Проброс портов - От А до Я

Post new topic   Reply to topic    DD-WRT Forum Forum Index -> Использование и установка DD-WRT
Goto page 1, 2  Next
Author Message
beastx
DD-WRT User


Joined: 19 Dec 2008
Posts: 180
Location: Russia

PostPosted: Fri Mar 16, 2012 23:14    Post subject: Проброс портов - От А до Я Reply with quote
1.DMZ
Настройка DMZ — указывается IP компьютера, на который будут перенаправляться абсолютно все входящие соединения. Однако в случае комбинированных соединений, например DualAccess PPPoE, проброс портов из локальной сети провайдера придется делать в любом случае ручками через стартовые скрипты.
Не рекомендую DMZ абсолютно никому в целях безопасности, ибо, как говорит небезызвестный Михаил Фленов, надо запрещать абсолютно всё, что явно не разрешено.

Настройка DMZ — операция в буквально два движения мышкой.
Идем на вкладку NAT/QOS — DMZ.
Включаем DMZ и указываем IP порта, куда направлять ВСЕ входящие сообщения.

Нажимаем «применить» и собственно всё, ничего сложного и страшного, кроме создания опасности для компьютера. Теперь злоумышленникам легче достучаться до вашего компьютера.
Лучше подобрать более подходящий способ пробросить порты из предложенных ниже.

2. UPnP
Использование UPnP — ужасно удобная вещь. Позволяет не указывать вручную в настройках маршрутизатора перенаправление портов для программ, которые поддерживают этот стандартВ двух словах — программа при запуске сама будет посылать маршрутизатору информацию какие порты ей нужны. Пример такой программы — µTorrent (она же uTorrent).Но опять же в целях безопасности — не стоит использовать. Мало ли какой хитрый вирус попадет к вам на компьютер.UPnP, настраиваемый в веб-интерфейсе DD-WRT так же работает только для основного подключения. Для локальной зоны оператора при комбинированном (DualAccess) подключении придется опять таки ручками перенаправлять.

Настройка UPnP столь же банальна на стороне маршрутизатора.
Переходим на вкладку NAT/QOS — UPnP.
Включаем UPnP, включаем или отключаем очистку старых данных при перезагрузке на своё усмотрение. Если для разных целей используете разные порты — то точно не понадобится.

Нажимаем так же «применить» и теперь программы, умеющие работать с UPnP сами перенаправят нужные порты на себя.
Удобно, но не все программы умеют. А вот всякие вирусы-backdoor’ы умеют, так что осторожнее.

3. Через веб-интерфейс
Проброс портов через веб-интерфейс — оптимальный и достаточный вариант если используется не комбинированное подключение или же комбинированное и нет надобности открывать порты в локальной сети.В плане безопасности — если открывать только нужные порты для своего компьютера, то всё будет здорово и безопасно.

Итак переходим к ручному пробросу портов.
Идем на вкладку NAT/QOS — Перенаправление портов.
Здесь указываем:

Приложение — название программы для которой предназначено правило. Необходимо для удобства, чтобы потом не запутаться что и где перенаправляем.
Протокол — TCP, UDP или Оба. В зависимости от типа протокола, который использует программа. Если не знаете или не уверены — указывайте Оба.
Source Net — откуда идет входящее соединение. Если без разницы или не уверены — оставляйте пустым
Порт источник — на какой порт идет входящее подключение. Если не знаете что указывать — указывайте порт, прописанный в программе
IP-адрес — здесь указывайте IP адрес компьютера в домашней сети, куда перенаправляете
Порт приемник — порт, указанный в программе, для которой настраиваете проброс портов
Включить — отмечаете галочкой какие правила активны. Если вдруг надо отключить проброс портов, то не стоит удалять правило, просто снимаете галочку.

Способ самый удобный, но не достаточный в случае с DualAccess PPPoE/PPTP. Как быть с этими комбинированными подключениями — ниже.

4. Через стартовые скрипты
Ручной проброс портов через стартовые скрипты — самый некомфортный для новичков способ, однако без него с DualAccess-подключениями не обойтись, если надо заставить работать программы с локальной сетью провайдера.
По безопасности — точно так же как и проброс портов через веб-интерфейс. Если пробрасывать только нужное — то не смертельно.

Проброс портов через скрипты используется, как правило, при использовании типа соединения DualAccess.
В данном случае необходимо пробросить порты так же из локальной зоны провайдера, но вот незадача — через веб-интерфейс пробрасываются только порты основного соединения (ppp0).
Чтобы перенаправить порты и из локальной зоны делаем следующее.
Идем на вкладку Тех. обслуживание — Команды
И в поле для ввода текста вводим строки заменяя значения на свои:

Code:
iptables -A FORWARD -s 10.0.0.0/8 -j ACCEPT
iptables -A FORWARD -d 10.0.0.0/8 -j ACCEPT
iptables -I POSTROUTING -t nat -o vlan1 -d 10.0.0.0/8 -j MASQUERADE

iptables -t nat -A PREROUTING -i vlan1 -p tcp --dport 31818 -j DNAT --to-dest 192.168.1.125:31818
iptables -t nat -A PREROUTING -i vlan1 -p udp --dport 31818 -j DNAT --to-dest 192.168.1.125:31818


Где
10.0.0.0/8 — подсеть и маска сети провайдера (тоже самое, что 10.0.0.0/255.0.0.0). Узнать можно у провайдера.
vlan1 — имя WAN-интерфейса (ну или нужного вам, если, например, MultiWAN настраиваете)
31818 — перенаправляемый порт.
tcp и udp — тип протокола.
192.168.1.125 — IP-адрес компьютера, на который перенаправляем обращение к порту.

Здесь первые три строки — сообщаем брандмауэру о существовании локальной сети. Их должно быть ровно три, дублировать не надо.

Последние две строки — перенаправляем udp и tcp протоколы порта 31818 на нужный нам компьютер. Они даны для примера, и их может быть любое количество. Меняйте данные на свои только.

После того, как сформировали все свои требования к брандмауэру — нажимаем Сохр.брандмауэр и ждем перезагрузки роутера.

Оригинал статьи: Настройка перенаправления портов в DD-WRT


Last edited by beastx on Thu Mar 22, 2012 13:24; edited 2 times in total
Sponsor
KeithSampson
DD-WRT Novice


Joined: 11 Oct 2013
Posts: 1

PostPosted: Fri Oct 11, 2013 11:06    Post subject: Reply with quote
Здравствуйте,

Спасибо за инструкцию по пробросу. Все понятно если говорить о пробросе порта на конкретный ПК.

Но не понятно как быть с широковещательными каналами.
Роутер на DD-WRT стоит внутри домашней сети. Структура примерно такая:

Домашняя сеть 192.168.0.0/24
Адрес роутера на DD-WRT в домашней сети 192.168.0.130/24
Сеть внутри роутера DD-WRT 10.10.10.0/24

В домашней сети есть DLNA сервер который работает на стандартных портах (UDP: 1900 и TCP: 50001, 50002) по адресу 192.168.0.120.

Как пробросить порты UDP: 1900 и TCP: 50001, 50002 во внутреннюю сеть роутера так, что б их слушали все клиенты внутренней сети, и соответственно посылали ответы серверу если надо.

Спасибо за советы.
Alex_Jet
DD-WRT Novice


Joined: 29 Oct 2013
Posts: 2

PostPosted: Mon Jan 27, 2014 6:48    Post subject: Reply with quote
У меня на Asus RT-N10U возникла следующая проблема:
на роутере со статическим WAN IP, DD-WRT и LAN 192.168.0.1 настроен PPTP сервер. На него через 3G стучится клиент с LAN 192.168.1.0.
На роутере-сервере делаю проброс портов (см. вложение): порт 9001 на 192.168.1.1 порт 80. Но доступа к устройству с IP 192.168.1.1 из интернета нет! Ели подключаюсь смартфоном по PPTP к серверу, то доступ есть. В чем может быть дело? Где какой "галочки" не хватает?
atlant_is
DD-WRT Novice


Joined: 06 Oct 2012
Posts: 15

PostPosted: Wed Feb 26, 2014 12:39    Post subject: Тема мертвая, но все же... Reply with quote
Доброе время суток всем.
Раз уж тема про проброс портов в DD-WRT - рискну задать вопрос.
Есть у меня локальная сеть за роутером 192.168.0.1-254. У самого роутера адрес 192.168.0.50 На сервере 192.168.0.1 есть веб-сервер и кучка нужных мне сервисов. Я его добавил его в DMZ. Снаружи все работает. А вот изнутри при переходе по внешнему адресу веб-сервера (доменному имени) ничего не открывается. С оригинальной прошивкой от роутера - все нормально...
Alex_Jet
DD-WRT Novice


Joined: 29 Oct 2013
Posts: 2

PostPosted: Thu Feb 27, 2014 2:16    Post subject: Re: Тема мертвая, но все же... Reply with quote
atlant_is wrote:
Доброе время суток всем.
Раз уж тема про проброс портов в DD-WRT - рискну задать вопрос.
Есть у меня локальная сеть за роутером 192.168.0.1-254. У самого роутера адрес 192.168.0.50 На сервере 192.168.0.1 есть веб-сервер и кучка нужных мне сервисов. Я его добавил его в DMZ. Снаружи все работает. А вот изнутри при переходе по внешнему адресу веб-сервера (доменному имени) ничего не открывается. С оригинальной прошивкой от роутера - все нормально...

Добрый день!

Я со своей проблемой, точнее трудностью довольно легко разобрался по статье - http://www.opennet.ru/docs/RUS/iptables/ (читал первоисточник на английском, п 6.5.2). Полученное в приложении.
Поэтому читайте вышеуказанное руководство или например, это на http://easylinux.ru/node/190/ чтобы понять что необходимо сделать. Linux - это очень гибкая вещь!
domnabannom
DD-WRT Novice


Joined: 31 Jul 2014
Posts: 3

PostPosted: Wed Aug 13, 2014 10:55    Post subject: Re: Проброс портов - От А до Я Reply with quote
Люди, помогите, пожалуйста!

У меня соединение с провайдером PPPoE (Dual Access)... Поэтому все беды, что Outlook-у не пробрасываются нужные порты через роутер, чтобы соединиться с Exchange... Скажите, как прописать iptable и какие ещё настройки сделать в роутере, в dd-wrt?

Анализ посредством Microsoft Network Monitor 3.4 показал, что Outlook обращается ко множеству портов, и, что интересно, всё время к разным, но в диапазоне 56560.... 56540... и т.д.

Я в заполнении iptable не имею опыта. Но понимаю, что надо прописать команду брандмауэру dd-wrt... Как такая команда должна выглядеть?

Да, смотрел статью автора этого топика, все вроде бы понятно, но ничего не работает....((((

В ней НЕ приводится пример, как прописать диапазон портов, например с 1 по 65535. Ведь мой Outlook просит соединение через множество портов, и как прописать сразу диапазон портов с помощью iptable?!

И ещё в статье не очень ясно сказано о подсети провайдера и маске. Эти данные можно увидеть в статусе подключения самого роутера, чтобы не спрашивать у провайдера?
erich6
DD-WRT Novice


Joined: 20 Sep 2012
Posts: 28

PostPosted: Wed Oct 28, 2015 13:41    Post subject: 1043nd v1 Reply with quote
Помогите пробросить из интернета udp порт (28961) на локальный адрес 192.168.1.2

Подключение к провайдеру производится по PPPoE с логином и паролем. Через веб интерфейс работает проброс только TCP, а вот UDP никак.
vasek00
DD-WRT Guru


Joined: 06 Nov 2010
Posts: 3295

PostPosted: Wed Oct 28, 2015 15:32    Post subject: Re: 1043nd v1 Reply with quote
erich6 wrote:
Помогите пробросить из интернета udp порт (28961) на локальный адрес 192.168.1.2

Подключение к провайдеру производится по PPPoE с логином и паролем. Через веб интерфейс работает проброс только TCP, а вот UDP никак.

Проверено на релизе сентябрь-октябрь 2015, на ранних думаю тоже работает.
Code:
root@My:~# iptables -nvL
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
...
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            192.168.1.2         udp dpt:28961
...
root@My:~# iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 49 packets, 3615 bytes)
 pkts bytes target     prot opt in     out     source               destination         
...
    0     0 DNAT       udp  --  *      *       0.0.0.0/0            [IP_интернета]         udp dpt:28961 to:192.168.1.2:28961
...

Двнное правило добавлено через WEB настройки Port Forwarding в окне Forwards поле Protocol выбор "UDP"
erich6
DD-WRT Novice


Joined: 20 Sep 2012
Posts: 28

PostPosted: Wed Oct 28, 2015 18:14    Post subject: Re: 1043nd v1 Reply with quote
vasek00 wrote:
erich6 wrote:
Помогите пробросить из интернета udp порт (28961) на локальный адрес 192.168.1.2

Подключение к провайдеру производится по PPPoE с логином и паролем. Через веб интерфейс работает проброс только TCP, а вот UDP никак.

Проверено на релизе сентябрь-октябрь 2015, на ранних думаю тоже работает.
Code:
root@My:~# iptables -nvL
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
...
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            192.168.1.2         udp dpt:28961
...
root@My:~# iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 49 packets, 3615 bytes)
 pkts bytes target     prot opt in     out     source               destination         
...
    0     0 DNAT       udp  --  *      *       0.0.0.0/0            [IP_интернета]         udp dpt:28961 to:192.168.1.2:28961
...

Двнное правило добавлено через WEB настройки Port Forwarding в окне Forwards поле Protocol выбор "UDP"


в таком виде у меня не работает, может прошивка старая?
Code:
root@DD-WRT:~# iptables -nvL
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            192.168.1.2        udp dpt:28961
   

root@DD-WRT:~# iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 16431 packets, 2118K bytes)
 pkts bytes target     prot opt in     out     source               destination

    0     0 DNAT       udp  --  *      *       0.0.0.0/0            31.172.212.191      udp dpt:28961 to:192.168.1.2:28961
 
root@DD-WRT:~#
vasek00
DD-WRT Guru


Joined: 06 Nov 2010
Posts: 3295

PostPosted: Thu Oct 29, 2015 7:33    Post subject: Re: 1043nd v1 Reply with quote
erich6 wrote:

в таком виде у меня не работает, может прошивка старая?
Code:
root@DD-WRT:~# iptables -nvL
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            192.168.1.2        udp dpt:28961
   

root@DD-WRT:~# iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 16431 packets, 2118K bytes)
 pkts bytes target     prot opt in     out     source               destination

    0     0 DNAT       udp  --  *      *       0.0.0.0/0            31.172.212.191      udp dpt:28961 to:192.168.1.2:28961
 
root@DD-WRT:~#


Прошивка середина 2014года, сейчас 2015год.

И в чем проблема проброс UDP есть, если надо еще и TCP то делаете и на него, тогда будут два правила в место одного.

Первая показывает источник 0.0.0.0/0 любой IP, получатель 192.168.1.2, протокол udp, порт dpt:28961

Quote:
DNAT (Destination Network Address Translation) используется для преобразования адреса места назначения в IP заголовке пакета.


Вторая говорит о том, что будет подставлен адрес в качестве адреса получателя 31.хх.хх.191, а во всех пакетах udp пришедших на 31.хх.хх.191:28961 будет подставлен адрес 192.168.1.2:28961

Так же посмотрите реально какие порты нужны для Call Of Duty может 28960
erich6
DD-WRT Novice


Joined: 20 Sep 2012
Posts: 28

PostPosted: Fri Oct 30, 2015 6:00    Post subject: Re: 1043nd v1 Reply with quote
vasek00 wrote:

Так же посмотрите реально какие порты нужны для Call Of Duty может 28960

На прошивке версии 28015 (самой последней на данный момент) так же не работает проброс именно по протоколу UDP, причём вообще ни один порт по этому протоколу не доступен из интернета, хотя по telnet видно, что правило есть и должно работать. Проверено на 4-х компах и все без фаэрвола и всего прочего, что мешало бы.
vasek00
DD-WRT Guru


Joined: 06 Nov 2010
Posts: 3295

PostPosted: Fri Oct 30, 2015 8:36    Post subject: Re: 1043nd v1 Reply with quote
erich6 wrote:

На прошивке версии 28015 (самой последней на данный момент) так же не работает проброс именно по протоколу UDP, причём вообще ни один порт по этому протоколу не доступен из интернета, хотя по telnet видно, что правило есть и должно работать. Проверено на 4-х компах и все без фаэрвола и всего прочего, что мешало бы.

А как вы определяете что проблема в роутере по пробросу, по игре работает не работает или еще как?
А как на счет включения UPNP на http://192.168.1.1/UPnP.asp
erich6
DD-WRT Novice


Joined: 20 Sep 2012
Posts: 28

PostPosted: Sat Oct 31, 2015 6:35    Post subject: Re: 1043nd v1 Reply with quote
vasek00 wrote:

А как вы определяете что проблема в роутере по пробросу, по игре работает не работает или еще как?
А как на счет включения UPNP на http://192.168.1.1/UPnP.asp

Определяю так: запускаю сервер и следом сканер открытых портов, там вижу, что сервер поднят на порту udp :28961 - соответственно с другого компа по локальной сети подключиться могу, а вот из интернета порт недоступен. Но я уже думаю, что видимо дело не в роутере, зря только вас отвлекаю
sterhv
DD-WRT Novice


Joined: 12 Feb 2016
Posts: 1

PostPosted: Fri Feb 12, 2016 22:28    Post subject: Reply with quote
Други, подскажите плз, а реально ли на роутере с адресом 192.168.0.1 сделать проброс портов на адреса 192.168.1.xxx ? И если реально, то как ? Сеть 192.168.1.xxx подключается по VPN, маршрут настроен, локальные машины из сети 192.168.0.xxx имеют доступ к ресурсам сети 192.168.1.xxx и наоборот. Железка Linksys E3000, проша DD-WRT v3.0-r28320 mini (11/25/15)
Заранее спасибо.
Neo128
DD-WRT Novice


Joined: 13 Feb 2016
Posts: 1

PostPosted: Sat Feb 13, 2016 2:24    Post subject: Reply with quote
Это всё, конечно, хорошо, но мне нужно с внешки во внешку пробросить...
Если точнее, то всех, кто ломится на мой внешний IP по 80 порту, нужно перенаправить на другой внешний IP (допустим 109.174.123.123) на порт 12345.
iptables раньше вообще не юзал, может я чего и не понял... не работает как тока ни крутил... вот например пробовал прописать в Firewall:
Code:
iptables -t filter -I INPUT 2 -p tcp --dport 12345 -j ACCEPT
iptables -t filter -I INPUT 2 -p tcp --dport 80 -j ACCEPT
iptables -t nat -I PREROUTING 1 -p tcp --dport 80 -j DNAT --to-dest 109.174.123.123:12345

Что я делаю не так?
DD-WRT v24-sp2 (12/22/14) std[/code]
Goto page 1, 2  Next Display posts from previous:    Page 1 of 2
Post new topic   Reply to topic    DD-WRT Forum Forum Index -> Использование и установка DD-WRT All times are GMT

Navigation

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
You cannot attach files in this forum
You cannot download files in this forum