Ôëåøêà, ssh äîñòóï èç wan, ïðîáðîñ è îòêðûòèå ïîðòîâ èç web èíòåðôåéñà

Ïðèâåòñòâóþ!

Åñòü îñòðîå æåëàíèå çàëåçòü íà www-èíòåðôåéñ òîððåíòà ñíàðóæè. Ñèäèò íà ïîðòó 8081 è äîñòóï ñíàðóæè ïðèêðûò. Êðóòèòñÿ dropbear íà ïîðòó 2222, êîòîðûé îòêðûò äëÿ äîñòóïà ñíàðóæè.

Ïðî÷èòàë ïðî âîëøåáíóþ ôóíêöèþ ïðîáðîñà ïîðòîâ ÷åðåç SSH òóííåëü è ïîïûòàëñÿ ñäåëàòü ýòî.

Íàñòðîéêè èñïîëüçóþ ñëåäóþùèå:
ssh server: myasus.dyndns.org
ssh port: 2222
localport: 8081
server: 192.168.1.2 <ýòî àäðåñ èíòåðôåéñà ðîóòåðà, ñìîòðÿùåãî âíóòðü ëîêàëêè>
remoteport: 8081

 ðåçóëüòàòå, ïîñëå àâòîðèçàöèè è ïîäíÿòèÿ òóííåëÿ, êîãäà ïðîáóþ îáðàòèòñÿ ñ óäàëåííîé ìàøèíû íà åå ëîêàëüíûé ïîðò (http://localhost:8081), ïîëó÷àþ ïóñòóþ ñòðàíè÷êó. Åñëè òóííåëü íå ïîäíÿò - ïîëó÷àþ òàéìàóò.

×òî ÿ çàáûë ñäåëàòü?
Íóæíî íåêîå ñïåöèàëüíîå ïðàâèëî â iptables, ÷òîáû ôîðâàðäèòü òðàôôèê âûõîäÿùèé èç ssh-òóííåëÿ íà ïîðò 8081 ëîêàëüíîãî èíòåðôåéñà?
Àäðåñ êàêîãî èíòåðôåéñà óäàëåííîãî óçëà ñëåäóåò èñïîëüçîâàòü ïðè ïîäíÿòèè òóííåëÿ (192.168.1.2 èëè 127.0.0.1)?

×òî çà êëèåíò?

 Putty â ðàçäåëå Tunnels âáèâàåòå Source Port 8081, â Destination 192.168.1.2:8081 è íå çàáûâàåòå æàòü Add.

Êëèåíò Pocket Putty. Èìåííî òàê è âáèâàþ. Ïðîáîâàë åùå zaTunnel - òå æå ÿéöà.

Çàáûë óêàçàòü: óäàëåííàÿ ìàøèíà - ÊÏÊ íà Windows Mobile, èíåò ÷åðåç GPRS îò ÌÒÑ.

Ïîñòàâèë âìåñòî IE Îïåðó - ñòàëî èíòåðåñíåé!
Îïåðà êà÷àåò 7ÊÁ îò îáùåãî ðàçìåðà ñòðàíè÷êè è çàòûêàåòñÿ.  ýòîò ìîìåíò Pocket Putty ïàäàåò ñ îøèáêîé WSAEnumNetworkEvents(): SOCKET_ERROR è òóííåëü ðâåòñÿ.

Ñóäÿ ïî âñåìó, ãëþê ñïåöèôè÷åí äëÿ Windows Mobile è ê ðîóòåðó íå èìååò íèêàêîãî îòíîøåíèÿ.

IMHO, ìîæåò ïðîùå âìåñòî http ïîñòàâèòü https (SSL) è îòêðûòü åãî íàðóæó ? Ìíå êàæåòñÿ, ÷òî ïî óðîâíþ áåçîïàñíîñòè ýòî íå õóæå ssh òóííåëÿ.
Êàê íàñòðîèòü lighttpd ñ SSL íà ôîððóìå îïèñàíî ïîäðîáíî.
http://wl500g.info/showpost.php?p=47181&postcount=8
http://wl500g.info/showpost.php?p=47928&postcount=10
Åäèíñòâåííî, pocket IE ó ìåíÿ (wm2003se) íå ïîääåðæèâàåò àâòîðèçàöèþ htdigest, ïðèøëîñü èñïîëüçîâàòü plain/basic. Íî ýòî íå òàê êðèòè÷íî âíóòðè SSL, íàâåðíîå.

Äà, âûõîä. Íî âñå æå íå õîòåëîñü áû ïëîäèòü ïîðòû îòêðûòûå ñíàðóæè. :(

Добрый день форумчане, Олег!:)

При выборе перечитал рекомендации на сайте и отзывы от друзей которые уже имеют роутер Asus wl500g Premium.

У меня есть Asus wl500g Premium v.2, с прошивкой от Олега последней (...-10). Настроил DHCP, настроил PPTP, по описаниям на сайте поднял ssh демона. Все как бы работает для работы в интернете хватает. Но сейчас мне нужно открыть доступ к роутеру из интернета по ssh так чтобы можно было клиентом из инета конектится, например, <мой IP>:443, а попадать на <мой IP роутера внутренний>:22, т.е. с пробросом порта во внутрь.
Как это сделать, и, можно ли это сделать через Web интерфейс, до сих пор у меня не получилось это сделать так чтоб работало?
Еще мне требуется открыть с пробросом во внутрь таким же способом через Web интерфейс еще несколько портов для некоторых мне необходимых сервисов, например, ftp (т.е. чтобы они были доступны из интернета, чтоб роутер при коннекте на определенный порт перебрасывал соединение на внутреннего клиента). Если это можно сделать только из под консоли линукса, то прошу написать как? Т.к. на форуме очень много информации смежной с моей задачей, но толком не понятно и линукс достаточно специфичный чтоб с ним работать так как с обычным полноценным.
Еще один момент хотел бы чтобы прояснили для меня, каким образом обнаружить что флешка гиговая которую я воткнул в один из портов в роутер обнаружилась роутером и принципиально ли иметь файловую систему какую либо на этой флешке до начала работы с ней? Если я удалил файловую систему на флешке и сделал ее Free, она ведь все равно должна найтись роутером? После того как роутер обноружил ее где и как посмотреть ее и отформатировать (как отформатировать встречал на форуме но не получилось)? На форуме только про винты видел сообщения и объяснения как с ними работать. У меня в /dev нет каталога /scsi, есть каталог /usb но в нем ничего нет когда подключаешь флешку (флешка простая гиговая Kingston).
Да, и еще один вопрос. У меня есть динамический IP привязан он у провайдера к мак адресу который я настроил. Все бы ничего но при подключении VPN все запросы идут через него, а хочется локальные ресурсы провайдера который мне выдает динамический IP юзать без VPN. Как создать файлик и применить его с сетями провайдера локальными или скрипт которым можно будет стягивать таблицу сетей и применять ее?
Очень хотелось бы чтобы интерфейс Web морды роутера был переработан и дополнен функционалом.
До того как пророшить Олеговской прошивкой прошил асусовской последней доступной там интерфейс гораздо приятнее.

Очень надеюсь что меня не пошлют кудани-будь в поиск (поиском слава богу умеем пользоваться) и ответят точно на мои вопросы по порядку в теме.

С Уважением, Agure

1. Åñëè íóæåí SSH íà 443 ïîðòó, òî íàäî â íàñòðîéêàõ SSH-ñåðâåðà ýòîò ïîðò è óêàçàòü âìåñòî 22, íè÷åãî ïðîáðàñûâàòü íå íàäî.

2. ×òîáû îòêðûòü ïîðòû íà ðîóòåðå âî âíåøíèé ìèð, íàäî ñîçäàòü ôàéë /usr/local/bin/post-firewall, ñäåëàòü èñïîëíÿåìûì, äîáàâèòü â íåãî ñòðî÷êó "#!/bin/sh" è äëÿ êàæäîãî ïîðòà, êîòîðûé íàäî îòêðûòü, ïî ñòðî÷êå âèäà:
iptables -I INPUT -p tcp --dport <íîìåð_ïîðòà> -j ACCEPT
Ïîñëå ÷åãî âûïîëíèòü "flashfs save && flashfs commit && flashfs enable" è ïåðåçàãðóçèòüñÿ.

3. Åñëè â /dev/ íåò êàòàëîãà scsi, ôëýøêà, ñêîðåå âñåãî, íå îïðåäåëèëàñü. Îòñóòñòâèå íà íåé ôàéëîâîé ñèñòåìû íå äîëæíî áûòü ïðîáëåìîé.  ÷åì äåëî, ìîæíî ïîïðîáîâàòü ïîíÿòü, ïîñìîòðåâ âûâîä êîìàíä "dmesg | grep usb" è "dmesg | grep scsi".

4. Ìàðøðóòèçàöèÿ, âðîäå áû, âïîëíå íàñòðàèâàåòñÿ è èç âåá-èíòåðôåéñà. Åñëè ÷òî-òî íå ïîëó÷àåòñÿ - îïèøèòå ïîäðîáíåå, ÷òî èìåííî íàäî è ÷òî äåëàëè.

5. Âåá-èíòåðôåéñ ó ïðîøèâêè Îëåãà âïîëíå íîðìàëüíûé äëÿ òîãî, ÷òîáû ñäåëàòü ïåðâè÷íóþ íàñòðîéêó, à äàëüøå óæå ðàáîòàòü ñ êîíôèãóðàöèîííûìè ôàéëàìè è ò.ï. íàïðÿìóþ. Åñëè Âàì õî÷åòñÿ âñå íàñòðàèâàòü ÷åðåç êðàñèâûé âåá-èíòåðôåéñ - ìîæåò áûòü, Âàì íå íóæíà ïðîøèâêà îò Îëåãà è õâàòèò ñòàíäàðòíîé?

ß òàê ïîíÿë ÷òî,
1.  íàñòðîéêàõ ssh ñåðâåðà îïÿòü æå ÷åðåç telnet ñ äîñòóïîì ê ðîóòåðó íàäî óêàçûâàòü ïîðò êîòîðûé ìíå íóæåí 443 íàïðèìåð âìåñòî 22, ó÷èòûâàÿ ïóíêò 2, áóäåò ëè â òàêîé ñèòóàöèè äîñòóïåí ðîóòåð ïî telnet <IP àäðåñ ìîåãî øëþçà êîòîðûé âûäàåò ìíå ïðîâàéäåð>:22 (èëè 443)?
2. ×òîáû çàõîäèòü èç âíå ïî ïîðòó 443 è ïîïàäàòü íà 22 ðîóòåðà íàäî ñîçäàòü ôàéë /usr/local/bin/post-firewall, ñäåëàòü èñïîëíÿåìûì (êàê åñëè íå ñëîæíî íàïèøèòå)
è äîáàâèòü ñòðî÷êè â ñîçäàííîì ôàéëå
!/bin/sh
iptables -I INPUT -p tcp --dport <443> -j ACCEPT - åñëè íóæíî îòêðûòü 443 ïîðò èç âíå
iptables -I INPUT -p tcp --dport <22> -j ACCEPT - åñëè íóæíî îòêðûòü 22 ïîðò èç âíå
iptables -I INPUT -p tcp --dport <80> -j ACCEPT - åñëè íóæíî îòêðûòü 80 ïîðò èç âíå
ïîòîì ñäåëàòü flashfs save && flashfs commit && flashfs enable
reboot
À ìîæíî ëè ýòî ñäåëàòü ÷åðåç âåá èíòåðôåéñ?
ß æå õî÷ó ÷òîáû ïîðò èç âíå áûë îòêðûò 443, íî ïðè êîííåêòå íà íåãî ðîóòèëîñü íà 22 ðîóòåðà. Êàê ýòî ñäåëàòü?

Ñ ðîóòèíãîì ÷åðåç âåá èíòåðôåéñ íå ïîíÿë âîîáùå êàê íàñòðàèâàåòñÿ.
Åñòü ñïèñîê "ñåòü\ìàñêà\èíäåêñ ïîäñåòè", êîòîðûé ÿ õî÷ó, ïðîïèñàòü â ðîóòåðå è õîäèòü ïî ýòèì ñåòÿì áåç VPN. Ðîóòåð ñòîèò â ðåæèìå äîìàøíåé ìàðøðóòèðèçàöèè.
Åñëè ðàáîòàòü áåç VPN, òî ñàéòû â ëîêàëüíîé ñåòè îòêðûâàþòñÿ íåñêîëüêî ìåäëåííî, âîçìîæíî ýòî ñâÿçàíî ñ ïðîáëåìîé ñêîðîñòè download\upload î êîòîðîé óæå ïèñàëè íà ôîðóìå (ïîïðîáóþ ïîäíàñòðîèòü ÷óòü ïîçæå), íî ïèíãè õîäÿò òîëüêî äî øëþçà ïðîâàéäåðà ìîåãî, à ñàéòû îòêðûâàþòñÿ è èç-çà øëþçà ïðîâàéäåðà. Êîãäà ïîäêëþ÷àåøü VPN, òî ïèíãè âñå èäóò ÷åðåç VPN, à íå ïî ëîêàëüíîé ñåòè. Õî÷ó ðàçäåëèòü ëîêàëüíûå ðåñóðñó è âíåøêó.

1. telnet è SSH - ðàçíûå ïðîòîêîëû. Âàì ÷òî íàäî?

2. Âàì íóæåí SSH (èëè âñå-òàêè telnet) íà 22 ïîðòó èëè íà 443?  ÷åì ñìûñë æåëàíèÿ "îòêðûòü 443, íî ïîïàäàòü íà 22"?

3. Ïðî ìàðøðóòèçàöèþ íè÷åãî íå ïîíÿë. Êàêèå ñåòåâûå èíòåðôåéñû ïîäíÿòû íà ðîóòåðå, êàêèå àäðåñà è øëþçû ïî óìîë÷àíèþ íà êàæäîì èç íèõ? Ê êàêèì ñåòÿì ÷åðåç êàêèå øëþçû Âû õîòèòå èìåòü äîñòóï? Ïîäîçðåâàþ, åñëè Âû ñàìè ñôîðìóëèðóåòå îòâåòû íà ýòîò âîïðîñû, òî äàëüøå íè÷åãî îáúÿñíÿòü óæå íå ïðèäåòñÿ.

P.S. Áåç áàçîâûõ çíàíèé ëèíóêñà ëó÷øå Âàì â êîíñîëü íå ëåçòü îò ãðåõà ïîäàëüøå...

ssh ïî 443 ïîðòó ñ ïåðåíàïðàâëåíèåì íà 22 óæå ñäåëàë ñ ïîìîùüþ ìîäåðàòîðà ôîðóìà. Çà ÷òî åìó îãðîìíîå ñïàñèáî.

Ïî ïîâîäó ñåòåé ðàçúÿñíþ åùå ðàç ïîäðîáíî.

Ó ìåíÿ â ãîðîäå î÷åíü ìíîãî ðåñóðñîâ âñÿêèõ ðàçíûõ è ïðîâàéäåð ê êîòîðîìó ÿ ïîäêëþ÷åí òîëüêî çà àáîí. ïëàòó ïðåäîñòàâëÿåò äîñòóï ê ýòèì ðåñóðñàì (áåç âíåøíåãî èíòåðíåòà ïîäêëþ÷åíèåì VPN èëè åùå êàê). Åñòü cïèñîê ñåòåé â òåêñòîâîì ôîðìàòå. Ìíå íóæíî ïðîïèñàòü â ðîóòåðå ýòîò ñïèñîê â êàêîì ëèáî âèäå, íàïðèìåð, "ñåòü/ïðåôèêñ ñåòè" (87.239.8.0/21) èëè çà ìåñòî ïðåôèêñà ìàñêó. À åùå ëó÷øå íàïèñàòü ñêðèïò êîòîðûé áóäåò â òåêñòîâîì âèäå ñêà÷èâàòü òàêîé ñïèñîê è ïðèìåíÿòü åãî íà ðîóòåðå.
Ñïèñîê áîëüøîé, ïîðÿäêà 100 ñòðîê òàêèõ èç ñåòåé è ïðåôèêñîâ\ìàñîê áóäåò.

Ïðîáëåìà ó ìåíÿ åùå â òîì ÷òî ñåé÷àñ ó ìåíÿ ïèíã áåç âêëþ÷åííîãî VPN íå âûõîäèò äàëüøå øëþçà ïðîâàéäåðà, à êîãäà âêëþ÷àåøü VPN, òî äàæå ïî ðåñóðñàì íàøåãî ãîðîäà ÿ õîæó ÷åðåç VPN è ïèíã òîæå. Ñêîðåå âñåãî ÷òî íóæíî èìåííî íà ðîóòåðå ïðîïèñàòü ñåòè è ÿâíûì îáðàçîì óêàçàòü íàñòðîéêè ñåòè â ðîóòåðå (IP, ìàñêà, øëþç, DNS).

Òåïåðü åùå ðàç, êàê ýòî ñäåëàòü?

PS: Íàäåþñü òåïåðü ÿ ïîíÿòíî èçëîæèë, òüôó-òüôó...èíîãäà îòëè÷àþñü ñëîæíîñòüþ ìûñëè.:)

ß ïðàâèëüíî Âàñ ïîíÿë, ÷òî Âû:
1) Ïîëó÷àåòå àäðåñ, øëþç è àäðåñà ñåðâåðîâ DNS èç ñåòè ïðîâàéäåðà ïî DHCP.
2) Ïîäêëþ÷àåòåñü ïî VPN äëÿ äîñòóïà ê âíåøíèì ðåñóðñàì.
Ïðè ýòîì ðàíüøå (äî òîãî, êàê Âû ïîñòàâèëè ðîóòåð), ê âíóòðåííèì ðåñóðñàì ïîñëå âûïîëíåíèÿ ï. 1 áûë äîñòóï áåç âûïîëíåíèÿ ï. 2, à ñåé÷àñ (êîãäà ðîóòåð ïîñòàâèëè) òàêîé âàðèàíò íå ðàáîòàåò?

Àáñîëþòíî ïðàâèëüíî.

Òîëüêî ÿ ìîãó ïîëó÷àòü àäðåñ, øëþç è DNS ïî DHCP îò ïðîâàéäåðà à ìîãó è ñàì ïðîïèñàòü. Ðàíüøå áûëî ïðîïèñàíî è ÿ ïðîñòî äåëàë
route ADD 157.0.0.0 MASK 255.0.0.0 157.55.80.1 METRIC 3 IF 2

íî â ëèíóõå íåñêîëüêî âñå ïîäðóãîìó.
Íàäî ïðîïèñàòü ñåòè òàêèì æå îáðàçîì íà ðîóòåðå.

Quote:

---

Originally Posted by agure

Àáñîëþòíî ïðàâèëüíî.

Òîëüêî ÿ ìîãó ïîëó÷àòü àäðåñ, øëþç è DNS ïî DHCP îò ïðîâàéäåðà à ìîãó è ñàì ïðîïèñàòü. Ðàíüøå áûëî ïðîïèñàíî è ÿ ïðîñòî äåëàë
route ADD 157.0.0.0 MASK 255.0.0.0 157.55.80.1 METRIC 3 IF 2

íî â ëèíóõå íåñêîëüêî âñå ïîäðóãîìó.
Íàäî ïðîïèñàòü ñåòè òàêèì æå îáðàçîì íà ðîóòåðå.

---

Ïðîïèñàòü ìàðøðóòû íå ïðîáëåìà. Óêàçàííóþ Âàìè âûøå âèíäîâóþ êîìàíäó ìîæíî ïîâòîðèòü äëÿ ðîóòåðà êàê ÷åðåç âåá-èíòåðôåéñ, òàê è èç êîìàíäíîé ñòðîêè.  ïîñëåäíåì ñëó÷àå ïîëó÷èòñÿ "route add 157.0.0.0 netmask 255.0.0.0 gw 157.55.80.1 metric 3 dev XXX", ãäå XXX - èìÿ WAN-èíòåðôåéñà (ïîñìîòðåòü ìîæíî, âûçâàâ "nvram get wan_ifname").

À âîò òî, ÷òî áåç VPN âíóòðåííèå ðåñóðñû íåäîñòóïíû, - ýòî óæå îòäåëüíàÿ ïðîáëåìà. Åå ïðè÷èíà ìíå, ÷åñòíî ãîâîðÿ, íåïîíÿòíà. Ðîóòåð ïî DHCP òî÷íî ïîëó÷àåò òå æå íàñòðîéêè, êàê è Âàø êîìïüþòåð, íà êîòîðîì âñå ðàáîòàëî?

Quote:

---

Originally Posted by Alexander B.

...Ðîóòåð ïî DHCP òî÷íî ïîëó÷àåò òå æå íàñòðîéêè, êàê è Âàø êîìïüþòåð, íà êîòîðîì âñå ðàáîòàëî?

---

Äà.
Íàäî íå ïðîñòî ïðîïèñàòü, à æåëàòåëüíî ñäåëàòü ñêðèïò êîòîðûé áóäåò ñêà÷èâàòü è ïðèìåíÿòü ýòè ñåòè â ðîóòåðå.