Добрый день.
Помогите пожалуйста.
Сеть с такой схемой
WAN ---> Asus RT-N16 (94.199.108.106)-Внешний статический; (192.168.1.10) внутренний ---> HUB ASUS GX 1008B ---> Ubuntu 12.04 LTS Server (192.168.1.222)
задача из WAN попасть напрямую к Убунту. ну например для ssh
NAT Settings выглядит так
Вот так из WAN по адресу (94.199.108.106) не хочет подключаться,а из LAN подключается
Открыл доступ для ssh к самому роутеру
Подключается спокойно.
Firewall setting
Вывод ipsettings-save
Code:# Generated by iptables-save v1.4.3.2 on Thu Jun 21 09:20:02 2012 *nat :PREROUTING ACCEPT [920:55581] :POSTROUTING ACCEPT [91:12347] :OUTPUT ACCEPT [91:13685] :UPNP - [0:0] :VSERVER - [0:0] -A PREROUTING -d 94.199.108.106/32 -j VSERVER -A PREROUTING -d 94.199.108.106/32 -p udp -m udp --sport 6112 -j NETMAP --to 192.168.1.0/24 -A POSTROUTING -s 192.168.1.0/24 -p udp -m udp --dport 6112 -j NETMAP --to 94.199.108.106/32 -A POSTROUTING ! -s 94.199.108.106/32 -o vlan2 -j MASQUERADE -A POSTROUTING -s 192.168.1.0/24 -d 192.168.1.0/24 -o br0 -j MASQUERADE -A UPNP -p udp -m udp --dport 21867 -j DNAT --to-destination 192.168.1.194:21867 -A UPNP -p tcp -m tcp --dport 21867 -j DNAT --to-destination 192.168.1.194:21867 -A VSERVER -p tcp -m tcp --dport 8182 -j DNAT --to-destination 192.168.1.10:80 -A VSERVER -j UPNP -A VSERVER -p tcp -m tcp --dport 22222 -j DNAT --to-destination 192.168.1.222:22 COMMIT # Completed on Thu Jun 21 09:20:02 2012 # Generated by iptables-save v1.4.3.2 on Thu Jun 21 09:20:02 2012 *mangle :PREROUTING ACCEPT [2843:348715] :INPUT ACCEPT [1986:300151] :FORWARD ACCEPT [700:36482] :OUTPUT ACCEPT [1994:1265747] :POSTROUTING ACCEPT [2664:1301320] COMMIT # Completed on Thu Jun 21 09:20:02 2012 # Generated by iptables-save v1.4.3.2 on Thu Jun 21 09:20:02 2012 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [658:34530] :OUTPUT ACCEPT [1900:1249353] :BRUTE - [0:0] :MACS - [0:0] :SECURITY - [0:0] :UPNP - [0:0] :logaccept - [0:0] :logdrop - [0:0] -A INPUT -m conntrack --ctstate INVALID -j DROP -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT -A INPUT -i br0 -m conntrack --ctstate NEW -j ACCEPT -A INPUT -i vlan2 -m conntrack --ctstate NEW -j SECURITY -A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT -A INPUT -p tcp -m tcp --dport 21 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT -A INPUT -d 192.168.1.10/32 -p tcp -m tcp --dport 80 -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -p udp -m udp --dport 33434:33534 -j ACCEPT -A INPUT -j DROP -A FORWARD -i br0 -o br0 -j ACCEPT -A FORWARD -m conntrack --ctstate INVALID -j DROP -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A FORWARD ! -i br0 -o vlan2 -j DROP -A FORWARD ! -i br0 -m conntrack --ctstate NEW -j SECURITY -A FORWARD -m conntrack --ctstate DNAT -j ACCEPT -A FORWARD -o br0 -j DROP -A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN -A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN -A SECURITY -p udp -m limit --limit 5/sec -j RETURN -A SECURITY -p icmp -m limit --limit 5/sec -j RETURN -A SECURITY -j DROP -A UPNP -d 192.168.1.194/32 -p udp -m udp --dport 21867 -j ACCEPT -A UPNP -d 192.168.1.194/32 -p tcp -m tcp --dport 21867 -j ACCEPT -A logaccept -m conntrack --ctstate NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options --log-macdecode -A logaccept -j ACCEPT -A logdrop -m conntrack --ctstate NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options --log-macdecode -A logdrop -j DROP COMMIT # Completed on Thu Jun 21 09:20:02 2012
Может быть?Code:iptables -I INPUT -p tcp --dport 22222 -j ACCEPT
Может еще какие данные вывести? В чем еще трабл может быть?
В смысле Factory Default - > Restore жмакнуть? Нет, не жмакал...щас попробую
опять не хочет...я прям не знаю, что и делать
Можт там маска сети не та, почему он в сеть то не пускает?
А внутри самой сети по внешнему пускает. Чудеса какие то...
Last edited by Omega; 21-06-2012 at 18:57. Reason: 3 posts merged
Finish - конечно. Сервер имеет статический IP, он прописан в interfaces на самом компьютере
PHP Code:
Chain VSERVER (1 references)
pkts bytes target prot opt in out source destination
17 892 DNAT tcp -- any any anywhere anywhere tcp dpt:webcache to:192.168.1.10:80
354 56972 UPNP all -- any any anywhere anywhere
1 48 DNAT tcp -- any any anywhere anywhere
У вас нету правила для ssh
вообще должно это все записываться, если есть правило в web-интерфейсе.Code:iptables -t nat -I VSERVER -p tcp --dport 22222 -j DNAT --to-destination 192.168.1.222:22
попробуйте сбросить девайс, перешить в последнюю прошивку и повторить то же, что делали в веб-интерфейсе.
Да это уже 4ая перепрошивка.
У меня оказывается уже было такое правило.
Теперь их 2 )
PHP Code:
# Generated by iptables-save v1.4.3.2 on Thu Jun 21 18:06:48 2012
*nat
:PREROUTING ACCEPT [465:39245]
:POSTROUTING ACCEPT [73:6994]
:OUTPUT ACCEPT [76:8222]
:UPNP - [0:0]
:VSERVER - [0:0]
-A PREROUTING -d 94.199.108.106/32 -j VSERVER
-A POSTROUTING ! -s 94.199.108.106/32 -o vlan2 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/24 -d 192.168.1.0/24 -o br0 -j MASQUERADE
-A VSERVER -p tcp -m tcp --dport 22222 -j DNAT --to-destination 192.168.1.222:22
-A VSERVER -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.1.10:80
-A VSERVER -j UPNP
-A VSERVER -p tcp -m tcp --dport 22222 -j DNAT --to-destination 192.168.1.222:22
COMMIT
# Completed on Thu Jun 21 18:06:48 2012
# Generated by iptables-save v1.4.3.2 on Thu Jun 21 18:06:48 2012
*mangle
:PREROUTING ACCEPT [1292:116273]
:INPUT ACCEPT [920:91646]
:FORWARD ACCEPT [301:13790]
:OUTPUT ACCEPT [1210:1217885]
:POSTROUTING ACCEPT [1505:1231185]
COMMIT
# Completed on Thu Jun 21 18:06:48 2012
# Generated by iptables-save v1.4.3.2 on Thu Jun 21 18:06:48 2012
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [278:12728]
:OUTPUT ACCEPT [1199:1216550]
:BRUTE - [0:0]
:MACS - [0:0]
:SECURITY - [0:0]
:UPNP - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i br0 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -d 224.0.0.0/4 -p igmp -j ACCEPT
-A INPUT -d 224.0.0.0/4 -p udp -m udp ! --dport 1900 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -d 192.168.1.10/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p udp -m udp --dport 33434:33534 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 515 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 9100 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3838 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -d 224.0.0.0/4 -p udp -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD ! -i br0 -o vlan2 -j DROP
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -o br0 -j DROP
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j DROP
-A logaccept -m conntrack --ctstate NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options --log-macdecode
-A logaccept -j ACCEPT
-A logdrop -m conntrack --ctstate NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options --log-macdecode
-A logdrop -j DROP
COMMIT
# Completed on Thu Jun 21 18:06:48 2012
Еще раз через ВЕБ проверил ...вот есть оказывается...и 2 раза теперь уже
Люди, есть у кого какие мысли?PHP Code:
Chain VSERVER (1 references)
target prot opt source destination
DNAT tcp -- anywhere anywhere tcp dpt:22222 to:192.168.1.222:22
DNAT tcp -- anywhere anywhere tcp dpt:webcache to:192.168.1.10:80
UPNP all -- anywhere anywhere
DNAT tcp -- anywhere anywhere tcp dpt:22222 to:192.168.1.222:22
Last edited by Omega; 22-06-2012 at 19:48. Reason: 2 posts merged
Перед тем, как анализировать iptables, я бы проверил сначала тривиальные вещи:
1) демон sshd на 192.168.1.222 случаем не ограничен ли приемом соединений только из локальной сети?
2) возвращаясь к теме топика, если прокинуть ssh-туннель на 192.168.1.222:22, то какой будет результат?
3) если отвлечься от ssh, к чему либо еще на 192.168.1.222 из WAN через функционал Virtual Server роутера подключиться удавалось?
4) если изьять временно (мало ли) HUB ASUS GX 1008B и подключить компьютер напрямую, что-либо изменится?