Hallo,

Ich hoffe ich nerve nicht zu stark mit dieser Frage...wie sind die korrekten Einstellungen um per WAN eine SSH-Verbindung zum Router zu bekommen? Ich habe die neuste Version von Oleg's FW drauf und meine IPTables sehen wie folgt aus(iptables -L):



Chain INPUT (policy ACCEPT)
target prot opt source destination
logdrop all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere state RELATED,ESTABL ISHED
ACCEPT all -- anywhere anywhere state NEW
ACCEPT all -- anywhere anywhere state NEW
SECURITY all -- anywhere anywhere state NEW
ACCEPT udp -- anywhere anywhere udp spt:bootps dpt:b ootpc
ACCEPT tcp -- anywhere rooter tcp dpt:www
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT icmp -- anywhere anywhere
logdrop all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
logdrop all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere state RELATED,ESTABL ISHED
logdrop all -- anywhere anywhere
SECURITY all -- anywhere anywhere state NEW
ACCEPT all -- anywhere anywhere ctstate DNAT
logdrop all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain MACS (0 references)
target prot opt source destination

Chain SECURITY (2 references)
target prot opt source destination
RETURN tcp -- anywhere anywhere tcp flags:SYN,RST,AC K/SYN limit: avg 1/sec burst 5
RETURN tcp -- anywhere anywhere tcp flags:FIN,SYN,RS T,ACK/RST limit: avg 1/sec burst 5
RETURN udp -- anywhere anywhere limit: avg 5/sec bur st 5
RETURN icmp -- anywhere anywhere limit: avg 5/sec bur st 5
logdrop all -- anywhere anywhere

Chain logaccept (0 references)
target prot opt source destination
LOG all -- anywhere anywhere state NEW LOG level warning tcp-sequence tcp-options ip-options prefix `ACCEPT '
ACCEPT all -- anywhere anywhere

Chain logdrop (6 references)
target prot opt source destination
LOG all -- anywhere anywhere state NEW LOG level warning tcp-sequence tcp-options ip-options prefix `DROP '
DROP all -- anywhere anywhere



Ich habe schon diverse Einstellungen via post-firewall Skript getestet...nix funktioniert. Weiterhin habe ich auch schon gelesen, dass es per Virtual Server im Webinterface machbar ist - stimmt das? wenn ja, wie?

Jedenfalls ist die Firmware fast perfekt. Bis auf diese Option und das fehlende MAC - Cloning via Webinterface.

Ich bitte um Hilfe...

Vielen Dank,

spooky

Hat denn niemand das ganze mit dem SSH-Zugriff per WAN hinbekommen und kann mal seine Einstellungen posten?!?

VG

spooky

Also ich hab SSH laufen und kann auch per WAN zugreifen.

Hier meine post-firewall:

#!/bin/sh

#FTP access from WAN
iptables -D INPUT -j DROP
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -t nat -A PREROUTING -i vlan1 -p tcp --dport 21 -j DNAT --to-destination $4:21
iptables -A INPUT -j DROP

#SSH
iptables -D INPUT -j DROP
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -t nat -A PREROUTING -i -p tcp --dport 22 -j DNAT --to-destination :22
iptables -A INPUT -j DROP

#WWW
iptables -D INPUT -j DROP
iptables -A INPUT -p tcp --dport 81 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i $1 -p tcp --dport 80 -j DNAT
--to-destination $4:81

iptables -A INPUT -j DROP

Hallo,

Danke für den Post...ich habe deine Einstellungen übernommen..leider funktioniert es immernoch nicht :((

Kann es sein, dass Du die Firewall auf dem Webinterface deaktiviert hast?? Denn ich hab meine noch aktiviert und wollte nur zusätzlich zu den Sicherheitseinstellungen SSH von WAN zulassen.

ICH BRAUCH DEINE / EURE HILFE :(

VG

spooky

Falls Du Virtual DMZ aktiviert hast, duerfte auch der SSH verkehr an Deinen Rechner weitergeleitet und nicht vom Router beantwortet werden.
Event. ausschalten.

Hallo,

DMZ ist deaktiviert :(

Ich versteh einfach nicht, warum das nicht funktioniert. Auch Pings von außerhalb an den Router kommen nicht durch, obwohl ich dieses per Webinterface erlaubt habe...was passt da denn nicht?

Sind die Probleme bekannt, oder bin ich ein "Sonderfall" :)

VG

spooky0815

wird deine dyndns auch automatisch upgedated?

ping einfach auf deine dyndns adresse und schau ob sie auch aufgelöst wird.
Vergleiche ob das auch die aktuelle, richtige ist.

@dyndns : das passt alles...meine Portweiterleitungen zu internen Rechnern passt ja auch alles...wie gesagt nur die SSH-Verbindung und der Ping klappt nicht... der Webzugriff von WAN ist über den eingestellten Port möglich.

VG

spooky0815