Portál AbcLinuxu, 14. května 2025 00:53

Dotaz: asus wl500gpV2 architektura

12.3.2016 10:20 x.para | skóre: 11 | blog: x_para
asus wl500gpV2 architektura
Přečteno: 332×
Odpovědět | Admin
Zdravim vsechny,

koukam na toto zapojeni asusu wl500gpV2 a premyslim proc se mi uplatnuji IPTABLES pravidla pouze pokud packet prijde z portu LAN1-4.

https://wiki.openwrt.org/_media/oldwiki/openwrtdocs/asus-internals-default.png?w=600&tok=f23a9a

Pokud se prihlasim SSH do konzole asusu a vygeneruju stejny HTTP request, tak se pravidlo neuplatni. Vidim ze porty LAN1-4 jsou tagovany VLAN1. Znamena to tedy, ze konzole - vlastni interface routeru neni na VLAN1?
Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

12.3.2016 12:41 NN
Rozbalit Rozbalit vše Re: asus wl500gpV2 architektura
Odpovědět | | Sbalit | Link | Blokovat | Admin
Jaka pravidla? Jakym interfacem lezes do WRT pres SSH? Co je to za HTTP request? Poradna != vestirna..
12.3.2016 12:55 x.para | skóre: 11 | blog: x_para
Rozbalit Rozbalit vše Re: asus wl500gpV2 architektura
:-) jo souhlas, chtelo to vic informaci

takze pravidlo: 
iptables -t nat -I PREROUTING -p tcp --dport 10443 -j DNAT --to-destination 192.168.2.4:443
jeste opravim ze LAN1-LAN4 se taguje vlanou vlan0

lezu tam pres pres WAN0 s IP inet addr:192.168.9.100 na ktere visi USB 3g modem

HTTP request : curl -k https://mojedomena.com:10443/

Mam pres TCPDUMP odposlechnuty, ze kdyz tohle spustim na hostu, ktery je na LAN1 tak ty iptables zaberou, kdyz to spustim primo z konzole routeru, tak to odejde ven do internetu
12.3.2016 14:31 NN
Rozbalit Rozbalit vše Re: asus wl500gpV2 architektura
Odpoved je jasna, lokalne generovane pakety neprochazi pres PREROUTING.
14.3.2016 16:01 x.para | skóre: 11 | blog: x_para
Rozbalit Rozbalit vše Re: asus wl500gpV2 architektura
díky, tak myslím že by se to mohlo týkat tohoto:

https://wiki.debian.org/Firewalls-local-port-redirection 
But the manual wouldn't be complete without it :-)
iptables -t nat -I OUTPUT --src 0/0 --dst 127.0.0.1. -p tcp --dport 80 -j REDIRECT --to-ports 8080
This rule is the key -- it is much same as the one above, the only difference is, that you are using the OUTPUT chain.
Also remember, you need CONFIG_IP_NF_NAT_LOCAL=y in your kernel. Without it this rule can be inserted, but will have no effect.
Já to zase tolik na HTTP nepotřebuju, to bylo spíš na otestovaní, ale myslím si že tohle je to co mi dělá problémy, když spustim na tom routeru openvpn klienta. Nemůžu se pak dostat na jeho lokální služby, pouze na jeho sítě. tj LAN1-LAN4. Už jsem to tu jednou myslím řešil a tohle vypadá jako ten důvod. Zkusím nekdy později novější FW, jestli tam není ta podpora pro CONFIG_IP_NF_NAT_LOCAL
14.3.2016 17:49 NN
Rozbalit Rozbalit vše Re: asus wl500gpV2 architektura 
když spustim na tom routeru openvpn klienta. Nemůžu se pak dostat na jeho lokální služby, pouze na jeho sítě.
To ale s predchozim dotazem vubec nesouvisi.. Kdyz se skrz VPN prihlasis lokalne na router, pravidlo pro "port forwarding", se neuplatni, ale ani nemusi protoze muzes pristupovat na sluzbu primo: 
curl -k https://192.168.2.4:443
Protoze ten "port forward" je obecny za podminky, ze mas dobre forwardning, muzes take pristupovat na sluzbu rovnou z VPN klienta skrz tunel. 
curl -k https://gateway_tunelu:10443
No a konecne doporucuji tento obrazek.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.