53 UDP пробрасывается нормально, из интернета видно и можно резолвить адреса, а вот 53 TCP закрыт....все бы ничего но 53 TCP нужен для AXFR
Прошивка 1.9.2.7-10 пробрасывал оба TCP и UPD через BOTH, udp пробросился и работает, а TCP нет. Сервер на локальной машине bind открывает и tcp и udp.
почему то post-firewall там где он должен лежать я не нашел у себя на роутере
вписывание через telnet не дало результатов, 53 порт закрыт наружу..
Last edited by mixir; 13-07-2011 at 13:15.
53 UDP пробрасывается нормально, из интернета видно и можно резолвить адреса, а вот 53 TCP закрыт....все бы ничего но 53 TCP нужен для AXFR
Хелп вот листинг IPTABLES
Code:IP Tables Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID 3787 1146K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED 0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 ctstate NEW 172 37632 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0 ctstate NEW 4 128 ACCEPT 2 -- * * 0.0.0.0/0 224.0.0.0/4 0 0 ACCEPT udp -- * * 0.0.0.0/0 224.0.0.0/4 udp dpt:!1900 15 6981 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68 983 79078 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy ACCEPT 1303 packets, 77261 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- br0 br0 0.0.0.0/0 0.0.0.0/0 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID 0 0 ACCEPT udp -- * * 0.0.0.0/0 224.0.0.0/4 820 42000 TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU 4927 1231K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED 0 0 DROP all -- !br0 ppp0 0.0.0.0/0 0.0.0.0/0 0 0 DROP all -- !br0 vlan1 0.0.0.0/0 0.0.0.0/0 132 10040 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate DNAT Chain OUTPUT (policy ACCEPT 4404 packets, 1150K bytes) pkts bytes target prot opt in out source destination Chain BRUTE (0 references) pkts bytes target prot opt in out source destination Chain MACS (0 references) pkts bytes target prot opt in out source destination Chain SECURITY (0 references) pkts bytes target prot opt in out source destination 0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02 limit: avg 1/sec burst 5 0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x04 limit: avg 1/sec burst 5 0 0 RETURN udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5 0 0 RETURN icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 Chain UPNP (0 references) pkts bytes target prot opt in out source destination 0 0 ACCEPT udp -- * * 0.0.0.0/0 192.168.1.10 udp dpt:60669 Chain logaccept (0 references) pkts bytes target prot opt in out source destination 0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate NEW LOG flags 39 level 4 prefix `ACCEPT ' 0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 Chain logdrop (0 references) pkts bytes target prot opt in out source destination 0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate NEW LOG flags 39 level 4 prefix `DROP ' 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 IP Tables NAT Chain PREROUTING (policy ACCEPT 1871 packets, 133K bytes) pkts bytes target prot opt in out source destination 332 25807 VSERVER all -- * * 0.0.0.0/0 85.21.63.199 192 10109 VSERVER all -- * * 0.0.0.0/0 10.86.68.141 Chain POSTROUTING (policy ACCEPT 47 packets, 4283 bytes) pkts bytes target prot opt in out source destination 544 31737 MASQUERADE all -- * ppp0 !85.21.63.199 0.0.0.0/0 143 7796 MASQUERADE all -- * vlan1 !10.86.68.141 0.0.0.0/0 28 2250 MASQUERADE all -- * br0 192.168.1.0/24 192.168.1.0/24 Chain OUTPUT (policy ACCEPT 49 packets, 4595 bytes) pkts bytes target prot opt in out source destination Chain UPNP (1 references) pkts bytes target prot opt in out source destination 1 80 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:60669 to:192.168.1.10:60669 Chain VSERVER (2 references) pkts bytes target prot opt in out source destination 524 35916 UPNP all -- * * 0.0.0.0/0 0.0.0.0/0 0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 to:192.168.1.5 0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 to:192.168.1.5 0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:9300:9600 to:192.168.1.5 0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 to:192.168.1.5 0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080 to:192.168.1.5 0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 to:192.168.1.5 8 516 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53 to:192.168.1.5 0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:60 to:192.168.1.5:80
Last edited by vectorm; 13-07-2011 at 20:43. Reason: используем ПРАВИЛЬНЫЕ теги! [CODE]
И еще почему то еще одно правило из VSERVER не обрабатывается
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:60 to:192.168.1.5:80
доступ из внешки на 60 с форвардингом на HTTP
прошивку обновил до 1.9.2.7-rtn-r3121 - теже грабли
Подробно разобрал вывод iptables и сравнил с ситуацией на своем RT-N16. Никакой крамолы не нашел.
Как временную меру, можно попробовать на роутере что-то вроде
Это на случай, если я что-то проглядел, и с фильтрами что-то нахомутали.Code:iptables -I FORWARD -d 192.168.1.5 -p tcp -m tcp --dport 53 -j ACCEPT
В противном случае хотелось бы глянуть лог iptables с компьютера 192.168.1.5 - может на нем что-то интересное прописано.
Кстати, что происходит, если с роутера попробовать запустить:
?Code:telnet 192.168.1.5 53
iptables с 192.168.1.5:
Code:Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 ISPCP_INPUT all -- any any anywhere anywhere 0 0 ACCEPT tcp -- any any anywhere anywhere tcp spt:domain 0 0 ACCEPT tcp -- any any anywhere anywhere tcp spt:domain 2839 2015K ACCEPT tcp -- any any anywhere anywhere tcp spt:www Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 ISPCP_OUTPUT all -- any any anywhere anywhere 0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:domain Chain ISPCP_INPUT (1 references) pkts bytes target prot opt in out source destination 0 0 tcp -- any any anywhere anywhere tcp spt:submission 0 0 tcp -- any any anywhere anywhere tcp spt:ssmtp 0 0 tcp -- any any anywhere anywhere tcp spt:smtp 0 0 tcp -- any any anywhere anywhere tcp dpt:imaps 0 0 tcp -- any any anywhere anywhere tcp dpt:pop3s 0 0 tcp -- any any anywhere anywhere tcp dpt:submission 0 0 tcp -- any any anywhere anywhere tcp dpt:ssmtp 0 0 tcp -- any any anywhere anywhere tcp dpt:smtp 0 0 tcp -- any any anywhere anywhere tcp dpt:imap2 0 0 tcp -- any any anywhere anywhere tcp dpt:pop3 0 0 tcp -- any any anywhere anywhere tcp dpt:https 0 0 tcp -- any any anywhere anywhere tcp dpt:www 0 0 tcp -- any any anywhere anywhere tcp dpt:domain 0 0 RETURN all -- any any anywhere anywhere Chain ISPCP_OUTPUT (1 references) pkts bytes target prot opt in out source destination 0 0 tcp -- any any anywhere anywhere tcp dpt:submission 0 0 tcp -- any any anywhere anywhere tcp dpt:ssmtp 0 0 tcp -- any any anywhere anywhere tcp dpt:smtp 0 0 tcp -- any any anywhere anywhere tcp spt:imaps 0 0 tcp -- any any anywhere anywhere tcp spt:pop3s 0 0 tcp -- any any anywhere anywhere tcp spt:submission 0 0 tcp -- any any anywhere anywhere tcp spt:ssmtp 0 0 tcp -- any any anywhere anywhere tcp spt:smtp 0 0 tcp -- any any anywhere anywhere tcp spt:imap2 0 0 tcp -- any any anywhere anywhere tcp spt:pop3 0 0 tcp -- any any anywhere anywhere tcp spt:https 0 0 tcp -- any any anywhere anywhere tcp spt:www 0 0 tcp -- any any anywhere anywhere tcp spt:domain 0 0 RETURN all -- any any anywhere anywhere
если с роутера запустить telnet 192.168.1.5 53 то он подключиться и будет предлагать вводить что нибудь, видимо надо формировать правильный заголовок чтобы что-то там в ответ получить...
компьютер 192.168.1.10 тоже подключается к 192.168.1.5:53, значит всетаки дело в роутере
Last edited by vectorm; 13-07-2011 at 20:44.
Согласен, проблема в роутере.
Еще идея: попробуйте отключить fast-nat:
Code:nvram set misc_fastnat_x=0 nvram commit && reboot
К сожалению и это не подошло 53 TCP порт так и не открылся...
на всякий случай, проверяю порты этим http://canyouseeme.org/
Тогда у меня кончились идеи
Разве что попробовать подключить инет напрямую к нужному компьютеру, чтобы убедиться, что это не козни провайдера.
Что до проверки портов - я пробовал стучаться на Ваш IP (он мелькает в логах iptables). 53й и 60й порт закрыты, тогда как тот же 80й отвечает без проблем.
А у вас на роутере если попробывать 53 порт пробросить, он проброситься или тк же будет? Я кстати делал проброс с 60 внешнего на 80 внутренний (192.168.1.5) и тоже не получилось что почему-то наводит на мысль о том что там диапазон заблокирован, хотя может быть опять специфика роутера, он мне уже столько мучений принес, раньше на старой прошивке временами вообще ничего не пробрасывал.
Я не особый знаток линукса но dnsmasq выполняется от имени nobody может в этом проблема?
Last edited by mixir; 19-07-2011 at 11:08.
У меня на роутере кроме dnsmasq работает bind (полноценный dns-сервер, который держит доменную зону), а потому 53й порт проброшен на сам же роутер:
И эта связка отлично работает.Code:iptables -t nat -A VSERVER -p tcp -m tcp --dport 53 -j DNAT --to-destination 192.168.1.1:553 iptables -t nat -A VSERVER -p udp -m udp --dport 53 -j DNAT --to-destination 192.168.1.1:553
dnsmasq тут наверняка не при чем.
Что до блокировки диапазона адресов - вполне возможно. Такими фокусами грешат и некоторые провайдеры. Поэтому и есть смысл попробовать подключить компьютер напрямую - может быть роутер тут и не при чем.
UPD
Весь диапазон там точно не блокирован: 80й порт у него открыт, я проверял.
Last edited by reiten; 19-07-2011 at 11:55.
Сегодня вечером приду с работы проверю, сейчас просто возможности нет, еще вычитал на форуме про nvram show | grep forward_port может там что-то интересное найдется... 53 UDP работает, например если через nslookup делать то все пашет, другое дело что еще нужно TCP для обмена...
Last edited by mixir; 01-08-2011 at 08:03.
reiten спасибо за помощь! Потратил вечером 3 часа на жесткий и страстный процесс поднятия впн штатными средствами убунты....и как выяснилось 53 порт закрыт теперь надо выяснить кто его закрывает убунта или провайдер
Значит, нужно третировать поддержку провайдера.
Ubuntu вне подозрений - ее исключили проверки из поста #121.