  • Nieaktywny
  • Skąd: Kraków/Rybnik
  • Zarejestrowany: 2011-12-01
  • Posty: 18

Odp: Nie rozumiem firewalla/Problem z firewallem

ssh root@89.77.76.XXX -p22222
ssh: connect to host 89.77.76.XXX port 22222: Connection refused
ssh root@89.77.76.XXX -p22
ssh: connect to host 89.77.76.XXX port 22: Connection refused

A otworzę port 22 na wanie to można się podłączyć pod 22 i pod 22222.
W regule zmienię otwarcie 22 na 22222 i oba są martwe.
I tu się moja wiedza na ten temat kończy.

8 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,920

Odp: Nie rozumiem firewalla/Problem z firewallem

A zrób tak:

config 'rule'
    option 'src' 'wan'
    option 'target' 'ACCEPT'
    option 'proto' 'tcp'
    option 'dest_port' '22'
    option 'dest_ip' '192.168.1.1'

config 'redirect'
    option 'src' 'wan'
    option 'proto' 'tcp'
    option 'src_dport' '22222'
    option 'dest' 'lan'
    option 'dest_port' '22'
    option 'dest_ip' '192.168.1.1'

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

9 Odpowiedź przez j000

  • j000
  • Użytkownik
  • Nieaktywny
  • Skąd: Kraków/Rybnik
  • Zarejestrowany: 2011-12-01
  • Posty: 18

Odp: Nie rozumiem firewalla/Problem z firewallem

Tak działa. Zmieniłem tylko IP na moje.
To znaczy, że w wanie trzeba otworzyć ten port na który ma iść przekierowanie i podać ip konkretne? Nie wiedziałem. I wydaje mi się, że we wcześniejszej wersji działało to trochę inaczej.
Takie przekierowanie portu którędy idzie? Bo podana przez ciebie reguła ląduje w wanie, a przekierowanie mówi dest=lan.

10 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,920

Odp: Nie rozumiem firewalla/Problem z firewallem

Jak robisz redirect (a własciwie DNAT się robi) to zmieniany jest adres docelowy na ten wybrany. i zostaje na wanie reguła, a to własnie ją trzeba otworzyć, tyle że ze zmienionym portem/adresem docelowym.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona