-
Fototrend
OpenWrt topic
Új hozzászólás Aktív témák
-
LaySoft
tag
válasz
vargalex
#20559
üzenetére
Itt teljes firewall config:
config defaults
option syn_flood '1'
option input 'REJECT'
option output 'ACCEPT'
option forward 'REJECT'
config zone
option name 'lan'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'ACCEPT'
list network 'lan'
config zone
option name 'wan'
option input 'REJECT'
option output 'ACCEPT'
option forward 'REJECT'
option masq '1'
option mtu_fix '1'
list network 'wan'
list network 'wan6'
list network 'LTE'
list network 'wwan'
config forwarding
option src 'lan'
option dest 'wan'
config rule
option name 'Allow-DHCP-Renew'
option src 'wan'
option proto 'udp'
option dest_port '68'
option target 'ACCEPT'
option family 'ipv4'
config rule
option name 'Allow-Ping'
option src 'wan'
option proto 'icmp'
option icmp_type 'echo-request'
option family 'ipv4'
option target 'ACCEPT'
config rule
option name 'Allow-IGMP'
option src 'wan'
option proto 'igmp'
option family 'ipv4'
option target 'ACCEPT'
config rule
option name 'Allow-DHCPv6'
option src 'wan'
option proto 'udp'
option dest_port '546'
option family 'ipv6'
option target 'ACCEPT'
config rule
option name 'Allow-MLD'
option src 'wan'
option proto 'icmp'
option src_ip 'fe80::/10'
list icmp_type '130/0'
list icmp_type '131/0'
list icmp_type '132/0'
list icmp_type '143/0'
option family 'ipv6'
option target 'ACCEPT'
config rule
option name 'Allow-ICMPv6-Input'
option src 'wan'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
list icmp_type 'router-solicitation'
list icmp_type 'neighbour-solicitation'
list icmp_type 'router-advertisement'
list icmp_type 'neighbour-advertisement'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'
config rule
option name 'Allow-ICMPv6-Forward'
option src 'wan'
option dest '*'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'
config rule
option name 'Allow-IPSec-ESP'
option src 'wan'
option dest 'lan'
option proto 'esp'
option target 'ACCEPT'
config rule
option name 'Allow-ISAKMP'
option src 'wan'
option dest 'lan'
option dest_port '500'
option proto 'udp'
option target 'ACCEPT'
config rule
option name 'LUCI'
list proto 'tcp'
option src 'wan'
option dest_port '80'
option target 'ACCEPT'
config rule
option name 'SSH'
list proto 'tcp'
option src 'wan'
option dest_port '22'
option target 'ACCEPT'
config redirect
option dest 'lan'
option target 'DNAT'
option name 'VOIP'
list proto 'tcp'
option src 'wan'
option src_dport '7777'
option dest_ip '192.168.33.127'
option dest_port '80'
option ipset 'lufika'
config ipset
option name 'lufika'
option family 'ipv4'
list entry '1.2.3.4'
list match 'src_ip' -
LaySoft
tag
Van egy port forward, amit bizonyos ip-kre korlátozok. Ezt jelenleg úgy oldom meg, hogy annyiszor veszem fel a forward szabályt, ahány ip-ről szeretném, hogy működjön, az src_ip-nél megadva egyenként az ip címeket. Így néz most ki egy ilyen forward szabály:
config redirectoption dest 'lan'option target 'DNAT'option name 'VOIP'list proto 'tcp'option src 'wan'option src_dport '7777'option dest_ip '192.168.33.127'option dest_port '80'option src_ip '192.168.111.222'
Ez így működik is szépen, csak a192.168.111.222ip címről, a 7777-es porton érem el a 192.168.33.127 eszköz 80-as portját. Ennél kultúráltabb lenne ipset-el megoldva, csak úgy meg nem működik az ip szűrés, az összes ip-ről elérem a192.168.33.127-es eszközt:config redirectoption dest 'lan'option target 'DNAT'option name 'VOIP'list proto 'tcp'option src 'wan'option src_dport '7777'option dest_ip '192.168.33.127'option dest_port '80'option ipset 'lufika'config ipsetoption name 'lufika'option family 'ipv4'list entry '1.2.3.4'list match 'src_ip'
Mit rontok el? -
LaySoft
tag
válasz
E.Kaufmann
#20161
üzenetére
Köszi a választ, van pár ESP-m, amik le szoktak szakadozni a WIFI-ről, szórakozom akkor a beállítással, hátha segít.
-
LaySoft
tag
Ha router célra kell egy kicsit izmosabb hardver, akkor ez verhetetlen:
-
LaySoft
tag
OpenWrt-t futtató router mögött van egy ftp szerverem. Ahhoz hogy kívülről is el lehessen érni, a 21-es port forwardon kívül az alábbi custom szabályt is be kellett állítani:
iptables -t raw -I PREROUTING -p tcp --dport 21 -j CT --helper ftp
Ezt az OpenWrt GUI lementette a /ect/firewall.user file-ba, amit a /etc/config/firewall config meg felnyalt ezzel a sorával:
config include
option path '/etc/firewall.user'OpenWrt 21.02.x alatt ez ment is szépen, csak fel kellett tenni a kmod-ipt-nathelper és kmod-ipt-raw csomagokat is.
Azonban OpenWrt 22.03.x alatt már iptables based firewall3 helyett nftables based firewall4 van, nincs iptables parancs, ezért nem megy a fenti custom rule.
A tünet a következő: ftp login lemegy, login / pass megad, elfogadja a helyeset, de utána nem történik semmi, nincs hibaüzenet, csak áll az ftp kliens. (mc beépített)
Keresgéltem, hogy miként lehetne a fenti szabályt nftables-el megoldani, de nem sikerült, ilyen szinten nem értek a hálózat mélységeihez.
Aztán észrevettem, hogy a firewall beállításnál a forward szabályánál az advanced fülön van egy olyan lehetőség, hogy "Match helper" és egy legördülőből ki lehet választani az "FTP passive connection tracking (FTP)" lehetőséget.
Sajnos, ha ezt beállítom, akkor a forward komplett megszűnik, még telnet-el sem lehet a 21-es portra kapcsolódni. Ha kikapcsolom, akkor a login folyamatig újra megy az ftp, csak utána áll meg.
Tudom, hogy az ftp egy elavult, unsecure, stb. protokoll, de ebben az esetben nem tudom megkerülni.
Tud esetleg valaki megoldást a problémára?
-
LaySoft
tag
Frissítettem OpenWrt 18.06-ra (DIR-860L) és azóta probléma van a router mögötti ftp szerverek külső elérésével. Az ftp szerverek mennek, local-ban gond nélkül lehet hozzájuk kapcsolódni, a port forward jó, mert a login / pass kívülről még megy, de utána semmilyen ftp parancsra nem jön válasz. kmod-nf-nathelper csomag fent van. A router-en magán futó vsftpd szerver elérhető kintről, csak a rádugott ftp szerverekkel van ez a probléma. Hogyan tudom kideríteni mi lehet a baj?
Új hozzászólás Aktív témák
- BestBuy ruhás topik
- Gitáros topic
- Gyúrósok ide!
- Parfüm topik
- Építő/felújító topik
- Okos otthon - Home Assistant, openHAB és más nyílt rendszerek
- Anglia - élmények, tapasztalatok
- Kompakt vízhűtés
- Az Intel szerint mindenkit érint, illetve érinteni fog a CPU-hiány
- Víz- gáz- és fűtésszerelés
- További aktív témák...
- MS SQL Server 2016, 2017, 2019
- Windows 10 11 Pro Office 19 21 Pro Plus Retail kulcs 1 PC Mac AKCIÓ! Automatikus 0-24
- Bitdefender Total Security 3év/3eszköz! - Tökéletes védelem.
- Microsoft és egyéb dobozos retro szoftverek
- Windows, Office licencek kedvező áron, egyenesen a Microsoft-tól - Automata kézbesítés utalással is!
- ÁRGARANCIA! Épített KomPhone Ultra 9 285K 64GB RAM RTX 5090 32GB GAMER PC termékbeszámítással
- SMAILIO HD 5" GPS autós navigáció
- Lenovo ThinkPad T15 Gen 2 i5-1135G7 16GB Ram 256 GB SSD FHD IPS Garancia
- Apple iPad Air 2 (A1567) 16GB Wi-Fi + Cellular Asztroszürke
- Akció!!! Sosemhasznált! HP OmniBook 5 Ultra 7 255U 5.2GHz 16GB 1000GB 16" FHD+ Gar.: 1 év
Állásajánlatok
Cég: Laptopműhely Bt.
Város: Budapest