Posted: Fri Mar 16, 2012 23:14 Post subject: Проброс портов - От А до Я
1.DMZ
Настройка DMZ — указывается IP компьютера, на который будут перенаправляться абсолютно все входящие соединения. Однако в случае комбинированных соединений, например DualAccess PPPoE, проброс портов из локальной сети провайдера придется делать в любом случае ручками через стартовые скрипты.
Не рекомендую DMZ абсолютно никому в целях безопасности, ибо, как говорит небезызвестный Михаил Фленов, надо запрещать абсолютно всё, что явно не разрешено.
Настройка DMZ — операция в буквально два движения мышкой.
Идем на вкладку NAT/QOS — DMZ.
Включаем DMZ и указываем IP порта, куда направлять ВСЕ входящие сообщения.
Нажимаем «применить» и собственно всё, ничего сложного и страшного, кроме создания опасности для компьютера. Теперь злоумышленникам легче достучаться до вашего компьютера.
Лучше подобрать более подходящий способ пробросить порты из предложенных ниже.
2. UPnP
Использование UPnP — ужасно удобная вещь. Позволяет не указывать вручную в настройках маршрутизатора перенаправление портов для программ, которые поддерживают этот стандартВ двух словах — программа при запуске сама будет посылать маршрутизатору информацию какие порты ей нужны. Пример такой программы — µTorrent (она же uTorrent).Но опять же в целях безопасности — не стоит использовать. Мало ли какой хитрый вирус попадет к вам на компьютер.UPnP, настраиваемый в веб-интерфейсе DD-WRT так же работает только для основного подключения. Для локальной зоны оператора при комбинированном (DualAccess) подключении придется опять таки ручками перенаправлять.
Настройка UPnP столь же банальна на стороне маршрутизатора.
Переходим на вкладку NAT/QOS — UPnP.
Включаем UPnP, включаем или отключаем очистку старых данных при перезагрузке на своё усмотрение. Если для разных целей используете разные порты — то точно не понадобится.
Нажимаем так же «применить» и теперь программы, умеющие работать с UPnP сами перенаправят нужные порты на себя.
Удобно, но не все программы умеют. А вот всякие вирусы-backdoor’ы умеют, так что осторожнее.
3. Через веб-интерфейс
Проброс портов через веб-интерфейс — оптимальный и достаточный вариант если используется не комбинированное подключение или же комбинированное и нет надобности открывать порты в локальной сети.В плане безопасности — если открывать только нужные порты для своего компьютера, то всё будет здорово и безопасно.
Итак переходим к ручному пробросу портов.
Идем на вкладку NAT/QOS — Перенаправление портов.
Здесь указываем:
Приложение — название программы для которой предназначено правило. Необходимо для удобства, чтобы потом не запутаться что и где перенаправляем.
Протокол — TCP, UDP или Оба. В зависимости от типа протокола, который использует программа. Если не знаете или не уверены — указывайте Оба.
Source Net — откуда идет входящее соединение. Если без разницы или не уверены — оставляйте пустым
Порт источник — на какой порт идет входящее подключение. Если не знаете что указывать — указывайте порт, прописанный в программе
IP-адрес — здесь указывайте IP адрес компьютера в домашней сети, куда перенаправляете
Порт приемник — порт, указанный в программе, для которой настраиваете проброс портов
Включить — отмечаете галочкой какие правила активны. Если вдруг надо отключить проброс портов, то не стоит удалять правило, просто снимаете галочку.
Способ самый удобный, но не достаточный в случае с DualAccess PPPoE/PPTP. Как быть с этими комбинированными подключениями — ниже.
4. Через стартовые скрипты
Ручной проброс портов через стартовые скрипты — самый некомфортный для новичков способ, однако без него с DualAccess-подключениями не обойтись, если надо заставить работать программы с локальной сетью провайдера.
По безопасности — точно так же как и проброс портов через веб-интерфейс. Если пробрасывать только нужное — то не смертельно.
Проброс портов через скрипты используется, как правило, при использовании типа соединения DualAccess.
В данном случае необходимо пробросить порты так же из локальной зоны провайдера, но вот незадача — через веб-интерфейс пробрасываются только порты основного соединения (ppp0).
Чтобы перенаправить порты и из локальной зоны делаем следующее.
Идем на вкладку Тех. обслуживание — Команды
И в поле для ввода текста вводим строки заменяя значения на свои:
Где
10.0.0.0/8 — подсеть и маска сети провайдера (тоже самое, что 10.0.0.0/255.0.0.0). Узнать можно у провайдера.
vlan1 — имя WAN-интерфейса (ну или нужного вам, если, например, MultiWAN настраиваете)
31818 — перенаправляемый порт.
tcp и udp — тип протокола.
192.168.1.125 — IP-адрес компьютера, на который перенаправляем обращение к порту.
Здесь первые три строки — сообщаем брандмауэру о существовании локальной сети. Их должно быть ровно три, дублировать не надо.
Последние две строки — перенаправляем udp и tcp протоколы порта 31818 на нужный нам компьютер. Они даны для примера, и их может быть любое количество. Меняйте данные на свои только.
После того, как сформировали все свои требования к брандмауэру — нажимаем Сохр.брандмауэр и ждем перезагрузки роутера.
Спасибо за инструкцию по пробросу. Все понятно если говорить о пробросе порта на конкретный ПК.
Но не понятно как быть с широковещательными каналами.
Роутер на DD-WRT стоит внутри домашней сети. Структура примерно такая:
Домашняя сеть 192.168.0.0/24
Адрес роутера на DD-WRT в домашней сети 192.168.0.130/24
Сеть внутри роутера DD-WRT 10.10.10.0/24
В домашней сети есть DLNA сервер который работает на стандартных портах (UDP: 1900 и TCP: 50001, 50002) по адресу 192.168.0.120.
Как пробросить порты UDP: 1900 и TCP: 50001, 50002 во внутреннюю сеть роутера так, что б их слушали все клиенты внутренней сети, и соответственно посылали ответы серверу если надо.
У меня на Asus RT-N10U возникла следующая проблема:
на роутере со статическим WAN IP, DD-WRT и LAN 192.168.0.1 настроен PPTP сервер. На него через 3G стучится клиент с LAN 192.168.1.0.
На роутере-сервере делаю проброс портов (см. вложение): порт 9001 на 192.168.1.1 порт 80. Но доступа к устройству с IP 192.168.1.1 из интернета нет! Ели подключаюсь смартфоном по PPTP к серверу, то доступ есть. В чем может быть дело? Где какой "галочки" не хватает?
Posted: Wed Feb 26, 2014 12:39 Post subject: Тема мертвая, но все же...
Доброе время суток всем.
Раз уж тема про проброс портов в DD-WRT - рискну задать вопрос.
Есть у меня локальная сеть за роутером 192.168.0.1-254. У самого роутера адрес 192.168.0.50 На сервере 192.168.0.1 есть веб-сервер и кучка нужных мне сервисов. Я его добавил его в DMZ. Снаружи все работает. А вот изнутри при переходе по внешнему адресу веб-сервера (доменному имени) ничего не открывается. С оригинальной прошивкой от роутера - все нормально...
Posted: Thu Feb 27, 2014 2:16 Post subject: Re: Тема мертвая, но все же...
atlant_is wrote:
Доброе время суток всем.
Раз уж тема про проброс портов в DD-WRT - рискну задать вопрос.
Есть у меня локальная сеть за роутером 192.168.0.1-254. У самого роутера адрес 192.168.0.50 На сервере 192.168.0.1 есть веб-сервер и кучка нужных мне сервисов. Я его добавил его в DMZ. Снаружи все работает. А вот изнутри при переходе по внешнему адресу веб-сервера (доменному имени) ничего не открывается. С оригинальной прошивкой от роутера - все нормально...
Добрый день!
Я со своей проблемой, точнее трудностью довольно легко разобрался по статье - http://www.opennet.ru/docs/RUS/iptables/ (читал первоисточник на английском, п 6.5.2). Полученное в приложении.
Поэтому читайте вышеуказанное руководство или например, это на http://easylinux.ru/node/190/ чтобы понять что необходимо сделать. Linux - это очень гибкая вещь!
Posted: Wed Aug 13, 2014 10:55 Post subject: Re: Проброс портов - От А до Я
Люди, помогите, пожалуйста!
У меня соединение с провайдером PPPoE (Dual Access)... Поэтому все беды, что Outlook-у не пробрасываются нужные порты через роутер, чтобы соединиться с Exchange... Скажите, как прописать iptable и какие ещё настройки сделать в роутере, в dd-wrt?
Анализ посредством Microsoft Network Monitor 3.4 показал, что Outlook обращается ко множеству портов, и, что интересно, всё время к разным, но в диапазоне 56560.... 56540... и т.д.
Я в заполнении iptable не имею опыта. Но понимаю, что надо прописать команду брандмауэру dd-wrt... Как такая команда должна выглядеть?
Да, смотрел статью автора этого топика, все вроде бы понятно, но ничего не работает....((((
В ней НЕ приводится пример, как прописать диапазон портов, например с 1 по 65535. Ведь мой Outlook просит соединение через множество портов, и как прописать сразу диапазон портов с помощью iptable?!
И ещё в статье не очень ясно сказано о подсети провайдера и маске. Эти данные можно увидеть в статусе подключения самого роутера, чтобы не спрашивать у провайдера?
И в чем проблема проброс UDP есть, если надо еще и TCP то делаете и на него, тогда будут два правила в место одного.
Первая показывает источник 0.0.0.0/0 любой IP, получатель 192.168.1.2, протокол udp, порт dpt:28961
Quote:
DNAT (Destination Network Address Translation) используется для преобразования адреса места назначения в IP заголовке пакета.
Вторая говорит о том, что будет подставлен адрес в качестве адреса получателя 31.хх.хх.191, а во всех пакетах udp пришедших на 31.хх.хх.191:28961 будет подставлен адрес 192.168.1.2:28961
Так же посмотрите реально какие порты нужны для Call Of Duty может 28960
Posted: Fri Oct 30, 2015 6:00 Post subject: Re: 1043nd v1
vasek00 wrote:
Так же посмотрите реально какие порты нужны для Call Of Duty может 28960
На прошивке версии 28015 (самой последней на данный момент) так же не работает проброс именно по протоколу UDP, причём вообще ни один порт по этому протоколу не доступен из интернета, хотя по telnet видно, что правило есть и должно работать. Проверено на 4-х компах и все без фаэрвола и всего прочего, что мешало бы.
Posted: Fri Oct 30, 2015 8:36 Post subject: Re: 1043nd v1
erich6 wrote:
На прошивке версии 28015 (самой последней на данный момент) так же не работает проброс именно по протоколу UDP, причём вообще ни один порт по этому протоколу не доступен из интернета, хотя по telnet видно, что правило есть и должно работать. Проверено на 4-х компах и все без фаэрвола и всего прочего, что мешало бы.
А как вы определяете что проблема в роутере по пробросу, по игре работает не работает или еще как?
А как на счет включения UPNP на http://192.168.1.1/UPnP.asp
Posted: Sat Oct 31, 2015 6:35 Post subject: Re: 1043nd v1
vasek00 wrote:
А как вы определяете что проблема в роутере по пробросу, по игре работает не работает или еще как?
А как на счет включения UPNP на http://192.168.1.1/UPnP.asp
Определяю так: запускаю сервер и следом сканер открытых портов, там вижу, что сервер поднят на порту udp :28961 - соответственно с другого компа по локальной сети подключиться могу, а вот из интернета порт недоступен. Но я уже думаю, что видимо дело не в роутере, зря только вас отвлекаю
Други, подскажите плз, а реально ли на роутере с адресом 192.168.0.1 сделать проброс портов на адреса 192.168.1.xxx ? И если реально, то как ? Сеть 192.168.1.xxx подключается по VPN, маршрут настроен, локальные машины из сети 192.168.0.xxx имеют доступ к ресурсам сети 192.168.1.xxx и наоборот. Железка Linksys E3000, проша DD-WRT v3.0-r28320 mini (11/25/15)
Заранее спасибо.
Это всё, конечно, хорошо, но мне нужно с внешки во внешку пробросить...
Если точнее, то всех, кто ломится на мой внешний IP по 80 порту, нужно перенаправить на другой внешний IP (допустим 109.174.123.123) на порт 12345.
iptables раньше вообще не юзал, может я чего и не понял... не работает как тока ни крутил... вот например пробовал прописать в Firewall: