PDA

Bekijk de volledige versie : Проблема с открытием и переадресацией портов на роутере



Fant1k
21-06-2012, 11:22
Добрый день.

Помогите пожалуйста.

Сеть с такой схемой
WAN ---> Asus RT-N16 (94.199.108.106)-Внешний статический; (192.168.1.10) внутренний ---> HUB ASUS GX 1008B ---> Ubuntu 12.04 LTS Server (192.168.1.222)

задача из WAN попасть напрямую к Убунту. ну например для ssh

NAT Settings выглядит так
9128


Вот так из WAN по адресу (94.199.108.106) не хочет подключаться,а из LAN подключается

Открыл доступ для ssh к самому роутеру
Подключается спокойно.

Firewall setting
9129

Вывод ipsettings-save

# Generated by iptables-save v1.4.3.2 on Thu Jun 21 09:20:02 2012
*nat
:PREROUTING ACCEPT [920:55581]
:POSTROUTING ACCEPT [91:12347]
:OUTPUT ACCEPT [91:13685]
:UPNP - [0:0]
:VSERVER - [0:0]
-A PREROUTING -d 94.199.108.106/32 -j VSERVER
-A PREROUTING -d 94.199.108.106/32 -p udp -m udp --sport 6112 -j NETMAP --to 192.168.1.0/24
-A POSTROUTING -s 192.168.1.0/24 -p udp -m udp --dport 6112 -j NETMAP --to 94.199.108.106/32
-A POSTROUTING ! -s 94.199.108.106/32 -o vlan2 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/24 -d 192.168.1.0/24 -o br0 -j MASQUERADE
-A UPNP -p udp -m udp --dport 21867 -j DNAT --to-destination 192.168.1.194:21867
-A UPNP -p tcp -m tcp --dport 21867 -j DNAT --to-destination 192.168.1.194:21867
-A VSERVER -p tcp -m tcp --dport 8182 -j DNAT --to-destination 192.168.1.10:80
-A VSERVER -j UPNP
-A VSERVER -p tcp -m tcp --dport 22222 -j DNAT --to-destination 192.168.1.222:22
COMMIT
# Completed on Thu Jun 21 09:20:02 2012
# Generated by iptables-save v1.4.3.2 on Thu Jun 21 09:20:02 2012
*mangle
:PREROUTING ACCEPT [2843:348715]
:INPUT ACCEPT [1986:300151]
:FORWARD ACCEPT [700:36482]
:OUTPUT ACCEPT [1994:1265747]
:POSTROUTING ACCEPT [2664:1301320]
COMMIT
# Completed on Thu Jun 21 09:20:02 2012
# Generated by iptables-save v1.4.3.2 on Thu Jun 21 09:20:02 2012
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [658:34530]
:OUTPUT ACCEPT [1900:1249353]
:BRUTE - [0:0]
:MACS - [0:0]
:SECURITY - [0:0]
:UPNP - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i br0 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i vlan2 -m conntrack --ctstate NEW -j SECURITY
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -d 192.168.1.10/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p udp -m udp --dport 33434:33534 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD ! -i br0 -o vlan2 -j DROP
-A FORWARD ! -i br0 -m conntrack --ctstate NEW -j SECURITY
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -o br0 -j DROP
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j DROP
-A UPNP -d 192.168.1.194/32 -p udp -m udp --dport 21867 -j ACCEPT
-A UPNP -d 192.168.1.194/32 -p tcp -m tcp --dport 21867 -j ACCEPT
-A logaccept -m conntrack --ctstate NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options --log-macdecode
-A logaccept -j ACCEPT
-A logdrop -m conntrack --ctstate NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options --log-macdecode
-A logdrop -j DROP
COMMIT
# Completed on Thu Jun 21 09:20:02 2012

TReX
21-06-2012, 11:28
Добрый день.

Помогите пожалуйста.

Сеть с такой схемой
WAN ---> Asus RT-N16 (94.199.108.106)-Внешний статический; (192.168.1.10) внутренний ---> HUB ASUS GX 1008B ---> Ubuntu 12.04 LTS Server (192.168.1.222)

задача из WAN попасть напрямую к Убунту. ну например для ssh

NAT Settings выглядит так


Настроенно все правильно, хорошо бы еще версию прошивки озвучить...

Fant1k
21-06-2012, 11:35
Настроенно все правильно, хорошо бы еще версию прошивки озвучить...

Сейчас прошивка 1.9.2.7-rtn-r4330
Я так же пробовал RT-N16-1.9.2.7-rtn-r3702
И последнюю с сайта Асуса RT-N16_3.0.0.3_108

don-pedro
21-06-2012, 11:57
Может быть
iptables -I INPUT -p tcp --dport 22222 -j ACCEPT ?

Fant1k
21-06-2012, 12:22
Может быть
iptables -I INPUT -p tcp --dport 22222 -j ACCEPT ?

Неа...фак ю говорит. может какие то галки где то еще надо ткнуть?
Я как бы просто загрузил прошивку и в NAT полез, больше вроде ничего не тыка.

don-pedro
21-06-2012, 14:05
Неа...фак ю говорит.
Странно. Мне не говорит.
Я реальную строку из post-firewall копипастнул, порт только поменял.


может какие то галки где то еще надо ткнуть?
Можно firewall отключить.

TReX
21-06-2012, 16:49
Может еще какие данные вывести?

В чем еще трабл может быть?

А полный сброс при сменах прошивки с настройкой ручками делали? )

Fant1k
21-06-2012, 17:55
Может еще какие данные вывести? В чем еще трабл может быть?


А полный сброс при сменах прошивки с настройкой ручками делали? )
В смысле Factory Default - > Restore жмакнуть? Нет, не жмакал...щас попробую
опять не хочет...я прям не знаю, что и делать

Можт там маска сети не та, почему он в сеть то не пускает?
А внутри самой сети по внешнему пускает. Чудеса какие то...

staticroute
21-06-2012, 18:14
опять не хочет...я прям не знаю, что и делать

Можт там маска сети не та, почему он в сеть то не пускает?
А внутри самой сети по внешнему пускает. Чудеса какие то...

finish делали после добавления правила в NAT? Необходимо еще прописать в DHCP сервере static lease для конкретного компьютера, чтоб он получал один и тот же IP-адрес.

что выдает команда

iptables -t nat -L VSERVER -v
?

Fant1k
21-06-2012, 19:53
finish делали после добавления правила в NAT? Необходимо еще прописать в DHCP сервере static lease для конкретного компьютера, чтоб он получал один и тот же IP-адрес.
?
Finish - конечно. Сервер имеет статический IP, он прописан в interfaces на самом компьютере



что выдает команда

iptables -t nat -L VSERVER -v
?


Chain VSERVER (1 references)
pkts bytes target prot opt in out source destination
17 892 DNAT tcp -- any any anywhere anywhere tcp dpt:webcache to:192.168.1.10:80
354 56972 UPNP all -- any any anywhere anywhere
1 48 DNAT tcp -- any any anywhere anywhere

staticroute
21-06-2012, 20:02
Finish - конечно. Сервер имеет статический IP, он прописан в interfaces на самом компьютере




Chain VSERVER (1 references)
pkts bytes target prot opt in out source destination
17 892 DNAT tcp -- any any anywhere anywhere tcp dpt:webcache to:192.168.1.10:80
354 56972 UPNP all -- any any anywhere anywhere
1 48 DNAT tcp -- any any anywhere anywhere

У вас нету правила для ssh


iptables -t nat -I VSERVER -p tcp --dport 22222 -j DNAT --to-destination 192.168.1.222:22

вообще должно это все записываться, если есть правило в web-интерфейсе.

попробуйте сбросить девайс, перешить в последнюю прошивку и повторить то же, что делали в веб-интерфейсе.

Fant1k
21-06-2012, 20:08
У вас нету правила для ssh


iptables -t nat -I VSERVER -p tcp --dport 22222 -j DNAT --to-destination 192.168.1.222:22

вообще должно это все записываться, если есть правило в web-интерфейсе.

попробуйте сбросить девайс, перешить в последнюю прошивку и повторить то же, что делали в веб-интерфейсе.

Да это уже 4ая перепрошивка.
У меня оказывается уже было такое правило.
Теперь их 2 )

# Generated by iptables-save v1.4.3.2 on Thu Jun 21 18:06:48 2012
*nat
:PREROUTING ACCEPT [465:39245]
:POSTROUTING ACCEPT [73:6994]
:OUTPUT ACCEPT [76:8222]
:UPNP - [0:0]
:VSERVER - [0:0]
-A PREROUTING -d 94.199.108.106/32 -j VSERVER
-A POSTROUTING ! -s 94.199.108.106/32 -o vlan2 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/24 -d 192.168.1.0/24 -o br0 -j MASQUERADE
-A VSERVER -p tcp -m tcp --dport 22222 -j DNAT --to-destination 192.168.1.222:22
-A VSERVER -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.1.10:80
-A VSERVER -j UPNP
-A VSERVER -p tcp -m tcp --dport 22222 -j DNAT --to-destination 192.168.1.222:22
COMMIT
# Completed on Thu Jun 21 18:06:48 2012
# Generated by iptables-save v1.4.3.2 on Thu Jun 21 18:06:48 2012
*mangle
:PREROUTING ACCEPT [1292:116273]
:INPUT ACCEPT [920:91646]
:FORWARD ACCEPT [301:13790]
:OUTPUT ACCEPT [1210:1217885]
:POSTROUTING ACCEPT [1505:1231185]
COMMIT
# Completed on Thu Jun 21 18:06:48 2012
# Generated by iptables-save v1.4.3.2 on Thu Jun 21 18:06:48 2012
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [278:12728]
:OUTPUT ACCEPT [1199:1216550]
:BRUTE - [0:0]
:MACS - [0:0]
:SECURITY - [0:0]
:UPNP - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i br0 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -d 224.0.0.0/4 -p igmp -j ACCEPT
-A INPUT -d 224.0.0.0/4 -p udp -m udp ! --dport 1900 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -d 192.168.1.10/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p udp -m udp --dport 33434:33534 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 515 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 9100 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3838 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -d 224.0.0.0/4 -p udp -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD ! -i br0 -o vlan2 -j DROP
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -o br0 -j DROP
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j DROP
-A logaccept -m conntrack --ctstate NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options --log-macdecode
-A logaccept -j ACCEPT
-A logdrop -m conntrack --ctstate NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options --log-macdecode
-A logdrop -j DROP
COMMIT
# Completed on Thu Jun 21 18:06:48 2012

staticroute
21-06-2012, 20:09
Да это уже 4ая перепрошивка.
У меня оказывается уже было такое правило.
Теперь их 2 )

# Generated by iptables-save v1.4.3.2 on Thu Jun 21 18:06:48 2012
*nat
:PREROUTING ACCEPT [465:39245]
:POSTROUTING ACCEPT [73:6994]
:OUTPUT ACCEPT [76:8222]
:UPNP - [0:0]
:VSERVER - [0:0]
-A PREROUTING -d 94.199.108.106/32 -j VSERVER
-A POSTROUTING ! -s 94.199.108.106/32 -o vlan2 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/24 -d 192.168.1.0/24 -o br0 -j MASQUERADE
-A VSERVER -p tcp -m tcp --dport 22222 -j DNAT --to-destination 192.168.1.222:22
-A VSERVER -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.1.10:80
-A VSERVER -j UPNP
-A VSERVER -p tcp -m tcp --dport 22222 -j DNAT --to-destination 192.168.1.222:22
COMMIT
# Completed on Thu Jun 21 18:06:48 2012
# Generated by iptables-save v1.4.3.2 on Thu Jun 21 18:06:48 2012
*mangle
:PREROUTING ACCEPT [1292:116273]
:INPUT ACCEPT [920:91646]
:FORWARD ACCEPT [301:13790]
:OUTPUT ACCEPT [1210:1217885]
:POSTROUTING ACCEPT [1505:1231185]
COMMIT
# Completed on Thu Jun 21 18:06:48 2012
# Generated by iptables-save v1.4.3.2 on Thu Jun 21 18:06:48 2012
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [278:12728]
:OUTPUT ACCEPT [1199:1216550]
:BRUTE - [0:0]
:MACS - [0:0]
:SECURITY - [0:0]
:UPNP - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i br0 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -d 224.0.0.0/4 -p igmp -j ACCEPT
-A INPUT -d 224.0.0.0/4 -p udp -m udp ! --dport 1900 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -d 192.168.1.10/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p udp -m udp --dport 33434:33534 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 515 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 9100 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3838 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -d 224.0.0.0/4 -p udp -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD ! -i br0 -o vlan2 -j DROP
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -o br0 -j DROP
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j DROP
-A logaccept -m conntrack --ctstate NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options --log-macdecode
-A logaccept -j ACCEPT
-A logdrop -m conntrack --ctstate NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options --log-macdecode
-A logdrop -j DROP
COMMIT
# Completed on Thu Jun 21 18:06:48 2012


Эмм, а как же оно есть, если его в iptables -t nat -L VSERVER -v выводе нету?

Вручную добавьте правило из консоли и посмотрите появилось оно там или нет, должно заработать.

Fant1k
22-06-2012, 14:32
Эмм, а как же оно есть, если его в iptables -t nat -L VSERVER -v выводе нету?

Вручную добавьте правило из консоли и посмотрите появилось оно там или нет, должно заработать.

Еще раз через ВЕБ проверил ...вот есть оказывается...и 2 раза теперь уже


Chain VSERVER (1 references)
target prot opt source destination
DNAT tcp -- anywhere anywhere tcp dpt:22222 to:192.168.1.222:22
DNAT tcp -- anywhere anywhere tcp dpt:webcache to:192.168.1.10:80
UPNP all -- anywhere anywhere
DNAT tcp -- anywhere anywhere tcp dpt:22222 to:192.168.1.222:22


Люди, есть у кого какие мысли?

MercuryV
23-06-2012, 00:33
WAN ---> Asus RT-N16 (94.199.108.106)-Внешний статический; (192.168.1.10) внутренний ---> HUB ASUS GX 1008B ---> Ubuntu 12.04 LTS Server (192.168.1.222)

задача из WAN попасть напрямую к Убунту. ну например для ssh
Вот так из WAN по адресу (94.199.108.106) не хочет подключаться,а из LAN подключается



Люди, есть у кого какие мысли?

Перед тем, как анализировать iptables, я бы проверил сначала тривиальные вещи:
1) демон sshd на 192.168.1.222 случаем не ограничен ли приемом соединений только из локальной сети?
2) возвращаясь к теме топика, если прокинуть ssh-туннель на 192.168.1.222:22, то какой будет результат?
3) если отвлечься от ssh, к чему либо еще на 192.168.1.222 из WAN через функционал Virtual Server роутера подключиться удавалось?
4) если изьять временно (мало ли) HUB ASUS GX 1008B и подключить компьютер напрямую, что-либо изменится?

Fant1k
23-06-2012, 19:48
Перед тем, как анализировать iptables, я бы проверил сначала тривиальные вещи:
1) демон sshd на 192.168.1.222 случаем не ограничен ли приемом соединений только из локальной сети?

Сервер же отвечает, если к нему подключаться по внешнему адресу через роутер. Только правда при условии, что подключаешься из локалки.
Я честно говоря не понимаю - почему через такую "петлю" идет соединение, а как только вытаскиваешь шнурок, подключаешься через телефон или из дома - не подключается.


2) возвращаясь к теме топика, если прокинуть ssh-туннель на 192.168.1.222:22, то какой будет результат?

Эмм...если так подключаться, то он подключится к ssh роутера. Если прокинуть порт 22, до 22 порта на локальный адресс, то опять же - фиг.


3) если отвлечься от ssh, к чему либо еще на 192.168.1.222 из WAN через функционал Virtual Server роутера подключиться удавалось?

На сервере так же работает HTTP Server, результат тот же.


4) если изьять временно (мало ли) HUB ASUS GX 1008B и подключить компьютер напрямую, что-либо изменится?
Попробую в понедельник.

MercuryV
23-06-2012, 22:43
Сервер же отвечает, если к нему подключаться по внешнему адресу через роутер. Только правда при условии, что подключаешься из локалки.
Я честно говоря не понимаю - почему через такую "петлю" идет соединение, а как только вытаскиваешь шнурок, подключаешься через телефон или из дома - не подключается.
Кажется, "стало теплее". Предположу, что используется OpenSSH, как штатный в Ubuntu.
В конфиг /etc/ssh/sshd_config вы заглядывали? Или только ставили эксперименты "соединится - не соединится" ?
Далее, когда вы подключаетесь из локальной сети "по внешнему адресу", для ssh сервера это всё равно подключение из локальной сети.
Проверить это можно, обратившись к логу /var/log/auth.log При успешном подключении там будут записи вида

sshd[14937]: Accepted password for username from 192.168.1.2 port 49230 ssh2
т.е. видно, откуда пришел запрос на подключение.

Отмечу также, что расследуемая проблема для темы "Использование ssh-тунелей для ..." - оффтопик. Речь идет о пробросе портов на роутере, правилах iptables, теперь возможно добавится настройка SSH сервера на компьютере за роутером, но туннель через ssh-сервер на роутере никаким образом не задействован.

Fant1k
24-06-2012, 19:23
Кажется, "стало теплее". Предположу, что используется OpenSSH, как штатный в Ubuntu.
В конфиг /etc/ssh/sshd_config вы заглядывали? Или только ставили эксперименты "соединится - не соединится" ?
Далее, когда вы подключаетесь из локальной сети "по внешнему адресу", для ssh сервера это всё равно подключение из локальной сети.
Проверить это можно, обратившись к логу /var/log/auth.log При успешном подключении там будут записи вида

sshd[14937]: Accepted password for username from 192.168.1.2 port 49230 ssh2
т.е. видно, откуда пришел запрос на подключение.

Нет, конфиги я не смотрел. Только установил сервер и проверял на соединение. Обязательно гляну логи.

Честно говоря, у меня закрадывалась мысль, что с сервером что то не то, но не мог понять какая связь. Ведь я так понимаю для всего что в сети все и происходит как будто в сети, т.е. если я подключаюсь на внешний адрес, то до сервера все равно доходит внутренний адрес роутера, или не так?
И даже если не так, почему когда я в локалке захожу по внешнему адресу, то он его воспринимает? И почему если дело в ssh на стороне сервера, то почему и HTTP сервер не доступен? Так же конфиги апача править?

Пы.сы. я вообще свою тему создавал, но администрация перенесла сюда тему, за что им спасибо.
А вообще трудно правильно создать тему, если не понимаешь причину проблемы.

А конфиге sshd_config написано

# Package generated configuration file
# See the sshd_config(5) manpage for details

# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress

Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
Честно говоря не вижу ничего, что может препятствовать заходу на сервер. И логи


Jun 24 13:09:01 server CRON[8718]: pam_unix(cron:session): session opened for user root by (uid=0)
Jun 24 13:09:01 server CRON[8718]: pam_unix(cron:session): session closed for user root
Вот эти строчки повторяются в этом лог файле
Дата стоит, когда я последний раз заходил на сервер из консоли сервера, а не через ssh.
Через ssh заходил пару минут назад. Заходил как всегда - сначала на роутер, потом через ssh роутера на ssh сервера.

MercuryV
27-06-2012, 09:59
Теме up так как до сих пор актуально
Соболезную, но "Теме up" здесь не принято, особенно с вопросом не по теме :)
Если кто может ответить и, главное, захочет это сделать - ответит и так.
Теперь о проблеме
в файлах /etc/hosts.allow и /etc/hosts.deny что содержится на машине с SSH сервером?

Fant1k
27-06-2012, 10:05
Соболезную, но "Теме up" здесь не принято, особенно с вопросом не по теме :)
Если кто может ответить и, главное, захочет это сделать - ответит и так.
Теперь о проблеме
в файлах /etc/hosts.allow и /etc/hosts.deny что содержится на машине с SSH сервером?

Прошу прощения, но надо же было как то актуализировать тему. Можно было бы ерунду какую то написать, а смысл?


# /etc/hosts.allow: list of hosts that are allowed to access the system.
# See the manual pages hosts_access(5) and hosts_options(5).
#
# Example: ALL: LOCAL @some_netgroup
# ALL: .foobar.edu EXCEPT terminalserver.foobar.edu
#
# If you're going to protect the portmapper use the name "portmap" for the
# daemon name. Remember that you can only use the keyword "ALL" and IP
# addresses (NOT host or domain names) for the portmapper, as well as for
# rpc.mountd (the NFS mount daemon). See portmap(8) and rpc.mountd(8)
# for further information.
#






# /etc/hosts.deny: list of hosts that are _not_ allowed to access the system.
# See the manual pages hosts_access(5) and hosts_options(5).
#
# Example: ALL: some.host.name, .some.domain
# ALL EXCEPT in.fingerd: other.host.name, .other.domain
#
# If you're going to protect the portmapper use the name "portmap" for the
# daemon name. Remember that you can only use the keyword "ALL" and IP
# addresses (NOT host or domain names) for the portmapper, as well as for
# rpc.mountd (the NFS mount daemon). See portmap(8) and rpc.mountd(8)
# for further information.
#
# The PARANOID wildcard matches any host whose name does not match its
# address.
#
# You may wish to enable this to ensure any programs that don't
# validate looked up hostnames still leave understandable logs. In past
# versions of Debian this has been the default.
# ALL: PARANOID

staticroute
27-06-2012, 10:10
Прошу прощения, но надо же было как то актуализировать тему. Можно было бы ерунду какую то написать, а смысл?


# /etc/hosts.allow: list of hosts that are allowed to access the system.
# See the manual pages hosts_access(5) and hosts_options(5).
#
# Example: ALL: LOCAL @some_netgroup
# ALL: .foobar.edu EXCEPT terminalserver.foobar.edu
#
# If you're going to protect the portmapper use the name "portmap" for the
# daemon name. Remember that you can only use the keyword "ALL" and IP
# addresses (NOT host or domain names) for the portmapper, as well as for
# rpc.mountd (the NFS mount daemon). See portmap(8) and rpc.mountd(8)
# for further information.
#






# /etc/hosts.deny: list of hosts that are _not_ allowed to access the system.
# See the manual pages hosts_access(5) and hosts_options(5).
#
# Example: ALL: some.host.name, .some.domain
# ALL EXCEPT in.fingerd: other.host.name, .other.domain
#
# If you're going to protect the portmapper use the name "portmap" for the
# daemon name. Remember that you can only use the keyword "ALL" and IP
# addresses (NOT host or domain names) for the portmapper, as well as for
# rpc.mountd (the NFS mount daemon). See portmap(8) and rpc.mountd(8)
# for further information.
#
# The PARANOID wildcard matches any host whose name does not match its
# address.
#
# You may wish to enable this to ensure any programs that don't
# validate looked up hostnames still leave understandable logs. In past
# versions of Debian this has been the default.
# ALL: PARANOID


У вас интернет случаем не NAT ? (я имею ввиду провайдер дает выделенный IP, к которому можно подсоединится из внешки или нет?)

Fant1k
27-06-2012, 10:31
У вас интернет случаем не NAT ? (я имею ввиду провайдер дает выделенный IP, к которому можно подсоединится из внешки или нет?)

Да, выделяет ip. А что от этого зависит?
Да яж могу подсоединиться из дома по ssh к роутеру.
И на вэб морду тоже захожу.

staticroute
27-06-2012, 10:34
Да, выделяет ip. А что от этого зависит?
Да яж могу подсоединиться из дома по ssh к роутеру.
И на вэб морду тоже захожу.

значит должен и NAT срабатывать на комп, точно так же.

покажите еще раз

iptables -L -vn

iptables -t nat -L -vn

Fant1k
27-06-2012, 11:39
Всем спасибо за помощь.

Проблема решена. Автор решения Mercury. Проблема решена штатными способами без танцов с бубнами.

Автору большое спасибо.

staticroute
27-06-2012, 12:08
Всем спасибо за помощь.

Проблема решена. Автор решения Mercury. Проблема решена штатными способами без танцов с бубнами.

Автору большое спасибо.

в чем же в итоге была проблема? в том, что Ubuntu сервер был зафайрволлен я так понимаю?

MercuryV
27-06-2012, 12:11
в чем же в итоге была проблема? в том, что Ubuntu сервер был зафайрволлен?
Осталось тайной и гадать смысла не вижу. После сброса роутера в дефолт Virtual Server взлетел с первой попытки :)

Fant1k
27-06-2012, 14:26
в чем же в итоге была проблема? в том, что Ubuntu сервер был зафайрволлен я так понимаю?
Да не...какие файрволы...яж конфиги все уже показывал.

Блин. И я скидывал же этого гада и делал все то же самое...просто мистика какая то :mad:

LendLord
05-07-2012, 20:43
Здравствуйте, роутер asus wl500w раньше стояла официальная прошивка. Там было 3 поля в два прописывал порт и в 1 локальный ip.

Сейчас решил поставить ппрошивку WL500W-1.9.2.7-rtn-r4330 скачал отсюда http://code.google.com/p/wl500g/downloads/list. Все вроде работает, но в настройке виртуального сервера появилось новое поле "source ip". И вот сколько я не бился, так порт открыть и ну удалось.

Извиняюсь если вопрос уже обсуждался, но поиск ничего толком не дал...

MercuryV
05-07-2012, 21:01
Там было 3 поля в два прописывал порт и в 1 локальный ip.
...
появилось новое поле "source ip"
Source IP можете просто игнорировать (не заполнять).

Как искать по форуму (http://wl500g.info/showthread.php?2391-FAQ-%D7%E0%F1%F2%EE-%E7%E0%E4%E0%E2%E0%E5%EC%FB%E5-%E2%EE%EF%F0%EE%F1%FB&p=249332#post249332), пока не работает встроенный поиск.
Фразы для поиска: Virtual Server, Port forwarding

LendLord
05-07-2012, 21:16
пробовал не заполнять толку 0. Порт всеравно закрыт

MercuryV
05-07-2012, 21:22
LendLord, на этом форуме некоторая нехватка штатных телепатов.

tempik
05-07-2012, 21:30
пробовал не заполнять толку 0. Порт всеравно закрыт

VirtualServer не открывает порт ... Он служит для перенаправления обращений извне на внешний адрес роутера в локальную сеть (на конкретный адрес и порт за роутером)

MercuryV
05-07-2012, 21:33
VirtualServer не открывает порт ...
Но судя по вводной

Там было 3 поля в два прописывал порт и в 1 локальный ip.
делается именно перенаправление :)

tempik
05-07-2012, 21:37
Но судя по вводной

делается именно перенаправление :)

Я то понял :D Просто хотел чтоб и автор это понял ... И что разрешенный порт без сервиса на нем, все равно что закрытый порт ...

LendLord
05-07-2012, 21:43
так ладно. Тогда скажите как его открыть?
Если не в виртуальном сервере, где я его открывал раньше.

http://imageshack.us/photo/my-images/29/68808128.png/

tempik
05-07-2012, 21:49
так ладно. Тогда скажите как его открыть?
Если не в виртуальном сервере, где я его открывал раньше.
Чтобы получить нормальный ответ нужно задать нормальной вопрос ... Например: раньше я на вебсервер поднятый на машине за роутером по адресу ххх.ххх.ххх.хх порт 8888 перенаправлял вот так, а теперь не выходит ... вот вывод iptables-save ...

tempik
05-07-2012, 21:52
так ладно. Тогда скажите как его открыть?
Если не в виртуальном сервере, где я его открывал раньше.

http://imageshack.us/photo/my-images/29/68808128.png/

а на машине 192.168.1.3 на порту 54327 есть кому отвечать???

LendLord
05-07-2012, 21:55
спасибо=))) большое.
всё заработало=))

a.dyakov
20-06-2013, 09:32
Здравствуйте, не кидайте сильно камнями, но в линухах вообще ноль.
Есть pptp сервер находящийся за роутером, изнутри сети к нему подключаюсь нормально, снаружи не получается.
Прошил прошивкой WL500gpv2-1.9.2.7-10.trx
Прокинул TCP 1723
Прокинул Other Protocol No. 47

На другие сервисы порт форвардинг работает нормально, например, rdp TCP 3389

Подскажите пожалуйста куда глядеть, что читать или что показать?

a.dyakov
20-06-2013, 09:47
DNAT tcp -- anywhere anywhere tcp dpt:1723 to:192.168.15.200:1723
DNAT gre -- anywhere anywhere to:192.168.15.200
DNAT all -- anywhere anywhere to:192.168.15.200 #Добавил в DMZ


вот такие вот у себя строчки нашел

ildar
20-06-2013, 10:28
DNAT tcp -- anywhere anywhere tcp dpt:1723 to:192.168.15.200:1723
DNAT gre -- anywhere anywhere to:192.168.15.200
DNAT all -- anywhere anywhere to:192.168.15.200 #Добавил в DMZ


вот такие вот у себя строчки нашел

Возможно не правильно понял. Думаю не в DMZ надо, а NAT Setting - Virtual Server. Source IP - внешний IP, Local IP - IP куда хочешь подключится.

a.dyakov
20-06-2013, 12:06
Возможно не правильно понял. Думаю не в DMZ надо, а NAT Setting - Virtual Server. Source IP - внешний IP, Local IP - IP куда хочешь подключится.

добавления хоста в DMZ открывает все порты к нему

а в virtual server оно у меня тоже добавлено, о чем свидетельствуют записи
DNAT tcp -- anywhere anywhere tcp dpt:1723 to:192.168.15.200:1723
DNAT gre -- anywhere anywhere to:192.168.15.200


Все, извините, проблема была не в настройках роутера, а в настройках pptp сервера

dimzon541
19-08-2013, 13:08
Господа, у кого-нить работает проброс ДИАПАЗОНА портов? Мне например надо пробросить все порты (TCP/UDP) с 27000 по 27030 на 192.168.1.101. Судя по коду web-морды в поле "Port Range" можно ввести значение port1:port2 (указать диапазон портов), а вот в поле "Local Port" можно только одно число. Пробовал вносить в "port range" значение 27000:27030 а в "local port" 27000 - не работает (не пробрасывает).
Мне что, руками все 31 порта добавлять по одному???

прошивка от энтуазистов последняя...

TReX
19-08-2013, 18:29
Господа, у кого-нить работает проброс ДИАПАЗОНА портов? Мне например надо пробросить все порты (TCP/UDP) с 27000 по 27030 на 192.168.1.101. Судя по коду web-морды в поле "Port Range" можно ввести значение port1:port2 (указать диапазон портов), а вот в поле "Local Port" можно только одно число. Пробовал вносить в "port range" значение 27000:27030 а в "local port" 27000 - не работает (не пробрасывает).
Мне что, руками все 31 порта добавлять по одному???

прошивка от энтуазистов последняя...

)) а зачем прописывать local port? это не для того сделано )) просто пишите 27000:27030 и телемаркет ))

dimzon541
19-08-2013, 21:16
просто пишите 27000:27030 и телемаркет ))
большое челевеческое спасибо!

studio
20-04-2016, 14:20
Привет всем, если эту тему уже открывали, тогда прошу направить туда мой запрос.

Суть в следующем, я смотрю ТВ через роутер RT-N15U,
прошивка 1.9.2.7-rtn-r5644 ,
иногда происходят замирания и рассыпание картинки.

В поддержке ТВ сказали, что нужно открыть порт 8621,
он как-бы открыт, но проверка здесь:
https://2ip.ru/check-port/?port=8621

пишет, что порт закрыт.

Есть какая работающая инструкция, как правильно открыть порт,
либо воспользоваться какой-либо программой типа Simple Port Forwarding.

Что можете посоветовать ?

studio
28-04-2016, 13:13
Решил вопрос с открытием портов самым простым способом,
удалил прошивку
1.9.2.7-rtn-r5644
в которой данная функция не работает, и установил фабричную прошивку
FW_RT_N15U_30043763754.trx

После этого все заработало в три шага, картинки прикладываю:
1 - Устанавливаем порт на открытие
2 - Проверяем, что порт действительно открыт
3 - Делаем проверку скорости скачивания на любом файле,
обратите внимание, сейчас в клиенте светятся две зеленые лампочки доступно портов.

Тестовой просмотр картинки также не выявил дефектов на изображении.

Из субьективных ощущений, скорость скачивания немного меньше, чем было раньше,
поэтому, если кто может порекомендовать работающую прошивку с функцией переадресации портов,
напишите.


102291023010231

studio
05-05-2016, 07:24
Приветствую всех читателей этой темы.

Хочу поделиться своим опытом, как мне удалось решить проблему с открытием портов.

Порты требуется открывать по разной причине, в моем случае,
я смотрю телевизор через роутер, и если проблемы в канале связи, картинка начинает рассыпаться,
на ней появляются различные артефакты.

Так вот, в прошлый раз я рассказал, что я установил фабричную прошивку,
и порты вроде и открылись ...

Но меня продолжали терзать смутные сомнения ...
Самое главное - меня не оставляло ощущение, что скорость приема потока явно упала !

Начал искать альтернативные решения, перепробовал несколько вариантов,
исходя из того, что на роутерах ASUS порты можно гарантированно открыть на следующих прошивках:
(All Routers With DD-WRT v24 Firmware)
(All Routers With Gargoyle v1 Firmware)
(All Routers With OpenWRT Backfire Firmware)
(All Routers With Tomato v1 Firmware)
Asus - RT-N15 (Asus Firmware)

Стал проверять все эти варианты последовательно:

1 - DD-WRT
- на оф.сайте написано, что поддержка RT-N15U будет реализовано в будущем ...

2 - Gargoyle
- на оф.сайте явно не написано, что есть поддержка RT-N15U

3 - OpenWRT
- великолепный продукт, но минус сразу проявился, нет подключения к Интернету по протоколу L2TP

4 - Tomato
- установил последнюю прошивку Tomato Firmware 1.28.0000 MIPSR2-136 K26 USB BTgui-VPN,
выявилось 4 недостатка:
4.1 - Нет индикации активности портов на передней панели
4.2 - Неправильно показывает статус входящей линии Интернета "Status Disconnected" при наличии соединения
4.3 - Device Discovery не может найти роутер
4.4 - Порт не открывается https://2ip.ru/check-port/?port=8621 Порт закрыт

5 - Установил на пробу прошивку RT-N15U_3.0.0.4_376_2769-g1bb5fac-m7c-webkit.trx,
там единственно, что понравилось - статус портов с показом скоростей,
но порты тоже не открывает, таблица записей остается пустой

И наш ПОБЕДИТЕЛЬ !!!

Устанавливаю версию прошивки RT-N15U-1.9.2.7-rtn-r7440M-g736a62c.trx,
остальное показываю на картинках:

1 - Проверяем, что закачалась именно эта версия
Firmware-r7440.png
2 - Открываем порт для просмотра ТВ
Open-port-NAT-8621.png
3 - Проверяем открытие порта
Open-port-8621.png
4 - Делаем контрольное скачивание на том же самом файле из прошлого поста,
Speed-8621-14Mbs.png
обратите внимание, сейчас в клиенте светятся две зеленые лампочки доступно портов.
Тестовой просмотр картинки также не выявил дефектов на изображении.

Из показаний статистики, скорость скачивания намного выше, чем было раньше,
размер кадра для приема потока 16 Мб, а текущая скорость составляет 14Mbs !!!

Это абсолютный лидер в нашем экспромт-соревновании,
выражаю благодарность Автору прошивки, который при одинаковых исходных условиях
сумел достичь такого большого отрыва в скорости передачи!

Великолепная работа !!!