port forward/dmz tomato firmware-rel

Hálózatok egyéb

Hali,

Volt egy régi routerem openwrt-vel.
Azon volt egy "DMZ" szabály, hogy minden kérés menjen hátra X eszközre.
Most van új router + Tomato (Firmware 1.28.0000 -135 K26ARM USB AIO-64K).Először port forwardot akartam beállítani, de nem sikerült kintről kapcsolódnom.
Ekkor megpróbáltam a "DMZ" módot, de az sem működik.

DMZ esetén ez az iptables szabály: 

-A FORWARD -d x.x.x.x/32 -o br0 -j ACCEPT

Port forward esetén ez:


-A FORWARD -i ppp0 -j wanin
-A FORWARD -o ppp0 -j wanout
-A wanin -d x.x.x.x/32 -p tcp -m tcp --dport PORT1 -j ACCEPT
-A wanin -d x.x.x.x/32 -p udp -m udp --dport PORT1 -j ACCEPT
-A wanin -d x.x.x.x/32 -p tcp -m tcp --dport PORT2 -j ACCEPT
-A wanin -d x.x.x.x/32 -p udp -m udp --dport PORT2 -j ACCEPT

Megpróbáltam azt is, hogy a notimon indítottam egy apache-ot és arra próbáltam forwardolni illetve DMZ-zni, de az se működött.

Az IP-k és portok jók, belülről minden remekül elérhető.

Fura, hogy nem látok PREROUTING/POSTROUTING szabályokat.
Vagy azok nem is kellenek?

( uid_20269 | 2016. 04. 23., szo – 22:25 )

Nemrég kijött az 1.36-os is már..
A default szabályok mire vannak állítva.? Ha flush-olod az összes szabályt, akkor működik.?
--
God bless you, Captain Hindsight..

( Proci85 v | 2016. 04. 23., szo – 22:54 )

Nem lehet, hogy NAT mögött vagy? A routered a publikus címedet kapja?

( Zs | 2016. 04. 24., v – 10:16 )

A FORWARD lánc csak engedélyezi a csomag áthaladását - de portforward esetén ez kevés. Ahogy te is írod - fura a PREROUTING/POSTROUTING lánc hiánya - nos itt simán elvérezik a produkció. Ahhoz ugyanis, hogy a portforward működjön, a csomagnak első körben a nat tábla PREROUTING láncán áthaladva meg kéne mondani, hogy az eredetileg "ide" jövő csomagok menjenek "oda" - majd ezek után jöhet a filter tábla FORWARD lánca, amely a csomagot átengedi "oda".

( mogorva v | 2016. 07. 17., v – 12:38 )

Na, lett most egy kis időm és ránéztem.
A megoldás igen egyszerű: bugos a multiwan-os advanced tomato.
(Hogy miért a multiwan-ost tettem fel? Mert az a frissülő ág.)
Feltettem az utolsó nem multiwan-os verziót és azóta gyönyörűen szuperál a port forward.
Ámen.

( uid_20269 | 2016. 07. 17., v – 15:31 )

Kipróbálhatod már az 1.37-est is, abban sok mindent javítottak állítólag..
--
God bless you, Captain Hindsight..