Bekijk de volledige versie : Опять проблемы с Port Forwarding
Karl_wrk
07-04-2006, 13:13
Столкнулся с проблемой настройки DC++ для работы с Асусом, нашел отличный ресурс, на котором подробно расписано как именно настраивать порт форвардинг для разных программ и игр именно для Asus 500g и 500g Deluxe.
ИМХО стоило бы добавить этот адрес в FAQ, потому что многие сталкиваются с подобными проблемами.
Адрес страницы:
http://www.portforward.com/english/routers/port_forwarding/Asus/WL-500G/WL-500Gindex.htm
ЗЫ Олег спасибо за работу над прошивками для Asus-а. Купил его после того как друзья рассказали про твои прошивки, доволен на все 100% :-)
Tsvetkov
07-04-2006, 14:18
типа смешно - там сказано как сделать доступным из интернета,
но не для сети провайдера
Никак не могу задать portworwarding для нескольких портов по обоим протоколам одновременно. например
23001 192.168.0.141 23001 TCP
23001 192.168.0.141 23001 UDP
32001 192.168.0.141 32001 TCP
это вводится, но если хочу добавить 32001 с UDP или еще какие-то порты, то ругается (already in list..)
Подскажите пожалуйста, как это обойти
прошивка пока оригинальная 1.9.6.1
откликнитесь кто-нибудь. неужто никто не сталкивался с этим?
OK will try to repeat my question in english.
In some routers there's the option to set both Protocols (TCP and UDP) to a specific port.
On this Router I can only choose both TCP/UDP once for any port range and then only one of the two for the same range - either TCP or UDP
Is it possible to nominate somehow both protocols to the same port range for more than one port range
VEDMED007
29-04-2007, 17:18
Купил сегодня девайс, прошил WL500gp-1.9.2.7-7g.trx.
Проблем вроде не испытываю.
Но возник вопрос - как профорвардить кучу портов одним кликом???
В смысле на каждый IP (машину) задать например 27000-27050 TCP/UDP.
ЗЫ Просьба не ругаться на "тупых юзверей" и ткнуть носом в ссылку.
(до этого был ADSL-роутер Acorp W400G - там все просто и сердито).
Кстати очень понравилось защита форума от дурака в виде кодировки.
Так Вы прочитали, что сделать с кодировкой?
Отфорвардить очень просто было бы, если бы эту функциональность не потеряли... Посыпаю голову пеплом. Работают только одиночные виртуальные сервера...
Хотя нет, пепел не нужен.
Делаете виртуальный сервер
16000:16050 192.168.1.2 TCP
и всё работает.
VEDMED007
29-04-2007, 18:22
Так Вы прочитали, что сделать с кодировкой?
Отфорвардить очень просто было бы, если бы эту функциональность не потеряли... Посыпаю голову пеплом. Работают только одиночные виртуальные сервера...
Яшно, а теперь для детей прапорщиков - я на каждый порт должен создать два правила TCP и UDP отдельно в пункте Port Trigger?
(Пока писал понял, что туплю и для чего нужен порт триггер :D )
Как это пишется в Virtual Server?
Для того же диапазона и сколько правил?
Кстати, появилась первая проблема - после прошивки полностью "отпали" LAN-порты - устройство невозможно подключить по кабелю (при автоматическом IP - подключение виснет с IP 0.0.0.0, c ручным - не пингуется и не открывается 192.168.1.1).
По Вайфай все работает (ну кроме портов).
Кстати, тут вообще впал в прострацию - файлы по аське передаются без проблем, торрент работает (порт "зеленый"), стим запустился...:eek:
DC++ только вроде лажает.
Где кстати, галка UPNP???
ЗЫ С кодировкой прочитал только после регистрации.
VEDMED007
29-04-2007, 18:23
Ага, с портами понятно, что с остальным?
Яшно, а теперь для детей прапорщиков - я на каждый порт должен создать два правила TCP и UDP отдельно в пункте Port Trigger?
(Пока писал понял, что туплю и для чего нужен порт триггер :D )
Как это пишется в Virtual Server?
Для того же диапазона и сколько правил?
Триггер Вам не нужен. Нужно сделать по одному правилу на каждый ПК, выставить BOTH.
Кстати, появилась первая проблема - после прошивки полностью "отпали" LAN-порты - устройство невозможно подключить по кабелю (при автоматическом IP - подключение виснет с IP 0.0.0.0, c ручным - не пингуется и не открывается 192.168.1.1).
По Вайфай все работает (ну кроме портов).
Ничего не могу сказать, не зная Ваш конфиг.
Кстати, тут вообще впал в прострацию - файлы по аське передаются без проблем, торрент работает (порт "зеленый"), стим запустился...:eek:
DC++ только вроде лажает.
UPnP.
VEDMED007
29-04-2007, 18:30
Конфиг будет - как его вытащить и выложить?
(скрины или лог или текст???)
А UPNP автоматом (подключать/отключать его мона?)
Конфиг будет - как его вытащить и выложить?
(скрины или лог или текст???)
Текст со страницы LAN&WAN, как описано в "Настройках для различных првайдеров".
А UPNP автоматом (подключать/отключать его мона?)
Вопроса не понял. Есть настройка, где ставится включить/выключить UPnP.
VEDMED007
29-04-2007, 18:50
WAN Connection Type: PPTP
WAN Connection Speed: Auto
IP Address: 0.0.0.0
Subnet Mask:
Default Gateway: 10.121.0.17
Get DNS Server automatically? Yes
User Name: *********
Password: ********
Idle Disconnect Time in seconds(option): 1800
MTU: 1492
MRU: 1492
Additional pppd options: nomppe nomppc holdoff 60
Enable PPPoE Relay? No
Host Name:
MAC Address:
Heart-Beat Server: vpn.spb.corbina.net
Host Name:
IP Address: 192.168.1.1
Subnet Mask: 255.255.255.0
И куча рутов корбины.
Понятно. Можно было просто сказать "корбина". Насчёт отпадания LAN портов - странно. Их и сейчас нет?
VEDMED007
29-04-2007, 19:20
Понятно. Можно было просто сказать "корбина". Насчёт отпадания LAN портов - странно. Их и сейчас нет?
Лампочки LAN1 и LAN4 горят...
Сейчас шнур в первом (ноутбук) и четвертом (настольный) портах.
Сначала думал, что мои проблемы - при старте настольного падал с exception svchost.
Но когда ноутбук не смог подключиться по кабелю (настройки и автоматом и вручную) - засомневался.
В статистике - ни одного принятого пакета.
ЗЫ Так что все-таки с галкой UPNP (не нашел ее - где она находится?).
Устройство мигает WiFi (постоянно, но от загрузки больше) и WAN (просто постоянно) как стробоскоп - очень раздражает (это бага или фича)?
Защита WPA PSK TKIP+AES (WPA2 не нашел :( )
По макам еще не рубил - но в статистике коннект только 1.
Лампочки LAN1 и LAN4 горят...
Непрерывно? Или когда кабель туда вставляется?
Сейчас шнур в первом (ноутбук) и четвертом (настольный) портах.
Сначала думал, что мои проблемы - при старте настольного падал с exception svchost.
Но когда ноутбук не смог подключиться по кабелю (настройки и автоматом и вручную) - засомневался.
Зайти на устройство телнетом, сказать ifconfig, потом robocfg show и результат сюда?
ЗЫ Так что все-таки с галкой UPNP (не нашел ее - где она находится?).
IP Config | Miscellaneous > Enable UPnP
Устройство мигает WiFi (постоянно, но от загрузки больше) и WAN (просто постоянно) как стробоскоп - очень раздражает (это бага или фича)?
Дык привыкайте, пакеты по локалке летают.
Защита WPA PSK TKIP+AES (WPA2 не нашел :( )
Там и WPA2 разрешается одновременно.
VEDMED007
29-04-2007, 19:49
Непрерывно? Или когда кабель туда вставляется?
Когда вставляется кабель.
Не мигает.
Зайти на устройство телнетом, сказать ifconfig, потом robocfg show и результат сюда?
не хватает тэга [spoiler]
(none) login: StarostA
Password:
[StarostA@(none) root]$ ifconfig
br0 Link encap:Ethernet HWaddr 00:0E:A6:F6:20:1E
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::20e:a6ff:fef6:201e/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1204651 errors:0 dropped:0 overruns:0 frame:0
TX packets:720755 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1531990611 (1.4 GiB) TX bytes:55299398 (52.7 MiB)
eth0 Link encap:Ethernet HWaddr 00:0E:A6:F6:20:1E
inet6 addr: fe80::20e:a6ff:fef6:201e/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:5913848 errors:374 dropped:0 overruns:371 frame:371
TX packets:1236277 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:434278699 (414.1 MiB) TX bytes:1561116377 (1.4 GiB)
Interrupt:4 Base address:0x1000
eth1 Link encap:Ethernet HWaddr 00:0E:A6:F6:20:1E
inet6 addr: fe80::20e:a6ff:fef6:201e/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1204639 errors:0 dropped:0 overruns:0 frame:307
TX packets:725103 errors:61 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:1548854603 (1.4 GiB) TX bytes:61384442 (58.5 MiB)
Interrupt:2 Base address:0x2000
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MULTICAST MTU:16436 Metric:1
RX packets:9728 errors:0 dropped:0 overruns:0 frame:0
TX packets:9728 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:829046 (809.6 KiB) TX bytes:829046 (809.6 KiB)
ppp0 Link encap:Point-Point Protocol
inet addr:89.179.15.112 P-t-P:83.102.254.250 Mask:255.255.255.255
UP POINTOPOINT RUNNING MULTICAST MTU:1400 Metric:1
RX packets:258153 errors:0 dropped:0 overruns:0 frame:0
TX packets:380728 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:16983431 (16.1 MiB) TX bytes:350617330 (334.3 MiB)
vlan0 Link encap:Ethernet HWaddr 00:0E:A6:F6:20:1E
inet6 addr: fe80::20e:a6ff:fef6:201e/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1345 errors:0 dropped:0 overruns:0 frame:0
TX packets:2 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:124814 (121.8 KiB) TX bytes:156 (156.0 B)
vlan1 Link encap:Ethernet HWaddr 00:0E:A6:F6:20:1E
inet addr:10.121.89.168 Bcast:10.121.255.255 Mask:255.255.0.0
inet6 addr: fe80::20e:a6ff:fef6:201e/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:5912249 errors:0 dropped:0 overruns:0 frame:0
TX packets:1236273 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:327691852 (312.5 MiB) TX bytes:1561116073 (1.4 GiB)
[StarostA@(none) root]$ robocfg show
Switch: enabled
Port 0(W): 100FD enabled stp: none vlan: 1 mac: 00:00:00:00:00:00
Port 1(4): 100FD enabled stp: none vlan: 0 mac: 00:00:00:00:00:00
Port 2(3): DOWN enabled stp: none vlan: 0 mac: 00:00:00:00:00:00
Port 3(2): DOWN enabled stp: none vlan: 0 mac: 00:00:00:00:00:00
Port 4(1): 100FD enabled stp: none vlan: 0 mac: 00:00:00:00:00:00
Port 5(C): 100FD enabled stp: none vlan: 0 mac: 00:00:00:00:00:00
VLANs: BCM5325/535x enabled mac_check mac_hash
vlan0: 1 2 3 4 5t
vlan1: 0 5t
vlan2:
vlan3:
vlan4:
vlan5:
vlan6:
vlan7:
vlan8:
vlan9:
vlan10:
vlan11:
vlan12:
vlan13:
vlan14:
vlan15:
[StarostA@(none) root]$
PS LEDки можно как-нибудь выключить?
VEDMED007
29-04-2007, 20:07
Что я сделал я не знаю (поигрался с настройками вайфай и ребутнул устройство), но десктоп обнаружил его.
VEDMED007
30-04-2007, 18:28
Итак, суммируем:
1. Как все-таки с помощью Virtual Server сделать Port Forwarding, чтобы с обеих машин был доступ к диапазону портов, к примеру:
UDP 1200
UDP 27000 to 27015 inclusive
TCP 27020 to 27039 inclusive
При попытке написать 27000-27020 <IP> <пусто> BOTH <пусто> <Название> выдает 27000 is not valid port number (а по одному - форвардит).
ЗЫ Просто UPnP сегодня слажал и связь оборвалась - не хотелось бы такого постоянно (открытые порты как-то надежней).
2. Как выключить/пригасить LEDки?
3. Можно вкратце - как ускорить WiFi с 20 до хотя бы 30 Мбит?
(Про адекватность скоростей уже читал).
4. Будет ли в будущих прошивках Download Master от 700х моделей?
Для работы с USB-хардами.
Итак, суммируем:
1. Как все-таки с помощью Virtual Server сделать Port Forwarding, чтобы с обеих машин был доступ к диапазону портов, к примеру:
При попытке написать 27000-27020 <IP> <пусто> BOTH <пусто> <Название> выдает 27000 is not valid port number (а по одному - форвардит).
Двоеточие необходимо:
http://i.piccy.kiev.ua/i/33/00/4d516b2dac490a0f3a9cf8d11d4c.jpeg
2. Как выключить/пригасить LEDки?
прикрыть их листом бумаги ;)
3. Можно вкратце - как ускорить WiFi с 20 до хотя бы 30 Мбит?
путем сокращения помех и расстояния до ноутбука
VEDMED007
01-05-2007, 22:03
Двоеточие необходимо
Ох ты ж - забыл все варианты попробовать. :D
(Так же как с MAC - пробовал и - и :, но не сразу догадался писать одной строкой без знаков)
ЗЫ Остальное, конечно, не по делу....
А зачем пробовать? Я в своём посте в примере именно двоеточие и написал...
Светодиоды можно погасить, если напишите программу. :)
Имеется WL-500g Premium с родной прошивкой 1.9.7.5.
Задача: при обращении из WAN на определенный порт необходимо перенаправлять пакеты на IP адрес того же WAN.
Для проверки взял 80 порт, в "NAT Setting - Virtual Server" прописал:
Port Range Local IP Local Port Protocol Protocol No. Description
80 10.0.0.1 80 TCP
где 10.0.0.1 - адрес компа, на который надо редиректить,
WAN интерфейс роутера имеет адрес из той же подсети (10.0.0.2).
При обращении на 10.0.0.2:80 редиректа на 10.0.0.1 не происходит.
"Enable Web Access from WAN?" установлен в "No".
Глядя на заголовок "Local IP" я, конечно, подумал, что подсунуть ему адрес WAN не получится, но как это реализовать по другому я не понял.
В "IP Config - Route" можно прописать маршрут, но нельзя указать порт - тоже не подходит.
В качестве проверки собственной криворукости указал в "Local IP" адрес одного из компов, висящих в LAN, - все работает как надо.
Соответственно, вопрос:
0. Можно ли решить вышепоставленную задачу средствами родной прошивки? Если нет - то поможет ли прошивка от Олега?
И заодно еще пара вопросов :)
1. Что такое "Protocol No."?
2. Прошивка от Олега имеет текстовый интерфейс? (линуха не знаю нифига :()
3. Для ее фунциклирования нужна флешка?
А не подскажете, как работает Port Trigger? Не сам принцип, а его реализацию.
А всё, уже нашёл.
Странно, настроил, а не работает.
[djet@routah root]$ iptables -L -nv -t nat | grep 446
0 0 autofw tcp -- br0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:44662 autofw tcp dpt:44662 to:44662
0 0 autofw udp -- br0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:44663 autofw udp dpt:44663 to:44663
3 160 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:44662 to:192.168.1.4
0 0 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:44663 to:192.168.1.4
С ручными правилами (2 последних) мул получает HiID
Не нашёл на сайте проекта iptables упоминаний autofw. Это какой-то сторонний патч что ли? Где найти доки по нему?
у меня почемуто на прошивке 1.9.2.7-8pre9
не сработал диапозон портов
в VS указал 20:21 192.168.1.3 21
но не по 20 не по 21 не пустил а вот по одиночному пускает.
alexanderm
13-09-2007, 13:00
у меня почемуто на прошивке 1.9.2.7-8pre9
не сработал диапозон портов
в VS указал 20:21 192.168.1.3 21
но не по 20 не по 21 не пустил а вот по одиночному пускает.
Надо так 20:21 192.168.1.3 20
тоесть из диапозона портов от 20 до 21 можно роутить только на младший из этого диапозона портов локального ?
но ведь у меня щас одиночный порт скажем 42121 нормально роутиться на 21
alexanderm
14-09-2007, 14:57
тоесть из диапозона портов от 20 до 21 можно роутить только на младший из этого диапозона портов локального ?
но ведь у меня щас одиночный порт скажем 42121 нормально роутиться на 21На оба: 20 идет на 20, а 21 на 21.
Если указать 2121:2131 192.168.1.3 21, то получим:
2121 -> 21
2122 -> 22
...
2131 -> 31
У меня уже паника .....
Значит так, роутер WL500gP прошивка 1.9.2.7-8.15 подлючен к домовой сети 10.152.0.0 255.255.0.0 через ADSL модем 192.168.1.1 в котором создано постоянное подключение к домовой сети. В модеме настроен NAT с проброской всех портов на IP 192.168.1.5 на котором висит WAN роутера. В роутере создано PPTP (с MMPE128) подключение и что бы не отваливалась домовая сеть при работающем PPTP настроен соответствующий марштут
10.152.0.0 mask 255.255.0.0 >> 192.168.1.1 MAN
Теперь самое интересное. В роутере настроены через веб интерфейс виртуальные сервера с проброской нужных портов для торрент и DC клиентов, также открыт порт для подключения к удалённому рабочему столу, в файрволе открыт WEB интерфейс роутера на 55355 порту для возможности конфигурирования его из вне, подключена веб камера и всё это прекрасно работало до определённого времени.
На стандартных его возможностях решил не останавливаться и решил поставить на подключенную флешку lighttpd и php-fcgi что проекрасно заработало и открывается с домашнего компьютера который подключен к роутеру, но сам не заметил в какой момент толи роутер не перенаправляет порты то ли встроенный файрвол блокирует входящие соединения но в итоге torrent при работе в сети выдаёт ошибку "Брендмауэр или роутер ограничивает сетевой траффик" но сам качает и отдаёт прекрасно, DC клиент работает в пассивном режиме и ни чего не ищет, к веб камере подключиться не возможно, к веб интерфесу тоже, при всём этом с статусе портфорвардинга все нужные порты висят и как бы работают как и раньше. Рекомендации описанные здесь (http://wl500g.info/showthread.php?t=12460) и здесь (http://wl500g.info/showthread.php?t=3893) по настройке post firewall делал, не помогло. Откатывался на более ранние версии прошивок 1.9.2.7-8, 1.9.2.7-8.12 на которых он гарантированно работал и настраивал с нуля со сбросом, хотя бы минимум, подлючение, маршрут и проброс портов через веб интерфейс, проблема не исчезает. Уже опускаются руки, ..... в чём может быть проблема? (пока писал, пришла в голову мысль проверить NAT в модеме .... кто знает, может в нём проблема, вечером буду дома - обязательно проверю)
Проблема была действительно в модеме. не смотря на то что NAT в нём был настроен, он не работал.
Господа, товарищи, и просто хорошие люди! Кто может подсказать, можно ли настроить RX3042H так, чтобы пакет на 25-й порт снаружи попадал на порт X (ну пусть, например, на 40052) внутри, а пакет изнутри на порт X улетал наружу на порт 25? Надо чтобы вирусы не могли разослать спам, ведь если почту получают через web-морду, то злыдни по-умолчанию пуляют пакеты на порт 25. А провайдер отключает клиентов за спам, но только через день-два, когда жалобы почитает.
И получается картина маслом. Типичный случай: с конторой (турагентство) заключили договор на обслуживание, настроили сеть, почистили... Приехал шеф с ноутом, например, с Канар, врубился в сеть, разослал спам при помощи своих вирусов... Уехал, например, в Париж... А через пару дней контору отключают за позавчерашний спам. Клиент визжит и писает кипятком, мы разводим руками, ну и со всеми вытекающими.
Или посоветуйте такую железку которая это может. Конечно, не Cisco, а чтобы рублей так до 3000.
И кстати, как эта технология правильно называется? А то кроме port forwarding есть ещё штук 7 вариаций и все типа правильные. Проброс портов, port mapping...
Linux-сервер не подходит.
Буду очень признателен, если кто вдобавок к роутеру бросит в меня ссылкой ещё и на adsl-модем с такой фичей. Или на худой конец специальными прошивками к известным девайсам.
P.S. И вообще, правильно ли я понимаю, что для пакетов, которые уходят на порт 25, подтверждения о доставке тоже приходят на порт 25? Или достаточно просто транслировать X в 25 изнутри наружу (т.е. выполнять одностороннюю трансляцию)?
Кто может подсказать, можно ли настроить RX3042H так, чтобы пакет на 25-й порт снаружи попадал на порт X (ну пусть, например, на 40052) внутри, а пакет изнутри на порт X улетал наружу на порт 25? Надо чтобы вирусы не могли разослать спам...
А зачем так сложно?
Насколько я в курсе, абсолютное большинство вирусов шлёт почту напрямую на SMTP сервер адресата.
А легальные пользователи пользуются как правило 1-2 SMTP серверами из интернета: провайдерским, и может ещё мейл.ру или чем-то подобным.
Вывод: исходящие соединения из сети фирмы в интернет на порт 25 нужно открывать ТОЛЬКО на эти несколько серверов.
Можно ли это настроить именно на RX3042H - не знаю, но задачка довольно простая.
P.S. И вообще, правильно ли я понимаю, что для пакетов, которые уходят на порт 25, подтверждения о доставке тоже приходят на порт 25? Или достаточно просто транслировать X в 25 изнутри наружу (т.е. выполнять одностороннюю трансляцию)?Неправильно. Ответные пакеты приходят на тот порт, с которого было установлено соединение. Для SMTP, как и для многих других протоколов, он динамический.
Но правильно настроенный фаервол пропускает пакеты для всех уже установленных соединений.
ЗЫ Извините, но судя по вопросам, вы не тянете на специалиста, способного "обслуживать сеть по договору".
Насколько я в курсе, абсолютное большинство вирусов шлёт почту напрямую на SMTP сервер адресата.
Абсолютное большинство вирусов использует Google (GMail) и различные американские почтовые серверы
А легальные пользователи пользуются как правило 1-2 SMTP серверами из интернета: провайдерским, и может ещё мейл.ру или чем-то подобным
Они юзают WEB-морду. Провайдерскую, mail, yandex - неважно. Но как только появляются люди с ноутами, у которых могут быть настроены разные адреса и в разных почтовых клиентах, задача резко усложняется.
Ответные пакеты приходят на тот порт, с которого было установлено соединение. Для SMTP, как и для многих других протоколов, он динамический.
Очень интересно. Т.е. в заголовке пакета TCP может быть указан порт получателя 25, а порт отправителя динамический? Откуда информация? По-вашему выходит что пакет - уведомление о доставке TCP-пакета может приходить на произвольный порт? Не уверен в этом, к сожалению нет сейчас возможности проверить. Может всё же поля одинаковы? Насколько я знаю, ушёл с порта 25 - значит уведомление придёт тоже на 25. И тем более, порты в приложениях-почтовых клиентах, из моего опыта, нигде не указываются как "random port", в отличие от торрент-клиентов.
Так что там с железкой, на которой можно сделать этот самый port forwarding? Известна такая?
Очень интересно. Т.е. в заголовке пакета TCP может быть указан порт получателя 25, а порт отправителя динамический? Откуда информация? По-вашему выходит что пакет - уведомление о доставке TCP-пакета может приходить на произвольный порт? Не уверен в этом, к сожалению нет сейчас возможности проверить. Может всё же поля одинаковы? Насколько я знаю, ушёл с порта 25 - значит уведомление придёт тоже на 25. И тем более, порты в приложениях-почтовых клиентах, из моего опыта, нигде не указываются как "random port", в отличие от торрент-клиентов.
А воспользоваться любой мониторилкой портов в процессе работы почтового клиента что не позволяет? Есть куча, не требующих установки.
Абсолютное большинство вирусов использует Google (GMail) и различные американские почтовые серверыВозможно нам попадались разные вирусы :) .
Или большая часть того спама, с которым я, админя почтовый сервер, сталкиваюсь на работе, генерится не вирусами, во что слабо верится.
Специально статистику не подбивал, но на глаз не менее 2/3 спама имеет один неподдельный заголовок "received", то есть идут напрямую от хоста-отправителя.
Они юзают WEB-морду. Провайдерскую, mail, yandex - неважно. Тогда им абсолютно не нужен исходящий SMTP, и его можно закрыть.
Но как только появляются люди с ноутами, у которых могут быть настроены разные адреса и в разных почтовых клиентах, задача резко усложняется.Тогда:
1. Открывать SMTP на конкретные серверы по заявкам, что будет довольно муторно.
2. Ограничивать кол-во исходящих SMTP подключений с одного адреса (одновременных, или штук в минуту, как получится сделать). При этом вири спамить будут, но не так активно.
3. Возможно есть ещё варианты.
Очень интересно. Т.е. в заголовке пакета TCP может быть указан порт получателя 25, а порт отправителя динамический? Откуда информация? По-вашему выходит что пакет - уведомление о доставке TCP-пакета может приходить на произвольный порт? Не уверен в этом, к сожалению нет сейчас возможности проверить. Может всё же поля одинаковы? Насколько я знаю, ушёл с порта 25 - значит уведомление придёт тоже на 25. И тем более, порты в приложениях-почтовых клиентах, из моего опыта, нигде не указываются как "random port", в отличие от торрент-клиентов. Вы неправильно меня поняли. В заголовках - порт отправителя статический. И в рамках одного соединения он не меняется. Он разный у разных соединений, существующих одновременно.
Выбирается в момент создания соединения из свободных в данный момент.
Что касается изначального вопроса:
"Кто может подсказать, можно ли настроить RX3042H так, чтобы пакет на 25-й порт снаружи попадал на порт X (ну пусть, например, на 40052) внутри, а пакет изнутри на порт X улетал наружу на порт 25?"
1. Оно вам не очень поможет, так как в этом случае придется перенастраивать почтовые клиенты у всех "людей с ноутами" на этот самый порт Х.
2. Почитал доку на RX3042H и обзор железки на THG. Через веб-интерфейс это не сделать, может быть можно сделать через консоль, но нужно смотреть насколько полная функциональность у встроенного iptables. И можно ли добавлять свои команды в "автозагрузку", типа файлов post-boot и post-firewall у wl500gp.
А воспользоваться любой мониторилкой портов в процессе работы почтового клиента что не позволяет? Есть куча, не требующих установки.
Да позволяет, только сервак у меня сгорел, виртуалки на нём а у клиента экспериментировать не могу.
Тогда:
1. Открывать SMTP на конкретные серверы по заявкам, что будет довольно муторно.
2. Ограничивать кол-во исходящих SMTP подключений с одного адреса (одновременных, или штук в минуту, как получится сделать). При этом вири спамить будут, но не так активно.
Вкратце, типичный клиент это 5-10 компов, на одном-двух почтовики, остальные - веб-морда. Почтовик, обычно, это Outlook Express, за ним бабушка которую трудно на что-то пересадить. Поэтому почта нужна. Далее, шеф, которому почта нужна эпизодически и у которого ноут. Как правило, на момент первого прихода сеть сильно заражена.
Типично, на местах Symantec Antivirus, который вирей не ловит, но поставляется с компом. И "Одноклассники" обязательно. И интернет расшарен через чей-нибудь комп. И mail.ru
Что делается: чистится от вирей, часто вручную, наблюдая трафик, меняются антивирусы, ставится железка и т.д. Тут порты можно не прокидывать, а просто закрыть 25-й порт и mail.ru переключить на 587-й. Далее всё работает без изысков и обходится клиенту в 2-3 тыс в мес.
А вот следующий этап - комбинация нескольких контор и шефа.
Главная контора - арендодатель для других и сама ведает локалкой и шлюзом. Модем adsl стоит как bridge и за ним поднимаются PPPoE-соединения под одним логином/паролем от каждой субконторы. В этом случае часть может наблюдаться, а часть нет. Самое забавное что локальная подсеть для всех общая. Вот появилась пара таких, и теперь наблюдаемые бы работали, да ненаблюдаемые спамят. И админы у них есть :eek:
Вот тут и возникает мысль поднять PPPoE на одной "главной" железке и сделать port-forwarding, вторым эшелоном поставить железки попроще - изолировать подсети - да вывесить объявление "почта должна уходить на порт №XXX".
Шефу можно для его адреса ограничить количество исходящих соединений. И прописать исключениe. А port-forwarding в этом случае тоже замечательно помогает, потому что о появлении шефа станет ясно из звонка "почему у меня почта не уходит!" :) .
Но возникает (я понимаю, глупый) вопрос. Вроде элементарно делающаяся в большом Linux вещь на железках отсутствует в принципе. Т.е. например D-Link её декларирует, но "в следующих прошивках". Мы уже покупали так DIR-100. Типа возможность есть, а на деле "ждите". В Asus я понимаю что тоже вроде бы нет. Значит, это или а) ненужная или б) элементарно делающаяся другим путём функция.
Потому и спрашиваю, есть ли такая железка, потому что брать на тест всё подряд возможности нет, а брать деньги за некачественно решённую задачу - не приемлемо.
Или, если как-то можно скомбинировать из других правил, то как?
3. Возможно есть ещё варианты.
Наверное, но в голову что-то не приходит. Linux-сервер не хочется городить... Лимит денег 3000-3500р. Лимит времени практически отсутствует.
Именно поэтому возникла мысль что можно делать как-то "в одну сторону", используя правила наборов "virtual server" и "port mapping"(терминология D-Link) парами. Хотя теоретически вроде бы нельзя, и на практике конечно не работает, но и Windows с CD теоретически загрузить нельзя...
P.S. Извините, конечно, но вспомнил в Linux-форуме человек искал программу "как Nero ImageDrive" чтобы монтировать CD, и никто не мог объяснить ему "mount /mnt/image_cd.iso /mnt/iso -o loop". Т.е. вопрос решается элементарно другим способом, оттого и программы нет. Можете дать простой набор правил, чтобы выполнить этот самый port-forwarding? Или иной примитивный способ? Будете в Подольске - пиво за мной :)
P.P.S. Сорри за длинное сообщение...
Возможно ли с помощью ssh туннелей редиректить upd пакеты?..
Очень нужно )
http://faqs.org.ru/softw/inetsoft/ssh_faq2.htm
п.п. 4.6
Ну собрал допустим, даже запустил эту проксю на роутере. Толку-то!
Там же нету клиента под венду... каким боком як ней прицеплюсь?
Ну собрал допустим, даже запустил эту проксю на роутере. Толку-то!
Там же нету клиента под венду... каким боком як ней прицеплюсь?
Какуб проксю?!?! :eek:
ftp://ftp.tu-chemnitz.de/pub/Local/informatik/sec_rpc/
или что там это есть.
Не понимаю, каким боком это с ssh соединить... :eek:
Уже перерыл кучу форумов, но пока что ничего не получается.
При попытке подключиться ко многим серверам в IRC по DCC получаю следющее сообщение:
This server is using an alternate server method, please make sure your DCC Server is active and set to port 6060. /dccserver +sc on 6060. If you're using RDCC, this port may be blocked.
Очевидно, что проблема с порт-форвардингом через роутер. Я даже проверил и подключил кабель интернета напрямую - все работало. Но вот настроить порт-форвардинг почему-то не получается. Во вложении скрин настроек Virtual Server.
Вроде все правильно (не смотрите, что я каждый порт для DCC отдельно прописал - это я уже начал експерементировать методом тыка, обычный рендж тоже не работает).
Самое интересное что порт 113 для IdentD форвардится без проблем, а вот с этим не понятно что.... Ясен пень сам порт DCC сервера на 6060 выставил. Unmasking хоста тоже сделан - не помогает...
Проверьте, что у вас:
1) комп всегда получает адрес 192.168.1.168 (т.е. он либо статический, либо по DHCP с привязкой к MAC);
2) политика разрешает прохождение перенаправляемых пакетов (страница Internet Firewall - WAN & LAN Filter, секция WAN to LAN Filter, поле Port Forwarding default policy: - должно быть ACCEPT).
в веб-оболочке в разделе Status & Log - Port Forwarding
вижу такое:
Destination Proto. Port Range Redirect to
all UDP 10212 192.168.125.103
all TCP 10202 192.168.125.103
10.10.23.121 TCP 4762 192.168.125.103
10.10.23.121 UDP 4662 192.168.125.103
никак не могу найти где это прописывается, в iptables --list такого нет. в /tmp/nat_rules тоже таких правил нет. подскажите откуда "это" читает такие настройки? спасибо
Serhio_61
31-12-2008, 22:15
Из цепочки Input
iptables -L
В NAT Setting - Virtual Server, полагаю, вы смотрели. Быть может, это UPnP так работает? А команда
iptables -L -nv -t nat
тоже ничего интересного не показывает?
AndreyZP87
09-11-2009, 22:31
В общем такая проблема:
Какое-то время после загрузки все ОК - utorrent на компе работает нормально, порт открыт, аналогично работает lighttpd, доступен из внешнего инета.
Через какое-то время порт торрента закрывается, а веб сервер на lighttpd пропадает.
Перепробовал несколько вариантов прописывания портов в /usr/local/sbin/post-firewall, открывания их в веб-морде на вкладках Virtual server Wan-to-Lan Filter.
В связи с этим три вопроса:
1) как правильнее настроить фаервол для lighttpd (веб-морда Wan-to-Lan Filter или ipconfig, или и то и другое вместе?)
2) нужно ли в Virtual server добавлять проброс на 192.168.1.1 (адрес роутера в LAN)
3) какой вариант содержимого /usr/local/sbin/post-firewall лучше для lighttpd?
#! /bin/sh
# set default policy
iptables -P INPUT DROP
# remove last default rule
iptables -D INPUT -j DROP
iptables -A INPUT -p tcp --syn --dport 81 -j ACCEPT
#! /bin/sh
iptables -I INPUT -p tcp --dport 81 -j ACCEPT
#! /bin/sh
iptables -A INPUT -p tcp -m tcp --dport 81 -j ACCEPT
Или лучше предложите реально работающий вариант ;)
Если это поможет, то у меня Dir-320 прошитый WL500gpv2-1.9.2.7-d-r740 и настроенный по инструкции http://wl500g.info/showthread.php?t=18096
Сравните вывод ps до "закрытия портов" и после.
Оба результата сюда.
У Вас скорее всего из-за нехватки памяти вышибает процессы, либо роутер от нагрузки подвисает (инет при этом может и работать).
AndreyZP87
09-11-2009, 23:28
Хотя вот что странно - свободная память есть всегда, тем более своп примонтирован 128 Мб...
AndreyZP87
10-11-2009, 10:02
Судя по всемму проблема в Internet Firewall. Я его выключил, и все стало ОК. Тогда вопрос - как правильно добавить правила в Wan-to-Lan filter?
Кто-то говорит заполнять только один Port Range, кто-то что оба, а кто-то что и Destination IP. Или лучше прописать все в post-firewall?
На всякий случай вот список процессов до и после.
Друзья, просветите - можно ли (и будет ли работать) указать диапазон адресов в Port Forwarding? Если да, то как правильно ? (какой разделитель).
====
почему спрашиваю - пробую для PASSIVE FTP задать диапазон адресов
55536:55663 (разделитель ":")
Не работает...
ASUS WL-500W
Synology DS407
Корбина (ныне Билайн) Москва
Владимир.
Это называется диапазон портов. Задать можно через двоеточие, всё правильно. Только нужно иметь в виду, что Local Port в этом случае заполнять не следует.
Например
Port Range Local IP Local Port Protocol Protocol No. Description
55536:55663 192.168.1.3 TCP ftp passive
Ещё надо не забыть выставить Internet Firewall - WAN & LAN Filter :: WAN to LAN Filter :: Port Forwarding default policy: ACCEPT.
Упс.. заработался чот-то совсем, конечно же портов.
Спасибо большое, буду дома пробовать.
у меня в этой прошивке не дает вводить шест значные цифри портов... пришлось для passive ftp ставить 6640:6666 :)
у меня в этой прошивке не дает вводить шест значные цифри портов... Если учесть, что максимально возможный номер порта 65535, то было бы странным , если бы прошивка позволяля бы задавать шести-значные номера :D
dracula1985
21-01-2010, 17:04
Замучился уже. Короче фишка следующая. установил OpenWRT прошивку. Хочу через вебморду поставить переброс портов. Там есть такие поля
Name имя
Protocol Both
Source IP 93.ххх.ххх.ххх (внешний апишник, белый)
Destination Port 4899
To IP Address 192.168.1.5 (сервачек в моей сети домашней)
To Port 4899
Так вот пробовал добавлять через эту форму поля, не хрена не работает, какой бы порт не перенаправлял, со стандартной прошивкой была все работало. С инета доступен почему то только один 22 порт. Пробовал открывать и как тут в некоторых темах через консоль, не помогло, может что с файрволом нето. Не укого не случалось такой проблемы. А то прошил этой прошивой вроде ничего так все устаивает, а вот эта шняга не работает.
Да и еще вопросик, как прошить .nas прошивкой например через утилиту асусовскую по восстановлению, а то пробывал как написано, тоесть жал на ресторе и втыкал кабель, при этом на компе прописывал в ручную апишник, но утилита не видит роутер. просто если не получится здесь настроить переброс портов хотелось бы обратно вернуться,а не получается. Получается прошивать только через tftp прошивки .trx
Beastsnc
23-01-2010, 12:57
Добрый день.
Помогите разобраться, почему не получается перенаправить порт TCP 80?
Хочу веб сервер, находящийся за NAT, сделать доступным из внешней сети, а не получается :( Задал параметры Virtual Server, в Forwarding листе этот форворд есть, но все равно не работает. Причем если сервер поднимать на другом порту, после 1000, и открывать соответствующий порт в NAT, то все отлично. Может, там какую галку где поставить или что еще поднастроить надо?
Заранее спасибо.
burning shadow
30-01-2010, 11:56
Имеется роутер WL-500W, была прошивка 1.9.2.7-10 от Олега, поставил 1.9.2.7-d-r1087 на всякий случай, но все равно не работает port forwarding. Роутер пингуется по внешнему IP. На странице статуса видно следующее:
Destination Proto. Port Range Redirect to
all TCP 24554 192.168.0.1
all TCP 22 192.168.0.1
all TCP 80 192.168.0.1
192.168.0.1 - адрес сервера в локальной сети, адрес роутера - 192.168.0.200.
Подозреваю, что проблема в том, как провайдер предоставляет внешний IP. У роутера есть только внутренний IP локальной сети, а внешний работает через NAT. То есть роутер ничего не знает о внешнем IP, но пакеты на этот внешний IP приходят в роутер. Подозреваю, провайдер не запаривается на тему изменения dest ip в заголовке пакетов, что может смущать роутер. Вопрос, как с этим бороться?
burning shadow
30-01-2010, 13:03
Похоже, проблема не в этом. Попросил техсуппорт зайти на пробрасываемый порт через локальный IP роутера (10.x.x.x), и все равно глухо как в танке. Форвардинг работает только из LAN за роутером (192.168.0.x). В чем проблема может быть? Ничего не понимаю. Думал что на стороне провайдера какая-то проблема, подключил кабель напрямую в ноут - все работает, на любой порт можно подключиться по внешнему IP.
burning shadow
30-01-2010, 13:12
На всякий случай, конфигурация такая:
Static IP
IP: 10.44.15.129
Mask: 255.255.255.0
GW: 10.44.15.3
Никаких других настроек нет. Никакого PPPoE, VPN, и т.п.
Покажите результат выполнения команд (на роутере)
iptables-save
ifconfig -a
route -n
burning shadow
30-01-2010, 23:12
[Удалил результаты выполнения команд]
1. Возможно, ваш ноутбук получает другой айпи, когда подключается к роутеру по wi-fi.
2. Я вижу, у вас проброшено 2 порта: 22/tcp и 80/tcp. Можно попробовать отследить пакеты tcpdump'ом. Если у вас всё ещё прошивка 1.9.2.7-d-r..., то вам нужно скачать tcpdump отсюда (http://code.google.com/p/wl500g/downloads/list?q=tcpdump) на роутер (или на флешку, подключенную к роутеру) и распаковать. Если прошивка от Олега, то он там уже есть.
Далее в одном окне запускаете ловлю пакетов на внешнем интерфейсе:
tcpdump -npevtttt -i eth1 -s 0 'tcp port 80'
а в другом окне - на внутреннем:
tcpdump -npevtttt -i br0 -s 0 'tcp port 80'
Теперь надо, чтобы кто-то зашёл по внешнему адресу на порт 80. После этого ловлю пакетов можно остановить (Ctrl+C) и изучить результаты (или показать их здесь для общего изучения).
burning shadow
31-01-2010, 00:06
1. Возможно, ваш ноутбук получает другой айпи, когда подключается к роутеру по wi-fi.
Ноутбук не причем, 192.168.0.1 - сервер, IP прописан статический. Более того, порт форвардинг работает, если из LAN попробовать зайти на пробрасываемый порт на внутреннем IP роутера (10.44.15.129). Т.е. с моего ноута, подключенного к роутеру, я могу сказать telnet 10.44.15.129 80 и попаду на 192.168.0.1:80 без проблем. А вот из WAN то же самое не проходит. Такое ощущение, что роутер не умеет делать порт форвардинг для статического соединения. Что-то похожее уже видел в топике про корбину и статический IP.
2. Я вижу, у вас проброшено 2 порта: 22/tcp и 80/tcp. Можно попробовать отследить пакеты tcpdump'ом. Если у вас всё ещё прошивка 1.9.2.7-d-r..., то вам нужно скачать tcpdump отсюда (http://code.google.com/p/wl500g/downloads/list?q=tcpdump) на роутер (или на флешку, подключенную к роутеру) и распаковать. Если прошивка от Олега, то он там уже есть.
Далее в одном окне запускаете ловлю пакетов на внешнем интерфейсе:
tcpdump -npevtttt -i eth1 -s 0 'tcp port 80'
а в другом окне - на внутреннем:
tcpdump -npevtttt -i br0 -s 0 'tcp port 80'
Теперь надо, чтобы кто-то зашёл по внешнему адресу на порт 80. После этого ловлю пакетов можно остановить (Ctrl+C) и изучить результаты (или показать их здесь для общего изучения).
Надо будет попробовать, я уже залил официальную 3.0.0.9, и с ней точно такая же проблема. Я в шоке, если честно.
burning shadow
31-01-2010, 00:21
Кстати, в официальной прошивке на странице Status & Log / Port Forwarding почему-то не отображено ни одного форварда, хотя в Virtual Server они прописаны.
burning shadow
31-01-2010, 00:36
Новые подробности. Посмотрел в логе файрволла на сервере, пакеты до него доходят. Следовательно, пакеты дропаются на пути обратно. Осталось выяснить, где и почему.
Edit: Выяснил. Посыпаю голову пеплом. Я тупой дятел. Сервер пытался отвечать через другой гейт, поэтому и не работало ничего. Прошу прощения, тему можно закрывать.
Sergey1223
14-03-2010, 02:37
Пользуюсь D-Link DIR-320 с прошивкой Олега 1.9.2.7-10.7. В плане доступа в Интернет все устраивает, но вот возникла необходимость дать доступ снаружи к серверу с WS2003 и IIS в домашней сети, и эта проблема ставит меня в тупик. В локалке стартовая страница открывается. С доступом снаружи вроде тоже все очевидно: стоит DynDNS Updater, из Интернета myserver.dyndns.org пингуется. Но только не 80-й порт.
Итак, на роутере в NAT Settings - Virtual Server указано:
Port Range: 80
Local IP: 192.168.0.130 (айпишник сервера в локалке)
Protocol: Both
Раньше WS2003 стоял с фиксированным айпишником, следуя советам на форуме, поменял его на динамический, а присвоение IP повесил на роутер.
При попытке зайти на myserver.dyndns.org снаружи получаю тайм-аут. В логе роутера получаю следующее:
Mar 14 03:09:58 dnsmasq[73]: DHCPINFORM(br0) 192.168.0.106 00:1b:77:9a:90:46
Mar 14 03:09:58 dnsmasq[73]: DHCPACK(br0) 192.168.0.106 00:1b:77:9a:90:46 FS
И никак не могу понять, в чем затык? Объясните плиз нубу...
Port Range: 80
Local IP: 192.168.0.130 (айпишник сервера в локалке)
Protocol: Both
Ммм... Local port тоже в 80. Ip у сервера указан вручную или роутер автоматически выдаёт?
Mar 14 03:09:58 dnsmasq[73]: DHCPINFORM(br0) 192.168.0.106 00:1b:77:9a:90:46
Mar 14 03:09:58 dnsmasq[73]: DHCPACK(br0) 192.168.0.106 00:1b:77:9a:90:46 FS
Это вообще не понятно при чем тут. Если 00:1b:77:9a:90:46 - это веб сервер, то надо либо вручную на веб сервере ip выставить, либо в IP-Conig >> DHCP Server указать вручную какой ip выдавать серверу.
Раньше WS2003 стоял с фиксированным айпишником, следуя советам на форуме, поменял его на динамический, а присвоение IP повесил на роутер.
А вы проверили, что сервер теперь получает айпи 192.168.0.130?
Проверьте ещё, чтоб было выставлено:
NAT Setting - Virtual Server :: Enable Virtual Server? Yes (ну мало ли :)
Internet Firewall - WAN & LAN Filter :: WAN to LAN Filter :: Port Forwarding default policy: ACCEPT
И ещё: запросы может блокировать провайдер. У некоторых провайдеров это даже настраивается.
Sergey1223
16-03-2010, 08:06
Ммм... Local port тоже в 80. Ip у сервера указан вручную или роутер автоматически выдаёт?
Это вообще не понятно при чем тут. Если 00:1b:77:9a:90:46 - это веб сервер, то надо либо вручную на веб сервере ip выставить, либо в IP-Conig >> DHCP Server указать вручную какой ip выдавать серверу.
Local Port выставлял, IP серверу выдавал и вручную на нем же, и роутером - безрезультатно (((
MAC я неправильный привел, да - он выдавался раб. станции.
Sergey1223
16-03-2010, 08:10
А вы проверили, что сервер теперь получает айпи 192.168.0.130?
Проверьте ещё, чтоб было выставлено:
NAT Setting - Virtual Server :: Enable Virtual Server? Yes (ну мало ли :)
Internet Firewall - WAN & LAN Filter :: WAN to LAN Filter :: Port Forwarding default policy: ACCEPT
И ещё: запросы может блокировать провайдер. У некоторых провайдеров это даже настраивается.
Да, у сервера IP этот самый.
NAT Setting - Virtual Server :: Enable Virtual Server? Yes - так и было.
Internet Firewall - WAN & LAN Filter :: WAN to LAN Filter :: Port Forwarding default policy: ACCEPT - делала, даже WAN to LAN Filter пытался отключать - ничего не изменилось.
Провайдер - КорбиноБилайн - его брандмауэр отключил. Результат - пока 0, продолжаю бороться.
Sergey1223
16-03-2010, 08:42
А вы проверили, что сервер теперь получает айпи 192.168.0.130?
Проверьте ещё, чтоб было выставлено:
NAT Setting - Virtual Server :: Enable Virtual Server? Yes (ну мало ли :)
Internet Firewall - WAN & LAN Filter :: WAN to LAN Filter :: Port Forwarding default policy: ACCEPT
И ещё: запросы может блокировать провайдер. У некоторых провайдеров это даже настраивается.
Пробросил порт 8081 на 80-й сервера - и все получилось. Странно, почему не вышло пробросить 80-й на 80-й же...