Косяки так и прут толпой

Post new topic   Reply to topic    DD-WRT Forum Forum Index -> Оборудование на основе Atheros WiSOC
Author Message
ssergey
DD-WRT Novice


Joined: 17 Jan 2014
Posts: 31

PostPosted: Fri Oct 09, 2015 9:08    Post subject: Косяки так и прут толпой Reply with quote
Не пробрасываются порты на внутренний адрес 21 порта. После обновления потерялся доступ к FTP.
с роутера
Code:
telnet Внеш_IP 21
telnet: can't connect to remote host (213.141.xxx.xxx): Connection refused

Code:
telnet Внутр_IP 21
220 Serv-U FTP Server v15.1 ready...


На 80 порт через внешний IP нормально лезет.
Code:
telnet Внеш_IP 80
HTTP/1.0 400 Bad Request
Content-Type: text/html
Server: httpd
...


DD-WRT v3.0-r27858 std (09/28/15)
Netgear WNDR3800

Хорошо хоть косяк с WIFI поправили. в двух предыдущих (если склероз не изменяет) прошивках WIFI работал исключительно с внутренней сетью.
Слишком много косяков в последних прошивках и закопано не глубоко.
Sponsor
vasek00
DD-WRT Guru


Joined: 06 Nov 2010
Posts: 3309

PostPosted: Fri Oct 09, 2015 15:02    Post subject: Re: Косяки так и прут толпой Reply with quote
Вы о чем ?

http://192.168.1.1/NAS.asp - ProFTPD (Enable) так же
Server Port - 21 (Default: 21)
WAN Access - Enable

далее iptables
Code:
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
...
    0     0 ACCEPT     tcp  --  vlan2  *       0.0.0.0/0            0.0.0.0/0           tcp dpt:21
...

где vlan2 - wan порт подключенный к провайдеру.

По умолчанию данной строки с "iptables" - нет для 21 порта.
ssergey
DD-WRT Novice


Joined: 17 Jan 2014
Posts: 31

PostPosted: Fri Oct 09, 2015 18:04    Post subject: Reply with quote
Наверно скомкано обрисовал схему
Задача:
Пропускать FTP-трафик из инета на хост в локалке на 21 порт
Данная схема работала до недавнего времени
Code:
iptables -I INPUT 9 -i ppp0  -p tcp --dport 21 -j ACCEPT

После добавления правила в цепочку INPUT начали попадать пакеты
Code:
9        2   120 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:21

Но на целевой хост трафик не приходит. Форвардинг 21 порта настроен на нужный хост
Для выхода в инет используется PPPoE канал
Естественно http://192.168.1.1/NAS.asp ProFTPD Disable
При прошивке настройки не сбрасывал
ssergey
DD-WRT Novice


Joined: 17 Jan 2014
Posts: 31

PostPosted: Fri Oct 09, 2015 18:14    Post subject: Reply with quote
копаясь в консоли заметил 2 странных правила
точнее второе правило оказалось (как мне кажется) не на своём месте

Code:
14   24374 5890K DROP       0    --  *      *       0.0.0.0/0            0.0.0.0/0
15       0     0 ACCEPT     0    --  tun0   *       0.0.0.0/0            0.0.0.0/0

но возможно просто не до конца логику понимаю
AlDemin
DD-WRT User


Joined: 20 Mar 2014
Posts: 139

PostPosted: Sat Oct 10, 2015 16:49    Post subject: Reply with quote
Если Вам нужно пробросить пакеты внутрь, то какого лешего правила делают в INPUT-е ? Правила должны быть в -nat PREROUTING и необязательно в FORWARD, +должны быть загружены (если не вкомпилены в ядро) модули nf-nat-ftp nf-commtrack-ftp (с названиями могу ошибаться), простого проброса 21-го порта недостаточно, протокол ftp для проброса через nat требует обработки выше уровня tcp/ip для чего и нужны эти модули.

ИМХО надо роутер сбросить и настроить заново, вот только побрасывать надо не 21й порт а FTP-протокол (это две большие разницы).
vasek00
DD-WRT Guru


Joined: 06 Nov 2010
Posts: 3309

PostPosted: Sun Oct 11, 2015 6:39    Post subject: Reply with quote
ssergey
Пакет при входе на WAN порт роутера может получить два маршрута:
- транзитный (PREROUTING----------FORWARD---------POSTROUTING)
- локальный (PREROUTING-INPUT (лок.сервис) OUTPUT-POSTROUTING)

PREROUTING - это грубо говоря "место" где нужно принять решение куда пойдет входящий пакет, для лок приложения (FTP, HTTP и т.д. в INPUT) или другому локальному узлу сети (в FORWARD).

Все зависит от того что вам надо.

Мной описан - локальный, т.е. FTP на самом dd-wrt.

21/TCP для команд, 20/TCP для данных
ssergey
DD-WRT Novice


Joined: 17 Jan 2014
Posts: 31

PostPosted: Sun Oct 11, 2015 10:42    Post subject: Reply with quote
Пробовал давить правила в iptables и руками пытался пробросить порт
Code:
iptables -t nat -A PREROUTING -p tcp -d Внеш_IP --dport 21 -j DNAT --to-destination Внутр_IP:21
iptables -A FORWARD -i ppp0 -d Внутр_IP -p tcp --dport 21 -j ACCEPT

не помогло
перезапустил роутер, вынес все перенаправления через админку, снова перезапустил роутер и создал нужные правила так же через админку
Всё заработало. Как я предполагаю, косяк был в конфигурации (скорее всего не полностью прижилась на новой прошивке)
С iptables имел мало опыта и в основном на простых конфигурациях
Всем спасибо за помощь. Не хотел полностью сносить конфиг хотя мысль такая была. В итоге обошлось перебивкой правил
Display posts from previous:    Page 1 of 1
Post new topic   Reply to topic    DD-WRT Forum Forum Index -> Оборудование на основе Atheros WiSOC All times are GMT

Navigation

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
You cannot attach files in this forum
You cannot download files in this forum