http kérés nem teljesül

Hálózati eszközök

Sziasztok.

Van egy otthoni, néhány gépes kis hálózatom, ami egy wrt 54gl routeren ( tomato ) megy ki a WAN- ra. A belső gépek bármelyikéről elérem a miniwebserverem ( hőmérő ) pl: 192.168.1.xxx , kintről pedig a http://publikuscim/ Ha a http kérést belülről indítom, akkor minden rendben van, de ha a másik, WRT 610N ( openwrt ) nagyobb tudású routerem használom akkor, a belső LAN egyik gépéről sem teljesül a http kérés. ( nincs név feloldás ? ) A routerek hasonlóan vannak beállítva. ( amennyire a webgui engedi )

Előre is köszönöm a hibajavító ötleteket.
- -
üdv : virtualm

  • 6616 megtekintés

( uid_2716 | 2011. 11. 25., p – 22:15 )

Az első ötletem, hogy villámgyorsan tedd át a hőmérődet valamilyen más elérhetőségre, mely elérhetőséget ezután sehol se publikáld.

Ha ezt a kérdést azután teszed fel, hogy publikáltad a szolgáltatást, már rossz úton jársz :)

Minimálisan olyan probléma lehet belőle, hogy néhány mókás hupper ezerrel le-DOS-olja a hőmérődet, és nem fogsz tudni kísérletezni vele, amíg odébb nem teszed.

Nem a hőmérőről van szó, hanem az általános szemléletről. Alapértelmezésben nem publikáljuk. Csak kivételesen igen.

Köszönöm a tanácsot, de nem tudom, hogy mit jelent a DOS- olás.

http://en.wikipedia.org/wiki/Denial_of_Service

Hogyan védekezhetek egy egyébként publikusra szánt eszközzel ez ellen a DOS- olás ellen? Ez a minimális probléma, és mi lehet a többi? (a maxról nem is beszélve)

Ez egy külön szakma. Nem az én szakmám, úgyhogy meg sem próbálok rá válaszolni. Nem tudom, milyen szolgáltatást fogsz nyújtani, de ha tényleg az "egész internet" számára elérhetővé akarod tenni, és anyagi vonzata lesz, akkor szerintem keress meg egy webes biztonsági szakit.

Nagyjából utánna néztem a DOS támadásoknak és a védekezés módjainak. Igazatok volt, tegnap már kóstolgatták rendesen a cuccot. Router ( tűzfal )mögött van, majd valahogy több lépésben, több módon megerősítjük a védelmét.

Az eredeti problémám nem oldódott meg. Az egyik routeren keresztül van névfeloldás a másikon keresztül nincs. Ugyanazok a DNS szerver címek, ugyanaz a dynDNS rege és mégis valami bibi van a WRT 610N openwrt setupjaban, mert a WRT 54GL a tomatoval müxik.
--
üdv: virtualm

DOS ellen nagyon nehéz védekezni.Szal nem szabad okot adni rá.Ip,Mac-címszűrés,tiltás.Dos jéghegy csúcsa elég sarkallatos példa.Manapság nem divat.Csak botnet hadsereggel.
Routert kicseréled.wrt54g;wrt610.Wrt 610 ben ha jól tudom modem is van.Nem lehet hogy bekavar modem.Egyálltalán van net?Kimennek alkalmazások netre?pl böngésző.ip-s hőmérődnek esetleg van speciális portja?

( mauzi v | 2011. 11. 25., p – 22:37 )

pfú, ez milyen IP-s hőmérő, hol lehet kapni, és mennyibe került? :)

Mivel, hogy egy várható megrendelésre készítjük és valószínű, hogy üzleti darab lesz belőle, ezért nem publikálnám szívesen. Eddig az első 5 db 200.- ba van, tehát nem dobnám ki az ablakon ezt a dolgot, remélem, hogy megérted a mai inséges időkben.
--
üdv: virtualm

( Szenti v | 2011. 11. 27., v – 10:20 )

Amit Te keresel, az a Filter Internet NAT Redirection opció, ami sejtésem szerint Linksys-specifikus opció.
Az én WRT54GL routeremen ez a Security\Firewall menüpontban található. (Képet lásd alább.)
Ha kikapcsolod ezt az opciót, akkor el fogod tudni érni a belső hálózatodról is az eszközt a http://publikuscim-en keresztül.

http://kepfeltoltes.hu/111127/Filter_Internet_NAT_Redirection_www.kepfe…

Köszi az ötletet, holnap megnézem. A WRT610N routeremen OpenWrt fut, ezen akad el a névfeloldás. Bentről nem érem el a saját routeremen publicált címet. A másik, kicsi, régi WRT54GL routeren, amin tomato fut, ott átmegy és teljesül a kérés. Kívülről, mindkettő ok.
--
üdv: virtualm

"a NAT kikapcsolása sem hozott eredményt"
Te éppen natolni szeretnél, csak nem a szokásos LAN-->WAN, hanem LAN-->LAN irányban.
Ha az OpenWRT UCI firewallban nem tudsz ilyet beállítani, még ott van a kézi lehetőség ehhez hasonlóan: 

iptables -t nat -I PREROUTING -i lan -p tcp -s 192.168.1.0/24 ! -d 192.168.1.254 --dport 80 -j DNAT --to-destination 192.168.1.100
iptables -t nat -I POSTROUTING -o lan -p tcp -s 192.168.1.0/24 -d 192.168.1.100 --dport 80 -j SNAT --to-source 192.168.1.254

"ezen akad el a névfeloldás"
A névfeloldás valószínűleg tökéletes, azaz a névhez a DNS-ben szereplő publikus címet kapod vissza, csak a routered a megfelelő NAT hiánya miatt nem tudhatta, hova kellene továbbítania ezt a forgalmat.
De akár be is írhatnád a kliens gépen a hosts file-ba, ha nem túl sok gép érintett, így feleslegessé válik az OpenWRT rejtelmeiben való elmélyülés.

Bocsánat a félrevezetésért, nem OpenWrt van rajta, hanem a : DD-WRT v24-sp2 (05/17/11) mega verziója. Ez az alapvető problémán nem változtat, hogy a LAN->WAN->LAN NAT- olás, név feloldás nem megy.
--
üdv: virtualm

-------------
Lassan hajlok rá, hogy megválok tőle, mert nem bírok vele. Okosabb mint én.

"nem OpenWrt van rajta, hanem a : DD-WRT v24-sp2 (05/17/11) mega verziója"
Sebaj, a DD-WRT Wikiben is ugyanúgy megtalálható a tűzfalszabály manuális beírásának módja. Ha a webes felületen nincs ilyenre közvetlen lehetőség, akkor marad ez, illetve a megfelelő helyre való beillesztés.

Az előzőleg említett hosts file módosítást elvetetted?

Ez érdekes. Olyat még soha nem tapasztaltam, hogy a hosts file ne működött volna.
Tehát a kliensen a %SystemRoot%\system32\drivers\etc\hosts file-ba beírtad ezt (a helyes adatokkal): 

192.168.1.xxx    amegfeleloregisztralthostnev.dyndns.org

majd elmentetted, ezután a böngészőben pedig http://amegfeleloregisztralthostnev.dyndns.org/ , és nem működik (böngészőújraindítás után sem)?
Ha erről a kliensről pingeled ezt a nevet, nem a 192.168.1.xxx-szel próbálkozik?

Tehát vagy a kliensnél mondod azt, hogy az adott nevet ne DNS alapján oldja fel; vagy a routerben mondod meg, hogy ha a router WAN IP-jére (és adott portjára) tartana egy csomag, akkor azt natolja meg úgy, mintha a router saját LAN IP-jéről jönne, és a hőmérős eszköz privát IP-jére tartana.

Szia, én voltam a béna. Az xp- nél most már jól átírva a hosts file, működik.
A w7 nél, (jól eldugták és) nem tudom felülírni sem.
Az Ubuntu- nál is gondjaim vannak.

Az igazi az lenne ha megtudnám csinálni a routernél amit ajánlottál:
iptables -t nat -I PREROUTING -i lan -p tcp -s 192.168.1.0/24 ! -d 192.168.1.254 --dport 80 -j

DNAT --to-destination 192.168.1.100
iptables -t nat -I POSTROUTING -o lan -p tcp -s 192.168.1.0/24 -d 192.168.1.100 --dport 80 -j

SNAT --to-source 192.168.1.254

A webgui részeken milyen menü alatt írogathatom be ezeket?
Vagy ha be tudok jutni ssh- val a linux felületre, akkor ott hova?

--
üdv: virtualm

"A w7 nél, (jól eldugták és) nem tudom felülírni sem."
Elvileg ugyanott van (%SystemRoot%\system32\drivers\etc\hosts), mint XP-nél. A calamari által hivatkozott KB923947 alapján eljárva mi volt a jelenség és a hibaüzenet?

"Az Ubuntu- nál is gondjaim vannak."
Az Ubuntunál mi a hiba? Jogosultság? Rootként próbáltad? Vagy sikerült módosítani, csak nem veszi figyelembe? A kérdés ugyanaz, mint az előbb: van-e hibaüzenet, és pontosan mit tapasztalsz.

"A webgui részeken milyen menü alatt írogathatom be ezeket?"
"Vagy ha be tudok jutni ssh- val a linux felületre, akkor ott hova?"
Mindkét kérdésre az előző hozzászólásban linkelt DDRT-Wiki Startup Scripts oldalán vannak a módszerek leírva, többek között a webes is, ami első olvasatra igen egyszerűnek tűnik.

A Windows 7 hosts file módosítását calamari már leírta.

Az Ubuntunál mi a hiba? Jogosultság? Rootként próbáltad? Vagy sikerült módosítani, csak nem veszi figyelembe?

A DD-WRT script írásra még gyúrnom kell.
Elvileg amikor a webgui felületen valamit beállítunk, paraméterezünk akkor egy megfelelő helyen lévő, aktuális file átíródik az új paraméterekkel. Mivel a webes felületről nem tudtam beállítania LAN->LAN névfeloldás paramétereit ezért meg kellene találnom, editálnom és javítanom megfelelő filet az ajánlott sorokkal:
ez, két sor (vagy)
iptables -t nat -I PREROUTING -i lan -p tcp -s 192.168.1.0/24 ! -d 192.168.1.254 --dport 80 -j DNAT --to-destination 192.168.1.100

iptables -t nat -I POSTROUTING -o lan -p tcp -s 192.168.1.0/24 -d 192.168.1.100 --dport 80 -j SNAT --to-source 192.168.1.254

vagy négy sor ?

iptables -t nat -I PREROUTING -i lan -p tcp -s 192.168.1.0/24 ! -d 192.168.1.254 --dport 80 -j

DNAT --to-destination 192.168.1.100

iptables -t nat -I POSTROUTING -o lan -p tcp -s 192.168.1.0/24 -d 192.168.1.100 --dport 80 -j

SNAT --to-source 192.168.1.254

Melyik filebe kell beírnom és hogyan?

--
üdv: virtualm

"Mivel a webes felületről nem tudtam beállítania LAN->LAN névfeloldás paramétereit"
Javaslom, szakadjunk el a névfeloldás témakörtől (az működik rendesen), mivel itt NAT-ról van szó. A hosts módosítása tartozik a névfeloldáshoz.

"Melyik filebe kell beírnom és hogyan?"
Ezek a lehetőségek vannak leírva a már linkelt Startup Scripts alatt. Nem akarom ide bemásolni a teljes leírást, mert hosszú.

"amikor a webgui felületen valamit beállítunk, [...] akkor egy megfelelő helyen lévő [...] file átíródik az új paraméterekkel. [...] ezért meg kellene találnom, editálnom és javítanom megfelelő filet az ajánlott sorokkal"
A leírásban megvan. Azért ajánlottam kipróbálásra a webes metódust, mert a legegyszerűbbnek tűnik a három felsorolt közül, hozzávetőlegesen tíz másodperc alatt elvégezhető.

"vagy négy sor ?"
A source és destination natolás két sorban valósul meg. Nincs SNAT és DNAT nevű bináris, csak iptables és annak opciói. Az opciókról a man iptables szól. Valójában lehet hogy kell még két sor, ami ezt a forgalmat átengedi a tűzfalon, ez az a meglévő tűzfalszabályoktól is függ. De ehhez hasonló kellene: 

iptables -I FORWARD -i lan -o lan -p tcp -s 192.168.1.0/24 -d 192.168.1.100 --dport 80 -j ACCEPT
iptables -I FORWARD -i lan -o lan -p tcp -s 192.168.1.100 --sport 80 -d 192.168.1.0/24 -j ACCEPT

Konkrét megoldást két ok miatt nem írok. Az egyik, hogy nincs DD-WRT a közelemben, így kipróbálni sem tudom, és nincs tapasztalatom sem vele. A másik pedig az, hogy ösztönözzelek a rendszer dokumentációjából a megfelelő rövid részlet (Web Interface Method of Loading Scripts onto Router) elolvasására, megértésére, majd kipróbálására.