Page 1 of 15 12311 ... LastLast
Results 1 to 15 of 221

Thread: Не получается открыть 80 порт

  1. #1

    Question Не получается открыть 80 порт


    прошивка пре9
    в настройке Enable Web Access from WAN? стоит NO!
    набираю в броузере свой внешний айпишник и вылетает запрос логинпароля на доступ к вл500 ввожу и попадаю на него
    как быть???

  2. #2
    Join Date
    May 2006
    Location
    Москва
    Posts
    355
    Снаружи посмотреть, а не изнутри.
    У меня тоже есть роутер!

  3. Не получается открыть 80 порт

    У кого веб сервер lighttp доступен с WAN на 80 порту? Подскажите решение.

    У меня стандартный асусовский http поставлен на 8080 порт:
    Code:
    nvram set http_lanport=8080
    nvram set http_wanport=8080
    Веб сервер lighttp установлен на 80 порт (в lighttpd.conf):
    Code:
    ## bind to port (default: 80)
    server.port                = 80
    В post-boot есть:
    Code:
    insmod ipt_recent
    В фаерволе открыты 22, 80 порты и разрешено icmp (ping).
    В post-firewall прописано:
    Code:
    iptables -I INPUT -p tcp --dport 22 -j ACCEPT
    iptables -I INPUT -p tcp --dport 80 -j ACCEPT
    Сервера http и lighttp запускаются, работают и доступны с VAN по портам 80 и 8080 соответственно. Со стороны WAN сервер lighttp недоступен на 80 порту (доступ к серверу http не открывал).

    Скан портов (Nmap) с запущенным http и остановленным lighttp:
    Code:
    Interesting ports on al.router (192.168.177.1):
    Not shown: 1691 closed ports
    PORT     STATE SERVICE
    21/tcp   open  ftp
    22/tcp   open  ssh
    23/tcp   open  telnet
    53/tcp   open  domain
    8080/tcp open  http-proxy
    
    Nmap finished: 1 IP address (1 host up) scanned in 1.704 seconds
    Скан портов (Nmap) - запущены http и lighttp:
    Code:
    Interesting ports on al.router (192.168.177.1):
    Not shown: 1691 closed ports
    PORT     STATE SERVICE
    21/tcp   open  ftp
    22/tcp   open  ssh
    23/tcp   open  telnet
    53/tcp   open  domain
    80/tcp   open  http
    8080/tcp open  http-proxy
    
    Nmap finished: 1 IP address (1 host up) scanned in 1.699 seconds
    Запущены http и lighttp - netstat показывает:
    Code:
    netstat -l
    Active Internet connections (only servers)
    Proto Recv-Q Send-Q Local Address           Foreign Address         State
    tcp        0      0 *:61026                 *:*                     LISTEN
    tcp        0      0 *:www                   *:*                     LISTEN
    tcp        0      0 *:webcache              *:*                     LISTEN
    tcp        0      0 *:ftp                   *:*                     LISTEN
    tcp        0      0 *:domain                *:*                     LISTEN
    tcp        0      0 *:5431                  *:*                     LISTEN
    tcp        0      0 *:ssh                   *:*                     LISTEN
    tcp        0      0 *:telnet                *:*                     LISTEN
    udp        0      0 *:1024                  *:*
    udp        0      0 localhost.localdo:34954 *:*
    udp        0      0 *:domain                *:*
    udp        0      0 *:bootps                *:*
    udp        0      0 *:upnp                  *:*
    raw        0      0 *:1                     *:*                     0
    raw        0      0 *:255                   *:*                     0
    Active UNIX domain sockets (only servers)
    Proto RefCnt Flags       Type       State         I-Node Path
    unix  2      [ ACC ]     STREAM     LISTENING     1267   /var/run/pptp/255.255.255.255:194.242.53.3
    При этом iptables говорит:
    Code:
    iptables -L -n
    Chain INPUT (policy ACCEPT)
    target     prot opt source               destination
    DROP       tcp  --  0.0.0.0/0            0.0.0.0/0          state NEW tcp dpt:22 recent: UPDATE seconds: 600 hit_count: 3 name: SSH_ATTACKER side: source
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:80
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:22
    DROP       all  --  0.0.0.0/0            0.0.0.0/0          state INVALID
    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0          state RELATED,ESTABLISHED
    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0          state NEW
    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0          state NEW
    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0          udp spt:67 dpt:68
    ACCEPT     tcp  --  0.0.0.0/0            192.168.177.1      tcp dpt:80
    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0
    DROP       all  --  0.0.0.0/0            0.0.0.0/0
    
    Chain FORWARD (policy ACCEPT)
    target     prot opt source               destination
    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
    DROP       all  --  0.0.0.0/0            0.0.0.0/0          state INVALID
    TCPMSS     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp flags:0x16/0x02 TCPMSS clamp to PMTU
    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0          state RELATED,ESTABLISHED
    DROP       all  --  0.0.0.0/0            0.0.0.0/0
    DROP       all  --  0.0.0.0/0            0.0.0.0/0
    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0          ctstate DNAT
    DROP       all  --  0.0.0.0/0            0.0.0.0/0
    
    Chain OUTPUT (policy ACCEPT)
    target     prot opt source               destination
    
    Chain MACS (0 references)
    target     prot opt source               destination
    
    Chain SECURITY (0 references)
    target     prot opt source               destination
    RETURN     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp flags:0x16/0x02 limit: avg 1/sec burst 5
    RETURN     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp flags:0x17/0x04 limit: avg 1/sec burst 5
    RETURN     udp  --  0.0.0.0/0            0.0.0.0/0          limit: avg 5/sec burst 5
    RETURN     icmp --  0.0.0.0/0            0.0.0.0/0          limit: avg 5/sec burst 5
    DROP       all  --  0.0.0.0/0            0.0.0.0/0
    
    Chain logaccept (0 references)
    target     prot opt source               destination
    LOG        all  --  0.0.0.0/0            0.0.0.0/0          state NEW LOG flags 7 level 4 prefix `ACCEPT '
    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
    
    Chain logdrop (0 references)
    target     prot opt source               destination
    LOG        all  --  0.0.0.0/0            0.0.0.0/0          state NEW LOG flags 7 level 4 prefix `DROP '
    DROP       all  --  0.0.0.0/0            0.0.0.0/0
    Первая выделенная строка - блок по 22 порту прописан в скрипте.
    Вторая выделенная строка появляеться автоматически в filter_rules
    Code:
    *filter
    :INPUT ACCEPT [0:0]
    :FORWARD ACCEPT [0:0]
    :OUTPUT ACCEPT [0:0]
    :MACS - [0:0]
    :SECURITY - [0:0]
    :logaccept - [0:0]
    :logdrop - [0:0]
    -A SECURITY -p tcp --syn -m limit --limit 1/s -j RETURN
    -A SECURITY -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j RETURN
    -A SECURITY -p udp -m limit --limit 5/s -j RETURN
    -A SECURITY -p icmp -m limit --limit 5/s -j RETURN
    -A SECURITY -j DROP
    -A INPUT -m state --state INVALID -j DROP
    -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    -A INPUT -i lo -m state --state NEW -j ACCEPT
    -A INPUT -i br0 -m state --state NEW -j ACCEPT
    -A INPUT -p udp --sport 67 --dport 68 -j ACCEPT
    -A INPUT -p tcp -m tcp -d 192.168.177.1 --dport 80 -j ACCEPT
    -A INPUT -p icmp -j ACCEPT
    -A INPUT -j DROP
    -A FORWARD -i br0 -o br0 -j ACCEPT
    -A FORWARD -m state --state INVALID -j DROP
    -A FORWARD -p tcp --syn -j TCPMSS --clamp-mss-to-pmtu
    -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    -A FORWARD -o ppp0 ! -i br0 -j DROP
    -A FORWARD -o vlan1 ! -i br0 -j DROP
    -A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
    -A FORWARD -o br0 -j DROP
    -A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options
    -A logaccept -j ACCEPT
    -A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options
    -A logdrop -j DROP
    COMMIT
    после выполения:
    Code:
    nvram set http_lanport=8080
    nvram commit
    reboot
    ЕСЛИ ПРОПИСАТЬ -

    В lighttpd.conf:
    Code:
    ## bind to port (default: 80)
    server.port                = (не 80 а любой другой порт, к примеру 82)
    В post-firewall прописать:
    Code:
    iptables -I INPUT -p tcp --dport (порт как в lighttpd.conf) -j ACCEPT
    ТО ВЕБ СЕРВЕР LIGHTTP БУДЕТ ДОСТУПЕН С WAN!
    Как сделать на 80 порту???

  4. #4
    Join Date
    Aug 2006
    Location
    Moscow, Russia
    Posts
    788
    Скан портов (Nmap) какого интерфейса? Что говорит команда iptables -L -vnt nat?

  5. Quote Originally Posted by Mam(O)n View Post
    Скан портов (Nmap) какого интерфейса? Что говорит команда iptables -L -vnt nat?
    Nmap запускаю на роутере по трём IP (указываю текущие на момент последнего тестирования):
    1. Статический IP роутера (интерфейс br0) - 192.168.177.1;
    2. Динамический IP (основной) получаемый от провайдера (интерфейс vlan1) - 77.123.2.118 (шлюз 77.123.0.1);
    3. Динамический IP - VPN на транспорте основного (интерфейс ppp0) - 194.242.53.180 (статический IP VPN сервера 194.242.53.3).

    Результат одинаковый для всех 3-х адресов (интерфейсов). Во время проведения теста останавливается/запускается lighttp сервер. Вот логи:
    Code:
    [root@al root]$ sweb
    PHP DAEMON - usage start|stop :
    Miss...
    LIGHTTP DAEMON - usage start|stop|restart|usage : stop
    Stopping web server: lighttpd
    [root@al root]$
    [root@al root]$ nmap 192.168.177.1
    
    Starting Nmap 4.20 ( http://insecure.org ) at 2007-11-13 23:29 EET
    Interesting ports on al.router (192.168.177.1):
    Not shown: 1692 closed ports
    PORT     STATE SERVICE
    21/tcp   open  ftp
    22/tcp   open  ssh
    23/tcp   open  telnet
    53/tcp   open  domain
    8080/tcp open  http-proxy
    
    Nmap finished: 1 IP address (1 host up) scanned in 1.640 seconds
    [root@al root]$ nmap 77.123.2.118
    
    Starting Nmap 4.20 ( http://insecure.org ) at 2007-11-13 23:29 EET
    Interesting ports on alarmed-acceder.volia.net (77.123.2.118):
    Not shown: 1692 closed ports
    PORT     STATE SERVICE
    21/tcp   open  ftp
    22/tcp   open  ssh
    23/tcp   open  telnet
    53/tcp   open  domain
    8080/tcp open  http-proxy
    
    Nmap finished: 1 IP address (1 host up) scanned in 1.656 seconds
    [root@al root]$ nmap 194.242.53.180
    
    Starting Nmap 4.20 ( http://insecure.org ) at 2007-11-13 23:30 EET
    Interesting ports on 194-242-53-180.ukrtel.com (194.242.53.180):
    Not shown: 1692 closed ports
    PORT     STATE SERVICE
    21/tcp   open  ftp
    22/tcp   open  ssh
    23/tcp   open  telnet
    53/tcp   open  domain
    8080/tcp open  http-proxy
    
    Nmap finished: 1 IP address (1 host up) scanned in 1.661 seconds
    [root@al root]$
    [root@al root]$ sweb
    PHP DAEMON - usage start|stop :
    Miss...
    LIGHTTP DAEMON - usage start|stop|restart|usage : start
    Starting web server: lighttpd
    [root@al root]$
    [root@al root]$ nmap 192.168.177.1
    
    Starting Nmap 4.20 ( http://insecure.org ) at 2007-11-13 23:33 EET
    Interesting ports on al.router (192.168.177.1):
    Not shown: 1691 closed ports
    PORT     STATE SERVICE
    21/tcp   open  ftp
    22/tcp   open  ssh
    23/tcp   open  telnet
    53/tcp   open  domain
    80/tcp   open  http
    8080/tcp open  http-proxy
    
    Nmap finished: 1 IP address (1 host up) scanned in 1.644 seconds
    [root@al root]$
    [root@al root]$ nmap 77.123.2.118
    
    Starting Nmap 4.20 ( http://insecure.org ) at 2007-11-13 23:34 EET
    Interesting ports on alarmed-acceder.volia.net (77.123.2.118):
    Not shown: 1691 closed ports
    PORT     STATE SERVICE
    21/tcp   open  ftp
    22/tcp   open  ssh
    23/tcp   open  telnet
    53/tcp   open  domain
    80/tcp   open  http
    8080/tcp open  http-proxy
    
    Nmap finished: 1 IP address (1 host up) scanned in 1.659 seconds
    [root@al root]$
    [root@al root]$ nmap 194.242.53.180
    
    Starting Nmap 4.20 ( http://insecure.org ) at 2007-11-13 23:34 EET
    Interesting ports on 194-242-53-180.ukrtel.com (194.242.53.180):
    Not shown: 1691 closed ports
    PORT     STATE SERVICE
    21/tcp   open  ftp
    22/tcp   open  ssh
    23/tcp   open  telnet
    53/tcp   open  domain
    80/tcp   open  http
    8080/tcp open  http-proxy
    
    Nmap finished: 1 IP address (1 host up) scanned in 1.657 seconds
    [root@al root]$
    Наверное правильно было бы просканировать порты из интернета (wan).

    Iptables говорит:
    Code:
    [root@al root]$ iptables -L -vnt nat
    Chain PREROUTING (policy ACCEPT 57 packets, 9380 bytes)
     pkts bytes target     prot opt in     out     source               destination
        2   120            tcp  --  !br0   *       0.0.0.0/0            0.0.0.0/0          state NEW tcp dpt:22 recent: SET name: SSH_ATTACKER side: source
        1    48 VSERVER    all  --  *      *       0.0.0.0/0            194.242.53.180
        8  2429 VSERVER    all  --  *      *       0.0.0.0/0            77.123.2.118
    
    Chain POSTROUTING (policy ACCEPT 17124 packets, 756K bytes)
     pkts bytes target     prot opt in     out     source               destination
       27  1296 MASQUERADE  all  --  *      ppp0   !194.242.53.180       0.0.0.0/0
        0     0 MASQUERADE  all  --  *      vlan1  !77.123.2.118         0.0.0.0/0
        0     0 MASQUERADE  all  --  *      br0     192.168.177.0/24     192.168.177.0/24
    
    Chain OUTPUT (policy ACCEPT 17124 packets, 756K bytes)
     pkts bytes target     prot opt in     out     source               destination
    
    Chain VSERVER (2 references)
     pkts bytes target     prot opt in     out     source               destination
    [root@al root]$

  6. #6
    Join Date
    Sep 2007
    Posts
    109
    Blog Entries
    1
    не проще http-роутера перенаправить в веб инерфейсе?
    на старничке Internet Firewall - Basic Config, ставишь 8080, афтоматом добавляется все, 80 порт освобождается...в lighttp прописываешь 80, открываешь его и все работает...

  7. #7
    Join Date
    Aug 2006
    Location
    Moscow, Russia
    Posts
    788
    Quote Originally Posted by nightrus View Post
    80 порт освобождается...
    Интересно с чего он освободится то? Ведь процесс веб-морды не трогается же, он так и остаётся на 80 порту висеть.



    Quote Originally Posted by Andromedaland View Post
    Наверное правильно было бы просканировать порты из интернета (wan).
    Ебстественно. http://nmap-online.com/. А пока выложи iptables -L INPUT -vn посмотрим по-подробнее.

    upd
    Кстати я сейчас замечательно законнектился и получил "Тестовая страница" с хытытыпы://194.242.53.180/
    Last edited by Mam(O)n; 14-11-2007 at 00:32.

  8. Quote Originally Posted by Mam(O)n View Post
    Ебстественно. http://nmap-online.com/. А пока выложи iptables -L INPUT -vn посмотрим по-подробнее.

    upd
    Кстати я сейчас замечательно законнектился и получил "Тестовая страница" с хытытыпы://194.242.53.180/
    Результаты сканирования из вне (видно что порт открыт):
    Code:
    Nmap Options: -F -T5 -sS 194.242.53.180
    
    Starting Nmap 4.11 ( http://www.insecure.org/nmap ) at 2007-11-14 00:19 Central Europe Standard Time
    Interesting ports on 194-242-53-180.ukrtel.com (194.242.53.180):
    Not shown: 1237 filtered ports
    PORT STATE SERVICE
    22/tcp open ssh
    80/tcp open http
    
    Nmap finished: 1 IP address (1 host up) scanned in 490.594 seconds
    Лог iptables:
    Code:
    [root@al root]$ iptables -L INPUT -vn
    Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
     pkts bytes target     prot opt in     out     source               destination
       90  3960 DROP       tcp  --  !br0   *       0.0.0.0/0            0.0.0.0/0          state NEW tcp dpt:22 recent: UPDATE seconds: 600 hit_count: 3 name: SSH_ATTACKER side: source
       60  4792 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          tcp dpt:80
       25  1092 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          tcp dpt:22
        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0          state INVALID
    45386 5211K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0          state RELATED,ESTABLISHED
    18122  816K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0          state NEW
     6875 2515K ACCEPT     all  --  br0    *       0.0.0.0/0            0.0.0.0/0          state NEW
       51 16824 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0          udp spt:67 dpt:68
        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            192.168.177.1      tcp dpt:80
        4   280 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
     5573  301K DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0
    [root@al root]$
    Если удалось получить "Тестовая страница" с хттп://194.242.53.180/ то значит работает!? Ломаю голову - что не так. Где... :
    1. Провайдеры? - тестирую с букиса. Подключаюсь по DialUp. Попробовал от 4-х разных - наверное не здесь.
    2. Сам букис? - Фаерволы поотключал. Таблицы маршрутизации очистил. В интернет ходит нормально - наверное не здесь.
    3. Дело в маршрутизации? В списке маршрутов более 2000 сетей. Может ответ уходит не на адрес источника запроса? Как проследить?

    Всем кто не входит в зону UA-IX роутер будет виден на IP:194.242.53.180
    Всем кто входит в зону UA-IX роутер будет виден на IP:77.123.Х.Х (динамический - может полгода не меняться, а может изменяться по несколку раз в сутки).

  9. #9
    Join Date
    Aug 2006
    Location
    Moscow, Russia
    Posts
    788
    Также эта пага видна с анонимайзера http://www.hidemyass.com/. Похоже, что тут в маршрутах дело.

  10. Quote Originally Posted by Mam(O)n View Post
    Также эта пага видна с анонимайзера http://www.hidemyass.com/. Похоже, что тут в маршрутах дело.
    Да всё дело в маршрутах, за исключен одного момента (о нём позже).

    Подключен к провайдеру volia.net по кабельному модему.
    Получаем DHCP IP:77.123.x.x (пока шлюз 77.123.0.1).
    Устанавливаем VPN содинение (статус):
    WAN Type: PPTP
    IP Address: 194.242.53.180
    Subnet Mask: 255.255.255.255
    Gateway: 194.242.53.3
    DNS Servers: 194.242.53.3 194.242.53.1

    Кратко из ifconfig:
    Code:
    # ifconfig
    lo        inet addr:127.0.0.1  					Mask:255.0.0.0
    br0       inet addr:192.168.177.1	Bcast:192.168.177.255	Mask:255.255.255.0
    vlan1     inet addr:77.123.2.118	Bcast:77.123.15.255	Mask:255.255.240.0
    ppp0      inet addr:194.242.53.180	P-t-P:194.242.53.3	Mask:255.255.255.255
    Соответственно таблица марщрутизации (автоматом):
    Code:
    # route
    Kernel IP routing table
    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
    194.242.53.3    77.123.0.1      255.255.255.255 UGH   2      0        0 WAN vlan1
    192.168.177.0   *               255.255.255.0   U     0      0        0 LAN br0
    77.123.0.0      *               255.255.240.0   U     0      0        0 WAN vlan1
    127.0.0.0       *               255.0.0.0       U     0      0        0     lo
    default         194.242.53.3    0.0.0.0         UG    0      0        0 WAN ppp0
    default         77.123.0.1      0.0.0.0         UG    1      0        0 WAN vlan1
    С любого IP интернета роутер теперь доступен по адресу ppp0 inet addr:194.242.53.180
    Пингуется, работает веб сервер на 80 порту и т.д.
    Доступа по vlan1 inet addr:77.123.2.118 - нет.
    Т.е. вроде всё правильно и всё работает.

    Следующим шагом - добавляются сети в таблицу маршрутизации для разруливания траффика UA-IX (всего > 2100 сетей).

    Соответственно таблица марщрутизации кратко выглядит так:
    Code:
    # route
    Kernel IP routing table
    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
    x.x.x.x		77.123.0.1      255.x.x.x     	UG    0      0        0 WAN vlan1
    194.242.53.0    77.123.0.1      255.255.255.0   UG    0      0        0 WAN vlan1
    77.123.0.0      77.123.0.1      255.255.0.0     UG    0      0        0 WAN vlan1
    x.x.x.0		77.123.0.1      255.x.x.x     	UG    0      0        0 WAN vlan1
    194.242.53.3    77.123.0.1      255.255.255.255 UGH   2      0        0 WAN vlan1
    192.168.177.0   *               255.255.255.0   U     0      0        0 LAN br0
    77.123.0.0      *               255.255.240.0   U     0      0        0 WAN vlan1
    127.0.0.0       *               255.0.0.0       U     0      0        0     lo
    default         194.242.53.3    0.0.0.0         UG    0      0        0 WAN ppp0
    default         77.123.0.1      0.0.0.0         UG    1      0        0 WAN vlan1
    Краным цвет выделено то что добавляется. Сети добавляются из списка сетей UA-IX (красный блок с соответсвующими значениями из списка содержит более 2100 записей).

    Если доступ к роутеру осуществляется с машины IP которой не принадлежит сети из писка UA-IX (соответственно не прописан в таблице маршрутизации) - то по адресу vlan1 inet addr:77.123.2.118 роутер не доступен, а по адресу ppp0 inet addr:194.242.53.180 роутер доступен - есть пинг, веб на 80 порту, SSH на 22 порту и т.д. Всё работает.

    Если доступ к роутеру осуществляется с машины IP которой принадлежит сети из писка UA-IX (соответственно прописан в таблице маршрутизации) - то по адресу ppp0 inet addr:194.242.53.180 роутер не доступен. Пинга нет. А по адресу vlan1 inet addr:77.123.2.118 роутер доступен частично, пинг есть, веба нет на 80 порту - но есть например на 82, есть SSH. Страно, я думаю это связано с тем что не все провайдеры имеют не достаточный пул белых IP адресов и тут вступает в работу NAT, но наверное не по всему диапазоны портов - это думаю очевидно, поэтому так и выходит. Хотя может я ошибаюсь и смотреть надо в роутере?

    Как правильно прописать, чтобы маршруты сетей UA-IX проходили через шлюз UA-IX - в данном случае через 77.123.0.1, а НЕ UA-IX через свой шлюз в данном случае через 194.242.53.3 и при этом роутер либо был доступен (по всем портам) либо если находишся в сети UA-IX через IP:77.123.2.118, а если вне сети UA-IX через IP:194.242.53.180 или по одному из эти адресов роутер был бы доступен из любой сети при условии выполнения маршрутизации сетей UA-IX на свой шлюз???

  11. #11
    Quote Originally Posted by Andromedaland View Post
    А по адресу vlan1 inet addr:77.123.2.118 роутер доступен частично, пинг есть, веба нет на 80 порту - но есть например на 82, есть SSH.
    Это наводит на мысль, что входящие соединения на порт 80 просто заблокированы провайдером. Во всяком случае, никаких правил, которые бы могли их давить, в настройках iptables не видно, а маршрутизация от номера порта не зависит. Пишут, что для открытия порта 80 и некоторых других придётся покупать статический IP.

    Quote Originally Posted by Andromedaland View Post
    Как правильно прописать, чтобы маршруты сетей UA-IX проходили через шлюз UA-IX - в данном случае через 77.123.0.1, а НЕ UA-IX через свой шлюз в данном случае через 194.242.53.3 и при этом роутер либо был доступен (по всем портам) либо если находишся в сети UA-IX через IP:77.123.2.118, а если вне сети UA-IX через IP:194.242.53.180 или по одному из эти адресов роутер был бы доступен из любой сети при условии выполнения маршрутизации сетей UA-IX на свой шлюз???
    Тут есть грабли - при обращении к "чужому" адресу получается асимметричная маршрутизация (например, кто-то из UA-IX полез на внешний адрес - входящий пакет придёт снаружи через ppp0 (VPN), а ответные пакеты будут маршрутизироваться через vlan1). По умолчанию в ядре такие фокусы запрещены - в /proc/sys/net/ipv4/conf/*/rp_filter стоит 1, при такой настройке пакеты, приходящие с обратным адресом, соответствующим другому интерфейсу, не обрабатываются. Надо записать туда 0 хотя бы для интерфейсов vlan1 и ppp0 (но в случае ppp0 нужно учитывать, что этот интерфейс может пропадать, поэтому придётся либо прописывать это в post-firewall, либо задать такие же настройки и для default).

    Впрочем, всё это зависит от того, как провайдер будет при такой маршрутизации считать трафик - возможно, нужно как раз заблокировать такие соединения.

  12. Quote Originally Posted by vsu View Post
    Это наводит на мысль, что входящие соединения на порт 80 просто заблокированы провайдером.
    Это вопрос? По одному IP выход на роутер по 80 порту - да, по другому IP - нет?

    Quote Originally Posted by vsu View Post
    Впрочем, всё это зависит от того, как провайдер будет при такой маршрутизации считать трафик - возможно, нужно как раз заблокировать такие соединения.
    Вторая таблица (с UA-IX) трафик считает правильно. Противоречие, наверное сделать так не получится.

  13. Разобрался:
    С маршрутизацией всё нормально. Всё правильно работает и трафик разруливается как нужно. Всё дело в провайдере.
    Quote Originally Posted by vsu View Post
    Это наводит на мысль, что входящие соединения на порт 80 просто заблокированы провайдером. Во всяком случае, никаких правил, которые бы могли их давить, в настройках iptables не видно, а маршрутизация от номера порта не зависит. Пишут, что для открытия порта 80 и некоторых других придётся покупать статический IP.
    И правильно наводит. Всё просто - "При подключении Абонента к Услуге Предприятие предоставляет АБОНЕНТУ один реальный (public) IP-адрес по протоколу DHCP", но при этом не афишируя прикрывает часть портов, в том числе и 80-й. А я был уверен - раз дали реальный (public) IP-адрес доступный с любой точки земного шара то всё будет нормально... А нет, хочешь поднять у себя сервис на 80-м порту - покупай статический IP-адрес.

    Всем СПАСИБО. Тему наверное можно закрывать.

    P.S. Уже не первый раз убеждаюсь что у сложной на первый взляд проблемы оказывается простое решение. А я грешил на маршрутизацию, фаервол.

  14. #14

    Question Как поменять порт веб-морды?

    поиск не дал необходимых результатов!

  15. #15
    Join Date
    Aug 2007
    Location
    Moscow, Russia
    Posts
    976
    Тут даже поиск не нужен - непосредственно в веб-морде.

Page 1 of 15 12311 ... LastLast

Similar Threads

  1. Mini PCI mod: делаем из WL-500gPv1 WL-500W и получаем Wi-Fi N !
    By slava in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 297
    Last Post: 15-09-2020, 09:45
  2. Asus WL-500gP: как проверить WAN порт ?
    By jmur in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 105
    Last Post: 07-07-2013, 15:02
  3. Отправка и получение SMS с роутера
    By reyko in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 15
    Last Post: 04-03-2013, 13:27
  4. Mini PCI mod: второй порт для PCI/PCMCIA/IDE/CardBus на WL500gP/W
    By lexen in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 133
    Last Post: 03-12-2010, 18:15
  5. Не подключается USB HDD
    By Romuald in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 66
    Last Post: 02-03-2009, 23:14

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •