1 Temat przez droopy

  • droopy
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-10-13
  • Posty: 39

Temat: Otwarcie portu i przekierowanie do IP w LAN

Witam,
mam do Was pytanie, próbuję otworzyć dodatkowy port dla ssh, w moim wypadku 2222. I przekierowanie ruchu do konkretnego IP w sieci lan.
Z poradnikiem udało mi się otworzenie portu i przekierowanie, bez problemu.
Teraz próbuję zabezpieczyć to tak aby tylko konkretny IP z WAN miał możliwość połączenia na tym porcie i aby był przekierowany dalej do konkretnego IP w LAN.

config rule
        option name 'ssh-2222'
#     option src 'wan'
        option src_ip '185.23.21.99'
        option target 'ACCEPT'
        option proto 'tcp'
        option dest_port '2222'

config redirect
        option name 'ssh-2222'
#      option src 'wan'
        option src_ip '185.23.21.99'
        option proto 'tcpudp'
        option src_dport '2222'
        option dest_port '2222'
        option dest_ip '192.168.1.117'

To co wykomentowane działa dla całego WAN (oczywiście bez src_ip w tym samym czasie).

Kiedy próbuję dodać option src_ip '185.23.21.99' i komentuję option src 'wan' przy restarcie firewalla dostaję:

Warning: Unable to locate ipset utility, disabling ipset support
Warning: Option @rule[8]._name is unknown
Warning: Option @rule[9]._name is unknown
has neither a source nor a destination zone assigned - assuming an output rule
Warning: Section @redirect[0] (ssh-2222) has no target specified, defaulting to DNAT
Warning: Section @redirect[0] (ssh-2222) has no source specified
Warning: Section @redirect[0] (ssh-2222) does not specify a destination, assuming 'lan'
Segmentation fault

I host 185.23.21.99 nie może się połączyć.

Brakuje mi jakiegoś pakietu? Coś muszę doinstalować, szukam i w sumie aż dziwne, że nikt nie miał podobnego problemu.

Dziękuję za ewentualną pomoc.

OpenWrt Barrier Breaker (r44952)  |  Build time: 2015-03-28 08:47 CET | Machine: TP-Link TL-WDR3600 v1

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,901

Odp: Otwarcie portu i przekierowanie do IP w LAN

Segmentation fault - wywalił się firewall po prostu. Zrestartuj całość.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez droopy

  • droopy
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-10-13
  • Posty: 39

Odp: Otwarcie portu i przekierowanie do IP w LAN

Dzień dobry Cezary,
Restart tu nie pomaga, zrestartowałem router i nadal to samo, przy próbie restartowania firewalla nadal na końcu
segmentation fault hmm

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,901

Odp: Otwarcie portu i przekierowanie do IP w LAN

Przeinstaluj firewall. Albo masz coś w regułach co on nie rozpoznaje i się wywala. W /rom/etc/config/firewall masz jego pierwotną wersję, podmień i zobacz.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez droopy

  • droopy
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-10-13
  • Posty: 39

Odp: Otwarcie portu i przekierowanie do IP w LAN

sprawdzę zatem, choć jak usuwam te definicje z przekierowania to restart nie wypluwa w ogóle błędów, więc to chyba nie to.

Możesz rzucić na kompletny config firewalla, może rzuci się coś w oczy hmm

config rule
    option name 'Allow-DHCP-Renew'
    option src 'wan'
    option proto 'udp'
    option dest_port '68'
    option target 'ACCEPT'
    option family 'ipv4'

config rule
    option name 'Allow-Ping'
    option src 'wan'
    option proto 'icmp'
    option icmp_type 'echo-request'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-DHCPv6'
    option src 'wan'
    option proto 'udp'
    option src_ip 'fe80::/10'
    option src_port '547'
    option dest_ip 'fe80::/10'
    option dest_port '546'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Input'
    option src 'wan'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    list icmp_type 'router-solicitation'
    list icmp_type 'neighbour-solicitation'
    list icmp_type 'router-advertisement'
    list icmp_type 'neighbour-advertisement'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Forward'
    option src 'wan'
    option dest '*'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option target 'ACCEPT'
    option src 'wan'
    option proto 'tcp'
    option dest_port '22'
    option name 'Allow-SSH'

config rule
    option name 'aria2rpc'
    option src 'wan'
    option target 'ACCEPT'
    option proto 'tcp'
    option dest_port '6800'

config rule
    option name 'aria2'
    option src 'wan'
    option target 'ACCEPT'
    option proto 'tcp'
    option dest_port '6881'

config rule
    option _name 'FTP'
    option src 'wan'
    option target 'ACCEPT'
    option proto 'tcp'
    option dest_port '21'

config rule
    option _name 'FTPPassive'
    option src 'wan'
    option target 'ACCEPT'
    option proto 'tcp'
    option dest_port '50000-50400'

config rule
    option name 'Allow-OpenVPN-Inbound'
    option target 'ACCEPT'
    option src '*'
    option proto 'udp'
    option dest_port '1194'

config defaults
    option syn_flood '1'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'REJECT'

config zone
    option name 'lan'
    list network 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'

config zone
    option name 'wan'
    list network 'wan'
    list network 'wan6'
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option masq '1'
    option mtu_fix '1'

config forwarding
    option src 'lan'
    option dest 'wan'

config include
    option path '/etc/firewall.user'

config include 'miniupnpd'
    option type 'script'
    option path '/usr/share/miniupnpd/firewall.include'
    option family 'any'
    option reload '1'

config zone
    option name 'vpn'
    option masq '1'
    option input 'ACCEPT'
    option forward 'ACCEPT'
    option output 'ACCEPT'
    option network 'vpn0'

config forwarding
    option src 'vpn'
    option dest 'wan'

config rule
    option name 'ssh-2222'
    option src 'wan'
#    option src_ip '185.23.21.99'
    option target 'ACCEPT'
    option proto 'tcp'
    option dest_port '2222'

config redirect
    option name 'ssh-2222'
    option src 'wan'
#    option src_ip '185.23.21.99'
    option proto 'tcpudp'
    option src_dport '2222'
    option dest_port '2222'
    option dest_ip '192.168.1.117'

6 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,901

Odp: Otwarcie portu i przekierowanie do IP w LAN

Tak na oko to nie.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona