Перенаправление портов Asus RT-N16

[UnnamedUser]

Добрый день.

Существует роутер, прошивка 1.9.2.7-rtn-r3702
у роутера 2 айпишника
1. внешний статический 11.111.111.11
2. внутренний 192.168.0.1

В сети есть сервер Ubuntu 12.04 LTS server
У сервера ай пи статический 192.168.0.2

Я не могу из WAN зайти на сервер напрямую через ssh
Заходит только на роутер через порт 22222, как я указал в настройках роутера.
ssh 11.111.111.11
то только потом я могу зайти
[Router_admin@router root]$ssh 192.168.0.2 - и попадаю на сервер.

Если делать все из LAN то все работает. putty заходит на сервер с перенаправлением порта с 11111 на 22

Из интернета напрямую не в какую не хочет. уже замучался.
В последствие хочу ФТП и вэб сервер сделать. Поэтом перенаправление очень нужно.

Настройки файрвола

(Нажмите, чтобы показать/скрыть)

Настройки НАТ

(Нажмите, чтобы показать/скрыть)

[victor00000]

роутер настроил браузер сайт, какой ип?

Код: [Выделить]

nmap ип -p 22

[UnnamedUser]

роутер настроил браузер сайт, какой ип?

Код: [Выделить]

nmap ип -p 22

в предложении где то запятой не хватает? чей ай пи то нужен?

[OldSamuray]

Зайдя на роутер по ssh, можно просмотреть действующее правило проброса порта и сравнить его с "эталонным", может веб-морда роутера шалит

[koshev]

А давайте все-таки покажем такое:
В роутере: System Setup -> System Command
iptables-save.
А то понятно, что не работает, а что - непонятно

[victor00000]

пример

Код: [Выделить]

nmap 192.168.0.1 -p 22показывай вывод, открытo сервер программа (open), закрыто свободно порт (closed), отфильтр запрещено порт(filtered).

[UnnamedUser]

пример

Код: [Выделить]

nmap 192.168.0.1 -p 22показывай вывод, открытo сервер программа (open), закрыто свободно порт (closed), отфильтр запрещено порт(filtered).

Я так понимаю это в окошко SystemCommand надо вбивать...
ответ был таков /bin/sh: nmap: not found
и когда через ssh захожу в роутер, ответ оналогичен

[victor00000]

Я так понимаю это в окошко SystemCommand надо вбивать...

играть настройка, потом команда.)))

[UnnamedUser]

А давайте все-таки покажем такое:
В роутере: System Setup -> System Command
iptables-save.
А то понятно, что не работает, а что - непонятно

Вот

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.3.2 on Thu Jan  1 04:00:09 1970
*nat
:PREROUTING ACCEPT [7:324]
:POSTROUTING ACCEPT [19:1178]
:OUTPUT ACCEPT [19:1178]
:UPNP - [0:0]
:VSERVER - [0:0]
-A PREROUTING -d 11.111.111.11/32 -j VSERVER
-A POSTROUTING ! -s 11.111.111.11/32 -o vlan2 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/24 -d 192.168.0.0/24 -o br0 -j MASQUERADE
-A VSERVER -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.0.1:80
-A VSERVER -j UPNP
-A VSERVER -p tcp -m tcp --dport 11111 -j DNAT --to-destination 192.168.0.2:22
COMMIT
# Completed on Thu Jan  1 04:00:09 1970
# Generated by iptables-save v1.4.3.2 on Thu Jan  1 04:00:09 1970
*mangle
:PREROUTING ACCEPT [131:11270]
:INPUT ACCEPT [116:10608]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [158:145760]
:POSTROUTING ACCEPT [162:145904]
COMMIT
# Completed on Thu Jan  1 04:00:09 1970
# Generated by iptables-save v1.4.3.2 on Thu Jan  1 04:00:09 1970
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [39:4563]
:BRUTE - [0:0]
:MACS - [0:0]
:SECURITY - [0:0]
:UPNP - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i br0 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -d 224.0.0.0/4 -p igmp -j ACCEPT
-A INPUT -d 224.0.0.0/4 -p udp -m udp ! --dport 1900 -j ACCEPT
-A INPUT -i vlan2 -m conntrack --ctstate NEW -j SECURITY
-A INPUT -p tcp -m tcp --dport 22223 --tcp-flags FIN,SYN,RST,ACK SYN -j BRUTE
-A INPUT -p tcp -m tcp --dport 21 --tcp-flags FIN,SYN,RST,ACK SYN -j BRUTE
-A INPUT -d 192.168.1.10/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p udp -m udp --dport 33434:33534 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 515 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 9100 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3838 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -d 224.0.0.0/4 -p udp -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD ! -i br0 -o vlan2 -j DROP
-A FORWARD ! -i br0 -m conntrack --ctstate NEW -j SECURITY
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A BRUTE -m recent --update --seconds 600 --hitcount 3 --name BRUTE --rsource -j DROP
-A BRUTE -m recent --set --name BRUTE --rsource -j ACCEPT
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j DROP
-A logaccept -m conntrack --ctstate NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options --log-macdecode
-A logaccept -j ACCEPT
-A logdrop -m conntrack --ctstate NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options --log-macdecode
-A logdrop -j DROP
COMMIT
# Completed on Thu Jan  1 04:00:09 1970

Пользователь решил продолжить мысль 16 Июня 2012, 14:45:24:

Я так понимаю это в окошко SystemCommand надо вбивать...

играть настройка, потом команда.)))

Ты извини, моя твоя не понимать

[victor00000]

я не видел роутер модель команд использовать, первы разу.)))

[UnnamedUser]

я не видел роутер модель команд использовать, первы разу.)))

Я тебя умоляю, не пиши больше по моему вопросу. У меня глаза слезятся когда твои ответы читаю.
Пользователь решил продолжить мысль 16 Июня 2012, 14:58:31:Попробовал пробросить порт на внутренний айпишник роутера.
Заходит зараза...

А чеж он тогда в сеть не пробрасывает?

[koshev]

А оно пмсм, так работать не будет, как ты хочешь, смотри:
В цепочке PREROUTING тыблицы nat есть такие правила:

Код: (text) [Выделить]

-A PREROUTING -d 11.111.111.11/32 -j VSERVER
-A VSERVER -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.0.1:80
-A VSERVER -p tcp -m tcp --dport 11111 -j DNAT --to-destination 192.168.0.2:22 Всё правильно как бэ. Все пакеты с адресом назначения заворачивается в кастомную цепочку VSERVER, в этой цепочке, пакет  попадающий на порт 8080 перенаправляется на 192.168.0.1, а пакет попадающий на порт 11111 перенаправляется на 192.168.0.2:22, но дальше пакеты попадает в цепочку INPUT таблицы filter. Где в ней открыт порт 11111, для для подключающихся извне - неясно.

[UnnamedUser]

А оно пмсм, так работать не будет, как ты хочешь, смотри:
В цепочке PREROUTING тыблицы nat есть такие правила:

Код: (text) [Выделить]

-A PREROUTING -d 11.111.111.11/32 -j VSERVER
-A VSERVER -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.0.1:80
-A VSERVER -p tcp -m tcp --dport 11111 -j DNAT --to-destination 192.168.0.2:22 Всё правильно как бэ. Все пакеты с адресом назначения заворачивается в кастомную цепочку VSERVER, в этой цепочке, пакет  попадающий на порт 8080 перенаправляется на 192.168.0.1, а пакет попадающий на порт 11111 перенаправляется на 192.168.0.2:22, но дальше пакеты попадает в цепочку INPUT таблицы filter. Где в ней открыт порт 11111, для для подключающихся извне - неясно.

Так а что сделать нужно, чтобы все куда надо попадало?

[victor00000]

UnnamedUser,
пиши команда
пример
добавить

Код: [Выделить]

iptables -A PREROUTING -d 11.111.111.11/32 -j VSERVER удалить

Код: [Выделить]

iptables -D PREROUTING -d 11.111.111.11/32 -j VSERVER

[koshev]

Для ssh сервера, разумнее всего было бы изменить правило

Код: [Выделить]

-A INPUT -p tcp -m tcp --dport 22223 --tcp-flags FIN,SYN,RST,ACK SYN -j BRUTEна

Код: [Выделить]

-A INPUT -p tcp -m mutliport --dports 11111,22223 --tcp-flags FIN,SYN,RST,ACK SYN -j BRUTEТ.е изменить правило.
iptables -R INPUT 8 -p tcp -m mutliport --dports 11111,22223 --tcp-flags FIN,SYN,RST,ACK SYN -j BRUTE
Для всего остального
iptables -I INPUT номер_правила<2 -p $proto -m $proto ---dport $dport -j ACCEPT.