• Skąd: Beskidy
  • Zarejestrowany: 2009-03-10
  • Posty: 210

Temat: Dodanie interfejsu do strefy WAN firewalla

Męczę się od dłuższego czasu z dorobieniem do Backfire działającej obsługi modemów Option w trybie NIC, czyli poprzez sterownik hso.
Samo zainicjowanie połączenia to nie problem, ale wszystko rozbija się o standardowego firewalla.
HSO tworzy interfejs sieciowy hso0, który trzeba standardowo skonfigurować i podnieść za pomocą ifconfig, ale co potem ?
Net jest na routerze, niestety firewall nie puszcza nic na LAN.
Ja sobie radzę od dawna używając customowego firwalla z regułkami iptables, ale dobrze by było, aby zrobić to tak, by działało też ze standardowym, i tu pytanie jak w temacie wink

ZTE F601 GPON - Xiaomi Mi Router 3G - Orange Pi PC2

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,074

Odp: Dodanie interfejsu do strefy WAN firewalla

jeżeli zrobiłeś interfejs o nazwie hso np. to wymagane wpisy w /etc/config/firewall wyglądają tak:

config zone
    option name    hso
    option input    REJECT
    option output    ACCEPT 
    option forward    REJECT
    option masq        1 

config forwarding 
    option src      hso
    option dest     wan

Tak działa u mnie na moich obrazach.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez Patryk_

  • Skąd: Beskidy
  • Zarejestrowany: 2009-03-10
  • Posty: 210

Odp: Dodanie interfejsu do strefy WAN firewalla

Coś mi biegać nie chce...z resztą nieważne, i tak jedyny modem, na którym mogłem to testować wyzionął ducha sad

Ale za to mam inne pytanko - jak uzyskać dostęp z lanu do modemu ADSL w trybie bridge, podpiętego do portu WAN ?

ZTE F601 GPON - Xiaomi Mi Router 3G - Orange Pi PC2

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,074

Odp: Dodanie interfejsu do strefy WAN firewalla

https://forum.openwrt.org/viewtopic.php?id=26434

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez Patryk_

  • Skąd: Beskidy
  • Zarejestrowany: 2009-03-10
  • Posty: 210

Odp: Dodanie interfejsu do strefy WAN firewalla

Z aliasem nie bangla, a ze switchem nie chcę dziś kombinować, bo widzę że tam jest mowa o Linksysie, i się boję ew. padu, gdyż nie mam dziś czasu na ew.failsafe sad
Rzadko proszę o gotowca, ale tym razem móglbyś podpowiedzieć konkretny sposób dla tl-wr1043nd ? wink

ZTE F601 GPON - Xiaomi Mi Router 3G - Orange Pi PC2

6 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,074

Odp: Dodanie interfejsu do strefy WAN firewalla

http://rpc.one.pl/index.php/lista-artyk … ch-openwrt

Tam masz też tekst o dostępnie do modemu adsl.

A ja gotowca Ci nie zrobię, nie mam takiego połączenia.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

7 Odpowiedź przez Patryk_ (edytowany przez Patryk_ 2010-09-13 18:59:03)

  • Skąd: Beskidy
  • Zarejestrowany: 2009-03-10
  • Posty: 210

Odp: Dodanie interfejsu do strefy WAN firewalla

Właśnie tak na początku próbowałem, ale nie działa sad

edit - dobra, już bangla.

ZTE F601 GPON - Xiaomi Mi Router 3G - Orange Pi PC2

8 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,074

Odp: Dodanie interfejsu do strefy WAN firewalla

To dawaj to gotowca. Przyda się innym.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

9 Odpowiedź przez Patryk_

  • Skąd: Beskidy
  • Zarejestrowany: 2009-03-10
  • Posty: 210

Odp: Dodanie interfejsu do strefy WAN firewalla

Pospieszyłem się z chwaleniem, że działa...
Telnet śmiga, pingi latają...tylko coś webif nie chce trybić.

ifconfig eth0.2 192.168.50.2

iptables -t nat -I POSTROUTING -p tcp --src 192.168.1.0/24 --dst 192.168.50.1 --dport 80 -j SNAT --to 192.168.50.2:80
iptables -I zone_lan_forward -p tcp --src 192.168.1.0/24 --dst 192.168.50.1 --dport 80 -j ACCEPT

iptables -t nat -I POSTROUTING -p tcp --src 192.168.1.0/24 --dst 192.168.50.1 --dport 443 -j SNAT --to 192.168.50.2:443
iptables -I zone_lan_forward -p tcp --src 192.168.1.0/24 --dst 192.168.50.1 --dport 443 -j ACCEPT

iptables -t nat -I POSTROUTING -p icmp --src 192.168.1.0/24 --dst 192.168.50.1 -j SNAT --to 192.168.50.2
iptables -I zone_lan_forward -p icmp --src 192.168.1.0/24 --dst 192.168.50.1 -j ACCEPT

iptables -t nat -I POSTROUTING -p tcp --src 192.168.1.0/24 --dst 192.168.50.1 --dport 23 -j SNAT --to 192.168.50.2:23
iptables -I zone_lan_forward -p tcp --src 192.168.1.0/24 --dst 192.168.50.1 --dport 23 -j ACCEPT

Adres modemu to 192.168.50.1, wchodzę na niego przeglądarką - pojawia się okno logowania.
Loguję się, i dalej kaplica, zarówno pod elinks na routerze, jak i na komputerze w LANie.
Myślałem, że przechodzi wtedy na https, i dodałem też przekierowanie portu 443, ale nie, to nie to chyba.
Już ręce opadają, jutro podmienię ZTE na Speedtoucha i sprawdzę, na jakich portach śmiga webif w tym pierwszym cudeńku.

ZTE F601 GPON - Xiaomi Mi Router 3G - Orange Pi PC2

10 Odpowiedź przez rpc (edytowany przez rpc 2010-09-13 21:00:37)

  • rpc
  • Użytkownik
  • Nieaktywny
  • Skąd: Wolbórz
  • Zarejestrowany: 2009-11-02
  • Posty: 581

Odp: Dodanie interfejsu do strefy WAN firewalla

U mnie działa z linksys AG241v2 wedle opisu przekierowanie. Dziwne że działa telnet i pingi . Dziwne również że nie możesz dostać się z routera ale nie ważne
jak nie wiesz jakie porty to wal

iptables -t nat -I POSTROUTING --src 192.168.1.0/24 --dst 192.168.50.1 -j SNAT --to 192.168.50.2
iptables -I zone_lan_forward --src 192.168.1.0/24 --dst 192.168.50.1 -j ACCEPT

resztę załatwi RELATED i ESTABLISHED w FORWARD automatem

tu nie ma żadnej filozofii. Modem widzi połączenie jako adres ip z routera mimo że łączysz się z innej sieci i tyle zwykły SNAT
niemożność dostania się na modem pewnie nie przeskoczysz tego póki nie będziesz mógł z routera dostać się na router
a sprawdzałeś czy elinks potrafi logować się na router z innego linuxa ?

na wszelki wypadek jakby nie działało daj logi

route -n
ifconfig
iptables -L -v
iptables -t nat -L -v

Ps. Zerknołem na link podany przez cezarego. Wedle mnie też winien działać po aliasie co jow opisał bo MASQUERADE to SNAT inszo wedle mnie tam brakuje dopisania reguły FORWARD ACCEPT i dlatego nie wyszło z aliasem

Pozdrawiam
Rafał
http://rpc.one.pl
http://openrouter.info

rpc's Strona

11 Odpowiedź przez Patryk_

  • Skąd: Beskidy
  • Zarejestrowany: 2009-03-10
  • Posty: 210

Odp: Dodanie interfejsu do strefy WAN firewalla

rpc napisał/a:

tu nie ma żadnej filozofii.

Właśnie, i dlatego się dziwiłem, że nie działa.
Oczywiście po usunięciu wpisów o portach z regułek bangla pięknie, wielkie dzięki !

ZTE F601 GPON - Xiaomi Mi Router 3G - Orange Pi PC2

12 Odpowiedź przez rpc (edytowany przez rpc 2010-09-13 21:11:50)

  • rpc
  • Użytkownik
  • Nieaktywny
  • Skąd: Wolbórz
  • Zarejestrowany: 2009-11-02
  • Posty: 581

Odp: Dodanie interfejsu do strefy WAN firewalla

a mógłbyś sprawdzić jeszcze takie coś

iptables -t nat -I POSTROUTING -p tcp --src 192.168.1.0/24 --dst 192.168.50.1 --dport 80 -j SNAT --to 192.168.50.2
iptables -I zone_lan_forward -p tcp --src 192.168.1.0/24 --dst 192.168.50.1 --dport 80 -j ACCEPT

i dac znać czy działa
usunięty tylko port jakby co

Pozdrawiam
Rafał
http://rpc.one.pl
http://openrouter.info

rpc's Strona

13 Odpowiedź przez Patryk_ (edytowany przez Patryk_ 2010-09-13 21:25:07)

  • Skąd: Beskidy
  • Zarejestrowany: 2009-03-10
  • Posty: 210

Odp: Dodanie interfejsu do strefy WAN firewalla

Działa...

Zapuściłem też tcpdumpa na routerze, i nie widzę (chyba, że ślepy jestem wink )tam niczego innego poza portem 80...ciekawe, czemu działać nie chciało.

ZTE F601 GPON - Xiaomi Mi Router 3G - Orange Pi PC2

14 Odpowiedź przez rpc (edytowany przez rpc 2010-09-13 21:54:57)

  • rpc
  • Użytkownik
  • Nieaktywny
  • Skąd: Wolbórz
  • Zarejestrowany: 2009-11-02
  • Posty: 581

Odp: Dodanie interfejsu do strefy WAN firewalla

bo się pomyliłem. Tyle zmieniłem że przecholowałem. Dokument dość znacznie przerobiłem w tygodniu bo są duże zmiany.
Dlaczego nie działa
Przy SNAT nie podaje się numeru portu tylko DNAT ma port docelowy
Jeśli użyje się w SNAT port pakiety idą tylko po tym porcie i dlatego nie banglało Tobie. W sumie w SNAT bardzo rzadko się używa portu a w zasadzie to ja nigdy nie miałem takiej potrzeby i nie widziałem nikogo kto by to uzywał

Pozdrawiam
Rafał
http://rpc.one.pl
http://openrouter.info

rpc's Strona

15 Odpowiedź przez rpc

  • rpc
  • Użytkownik
  • Nieaktywny
  • Skąd: Wolbórz
  • Zarejestrowany: 2009-11-02
  • Posty: 581

Odp: Dodanie interfejsu do strefy WAN firewalla

takie cos też powinno działać

iptables -t nat -I postrouting_rule -p tcp --src 192.168.1.0/24 --dst 192.168.50.1 --dport 80 -j SNAT --to 192.168.50.2
iptables -I zone_lan_forward -p tcp --src 192.168.1.0/24 --dst 192.168.50.1 --dport 80 -j ACCEPT

kosmetyka że tak powiem

Pozdrawiam
Rafał
http://rpc.one.pl
http://openrouter.info

rpc's Strona