Forum Turris
Fórum Turris Nápověda

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.

Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Nahoru Téma Majitelé routerů / Technická podpora / Firewall po aktualizácií 29.10.'14 nefunkčný port forwarding
- - Od JF Dne 2014-10-30 06:57
Po včerajšej aktualizácií balíčkov

##### Oznámení o aktualizacích #####
• Nainstalovaná verze 2.7.8-1 balíku python-mini
• Nainstalovaná verze 2.7.8-1 balíku python
• Nainstalovaná verze 2.7.8-1 balíku python-expat
• Nainstalovaná verze 2014-09-23 balíku firewall
• Nainstalovaná verze 46 balíku foris
• Nainstalovaná verze 85 balíku ucollect-config
• Nainstalovaná verze 1.7 balíku turris-version
• Nainstalovaná verze 15 balíku daemon-watchdog
• Nainstalovaná verze 40 balíku logsend
• Nainstalovaná verze 85 balíku ucollect-lib
• Nainstalovaná verze 85 balíku ucollect-prog
• Nainstalovaná verze 2 balíku ucollect-spoof
• Nainstalovaná verze 12 balíku ucollect-flow
• Nainstalovaná verze 2 balíku ucollect-refused
• Nainstalovaná verze 3 balíku ucollect-meta
• Nainstalovaná verze 2.7.8-1 balíku python-openssl
• Nainstalovaná verze 31 balíku turris-firewall-rules
• Nainstalovaná verze 0.53-2 balíku ahcpd

##### Oznámení o novinkách #####
• Drobné opravy v ucollect & ucollect-flow.
• Nový plugin ucollect-spoof na testování zasílání packetů s podvrženou zdrojovou adresou.
• Nový plugin ucollect-refused na sledování odchozích odmítnutých spojení.
• Možnost v /etc/config/firewall-turris nastavit, která pravidla firewallu se mají aplikovat a která ne.
• Přidán seznam balíčků 'majordomo'.
• Opravena chyba ve forisu, ke které mohlo docházet při současném přístupu více uživatelů.
• Python aktualizován na 2.7.8.

prestal fungovať port forwarding (aspoň u mňa). Mal som nastavený prístup cez port 443. Toto pravidlo sa nezmazalo, proste ho to ignoruje. Pri prístupe z vonku dostanem len odpoveď prehliadača: ERR_CONNECTION_REFUSED

Je tu niekto kto mi dokáže poradiť ktorý z balíčkov odstrániť aby mi znovu začali fungovať mnou nastavené pravidlá?
Nadřazený - - Od NONES (>>>) Dne 2014-10-30 08:10
Pouze tipuju, ale podle popisu změn "Možnost v /etc/config/firewall-turris nastavit, která pravidla firewallu se mají aplikovat a která ne" bych zaměřil pozornost na obsah souboru /etc/config/firewall-turris
Nadřazený - Od Štěpán Henek Dne 2014-10-30 09:26
Tudy cesta nevede. V /etc/config/firewall-turris se dá manipulovat se skupinami pravidel fw, které vydáváme pro všechny routery na základě nějakých blacklistů. Na pravidla vytvořená uživatelem by toto nastavení nemělo mít žádný dopad.
Nadřazený - - Od Michal Vaner (>>) Dne 2014-10-30 09:02
Dobré ráno

Co to způsobuje, to nevím, to bude někde v okolí firewallu, takže to přenechám kolegovi. Nějaké restartování (firewallu, celého routeru) jste zkoušel, jestli se něco nerozhodilo jen v průběhu té instalace?

Každopádně, mazání balíčku bude mít nulový efekt, protože se vám tam za chvíli zase sám vrátí.
Nadřazený - Od JF Dne 2014-10-30 12:31
Reštartovanie som skúšal. O nefunkčnosti som sa dozvedel keď som sa nemohol z práce pripojiť. Následne doma som vykonal reštart cez administračné rozhranie LuCi - nepomohlo. Skúsil som reštart Firewallu - nepomoholo. Nasledoval reštart odpojením napájania na pár minút - nepomohlo. Odstránil som pravidlá a vytvoril ich znovu - nepomohlo. Nefunguje ani novo vytvorené pravidlo pre SSH. Je to naozaj záhada, pred aktualizáciou všetko korektne bežalo.
Nadřazený - - Od Štěpán Henek Dne 2014-10-30 09:17
Dobrý den,

mohl byste mi prosím poslat výstup z příkazu iptables-save.
Kolega má taky nastavený port forward a u něj se to zdá být v pořádku i po upgradu.

config redirect
  option enabled '1'
  option target 'DNAT'
  option src 'wan'
  option dest 'lan'
  option src_dport '8888'
  option dest_ip '192.168.1.111'
  option dest_port '80'
  option name 'http-redirect'
  option proto 'tcp'
Nadřazený - - Od JF Dne 2014-10-30 12:25
# Generated by iptables-save v1.4.20 on Thu Oct 30 12:21:06 2014
*nat
:PREROUTING ACCEPT [22882:4736100]
:INPUT ACCEPT [509:46393]
:OUTPUT ACCEPT [2219:157095]
:POSTROUTING ACCEPT [696:45787]
:delegate_postrouting - [0:0]
:delegate_prerouting - [0:0]
:postrouting_lan_rule - [0:0]
:postrouting_rule - [0:0]
:postrouting_wan_rule - [0:0]
:prerouting_lan_rule - [0:0]
:prerouting_rule - [0:0]
:prerouting_wan_rule - [0:0]
:zone_lan_postrouting - [0:0]
:zone_lan_prerouting - [0:0]
:zone_wan_postrouting - [0:0]
:zone_wan_prerouting - [0:0]
-A PREROUTING -j delegate_prerouting
-A POSTROUTING -j delegate_postrouting
-A delegate_postrouting -m comment --comment "user chain for postrouting" -j postrouting_rule
-A delegate_postrouting -o br-lan -j zone_lan_postrouting
-A delegate_postrouting -o br-wan -j zone_wan_postrouting
-A delegate_prerouting -m comment --comment "user chain for prerouting" -j prerouting_rule
-A delegate_prerouting -i br-lan -j zone_lan_prerouting
-A delegate_prerouting -i br-wan -j zone_wan_prerouting
-A zone_lan_postrouting -m comment --comment "user chain for postrouting" -j postrouting_lan_rule
-A zone_lan_prerouting -m comment --comment "user chain for prerouting" -j prerouting_lan_rule
-A zone_wan_postrouting -m comment --comment "user chain for postrouting" -j postrouting_wan_rule
-A zone_wan_postrouting -j MASQUERADE
-A zone_wan_prerouting -m comment --comment "user chain for prerouting" -j prerouting_wan_rule
-A zone_wan_prerouting -p tcp -m tcp --sport 443 --dport 443 -m comment --comment turris -j REDIRECT --to-ports 443
-A zone_wan_prerouting -p tcp -m tcp --dport 22 -m comment --comment putty -j REDIRECT --to-ports 22
COMMIT
# Completed on Thu Oct 30 12:21:06 2014
# Generated by iptables-save v1.4.20 on Thu Oct 30 12:21:06 2014
*raw
:PREROUTING ACCEPT [68045:42254106]
:OUTPUT ACCEPT [12856:3537474]
:delegate_notrack - [0:0]
-A PREROUTING -j delegate_notrack
COMMIT
# Completed on Thu Oct 30 12:21:06 2014
# Generated by iptables-save v1.4.20 on Thu Oct 30 12:21:06 2014
*mangle
:PREROUTING ACCEPT [68045:42254106]
:INPUT ACCEPT [21712:3730299]
:FORWARD ACCEPT [38389:35717409]
:OUTPUT ACCEPT [12858:3537890]
:POSTROUTING ACCEPT [51251:39256627]
:fwmark - [0:0]
:mssfix - [0:0]
-A PREROUTING -j fwmark
-A FORWARD -j mssfix
-A mssfix -o br-wan -p tcp -m tcp --tcp-flags SYN,RST SYN -m comment --comment "wan (mtu_fix)" -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Thu Oct 30 12:21:06 2014
# Generated by iptables-save v1.4.20 on Thu Oct 30 12:21:06 2014
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:accept - [0:0]
:delegate_forward - [0:0]
:delegate_input - [0:0]
:delegate_output - [0:0]
:forwarding_lan_rule - [0:0]
:forwarding_rule - [0:0]
:forwarding_wan_rule - [0:0]
:input_lan_rule - [0:0]
:input_rule - [0:0]
:input_wan_rule - [0:0]
:output_lan_rule - [0:0]
:output_rule - [0:0]
:output_wan_rule - [0:0]
:reject - [0:0]
:syn_flood - [0:0]
:turris - [0:0]
:zone_lan_dest_accept - [0:0]
:zone_lan_forward - [0:0]
:zone_lan_input - [0:0]
:zone_lan_output - [0:0]
:zone_lan_src_accept - [0:0]
:zone_wan_dest_REJECT - [0:0]
:zone_wan_dest_accept - [0:0]
:zone_wan_forward - [0:0]
:zone_wan_input - [0:0]
:zone_wan_output - [0:0]
:zone_wan_src_REJECT - [0:0]
-A INPUT -j delegate_input
-A FORWARD -j delegate_forward
-A OUTPUT -j delegate_output
-A accept -o br-wan -j turris
-A accept -j ACCEPT
-A delegate_forward -m comment --comment "user chain for forwarding" -j forwarding_rule
-A delegate_forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A delegate_forward -i br-lan -j zone_lan_forward
-A delegate_forward -i br-wan -j zone_wan_forward
-A delegate_forward -j reject
-A delegate_input -i lo -j ACCEPT
-A delegate_input -m comment --comment "user chain for input" -j input_rule
-A delegate_input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A delegate_input -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn_flood
-A delegate_input -i br-lan -j zone_lan_input
-A delegate_input -i br-wan -j zone_wan_input
-A delegate_input -j accept
-A delegate_output -o lo -j ACCEPT
-A delegate_output -m comment --comment "user chain for output" -j output_rule
-A delegate_output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A delegate_output -o br-lan -j zone_lan_output
-A delegate_output -o br-wan -j zone_wan_output
-A delegate_output -j accept
-A reject -p tcp -j REJECT --reject-with tcp-reset
-A reject -j REJECT --reject-with icmp-port-unreachable
-A syn_flood -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 25/sec --limit-burst 50 -j RETURN
-A syn_flood -j DROP
-A turris -o br-wan -m limit --limit 1/sec -m set --match-set turris_00005E11_l_a_4_X dst -j LOG --log-prefix "turris-00005E11: " --log-level 7
-A turris -o br-wan -m limit --limit 1/sec -m set --match-set turris_000E7E01_l_a_4_X dst -j LOG --log-prefix "turris-000E7E01: " --log-level 7
-A turris -o br-wan -m limit --limit 1/sec -m set --match-set turris_00415B11_l_a_4_X dst -j LOG --log-prefix "turris-00415B11: " --log-level 7
-A turris -o br-wan -m limit --limit 1/sec -m set --match-set turris_00557B71_l_ap_4_X dst,dst -j LOG --log-prefix "turris-00557B71: " --log-level 7
-A turris -o br-wan -m limit --limit 1/sec -m set --match-set turris_007E0511_l_a_4_X dst -j LOG --log-prefix "turris-007E0511: " --log-level 7
-A turris -o br-wan -m limit --limit 1/sec -m set --match-set turris_009A7E41_l_a_4_X dst -j LOG --log-prefix "turris-009A7E41: " --log-level 7
-A turris -o br-wan -m limit --limit 1/sec -m set --match-set turris_00A07051_l_a_4_X dst -j LOG --log-prefix "turris-00A07051: " --log-level 7
-A turris -o br-wan -m limit --limit 1/sec -m set --match-set turris_00A704A1_l_a_4_X dst -j LOG --log-prefix "turris-00A704A1: " --log-level 7
-A turris -o br-wan -m limit --limit 1/sec -m set --match-set turris_00CE6700_lb_ap_4_X dst,dst -j LOG --log-prefix "turris-00CE6700: " --log-level 7
-A turris -o br-wan -m limit --limit 1/sec -m set --match-set turris_00CE6701_l_a_4_X dst -j LOG --log-prefix "turris-00CE6701: " --log-level 7
-A turris -o br-wan -m limit --limit 1/sec -m set --match-set turris_00CE6701_l_ap_4_X dst,dst -j LOG --log-prefix "turris-00CE6701: " --log-level 7
-A turris -o br-wan -m limit --limit 1/sec -m set --match-set turris_00D05711_l_a_4_X dst -j LOG --log-prefix "turris-00D05711: " --log-level 7
-A turris -o br-wan -m limit --limit 1/sec -m set --match-set turris_00FE0D01_l_a_4_X dst -j LOG --log-prefix "turris-00FE0D01: " --log-level 7
-A turris -o br-wan -m limit --limit 1/sec -m set --match-set turris_047C0DE1_l_a_4_X dst -j LOG --log-prefix "turris-047C0DE1: " --log-level 7
-A turris -o br-wan -m limit --limit 1/sec -m set --match-set turris_06E7E701_l_a_4_X dst -j LOG --log-prefix "turris-06E7E701: " --log-level 7
-A turris -o br-wan -m limit --limit 1/sec -m set --match-set turris_0A566041_l_ap_4_X dst,dst -j LOG --log-prefix "turris-0A566041: " --log-level 7
-A turris -o br-wan -m set --match-set turris_00CE6700_lb_ap_4_X dst,dst -j DROP
-A zone_lan_dest_accept -o br-lan -j accept
-A zone_lan_forward -m comment --comment "user chain for forwarding" -j forwarding_lan_rule
-A zone_lan_forward -m comment --comment "forwarding lan -> wan" -j zone_wan_dest_accept
-A zone_lan_forward -m conntrack --ctstate DNAT -m comment --comment "Accept port forwards" -j accept
-A zone_lan_forward -j zone_lan_dest_accept
-A zone_lan_input -m comment --comment "user chain for input" -j input_lan_rule
-A zone_lan_input -m conntrack --ctstate DNAT -m comment --comment "Accept port redirections" -j accept
-A zone_lan_input -j zone_lan_src_accept
-A zone_lan_output -m comment --comment "user chain for output" -j output_lan_rule
-A zone_lan_output -j zone_lan_dest_accept
-A zone_lan_src_accept -i br-lan -j accept
-A zone_wan_dest_REJECT -m limit --limit 1/sec -j LOG --log-prefix "turris-000000: " --log-level 7
-A zone_wan_dest_REJECT -o br-wan -j reject
-A zone_wan_dest_accept -o br-wan -j accept
-A zone_wan_forward -m comment --comment "user chain for forwarding" -j forwarding_wan_rule
-A zone_wan_forward -m conntrack --ctstate DNAT -m comment --comment "Accept port forwards" -j accept
-A zone_wan_forward -j zone_wan_dest_REJECT
-A zone_wan_input -m comment --comment "user chain for input" -j input_wan_rule
-A zone_wan_input -p udp -m udp --dport 68 -m comment --comment Allow-DHCP-Renew -j accept
-A zone_wan_input -p icmp -m icmp --icmp-type 8 -m comment --comment Allow-Ping -j accept
-A zone_wan_input -m conntrack --ctstate DNAT -m comment --comment "Accept port redirections" -j accept
-A zone_wan_input -j zone_wan_src_REJECT
-A zone_wan_output -m comment --comment "user chain for output" -j output_wan_rule
-A zone_wan_output -j zone_wan_dest_accept
-A zone_wan_src_REJECT -m limit --limit 1/sec -j LOG --log-prefix "turris-000000: " --log-level 7
-A zone_wan_src_REJECT -i br-wan -j reject
COMMIT
# Completed on Thu Oct 30 12:21:06 2014
Nadřazený - - Od Štěpán Henek Dne 2014-10-30 13:13

-A zone_wan_prerouting -p tcp -m tcp --sport 443 --dport 443 -m comment --comment turris -j REDIRECT --to-ports 443

Tohle vám nejspíš nebude fungovat.
V preroutingu wanu se upraví příchozí pakety
(<*:443>, <*:443>) na (<*:443>, <ip_WANu:443>)
Což asi nebude chování, které očekáváte.

Zkuste v /etc/config/firewall přímo najít pravidlo, které tohle vygenerovalo a přepsat je cca na:
config redirect
  option enabled '1'
  option target 'DNAT'
  option src 'wan'
  option dest 'lan'
  option src_dport '443'
  option dest_ip '<ip_vnitrniho_serveru>'
  option dest_port '443'
  option name 'http-redirect'
  option proto 'tcp'

mělo by to vygenerovat:
-A zone_lan_prerouting -s <rozsah_ip_LANu> -d <ip_na_WANu> -p tcp -m tcp --dport 443 -m comment --comment "http-redirect (reflection)" -j DNAT --to-destination <ip_vnitrniho_server>:443
-A zone_wan_prerouting -p tcp -m tcp --dport 443 -m comment --comment http-redirect -j DNAT --to-destination <ip_vnitrniho_server>:443
Nadřazený - - Od JF Dne 2014-10-30 13:50
Mám to uložené rovnako ako pri prístupe na server za routerom ku ktorému prístup funguje:

config redirect
  option target 'DNAT'
  option dest 'lan'
  option name 'turris'
  option dest_ip '192.168.1.1'
  option src 'wan'
  option proto 'tcp'
  option src_dport '443'
  option dest_port '443'

žiaľ ak tam dám IP turrisu tak to proste nebeží. Žiaľ v tejto problematike som stále začiatočník. Po uložené neevidujem zmenu v nastavení:

# Generated by iptables-save v1.4.20 on Thu Oct 30 13:47:06 2014
*nat
:PREROUTING ACCEPT [633:109305]
:INPUT ACCEPT [36:6193]
:OUTPUT ACCEPT [56:6514]
:POSTROUTING ACCEPT [30:4510]
:MINIUPNPD - [0:0]
:delegate_postrouting - [0:0]
:delegate_prerouting - [0:0]
:postrouting_lan_rule - [0:0]
:postrouting_rule - [0:0]
:postrouting_wan_rule - [0:0]
:prerouting_lan_rule - [0:0]
:prerouting_rule - [0:0]
:prerouting_wan_rule - [0:0]
:zone_lan_postrouting - [0:0]
:zone_lan_prerouting - [0:0]
:zone_wan_postrouting - [0:0]
:zone_wan_prerouting - [0:0]
-A PREROUTING -j delegate_prerouting
-A POSTROUTING -j delegate_postrouting
-A delegate_postrouting -m comment --comment "user chain for postrouting" -j postrouting_rule
-A delegate_postrouting -o br-lan -j zone_lan_postrouting
-A delegate_postrouting -o br-wan -j zone_wan_postrouting
-A delegate_prerouting -m comment --comment "user chain for prerouting" -j prerouting_rule
-A delegate_prerouting -i br-lan -j zone_lan_prerouting
-A delegate_prerouting -i br-wan -j zone_wan_prerouting
-A zone_lan_postrouting -m comment --comment "user chain for postrouting" -j postrouting_lan_rule
-A zone_lan_postrouting -s 192.168.1.0/24 -d 192.168.1.234/32 -p tcp -m tcp --dport 8080 -m comment --comment "eHDD (reflection)" -j SNAT --to-source 192.168.1.1
-A zone_lan_prerouting -m comment --comment "user chain for prerouting" -j prerouting_lan_rule
-A zone_lan_prerouting -s 192.168.1.0/24 -d 10.109.8.237/32 -p tcp -m tcp --dport 8080 -m comment --comment "eHDD (reflection)" -j DNAT --to-destination 192.168.1.234:8080
-A zone_wan_postrouting -m comment --comment "user chain for postrouting" -j postrouting_wan_rule
-A zone_wan_postrouting -j MASQUERADE
-A zone_wan_prerouting -i br-wan -j MINIUPNPD
-A zone_wan_prerouting -m comment --comment "user chain for prerouting" -j prerouting_wan_rule
-A zone_wan_prerouting -p tcp -m tcp --dport 8080 -m comment --comment eHDD -j DNAT --to-destination 192.168.1.234:8080
-A zone_wan_prerouting -p tcp -m tcp --dport 443 -m comment --comment turris -j REDIRECT --to-ports 443
-A zone_wan_prerouting -p tcp -m tcp --dport 22 -m comment --comment SSH -j REDIRECT --to-ports 22
COMMIT
# Completed on Thu Oct 30 13:47:06 2014
# Generated by iptables-save v1.4.20 on Thu Oct 30 13:47:06 2014
*raw
:PREROUTING ACCEPT [2746:721357]
:OUTPUT ACCEPT [854:252584]
:delegate_notrack - [0:0]
-A PREROUTING -j delegate_notrack
COMMIT
# Completed on Thu Oct 30 13:47:06 2014
# Generated by iptables-save v1.4.20 on Thu Oct 30 13:47:06 2014
*mangle
:PREROUTING ACCEPT [2746:721357]
:INPUT ACCEPT [869:136367]
:FORWARD ACCEPT [1690:524335]
:OUTPUT ACCEPT [856:253064]
:POSTROUTING ACCEPT [2547:777735]
:fwmark - [0:0]
:mssfix - [0:0]
-A PREROUTING -j fwmark
-A FORWARD -j mssfix
-A mssfix -o br-wan -p tcp -m tcp --tcp-flags SYN,RST SYN -m comment --comment "wan (mtu_fix)" -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Thu Oct 30 13:47:06 2014
# Generated by iptables-save v1.4.20 on Thu Oct 30 13:47:06 2014
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:MINIUPNPD - [0:0]
:accept - [0:0]
:delegate_forward - [0:0]
:delegate_input - [0:0]
:delegate_output - [0:0]
:forwarding_lan_rule - [0:0]
:forwarding_rule - [0:0]
:forwarding_wan_rule - [0:0]
:input_lan_rule - [0:0]
:input_rule - [0:0]
:input_wan_rule - [0:0]
:output_lan_rule - [0:0]
:output_rule - [0:0]
:output_wan_rule - [0:0]
:reject - [0:0]
:syn_flood - [0:0]
:turris - [0:0]
:zone_lan_dest_accept - [0:0]
:zone_lan_forward - [0:0]
:zone_lan_input - [0:0]
:zone_lan_output - [0:0]
:zone_lan_src_accept - [0:0]
:zone_wan_dest_REJECT - [0:0]
:zone_wan_dest_accept - [0:0]
:zone_wan_forward - [0:0]
:zone_wan_input - [0:0]
:zone_wan_output - [0:0]
:zone_wan_src_REJECT - [0:0]
-A INPUT -j delegate_input
-A FORWARD -j delegate_forward
-A OUTPUT -j delegate_output
-A accept -o br-wan -j turris
-A accept -j ACCEPT
-A delegate_forward -m comment --comment "user chain for forwarding" -j forwarding_rule
-A delegate_forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A delegate_forward -i br-lan -j zone_lan_forward
-A delegate_forward -i br-wan -j zone_wan_forward
-A delegate_forward -j reject
-A delegate_input -i lo -j ACCEPT
-A delegate_input -m comment --comment "user chain for input" -j input_rule
-A delegate_input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A delegate_input -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn_flood
-A delegate_input -i br-lan -j zone_lan_input
-A delegate_input -i br-wan -j zone_wan_input
-A delegate_input -j accept
-A delegate_output -o lo -j ACCEPT
-A delegate_output -m comment --comment "user chain for output" -j output_rule
-A delegate_output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A delegate_output -o br-lan -j zone_lan_output
-A delegate_output -o br-wan -j zone_wan_output
-A delegate_output -j accept
-A reject -p tcp -j REJECT --reject-with tcp-reset
-A reject -j REJECT --reject-with icmp-port-unreachable
-A syn_flood -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 25/sec --limit-burst 50 -j RETURN
-A syn_flood -j DROP
-A turris -o br-wan -m limit --limit 1/sec -m set --match-set turris_00005E11_l_a_4_X dst -j LOG --log-prefix "turris-00005E11: " --log-level 7
-A turris -o br-wan -m limit --limit 1/sec -m set --match-set turris_000E7E01_l_a_4_X dst -j LOG --log-prefix "turris-000E7E01: " --log-level 7
-A turris -o br-wan -m limit --limit 1/sec -m set --match-set turris_00415B11_l_a_4_X dst -j LOG --log-prefix "turris-00415B11: " --log-level 7
-A turris -o br-wan -m limit --limit 1/sec -m set --match-set turris_00557B71_l_ap_4_X dst,dst -j LOG --log-prefix "turris-00557B71: " --log-level 7
-A turris -o br-wan -m limit --limit 1/sec -m set --match-set turris_007E0511_l_a_4_X dst -j LOG --log-prefix "turris-007E0511: " --log-level 7
-A turris -o br-wan -m limit --limit 1/sec -m set --match-set turris_009A7E41_l_a_4_X dst -j LOG --log-prefix "turris-009A7E41: " --log-level 7
-A turris -o br-wan -m limit --limit 1/sec -m set --match-set turris_00A07051_l_a_4_X dst -j LOG --log-prefix "turris-00A07051: " --log-level 7
-A turris -o br-wan -m limit --limit 1/sec -m set --match-set turris_00A704A1_l_a_4_X dst -j LOG --log-prefix "turris-00A704A1: " --log-level 7
-A turris -o br-wan -m limit --limit 1/sec -m set --match-set turris_00CE6700_lb_ap_4_X dst,dst -j LOG --log-prefix "turris-00CE6700: " --log-level 7
-A turris -o br-wan -m limit --limit 1/sec -m set --match-set turris_00CE6701_l_a_4_X dst -j LOG --log-prefix "turris-00CE6701: " --log-level 7
-A turris -o br-wan -m limit --limit 1/sec -m set --match-set turris_00CE6701_l_ap_4_X dst,dst -j LOG --log-prefix "turris-00CE6701: " --log-level 7
-A turris -o br-wan -m limit --limit 1/sec -m set --match-set turris_00D05711_l_a_4_X dst -j LOG --log-prefix "turris-00D05711: " --log-level 7
-A turris -o br-wan -m limit --limit 1/sec -m set --match-set turris_00FE0D01_l_a_4_X dst -j LOG --log-prefix "turris-00FE0D01: " --log-level 7
-A turris -o br-wan -m limit --limit 1/sec -m set --match-set turris_047C0DE1_l_a_4_X dst -j LOG --log-prefix "turris-047C0DE1: " --log-level 7
-A turris -o br-wan -m limit --limit 1/sec -m set --match-set turris_06E7E701_l_a_4_X dst -j LOG --log-prefix "turris-06E7E701: " --log-level 7
-A turris -o br-wan -m limit --limit 1/sec -m set --match-set turris_0A566041_l_ap_4_X dst,dst -j LOG --log-prefix "turris-0A566041: " --log-level 7
-A turris -o br-wan -m set --match-set turris_00CE6700_lb_ap_4_X dst,dst -j DROP
-A zone_lan_dest_accept -o br-lan -j accept
-A zone_lan_forward -m comment --comment "user chain for forwarding" -j forwarding_lan_rule
-A zone_lan_forward -m comment --comment "forwarding lan -> wan" -j zone_wan_dest_accept
-A zone_lan_forward -m conntrack --ctstate DNAT -m comment --comment "Accept port forwards" -j accept
-A zone_lan_forward -j zone_lan_dest_accept
-A zone_lan_input -m comment --comment "user chain for input" -j input_lan_rule
-A zone_lan_input -m conntrack --ctstate DNAT -m comment --comment "Accept port redirections" -j accept
-A zone_lan_input -j zone_lan_src_accept
-A zone_lan_output -m comment --comment "user chain for output" -j output_lan_rule
-A zone_lan_output -j zone_lan_dest_accept
-A zone_lan_src_accept -i br-lan -j accept
-A zone_wan_dest_REJECT -m limit --limit 1/sec -j LOG --log-prefix "turris-000000: " --log-level 7
-A zone_wan_dest_REJECT -o br-wan -j reject
-A zone_wan_dest_accept -o br-wan -j accept
-A zone_wan_forward -i br-wan ! -o br-wan -j MINIUPNPD
-A zone_wan_forward -m comment --comment "user chain for forwarding" -j forwarding_wan_rule
-A zone_wan_forward -m conntrack --ctstate DNAT -m comment --comment "Accept port forwards" -j accept
-A zone_wan_forward -j zone_wan_dest_REJECT
-A zone_wan_input -m comment --comment "user chain for input" -j input_wan_rule
-A zone_wan_input -p udp -m udp --dport 68 -m comment --comment Allow-DHCP-Renew -j accept
-A zone_wan_input -p icmp -m icmp --icmp-type 8 -m comment --comment Allow-Ping -j accept
-A zone_wan_input -m conntrack --ctstate DNAT -m comment --comment "Accept port redirections" -j accept
-A zone_wan_input -j zone_wan_src_REJECT
-A zone_wan_output -m comment --comment "user chain for output" -j output_wan_rule
-A zone_wan_output -j zone_wan_dest_accept
-A zone_wan_src_REJECT -m limit --limit 1/sec -j LOG --log-prefix "turris-000000: " --log-level 7
-A zone_wan_src_REJECT -i br-wan -j reject
COMMIT
# Completed on Thu Oct 30 13:47:06 2014
Nadřazený - - Od Štěpán Henek Dne 2014-10-30 14:18
Trochu se v tom ztrácím.
Čeho konktrétně chcete dosáhnout? Připojit se na webové rozhraní vašeho turrisu z venku?
Pak ovšem stačí jen otevřít port na WANu
config rule
        option target 'ACCEPT'
        option src 'wan'
        option proto 'tcp'
        option dest_port '443'
        option name 'turris-web'
Nadřazený - - Od JF Dne 2014-10-30 14:56
Zaujímavé, toto funguje. Ale prečo mi pred tým fungovalo tamto celé mesiace a včera to fungovať prestalo?
Nadřazený - Od Štěpán Henek Dne 2014-10-30 15:07
My průběžně aktualizujeme balíky, které jsou v openwrt, takže je možné, že nějaká změna balíku firewallu z openwrt způsobila, že se to rozbilo.
Je možné, že tam nějak zpřísnili vytváření pravidel. A tím tohle zvláštně napsané pravidlo přestalo fungovat.
Nadřazený - Od Jerry Dne 2014-10-30 10:45
Také používám redirect na port 22 pro SSH a vše funguje OK i po upgradu
- - Od fojtp Dne 2014-10-30 10:48
nedoslo k restartu Turrisu a naslednemu prideleni jine IP adresy ve vnitrni siti?
Nadřazený - Od JF Dne 2014-10-30 13:07 Upraveno 2014-10-30 13:13
Turris som reštartoval a to niekoľkokrát či sa nespamätá. Zmena IP je vylúčená, turris má stále rovnakú IP. Vo vnútri v sieti prístup funguje, ale z vonka dnu vôbec.

Prístup na server z vonka funguje, takže niekde je zádrhel v prístupe na turris.

Začínam rozmýšľať že ho reštartujem do továrneho nastavenia či táto akcia nepomôže.
- - Od Kamenitxan Dne 2014-10-30 19:02
Já mám úplně stejný problém, restartování firewallu nepomohlo. Přikládám krátkou ukázku /etc/config/firewall, nefunguje ale žádný redirect.

config redirect
  option target 'DNAT'
  option src 'wan'
  option dest 'lan'
  option proto 'tcp'
  option src_dport '80'
  option dest_ip '192.168.1.1'
  option name 'router nginx'
  option dest_port '80'

config redirect
  option target 'DNAT'
  option src 'wan'
  option dest 'lan'
  option proto 'tcp'
  option src_dport '5900'
  option dest_ip '192.168.1.30'
  option dest_port '5900'
  option name 'VNC'

config redirect
  option target 'DNAT'
  option src 'wan'
  option dest 'lan'
  option proto 'tcp udp'
  option src_dport '8888'
  option dest_ip '192.168.1.30'
  option dest_port '8888'
  option name 'mac apache'

config redirect
  option target 'DNAT'
  option src 'wan'
  option dest 'lan'
  option proto 'tcp udp'
  option src_dport '8000'
  option dest_ip '192.168.1.30'
  option dest_port '8000'
  option name 'django'
Nadřazený - - Od Štěpán Henek Dne 2014-10-31 09:11
A máte ty porty povolené na firewallu?
config rule
        option target 'ACCEPT'
        option src 'wan'
        option proto 'tcp'
        option dest_port '80'
        option name 'router nginx'
...
Nadřazený - - Od Kamenitxan Dne 2014-10-31 15:06
Měly by být. Před aktualizací to fungovalo a já nic neměnil.
Nadřazený - - Od Jan Čermák (>>) Dne 2014-10-31 16:49
Máte úplně stejný problém a mělo by zabrat úplně stejné řešení, jako kolega Henek posílal výše. Pro otevření portu na routeru nepoužívejte port forwarding, ale obyčejné otevření portu. Pravidla pro přesměrování na 192.168.1.30 by ale měla fungovat stále.
Nadřazený - Od Mira.S Dne 2014-10-31 18:17
Já používám portforwarding pro připojení na Turris na "exotickém portu" a to stále funguje. Jak pro vnitřní 443 tak i pro 22.
V tomto ohledu se nic nezměnilo.
Nadřazený - Od Kamenitxan Dne 2014-11-03 09:03
Tak na router se už dostanu. Redirect na ostatní PC ale opravdu nefunguje.
- Od TomD Dne 2014-11-02 19:15
V mém případě jsem našel zradu v nějaké optimalizaci pri vytvareni pravidel.

V prvním případě provádím forwarding portu 22 na jiný stroj v lan 192.168.7.5 port 22
Ve druhém případě provádím forwarding portu 2222 na turis port 22, ale na vnitřní lan interface turrisu, jelikos sshd mam rozjety jen na vnitrnim lan...

public:22 => 192.168.7.5:22
public:2222 => 192.168.7.1:22

Dve stejne pravidla s jinymi porty a hosty vygeneruji pres luci tohle.

1     40 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22 /* ssh */ to:192.168.7.5:22
0     0 REDIRECT   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:2222 /* ssh2222 */ redir ports 22

respektive

iptables -t nat -A zone_wan_prerouting -p tcp -m tcp --dport 22 -m comment --comment ssh -j DNAT --to-destination 192.168.7.5:22
iptables -t nat -A zone_wan_prerouting -p tcp -m tcp --dport 2222 -m comment --comment ssh2222 -j REDIRECT --to-ports 22

Pokud zmenim IP lan z 192.168.7.1 na 192.168.7.5 tak to funguje...
Luci proste predpoklada, ze kdyz je ta IP jedna z definovanych na turrise, tak to bezi na vsech interface a specifikaci IP zahodi a udela optimalizaci na jen port redirect.

Pokud rucne druhe pravidlo smazu z iptables a zadam rucne upravene tak jak jsem to zamyslel... vse funguje o.k.

iptables -t nat -A zone_wan_prerouting -p tcp -m tcp --dport 2222 -m comment --comment ssh2222 -j DNAT --to-destination 192.168.7.1:22

Poradi nekdo jak to obejit (kromne zadavani pravidla jako extra vlastni pravidlo) ???
Nahoru Téma Majitelé routerů / Technická podpora / Firewall po aktualizácií 29.10.'14 nefunkčný port forwarding

Powered by mwForum 2.29.3 © 1999-2013 Markus Wichitill