Страница 1 из 1

nte-rg-1402f не могу попасть в админку по внешнему ip

Добавлено: 27 авг 2011 23:05
dunkan
Захожу в Система -> Сетевые сервисы

Отмечаю все галочками как на рисунке, с удаленного компа прошу зайти человека на внешний ip, не может - нет доступа на 21, 22 ,80. Эти порты закрыты.

Заходил в админку роутера под user если это важно. Прошивка самая последняя на текущий момент.

Изображение

Ssh на 192.168.0.1 тоже не работает

Можно зайти в админку только по http на 192.168.0.1 и внешний ip, набирая его с компьютера локальной сети

Добавлено: 28 авг 2011 17:21
АндрейБ
Здравствуйте. Судя по скрину - открыты все типы доступа. Важно
помнить - после внесения каких-либо изменений в раздел настройки
доступа к сетевым сервисам, необходимо выполнить сохранение и
применение настроек и, затем, перезапуск роутера. После ребута
разрешённые протоклы, Telnet и SSH например, можно использовать
для доступа к роутеру. Какую Вы используете версию SSH? Роутер
поддерживает версию SSHv2.
По поводу доступа к WEB-интерфейсу через внешний IP-адрес:в WEB-e
перейдите в раздел "Статус", затем "Iptables". Просьба показать,
указанные там правила.

Добавлено: 28 авг 2011 22:17
dunkan
Подключался через самый последний Putty, там вроде ssh 2, но там вобще не чекается 22 порт.

Форматирование нарушалось правдо, если плохо читаемо могу html ("Статус -> Iptables") сохранить куда нибудь с сылкой

Статус Iptables

Target Filter

Chain INPUT (policy ACCEPT 1495 packets, 1411K bytes)

num pkts bytes target prot opt in out source destination options
1 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 state NEW recent: UPDATE seconds: 1 hit_count: 5 name: DEFAULT side: source
2 44 2148 tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 state NEW recent: SET name: DEFAULT side: source
3 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:2103
4 0 0 ACCEPT tcp -- eth0.4094 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
5 0 0 ACCEPT tcp -- eth0.4094 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:23
6 0 0 ACCEPT tcp -- eth0.4094 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
7 279 32159 ACCEPT tcp -- vlanL_0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
8 9 468 DROP tcp -- ppp0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
9 0 0 DROP tcp -- vlanL_0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:23
10 0 0 DROP tcp -- ppp0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:23
11 0 0 DROP tcp -- vlanL_0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
12 0 0 DROP tcp -- ppp0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
13 0 0 DROP tcp -- vlanL_0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:20
14 0 0 DROP tcp -- vlanL_0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
15 0 0 DROP tcp -- ppp0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:20
16 0 0 DROP tcp -- ppp0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
17 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
18 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:23
19 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:20
20 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
21 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22

Chain FORWARD (policy ACCEPT 14024 packets, 2129K bytes)

num pkts bytes target prot opt in out source destination options
1 3518 169K TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
2 0 0 DROP all -- vlanL_0 !ppp0 0.0.0.0/0 !224.0.0.0/4
3 0 0 DROP all -- ppp0 !vlanL_0 0.0.0.0/0 !224.0.0.0/4
4 0 0 DROP all -- eth2.2 !eth0.2 0.0.0.0/0 !224.0.0.0/4
5 0 0 DROP all -- eth0.2 !eth2.2 0.0.0.0/0 !224.0.0.0/4
6 0 0 DROP all -- br2 * 0.0.0.0/0 !224.0.0.0/4
7 0 0 DROP all -- * br2 0.0.0.0/0 !224.0.0.0/4
8 0 0 DROP all -- eth2.5 !eth0.5 0.0.0.0/0 !224.0.0.0/4
9 0 0 DROP all -- eth0.5 !eth2.5 0.0.0.0/0 !224.0.0.0/4

Chain OUTPUT (policy ACCEPT 467 packets, 209K bytes)

num pkts bytes target prot opt in out source destination options
1 0 0 DROP all -- * eth0.4094 0.0.0.0/0 0.0.0.0/0 ! owner UID match 0

Target NAT

Chain PREROUTING (policy ACCEPT 2132 packets, 118K bytes)

num pkts bytes target prot opt in out source destination options

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)

num pkts bytes target prot opt in out source destination options
1 1890 92397 MASQUERADE all -- * ppp0 0.0.0.0/0 0.0.0.0/0
2 0 0 MASQUERADE all -- * eth0.2 0.0.0.0/0 0.0.0.0/0
3 6 2478 MASQUERADE all -- * eth0.5 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 6 packets, 2478 bytes)

num pkts bytes target prot opt in out source destination options

Target Mangle

Chain PREROUTING (policy ACCEPT 61052 packets, 10M bytes)

num pkts bytes target prot opt in out source destination options

Chain INPUT (policy ACCEPT 3717 packets, 1604K bytes)

num pkts bytes target prot opt in out source destination options

Chain FORWARD (policy ACCEPT 57065 packets, 8392K bytes)

num pkts bytes target prot opt in out source destination options

Chain OUTPUT (policy ACCEPT 1500 packets, 423K bytes)

num pkts bytes target prot opt in out source destination options

Chain POSTROUTING (policy ACCEPT 58565 packets, 8816K bytes)

num pkts bytes target prot opt in out source destination options

Добавлено: 01 сен 2011 15:10
АндрейБ
Проанализировал Ваш лог. Данная строчка из таблицы:

8 9 468 DROP tcp -- ppp0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80

противоречит приложенному скрину, где стоит флаг в строке "Настройка доступа к Web" "Внешняя сеть". Либо не выполнено
применение настроек и перезапуск устройства. Если после перезапуска доступ не откроется, предлагаю связаться по
телефону: (383)272-83-31, спрашивайте Андрея.

Добавлено: 13 окт 2011 20:21
ormwish
root@OpenWrt:~# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP tcp -- anywhere anywhere tcp dpt:80 state NEW recent: UPDATE seconds: 1 hit_count: 5 name: DEFAULT side: source
tcp -- anywhere anywhere tcp dpt:80 state NEW recent: SET name: DEFAULT side: source
DROP tcp -- anywhere anywhere tcp dpt:2103
ACCEPT tcp -- anywhere anywhere
ACCEPT udp -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:80
ACCEPT tcp -- anywhere anywhere tcp dpt:23
ACCEPT tcp -- anywhere anywhere tcp dpt:22
ACCEPT tcp -- anywhere anywhere tcp dpt:80
ACCEPT tcp -- anywhere anywhere tcp dpt:80
ACCEPT tcp -- anywhere anywhere tcp dpt:23
ACCEPT tcp -- anywhere anywhere tcp dpt:23
DROP tcp -- anywhere anywhere tcp dpt:22
DROP tcp -- anywhere anywhere tcp dpt:22
ACCEPT tcp -- anywhere anywhere tcp dpt:20
ACCEPT tcp -- anywhere anywhere tcp dpt:21
ACCEPT tcp -- anywhere anywhere tcp dpt:20
ACCEPT tcp -- anywhere anywhere tcp dpt:21
DROP tcp -- anywhere anywhere tcp dpt:80
DROP tcp -- anywhere anywhere tcp dpt:23
DROP tcp -- anywhere anywhere tcp dpt:20
DROP tcp -- anywhere anywhere tcp dpt:21
DROP tcp -- anywhere anywhere tcp dpt:22

Chain FORWARD (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere !224.0.0.0/4
DROP all -- anywhere !224.0.0.0/4
DROP all -- anywhere !224.0.0.0/4
DROP all -- anywhere !224.0.0.0/4
ACCEPT tcp -- anywhere anywhere
ACCEPT udp -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere
ACCEPT udp -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere anywhere ! owner UID match root


В настройках, чтобы получить доступ извне хоть по ssh, хоть по web, хоть по telnet, неважно - недостаточно выставить минимальные настройки безопасности и разрешить все эти сервисы.
Начинает работать ONLY при прописывании правил в Безопасность->Правила сетевой защиты:
in Любой 0.0.0.0 - 0.0.0.0 - Пропустить
out Любой 0.0.0.0 - 0.0.0.0 - Пропустить

Вот тогда порты отрываются. А так nmap показывает filtered. Даже icmp не лезут. NTE-1402G(W) Версия ядра #875 Fri Jun 3 09:13:55 NOVST 2011
Версия прошивки #4.2002.0 Mon Jul 18 15:49:36 2011

Добавлено: 13 окт 2011 20:27
ormwish
ormwish писал(а):
root@OpenWrt:~# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP tcp -- anywhere anywhere tcp dpt:80 state NEW recent: UPDATE seconds: 1 hit_count: 5 name: DEFAULT side: source
tcp -- anywhere anywhere tcp dpt:80 state NEW recent: SET name: DEFAULT side: source
DROP tcp -- anywhere anywhere tcp dpt:2103
ACCEPT tcp -- anywhere anywhere
ACCEPT udp -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:80
ACCEPT tcp -- anywhere anywhere tcp dpt:23
ACCEPT tcp -- anywhere anywhere tcp dpt:22
ACCEPT tcp -- anywhere anywhere tcp dpt:80
ACCEPT tcp -- anywhere anywhere tcp dpt:80
ACCEPT tcp -- anywhere anywhere tcp dpt:23
ACCEPT tcp -- anywhere anywhere tcp dpt:23
DROP tcp -- anywhere anywhere tcp dpt:22
DROP tcp -- anywhere anywhere tcp dpt:22
ACCEPT tcp -- anywhere anywhere tcp dpt:20
ACCEPT tcp -- anywhere anywhere tcp dpt:21
ACCEPT tcp -- anywhere anywhere tcp dpt:20
ACCEPT tcp -- anywhere anywhere tcp dpt:21
DROP tcp -- anywhere anywhere tcp dpt:80
DROP tcp -- anywhere anywhere tcp dpt:23
DROP tcp -- anywhere anywhere tcp dpt:20
DROP tcp -- anywhere anywhere tcp dpt:21
DROP tcp -- anywhere anywhere tcp dpt:22

Chain FORWARD (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere !224.0.0.0/4
DROP all -- anywhere !224.0.0.0/4
DROP all -- anywhere !224.0.0.0/4
DROP all -- anywhere !224.0.0.0/4
ACCEPT tcp -- anywhere anywhere
ACCEPT udp -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere
ACCEPT udp -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere anywhere ! owner UID match root


В настройках, чтобы получить доступ извне хоть по ssh, хоть по web, хоть по telnet, неважно - недостаточно выставить минимальные настройки безопасности и разрешить все эти сервисы.
Начинает работать ONLY при прописывании правил в Безопасность->Правила сетевой защиты:
in Любой 0.0.0.0 - 0.0.0.0 - Пропустить
out Любой 0.0.0.0 - 0.0.0.0 - Пропустить

Вот тогда порты отрываются. А так nmap показывает filtered. Даже icmp не лезут. NTE-1402G(W) Версия ядра #875 Fri Jun 3 09:13:55 NOVST 2011
Версия прошивки #4.2002.0 Mon Jul 18 15:49:36 2011



iptables привел рабочий. Дефолтный, когда извне не работает сейчас прислать не могу, нет девайса под рукой. Но, думаю, на стенде можно свободно попробовать.

Добавлено: 30 июл 2012 17:43
linuxmaster
Спасибо ormwish!
Странно, что такая"безопасность" в устройстве. И жаль что вручную не настраивается через /etc/firewall.user. Или можно? Мне не нужны, например, все те странные правила в iptables.