1 Temat przez zdzichu6969 (edytowany przez zdzichu6969 2012-09-06 18:12:03)

  • Skąd: Gniezno/Poznań
  • Zarejestrowany: 2012-07-30
  • Posty: 1,335

Temat: Co jest nie tak w firewallu

Witajcie, zauwżyłęm że jak puściłęm DMZ na PC to nie moge dostać sie do usług uruchomionych na routerze, np transmission, czy darkstat, natomiast po puszczeniu DMZ na router czyli 192.168.1.1 zaczyna działać, mimo przekierowania portów (przynajmniej mi sie tak wydaje)
Wcześniej cały czas mialem DMZ na ip routera wiec tego nie zauwazylem.'

plik firewall

config 'defaults'
    option 'syn_flood' '1'
    option 'input' 'ACCEPT'
    option 'output' 'ACCEPT'
    option 'forward' 'REJECT'
    option 'force_router_dns' '1'

config 'zone'
    option 'name' 'lan'
    option 'network' 'lan'
    option 'input' 'ACCEPT'
    option 'output' 'ACCEPT'
    option 'forward' 'REJECT'

config 'zone'
    option 'name' 'wan'
    option 'network' 'wan'
    option 'input' 'REJECT'
    option 'output' 'ACCEPT'
    option 'forward' 'REJECT'
    option 'masq' '1'
    option 'mtu_fix' '1'

config 'forwarding'
    option 'src' 'lan'
    option 'dest' 'wan'

config 'rule'
    option 'name' 'Allow-DHCP-Renew'
    option 'src' 'wan'
    option 'proto' 'udp'
    option 'dest_port' '68'
    option 'target' 'ACCEPT'
    option 'family' 'ipv4'

config 'rule'
    option 'name' 'Allow-Ping'
    option 'src' 'wan'
    option 'proto' 'icmp'
    option 'icmp_type' 'echo-request'
    option 'family' 'ipv4'
    option 'target' 'ACCEPT'

config 'rule'
    option 'name' 'Allow-DHCPv6'
    option 'src' 'wan'
    option 'proto' 'udp'
    option 'src_ip' 'fe80::/10'
    option 'src_port' '547'
    option 'dest_ip' 'fe80::/10'
    option 'dest_port' '546'
    option 'family' 'ipv6'
    option 'target' 'ACCEPT'

config 'rule'
    option 'name' 'Allow-ICMPv6-Input'
    option 'src' 'wan'
    option 'proto' 'icmp'
    list 'icmp_type' 'echo-request'
    list 'icmp_type' 'destination-unreachable'
    list 'icmp_type' 'packet-too-big'
    list 'icmp_type' 'time-exceeded'
    list 'icmp_type' 'bad-header'
    list 'icmp_type' 'unknown-header-type'
    list 'icmp_type' 'router-solicitation'
    list 'icmp_type' 'neighbour-solicitation'
    list 'icmp_type' 'router-advertisement'
    list 'icmp_type' 'neighbour-advertisement'
    option 'limit' '1000/sec'
    option 'family' 'ipv6'
    option 'target' 'ACCEPT'

config 'rule'
    option 'name' 'Allow-ICMPv6-Forward'
    option 'src' 'wan'
    option 'dest' '*'
    option 'proto' 'icmp'
    list 'icmp_type' 'echo-request'
    list 'icmp_type' 'destination-unreachable'
    list 'icmp_type' 'packet-too-big'
    list 'icmp_type' 'time-exceeded'
    list 'icmp_type' 'bad-header'
    list 'icmp_type' 'unknown-header-type'
    option 'limit' '1000/sec'
    option 'family' 'ipv6'
    option 'target' 'ACCEPT'

config 'include'
    option 'path' '/etc/firewall.user'

config 'include'
    option 'path' '/usr/lib/gargoyle_firewall_util/gargoyle_additions.firewall'

config 'rule' 'ftp_wan'
    option 'src' 'wan'
    option 'target' 'ACCEPT'
    option 'proto' 'tcp'
    option 'dest_port' '21'

config 'rule'
    option 'src' 'wan'
    option 'target' 'ACCEPT'
    option 'proto' 'tcp'
    option 'dest_port' '51413'

config 'rule'
    option 'src' 'wan'
    option 'target' 'ACCEPT'
    option 'proto' 'udp'
    option 'dest_port' '51413'

config 'rule'
    option 'src' 'wan'
    option 'target' 'ACCEPT'
    option 'proto' 'tcp'
    option 'dest_port' '81'

config 'rule'
    option 'src' 'wan'
    option 'target' 'ACCEPT'
    option 'proto' 'tcp'
    option 'dest_port' '9091'

config 'rule'
    option 'src' 'wan'
    option 'target' 'ACCEPT'
    option 'proto' 'udp'
    option 'dest_port' '9091'

config 'rule'
    option 'src' 'wan'
    option 'target' 'ACCEPT'
    option 'proto' 'tcp'
    option 'dest_port' '8200'

config 'zone'
    option 'name' 'guest'
    option 'network' 'guest'
    option 'input' 'REJECT'
    option 'output' 'ACCEPT'
    option 'forward' 'REJECT'

config 'forwarding'
    option 'src' 'guest'
    option 'dest' 'wan'

config 'rule'
    option 'src' 'guest'
    option 'proto' 'udp'
    option 'src_port' '67-68'
    option 'dest_port' '67-68'
    option 'target' 'ACCEPT'
    option 'family' 'ipv4'

config 'rule'
    option 'src' 'guest'
    option 'dest_port' '53'
    option 'target' 'ACCEPT'
    option 'family' 'ipv4'
    option 'proto' 'tcpudp'

config 'zone' 'vpn_zone'
    option 'name' 'vpn'
    option 'network' 'vpn'
    option 'input' 'ACCEPT'
    option 'output' 'ACCEPT'
    option 'forward' 'ACCEPT'
    option 'mtu_fix' '1'
    option 'masq' '1'

config 'forwarding' 'vpn_lan_forwarding'
    option 'src' 'lan'
    option 'dest' 'vpn'

config 'remote_accept' 'ra_openvpn'
    option 'zone' 'wan'
    option 'local_port' '1194'
    option 'remote_port' '1194'
    option 'proto' 'udp'

config 'forwarding' 'vpn_wan_forwarding'
    option 'src' 'vpn'
    option 'dest' 'wan'

config 'include' 'openvpn_include_file'
    option 'path' '/etc/openvpn.firewall'

config 'remote_accept' 'ra_443_444'
    option 'local_port' '443'
    option 'remote_port' '444'
    option 'proto' 'tcp'
    option 'zone' 'wan'

config 'remote_accept' 'ra_80_88'
    option 'local_port' '80'
    option 'remote_port' '88'
    option 'proto' 'tcp'
    option 'zone' 'wan'

config 'remote_accept' 'ra_22_1022'
    option 'local_port' '22'
    option 'remote_port' '1022'
    option 'proto' 'tcp'
    option 'zone' 'wan'

config 'rule'
    option 'src' 'wan'
    option 'target' 'ACCEPT'
    option 'proto' 'tcp'
    option 'dest_port' '667'

config 'rule'
    option 'src' 'wan'
    option 'target' 'ACCEPT'
    option 'proto' 'udp'
    option 'dest_port' '667'

config 'redirect' 'redirect_enabled_number_0'
    option 'name' 'ap'
    option 'src' 'wan'
    option 'dest' 'lan'
    option 'proto' 'tcp'
    option 'src_dport' '1088'
    option 'dest_ip' '192.168.1.100'
    option 'dest_port' '80'

config 'redirect' 'redirect_enabled_number_1'
    option 'name' 'ap'
    option 'src' 'wan'
    option 'dest' 'lan'
    option 'proto' 'udp'
    option 'src_dport' '1088'
    option 'dest_ip' '192.168.1.100'
    option 'dest_port' '80'

config 'dmz' 'dmz'
    option 'from' 'wan'
    option 'to_ip' '192.168.1.1'

+ edit: Dodam ze jak nie dam DMZ do routera to nie można do niego pingować z zewnątrz. Coś kiedys zepsułęm pewnie

RB760iGS + RB260GS / Ryzen 5 2660 / 16G DDR4 / MiniITX - Inea 1G (https://i.imgur.com/TLbJVDw.png)
RB951-2HnD / Celeron J1900 / 4G DDR3 / MiniITX - Satpol 100M

zdzichu6969's Strona

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,872

Odp: Co jest nie tak w firewallu

Wygląda sensownie wywal ten dmz, zrób restart i zobacz.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez zdzichu6969 (edytowany przez zdzichu6969 2012-09-06 19:38:14)

  • Skąd: Gniezno/Poznań
  • Zarejestrowany: 2012-07-30
  • Posty: 1,335

Odp: Co jest nie tak w firewallu

Wywalilem wpis o DMZ i generalnie mam dostep do usług, oprocz darkstat na porcie 667, ciekawi mnie to czy jak dodam jakieś urządzenie do DMZ czy sie tak bedzie dzialo ?

+edit: może dlatego że normalnie do darkstat można dostac sie tylko z pziomu LANu

RB760iGS + RB260GS / Ryzen 5 2660 / 16G DDR4 / MiniITX - Inea 1G (https://i.imgur.com/TLbJVDw.png)
RB951-2HnD / Celeron J1900 / 4G DDR3 / MiniITX - Satpol 100M

zdzichu6969's Strona

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,872

Odp: Co jest nie tak w firewallu

A nie masz że darkstat nasłuchuje tylko na br-lan?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez zdzichu6969

  • Skąd: Gniezno/Poznań
  • Zarejestrowany: 2012-07-30
  • Posty: 1,335

Odp: Co jest nie tak w firewallu

root@Gru_network:~$ /etc/init.d/darkstat start
darkstat (07765): max 1000 hosts, cutting down to 500 when exceeded
darkstat (07765): max 200 ports per host, cutting down to 30 when exceeded
darkstat (07765): starting up
darkstat (07765): daemonizing to run in the background!
darkstat (07765): parent waiting
darkstat (07766): I am the main process
darkstat (07766): DNS child has PID 7767
darkstat (07766): linktype is 1
darkstat (07766): calculated snaplen minimum 74
darkstat (07766): using snaplen 96
darkstat (07767): set uid/gid to 65534/65534
darkstat (07766): capturing in promiscuous mode
darkstat (07766): listening on http://192.168.1.1:667/
darkstat (07766): loaded 45 protos
darkstat (07766): loaded 98 tcp and 71 udp servs, from total 169
darkstat (07766): chrooted into: /var/empty
darkstat (07766): set uid/gid to 65534/65534
darkstat (07766): localip4 update(eth0.2) = 172.22.33.35
darkstat (07766): localip6 update(eth0.2) = ::
darkstat (07766): entering main loop
darkstat (07765): parent done reading, calling waitpid
darkstat (07765): waitpid ret 0, status is 2143421740

Możliwe że tylko na br-lan, ale jak router byl w DMZ to mogłęm sie dostać

RB760iGS + RB260GS / Ryzen 5 2660 / 16G DDR4 / MiniITX - Inea 1G (https://i.imgur.com/TLbJVDw.png)
RB951-2HnD / Celeron J1900 / 4G DDR3 / MiniITX - Satpol 100M

zdzichu6969's Strona

6 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,872

Odp: Co jest nie tak w firewallu

Nasłuchuje tylko na lan. w /etc/config/darkstat to masz.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

7 Odpowiedź przez zdzichu6969

  • Skąd: Gniezno/Poznań
  • Zarejestrowany: 2012-07-30
  • Posty: 1,335

Odp: Co jest nie tak w firewallu

 

config 'darkstat'
    option 'interface' 'wan'
    option 'chroot' '/mnt/hdd1/darkstat'
       option httpaddr  '192.168.1.1'
       option httpport  '667

Nie tak do końca

RB760iGS + RB260GS / Ryzen 5 2660 / 16G DDR4 / MiniITX - Inea 1G (https://i.imgur.com/TLbJVDw.png)
RB951-2HnD / Celeron J1900 / 4G DDR3 / MiniITX - Satpol 100M

zdzichu6969's Strona

8 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,872

Odp: Co jest nie tak w firewallu

W ten sposób wymusiłeś żeby słuchał ruchu na interfejsie wan (a nie tak chciałeś), i żeby wyniki prezentował na 192.168.1.1 (tak też nie chciałeś). interface zostaw lan jak było, ale wywal httpaddr i httpport

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

9 Odpowiedź przez zdzichu6969 (edytowany przez zdzichu6969 2012-09-06 20:42:40)

  • Skąd: Gniezno/Poznań
  • Zarejestrowany: 2012-07-30
  • Posty: 1,335

Odp: Co jest nie tak w firewallu

Ok, ale spojrz na to http://openrouter.info/forum/viewtopic. … &t=925, przez uci zmiana na wan,
kolega z postu http://openrouter.info/forum/viewtopic. … 52d#p12384
miał problem, u mnie działało jak wyzej do czasu wywalenia DMZ;)
Po twoich propozycjach  nie startuje.

root@Gru_network:~$ /etc/init.d/darkstat start
darkstat (11187): max 1000 hosts, cutting down to 500 when exceeded
darkstat (11187): max 200 ports per host, cutting down to 30 when exceeded
darkstat (11187): starting up
darkstat (11187): daemonizing to run in the background!
darkstat (11187): parent waiting
darkstat (11188): I am the main process
darkstat (11188): DNS child has PID 11189
darkstat (11189): set uid/gid to 65534/65534
darkstat (11188): linktype is 1
darkstat (11188): calculated snaplen minimum 74
darkstat (11188): using snaplen 96
darkstat (11188): capturing in promiscuous mode
11188: error: getaddrinfo(NULL,667) failed: ai_family not supported: Device or r
esource busy
darkstat (11187): parent done reading, calling waitpid
darkstat (11187): waitpid ret 0, status is 2140993804
root@Gru_network:~$
RB760iGS + RB260GS / Ryzen 5 2660 / 16G DDR4 / MiniITX - Inea 1G (https://i.imgur.com/TLbJVDw.png)
RB951-2HnD / Celeron J1900 / 4G DDR3 / MiniITX - Satpol 100M

zdzichu6969's Strona

10 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,872

Odp: Co jest nie tak w firewallu

Tzn co pokazałeś? Bo kilka razy to uruchamiasz bez potrzeby a on się drze że nie potrafi tego zrobić. W pierwszym uruchomieniu miałeś błąd w konfigu w uci.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

11 Odpowiedź przez zdzichu6969 (edytowany przez zdzichu6969 2012-09-06 20:49:19)

  • Skąd: Gniezno/Poznań
  • Zarejestrowany: 2012-07-30
  • Posty: 1,335

Odp: Co jest nie tak w firewallu

Pokazalem ze przy twoich sugestiach krzyczy że nie może uruchomić.

    config 'darkstat'
    option 'interface' 'lan'
    option 'chroot' '/mnt/hdd1/darkstat'
       #option httpaddr  '192.168.1.1'
       #option httpport  '667'
RB760iGS + RB260GS / Ryzen 5 2660 / 16G DDR4 / MiniITX - Inea 1G (https://i.imgur.com/TLbJVDw.png)
RB951-2HnD / Celeron J1900 / 4G DDR3 / MiniITX - Satpol 100M

zdzichu6969's Strona

12 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,872

Odp: Co jest nie tak w firewallu

Masz jakiś interfejs na którym nie potrafi pobrać jego adresu ip. Więc odmawia nasłuchu na wszystkich możliwych.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona