|
Port Forwarding
|
| vlad321 |
Dodano 14-01-2014 14:17
|
User
Posty: 6
Dołączył: 14/01/2014 13:30
|
Witam,
Niedawno zainstalowałem na Linksys E900 świeżutkie Tomato PL 1.28.0000 MIPSR2-115-PL K26 Max. Generalnie wszystko co potrzebne działa poprawnie. Mam problem z dostępem z zewnątrz do serwera FTP w sieci.
Poniżej zamieszczam screen ze strony port forwarding
oraz iptables-save
# Generated by iptables-save v1.3.8 on Tue Jan 14 14:07:24 2014
*nat
:PREROUTING ACCEPT [11819:967460]
:POSTROUTING ACCEPT [71:29266]
:OUTPUT ACCEPT [1952:195316]
:WANPREROUTING - [0:0]
:upnp - [0:0]
-A PREROUTING -d 213.77.122.26 -j WANPREROUTING
-A PREROUTING -d 192.168.1.0/255.255.255.0 -i vlan2 -j DROP
-A PREROUTING -d 213.77.122.26 -j upnp
-A POSTROUTING -o vlan2 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -d 192.168.1.0/255.255.255.0 -o br0 -j SNAT --to-source 192.168.1.1
-A WANPREROUTING -p icmp -j DNAT --to-destination 192.168.1.1
-A WANPREROUTING -p tcp -m tcp --dport 5000 -j DNAT --to-destination 192.168.1.254
-A WANPREROUTING -p tcp -m tcp --dport 20:21 -j DNAT --to-destination 192.168.1.254
-A WANPREROUTING -p tcp -m tcp --dport 55536:56559 -j DNAT --to-destination 192.168.1.254
COMMIT
# Completed on Tue Jan 14 14:07:24 2014
# Generated by iptables-save v1.3.8 on Tue Jan 14 14:07:24 2014
*mangle
:PREROUTING ACCEPT [237361:107075743]
:INPUT ACCEPT [12071:2172167]
:FORWARD ACCEPT [223005:104783255]
:OUTPUT ACCEPT [8603:3729426]
:POSTROUTING ACCEPT [231382:108503549]
COMMIT
# Completed on Tue Jan 14 14:07:24 2014
# Generated by iptables-save v1.3.8 on Tue Jan 14 14:07:24 2014
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [8603:3729426]
:logaccept - [0:0]
:logdrop - [0:0]
:logreject - [0:0]
:shlimit - [0:0]
:upnp - [0:0]
:wanin - [0:0]
:wanout - [0:0]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j shlimit
-A INPUT -p tcp -m tcp --dport 22122 -m state --state NEW -j shlimit
-A INPUT -i lo -j ACCEPT
-A INPUT -i br0 -j ACCEPT
-A INPUT -p udp -m udp --sport 67 --dport 68 -j logaccept
-A INPUT -j logdrop
-A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A FORWARD -m account --aaddr 192.168.1.0/255.255.255.0 --aname lan
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i vlan2 -j wanin
-A FORWARD -o vlan2 -j wanout
-A FORWARD -i br0 -j ACCEPT
-A FORWARD -i vlan2 -j upnp
-A logaccept -m state --state NEW -m limit --limit 1/sec -j LOG
-A logaccept -j ACCEPT
-A logdrop -m state --state NEW -m limit --limit 1/sec -j LOG
-A logdrop -j DROP
-A logreject -m limit --limit 1/sec -j LOG
-A logreject -p tcp -j REJECT --reject-with tcp-reset
-A shlimit -m recent --set --name shlimit --rsource
-A shlimit -m recent --update --seconds 60 --hitcount 4 --name shlimit --rsource -j logdrop
-A wanin -d 192.168.1.254 -p tcp -m tcp --dport 5000 -j logaccept
-A wanin -d 192.168.1.254 -p tcp -m tcp --dport 20:21 -j logaccept
-A wanin -d 192.168.1.254 -p tcp -m tcp --dport 55536:56559 -j logaccept
COMMIT
# Completed on Tue Jan 14 14:07:24 2014
Otwarte porty 55536:56559 są dla trybu passive
Chętnie powitam sugestie. Pozdrawiam |
| |
|
|
| shibby |
Dodano 14-01-2014 15:06
|
SysOp
Posty: 17165
Dołączył: 15/01/2009 20:30
|
a wyłącz logowanie połączeń i sprawdź.
Router: Unifi Cloud Gateway Fiber
Switch: Unifi USW-Lite-16-PoE
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 4x 2TB SSD
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| vlad321 |
Dodano 14-01-2014 15:21
|
User
Posty: 6
Dołączył: 14/01/2014 13:30
|
Niestety bez zmian. |
| |
|
|
| grz3si3k |
Dodano 14-01-2014 17:26
|
Super User
Posty: 630
Dołączył: 28/06/2008 17:19
|
logowanie połączeń po to żebyś zobaczył z jakiego powodu, a nie że logowanie pomoże na przypadłość
W loga będą informacje z jakiego powodu nie łączy albo czy w ogóle działa .
RT-AC68U
|
| |
|
|
| vlad321 |
Dodano 14-01-2014 17:28
|
User
Posty: 6
Dołączył: 14/01/2014 13:30
|
khem, khem. Zostałem poproszony o "wyłączenie" logowania. |
| |
|
|
| grz3si3k |
Dodano 14-01-2014 17:31
|
Super User
Posty: 630
Dołączył: 28/06/2008 17:19
|
upss... racja czeski błąd w czytaniu hahaha.... lol
a tak a`propos w logach nic nie ma ? 
RT-AC68U
|
| |
|
|
| vlad321 |
Dodano 14-01-2014 18:50
|
User
Posty: 6
Dołączył: 14/01/2014 13:30
|
No właśnie nie widzę niczego innego poza komunikacją swojego komputera z routerem przez przeglądarkę. |
| |
|
|
| Kontrolny |
Dodano 15-01-2014 02:35
|
Super User
Posty: 560
Dołączył: 22/12/2012 16:16
|
Ale na czym polega problem? W ogóle nie łączy - timeout przy każdej próbie połączenia z zewnątrz? Używasz zwykłego FTP, czy FTPS?
--
Netgear R6300 v1 OFW :-o
Netgear WNR3500L v2 × 3
Tomato Firmware 1.28.0000 MIPSR2-121 K26 USB AIO
ReadyNAS Duo v1
|
| |
|
|
| vlad321 |
Dodano 15-01-2014 08:58
|
User
Posty: 6
Dołączył: 14/01/2014 13:30
|
Timeout przy każdej próbie, zwykły ftp.
Dzisiaj wyizolowałem z logów próby połączenia. Chyba wygląda to tak jak powinno?
Wyłączone reguły Port Forwarding
Jan 15 08:29:17 unknown user.warn kernel: DROP IN=vlan2 OUT= MACSRC=00:15:17:15:1a:ba MACDST=00:27:0d:ee:53:19 MACPROTO=0800 SRC=mój adres zdalny DST=adres routera LEN=52 TOS=0x00 PREC=0x00 TTL=114 ID=23380 DF PROTO=TCP SPT=49554 DPT=21 SEQ=1778617653 ACK=0 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405B40103030801010402)
Jan 15 08:29:20 unknown user.warn kernel: DROP IN=vlan2 OUT= MACSRC=00:15:17:15:1a:ba MACDST=00:27:0d:ee:53:19 MACPROTO=0800 SRC=mój adres zdalny DST=adres routera LEN=52 TOS=0x00 PREC=0x00 TTL=114 ID=23381 DF PROTO=TCP SPT=49554 DPT=21 SEQ=1778617653 ACK=0 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405B40103030801010402)
Jan 15 08:29:26 unknown user.warn kernel: DROP IN=vlan2 OUT= MACSRC=00:15:17:15:1a:ba MACDST=00:27:0d:ee:53:19 MACPROTO=0800 SRC=mój adres zdalny DST=adres routera LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=23382 DF PROTO=TCP SPT=49554 DPT=21 SEQ=1778617653 ACK=0 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Jan 15 08:29:42 unknown user.warn kernel: DROP IN=vlan2 OUT= MACSRC=00:15:17:15:1a:ba MACDST=00:27:0d:ee:53:19 MACPROTO=0800 SRC=mój adres zdalny DST=adres routera LEN=52 TOS=0x00 PREC=0x00 TTL=114 ID=23383 DF PROTO=TCP SPT=49570 DPT=21 SEQ=3622339920 ACK=0 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405B40103030801010402)
Jan 15 08:29:45 unknown user.warn kernel: DROP IN=vlan2 OUT= MACSRC=00:15:17:15:1a:ba MACDST=00:27:0d:ee:53:19 MACPROTO=0800 SRC=mój adres zdalny DST=adres routera LEN=52 TOS=0x00 PREC=0x00 TTL=114 ID=23405 DF PROTO=TCP SPT=49570 DPT=21 SEQ=3622339920 ACK=0 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405B40103030801010402)
Jan 15 08:29:51 unknown user.warn kernel: DROP IN=vlan2 OUT= MACSRC=00:15:17:15:1a:ba MACDST=00:27:0d:ee:53:19 MACPROTO=0800 SRC=mój adres zdalny DST=adres routera LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=23421 DF PROTO=TCP SPT=49570 DPT=21 SEQ=3622339920 ACK=0 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Po włączeniu reguł w Port Forwarding
Jan 15 08:31:04 unknown user.warn kernel: ACCEPT IN=vlan2 OUT=br0 SRC=mój adres zdalny DST=192.168.1.254 LEN=52 TOS=0x00 PREC=0x00 TTL=113 ID=23619 DF PROTO=TCP SPT=49667 DPT=21 SEQ=91790116 ACK=0 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405B40103030801010402)
Jan 15 08:31:07 unknown user.warn kernel: ACCEPT IN=vlan2 OUT=br0 SRC=mój adres zdalny DST=192.168.1.254 LEN=52 TOS=0x00 PREC=0x00 TTL=113 ID=23620 DF PROTO=TCP SPT=49667 DPT=21 SEQ=91790116 ACK=0 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405B40103030801010402)
Jan 15 08:31:13 unknown user.warn kernel: ACCEPT IN=vlan2 OUT=br0 SRC=mój adres zdalny DST=192.168.1.254 LEN=48 TOS=0x00 PREC=0x00 TTL=113 ID=23621 DF PROTO=TCP SPT=49667 DPT=21 SEQ=91790116 ACK=0 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Jan 15 08:31:29 unknown user.warn kernel: ACCEPT IN=vlan2 OUT=br0 SRC=mój adres zdalny DST=192.168.1.254 LEN=52 TOS=0x00 PREC=0x00 TTL=113 ID=23622 DF PROTO=TCP SPT=49669 DPT=21 SEQ=3309056383 ACK=0 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405B40103030801010402)
Jan 15 08:31:32 unknown user.warn kernel: ACCEPT IN=vlan2 OUT=br0 SRC=mój adres zdalny DST=192.168.1.254 LEN=52 TOS=0x00 PREC=0x00 TTL=113 ID=23623 DF PROTO=TCP SPT=49669 DPT=21 SEQ=3309056383 ACK=0 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405B40103030801010402)
Jan 15 08:31:38 unknown user.warn kernel: ACCEPT IN=vlan2 OUT=br0 SRC=mój adres zdalny DST=192.168.1.254 LEN=48 TOS=0x00 PREC=0x00 TTL=113 ID=23624 DF PROTO=TCP SPT=49669 DPT=21 SEQ=3309056383 ACK=0 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405B401010402)
|
| |
|
|
| shibby |
Dodano 15-01-2014 10:31
|
SysOp
Posty: 17165
Dołączył: 15/01/2009 20:30
|
a czy w advanced -> Conntrack/Netfilter masz zaznaczone NAT Helpers dla FTP?
Router: Unifi Cloud Gateway Fiber
Switch: Unifi USW-Lite-16-PoE
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 4x 2TB SSD
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| vlad321 |
Dodano 15-01-2014 10:48
|
User
Posty: 6
Dołączył: 14/01/2014 13:30
|
Jest włączone |
| |
|
' target='_blank'>Link
