Freesco, NND, CDN, EOS

Witam
Kiedyś jak miałem SDI to aby przekierować porty wystarczyo polecenie:
ipportfw -A -t 217.63.92.145/10500 -R 192.168.1.2/10500
oczywiście IP jest zmyślone ale to polecenie przekierowywało mi po ppp0 na konkretny komp w sieci.
Teraz mam DSL i nawet jeśli w pliku /mnt/router/etc/forward.cfg
wpiszę
t,10500,192.168.0.2/10500 (ip sie zmieniło bo zaszłą taka potrzeba )
to i tak nie przekieruje mi portów. Testowałem też za pomocą
ipautofw -A -r tcp 10500 -h 192.168.0.2


niestety nie działa czy może ktoś mi pomówc.
dzięki z góry za info.

w pliku portfw.cfg (freesco 3) powinien byc wpis:
t,10500,10500,192.168.0.2
we freesco 2 wpis jest identyczny tylko inna nazawa pliku chyba

We freesco027 wpisow dokonuje sie w pliku /mnt/router/etc/forward.cfg nastepujacej tresci:t - port TCP, u - port UDP

PS. Robisz Ty po zapisaniu zmian reboot?

_________________
Pozdrawiam
Przemek

oczywiście że resetuje kompa. W tabeli przekierowań mam informacje o przekierowaniu portów ale niestety nie działa.

A i jeszcze jedno mam pytanie czy DSL ma taki dziwny zaskok? tzn wysłanie prośby o strone chwile trwa ale jak dostane odpowiedz to błyskawicznie przychodzi tylko ten zaskkok wkur... to juz lepiej było na SDI bo nie miało takiego zaskokou oczywiście bo transfer jak najlepszy tzn max jakieś 63 kb

A skad wiesz ze nie dziala??... Przeciez z wewnatrz tego nie sprawdzisz. Byc moze program do ktorego Ci jest potrzebne przekierowanie za malo konfigurujesz... albo cosik zle wpisujesz... Jesli uzywasz tego portu w jakims programie to zapewne w konfigu musisz podac port na jakim ma dzialac no i IP zewnetrzne...
Jesli mozesz to podaj gdzie ma dzialac to przekierowanie - moze wtedy latwiej bedzie pomoc...

_________________
Pozdrawiam
Przemek

Oczywiście serwer resetuję itp. Co do ustawień tego programu to na 100% poprawnie to zrobiłem tzn na sdi działało a teraz na DSL nie chce

Co oznacza komunikat Illegal port numbers po przy próbie innego portu wyskakuje taki komunikat

O wkońcu znalazłem na serwerku jakiś komunikat o tym że połaczenia odrzuca

jest coś takiego:
Info w System
-------dmesg | grep eth --------
IP fw-in rej eth0 TCP tutaj_IP_zdalnego_hosta:port tutaj_ip_moje:10500 L=48 S=0x00 I=16850 F=0x0040 T=121
itd tyle ile było prób tyle komunikatów

czy ktoś wie co z tym zrobić?
gdzieś mam pewnie regułęzablokowania takich połaczeń włączoną tylko gdzie ?
Pozdrawiam

Co do Illegal ... to już wiem niedozwolony numer portu
Zauważyłem coś dziwnego tzn niby program który ma się zdalnie zalogować do mnie ma to zrobić na porcie 10500 ale na serwerze przy tych komunikatach wcześniejszych co podałem widze że host zdalny próbkuje od portu 1168 do portu 1179 itd i stara się wepchać ale serwer odrzuca te połaczenia?
wyglada to tak
IP fw-in rej eth0 TCP IP:1168 IP_serwera:10500 itd
IP fw-in rej eth0 TCP IP:1169 IP_serwera:10500
IP fw-in rej eth0 TCP IP:1170 IP_serwera:10500
IP fw-in rej eth0 TCP IP:1171 IP_serwera:10500
IP fw-in rej eth0 TCP IP:1172 IP_serwera:10500

i tak dalej. Co to może być?

Na sdi wszystko działało.
POMOCY

Polaczenie jest ewidentnie odrzucane przez firewall
Podstawowy plik z regulami firewall'a jaki znam to rc_masq. Reguly firewall'a znajduja sie tez w plikach rc_..... - tych od pakietow (znajdujacych sie w /mnt/router/rc/rcuser) - ale tam mozna szukac jesli instalowales jakis pakiet korzystajacy wylacznie z tego portu (tak jak np ssh ma standardowo zablokowany dostep z inetu na porcie 22 i wowczas w pliku rc_sshd sie to odblokowuje). Wiecej nie jestem Ci wstanie podpowiedziec Ewentualnie jesli nigdzie nie bedziesz wstanie znalezc tego wpisu blokujacego to moze reczne dopisanie odblokowywania tego portu pomoze - ale to tylko hipoteza
A komunikat "Illegal port numbers" informuje ze probujesz korzystac z nieprawidlowego portu

Aha jesli chcesz zobaczyc ktore porty masz poblokowane to w konsoli mozesz wpisac ipfwadm -I -ln, zobaczysz wowczas czy to tylko port 10500

_________________
Pozdrawiam
Przemek

zerknij bo ja zdurniałem ----- ipfwadm -I -ln -----
IP firewall input rules, default policy: reject
type prot source destination ports
rej udp 192.168.0.0/23 0.0.0.0/0 * -> 1214
rej tcp 192.168.0.0/23 0.0.0.0/0 * -> 1214
acc all 192.168.0.1 0.0.0.0/0 n/a
acc all 192.168.0.2 0.0.0.0/0 n/a
acc all 192.168.1.1 0.0.0.0/0 n/a
acc all 192.168.1.2 0.0.0.0/0 n/a
acc all 192.168.1.3 0.0.0.0/0 n/a
acc all 192.168.1.4 0.0.0.0/0 n/a
acc all 192.168.1.5 0.0.0.0/0 n/a
acc all 192.168.1.6 0.0.0.0/0 n/a
acc all 192.168.1.7 0.0.0.0/0 n/a
acc all 192.168.1.8 0.0.0.0/0 n/a
acc all 192.168.1.9 0.0.0.0/0 n/a
acc all 192.168.1.10 0.0.0.0/0 n/a
acc all 192.168.1.11 0.0.0.0/0 n/a
acc all 192.168.1.20 0.0.0.0/0 n/a
acc all 192.168.1.23 0.0.0.0/0 n/a
acc all 192.168.1.24 0.0.0.0/0 n/a
acc all 192.168.1.25 0.0.0.0/0 n/a
rej all 192.168.0.0/23 0.0.0.0/0 n/a
rej tcp 0.0.0.0/0 0.0.0.0/0 * -> * czy to może oznacza to odrzucanie?
rej tcp 0.0.0.0/0 0.0.0.0/0 * -> 21
rej tcp 0.0.0.0/0 0.0.0.0/0 * -> 3128
rej udp 0.0.0.0/0 0.0.0.0/0 * -> 3128
acc all 0.0.0.0/0 0.0.0.0/0 n/a
acc all 0.0.0.0/0 0.0.0.0/0 n/a
acc all 0.0.0.0/0 0.0.0.0/0 n/a
acc all 0.0.0.0/0 255.255.255.255 n/a
acc all 192.168.0.0/16 0.0.0.0/0 n/a
acc all 192.168.0.0/16 0.0.0.0/0 n/a
rej all 192.168.0.0/16 0.0.0.0/0 n/a
acc tcp 127.0.0.1 0.0.0.0/0 53 -> *
acc udp 127.0.0.1 0.0.0.0/0 53 -> *
acc tcp 194.204.152.34 0.0.0.0/0 53 -> *
acc udp 194.204.152.34 0.0.0.0/0 53 -> *
rej tcp 0.0.0.0/0 0.0.0.0/0 * -> 53
rej udp 0.0.0.0/0 0.0.0.0/0 * -> 53
rej tcp 0.0.0.0/0 0.0.0.0/0 * -> 82
rej udp 0.0.0.0/0 0.0.0.0/0 * -> 67:68
rej udp 0.0.0.0/0 0.0.0.0/0 * -> 514
rej all 0.0.0.0/0 192.168.0.0/16 n/a
rej all 192.168.0.0/16 0.0.0.0/0 n/a
rej all 0.0.0.0/0 192.168.168.2 n/a
rej all 192.168.168.2 0.0.0.0/0 n/a
rej all 0.0.0.0/0 192.168.168.3 n/a
rej all 192.168.168.3 0.0.0.0/0 n/a
acc all 0.0.0.0/0 0.0.0.0/0 n/a

właśnie albo coś niechcąco albo zbyt pochopnie zrobiłem bo po zainstalowaniu coomunigate pro nie moge sie dostac na poczte z netu?
Tylko nie moge znależć błędu a jużsiedze nad tym 2 dzień i mnie ...

ewentualnie podaj regułę odblokowania tego wlasnie jednego portu
Dzięki z góry za pomoc

W Twoim listingu nie widac nigdzie portu 10500 ale jesli to pogrubione ma postac
rej tcp 0.0.0.0/0 0.0.0.0/0 * -> *
to calkiem mozliwe ze tu lezy przyczyna. Jednak aby to potwierdzic musialby tu wpasc ktos madrzejszy Na Twoim miejscu poszukalbym w rc_masq i tych plikach w /mnt/router/rc/rcuser... Jesli tam nic nie wywachalbym to sprobowalbym w opraciu o zciech.w.interia.pl wymyslic regule na odblokowywanie portu (ew. poszukac jej na forum) i najpierw wpisac w konsoli i sprawdzic czy dziala a potem najwyzej dopisac do rc_user w sekcji startowania
Aha i dla upewnienia - uzywasz freesco 027? co nie?

_________________
Pozdrawiam
Przemek

Hey wlasnie wygenerowalem odblokowanie tego portu ze tez cz`lowiek tak błądził i nie wpadł na to
oto polecenie
ipfwadm -I -a accept -P tcp -W eth0 -D 0/0 10500
Teraz przynajmniej tzn za chwile określę IP które może się logować na ten port i będzie wsio OK

Mimo wszystko proszę o podpowiedz w tej sprawie bo albo cośzbyt pochopnie zainstalowałem, skonfigurowałem i dlatego mam takie problemy
A używam freesco 027 i jestem szczęsliwy z tego. Na sdi dzialalo bez problemow bylo super teraz to dsl i taki maly problemik.
A tak przy okazji to co zrobić bym mógł się logować na communigate z internetu aby można było poczte odebrać?

ipfwadm -I -ln zawiera zbyt malo informacji
poprosze o
ipfwadm -I -lne

Oto jest:
IP firewall input rules, default policy: reject
pkts bytes type prot opt tosa tosx ifname ifaddress source destination ports
0 0 rej udp ---- 0xFF 0x00 * 0.0.0.0 192.168.0.0/23 0.0.0.0/0 * -> 1214
75 3600 rej tcp ---- 0xFF 0x00 * 0.0.0.0 192.168.0.0/23 0.0.0.0/0 * -> 1214
1302 121K acc tcp ---- 0xFF 0x00 eth0 0.0.0.0 0.0.0.0/0 0.0.0.0/0 * -> 10500
359 64615 acc tcp ---- 0xFF 0x00 eth0 0.0.0.0 0.0.0.0/0 0.0.0.0/0 * -> 10600
0 0 acc all ---- 0xFF 0x00 * 0.0.0.0 192.168.0.1 0.0.0.0/0 n/a
1779 225K acc all ---- 0xFF 0x00 * 0.0.0.0 192.168.0.2 0.0.0.0/0 n/a
0 0 acc all ---- 0xFF 0x00 * 0.0.0.0 192.168.0.3 0.0.0.0/0 n/a
0 0 acc all ---- 0xFF 0x00 * 0.0.0.0 192.168.0.4 0.0.0.0/0 n/a
874 126K acc all ---- 0xFF 0x00 * 0.0.0.0 192.168.0.5 0.0.0.0/0 n/a
269 33801 acc all ---- 0xFF 0x00 * 0.0.0.0 192.168.0.6 0.0.0.0/0 n/a
561 65051 acc all ---- 0xFF 0x00 * 0.0.0.0 192.168.0.7 0.0.0.0/0 n/a
166 20604 acc all ---- 0xFF 0x00 * 0.0.0.0 192.168.0.8 0.0.0.0/0 n/a
16 1760 acc all ---- 0xFF 0x00 * 0.0.0.0 192.168.1.1 0.0.0.0/0 n/a
1169 123K acc all ---- 0xFF 0x00 * 0.0.0.0 192.168.1.2 0.0.0.0/0 n/a
272 17211 acc all ---- 0xFF 0x00 * 0.0.0.0 192.168.1.3 0.0.0.0/0 n/a
0 0 acc all ---- 0xFF 0x00 * 0.0.0.0 192.168.1.4 0.0.0.0/0 n/a
0 0 acc all ---- 0xFF 0x00 * 0.0.0.0 192.168.1.5 0.0.0.0/0 n/a
0 0 acc all ---- 0xFF 0x00 * 0.0.0.0 192.168.1.6 0.0.0.0/0 n/a
0 0 acc all ---- 0xFF 0x00 * 0.0.0.0 192.168.1.7 0.0.0.0/0 n/a
0 0 acc all ---- 0xFF 0x00 * 0.0.0.0 192.168.1.8 0.0.0.0/0 n/a
0 0 acc all ---- 0xFF 0x00 * 0.0.0.0 192.168.1.9 0.0.0.0/0 n/a
0 0 acc all ---- 0xFF 0x00 * 0.0.0.0 192.168.1.10 0.0.0.0/0 n/a
0 0 acc all ---- 0xFF 0x00 * 0.0.0.0 192.168.1.11 0.0.0.0/0 n/a
0 0 acc all ---- 0xFF 0x00 * 0.0.0.0 192.168.1.20 0.0.0.0/0 n/a
0 0 acc all ---- 0xFF 0x00 * 0.0.0.0 192.168.1.23 0.0.0.0/0 n/a
0 0 acc all ---- 0xFF 0x00 * 0.0.0.0 192.168.1.24 0.0.0.0/0 n/a
543 55793 acc all ---- 0xFF 0x00 * 0.0.0.0 192.168.1.25 0.0.0.0/0 n/a
97 9925 rej all ---- 0xFF 0x00 * 0.0.0.0 192.168.0.0/23 0.0.0.0/0 n/a
47 2364 rej tcp --yo 0xFF 0x00 eth0 0.0.0.0 0.0.0.0/0 0.0.0.0/0 * -> *
0 0 rej tcp --yo 0xFF 0x00 eth0 0.0.0.0 0.0.0.0/0 0.0.0.0/0 * -> 21
0 0 rej tcp --yo 0xFF 0x00 eth0 0.0.0.0 0.0.0.0/0 0.0.0.0/0 * -> 3128
0 0 rej udp --yo 0xFF 0x00 eth0 0.0.0.0 0.0.0.0/0 0.0.0.0/0 * -> 3128
73 7447 acc all ---- 0xFF 0x00 lo 0.0.0.0 0.0.0.0/0 0.0.0.0/0 n/a
0 0 acc all ---- 0xFF 0x00 * 1.1.1.1 0.0.0.0/0 0.0.0.0/0 n/a
0 0 acc all ---- 0xFF 0x00 * 1.1.1.2 0.0.0.0/0 0.0.0.0/0 n/a
0 0 acc all ---- 0xFF 0x00 eth1 0.0.0.0 0.0.0.0/0 255.255.255.255 n/a
0 0 acc all ---- 0xFF 0x00 eth1 0.0.0.0 192.168.0.0/16 0.0.0.0/0 n/a
0 0 acc all ---- 0xFF 0x00 eth1 0.0.0.0 192.168.0.0/16 0.0.0.0/0 n/a
0 0 rej all ---o 0xFF 0x00 * 0.0.0.0 192.168.0.0/16 0.0.0.0/0 n/a
0 0 acc tcp ---- 0xFF 0x00 * 0.0.0.0 127.0.0.1 0.0.0.0/0 53 -> *
0 0 acc udp ---- 0xFF 0x00 * 0.0.0.0 127.0.0.1 0.0.0.0/0 53 -> *
0 0 acc tcp ---- 0xFF 0x00 * 0.0.0.0 194.204.152.34 0.0.0.0/0 53 -> *
49 7495 acc udp ---- 0xFF 0x00 * 0.0.0.0 194.204.152.34 0.0.0.0/0 53 -> *
0 0 rej tcp ---o 0xFF 0x00 * 0.0.0.0 0.0.0.0/0 0.0.0.0/0 * -> 53
0 0 rej udp ---o 0xFF 0x00 * 0.0.0.0 0.0.0.0/0 0.0.0.0/0 * -> 53
0 0 rej tcp ---o 0xFF 0x00 * 0.0.0.0 0.0.0.0/0 0.0.0.0/0 * -> 82
0 0 rej udp ---- 0xFF 0x00 * 0.0.0.0 0.0.0.0/0 0.0.0.0/0 * -> 67:68
0 0 rej udp ---o 0xFF 0x00 * 0.0.0.0 0.0.0.0/0 0.0.0.0/0 * -> 514
0 0 rej all ---o 0xFF 0x00 * 0.0.0.0 0.0.0.0/0 192.168.0.0/16 n/a
0 0 rej all ---o 0xFF 0x00 * 0.0.0.0 192.168.0.0/16 0.0.0.0/0 n/a
0 0 rej all ---o 0xFF 0x00 * 0.0.0.0 0.0.0.0/0 192.168.168.2 n/a
0 0 rej all ---o 0xFF 0x00 * 0.0.0.0 192.168.168.2 0.0.0.0/0 n/a
0 0 rej all ---o 0xFF 0x00 * 0.0.0.0 0.0.0.0/0 192.168.168.3 n/a
0 0 rej all ---o 0xFF 0x00 * 0.0.0.0 192.168.168.3 0.0.0.0/0 n/a
3485 1581K acc all ---- 0xFF 0x00 * 0.0.0.0 0.0.0.0/0 0.0.0.0/0 n/a




Jak przerobić tą regułę aby można było przydzielić tzn zezwolić konkretnemu Ip na to polaczenie tzn na tym porcie 10500 np ip. 217.91.203.15

ipfwadm -I -a accept -P tcp -W eth0 -D 0/0 10500

zciech już Ci wielkie dzięki za zainteresowanie

Zciech możesz cośw tym temacie pomóc bo mam pewne utrudnienia a nie wiem jak sobie poradzić

niewatpliwie chodzi o bałwan jestem:

moze ona wygladac:
ipfwadm -I -a reject -P tcp -W eth0 -S 0/0 -D 0/0 -o -y
jest ona w jakims pliku /rc/rcuser/rc_*
lub jako jedna z ostatnich w rc_user (pierwszych jesli uzywasz -i)

543 55793 acc all ---- 0xFF 0x00 * 0.0.0.0 192.168.1.25 0.0.0.0/0 n/a
97 9925 rej all ---- 0xFF 0x00 * 0.0.0.0 192.168.0.0/23 0.0.0.0/0 n/a
#----tu konczy sie rc_user

47 2364 rej tcp --yo 0xFF 0x00 eth0 0.0.0.0 0.0.0.0/0 0.0.0.0/0 * -> *
# podejrzana regula pochodzi z /rc/rcuser/rc_a* do rc_f*
# moze byc to towniez ostatnia regula w rc_user

0 0 rej tcp --yo 0xFF 0x00 eth0 0.0.0.0 0.0.0.0/0 0.0.0.0/0 * -> 21
# ta pochodzi z rc_ftpd

0 0 rej tcp --yo 0xFF 0x00 eth0 0.0.0.0 0.0.0.0/0 0.0.0.0/0 * -> 3128
0 0 rej udp --yo 0xFF 0x00 eth0 0.0.0.0 0.0.0.0/0 0.0.0.0/0 * -> 3128
# to jest rc_squid

73 7447 acc all ---- 0xFF 0x00 lo 0.0.0.0 0.0.0.0/0 0.0.0.0/0 n/a
# tu zaczyna sie standardowy rc_masq

Zciech dzięki

przeanalizowałem wszystkie pliki w rc. Oczywiście ja nie pisałem żadnej reguły która by zablokowała mi połaczenia z serwerem
Ale znalazłem co to spowodowało:

Otóż w pliku rc_opensshd mam taki wpis:

if [ "$1" = firewall ]; then
#comment out the next line to make sshd worldwide accessible
[ "$ENAMSQ" = y ] && ipfwadm -I -a reject -P tcp -W $INET -D 0.0.0.0/0 $PORT -y -o
exit; fi

PORT=22

ja go rozumiem jako blokada portu 22 aby nikt nie wlazł po ssshd z netu na komp
ale coś żle interpetuje go freesco. Odrazu mówię tzn piszę że nie dokonywał żadnych zmian ręcznie Freesco zamiast przypisać zmiennej
$PORT wartość z tąd PORT=22 on poprostu blokuje dla wszystkich portów

DOKONAŁEM PEWNEJ MODYFIKACJ JAK NAJBARDZIEJ SŁUSZNEJ OTO ONA:

PORT=22

if [ "$1" = firewall ]; then
#comment out the next line to make sshd worldwide accessible
[ "$ENAMSQ" = y ] && ipfwadm -I -a reject -P tcp -W $INET -D 0.0.0.0/0 $PORT -y -o
exit; fi

I teraz jest ok

Ale nasówa mi się kilka pytań:
Czy np. lepiej jest zostawić w ten sposób jak jest czyli wszystkie porty sa na reject a jedynie w rc_user dopisać ręcznie reguły odblokowywujące poszczególne porty które są mi potrzebne?

Poprawić tą regułę w rc_opensshd
Jak będzie bezpiecznie dla serwera ?

Czy przypadkiem paczka opensshd nie jest wadliwa?
Jaką paczkę polecacie dla sshd ?

Pozdrawiam

Oczywiscie powinno byc tak jak Ty to zrobiłeś.