(MEGOLDVA)EdgeOs 1.9.0 ssh port záródás minden vonal bontáskor.

 ( anthony_ | 2016. október 1., szombat - 13:40 )

Sziasztok!

Ismerkedem az edgeos 1.9.0 változatával egy rlite3 vasról lenne szó.Külső hozzáférést állítottam be neki hogy elérjem ssh-n ami működik is jól az adsl 24 bontásáig de utána
azonnal zárja a portot.Kiokítanátok a helyes cli configgal.Előre is köszi!

Üdv:anthony_

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

"Külső hozzáférést állítottam be neki hogy elérjem ssh-n..."
Ez alatt ugye azt érted, hogy beállítottál a megadott ssh portra egy IN:new és OUT:related tűzfal szabályt? (a lényeget kiemelve)
Mit mond a log szakadáskor és után? Változik az IP címed?
Ugye Te sem vagy gondolatolvasó?!

Szia!

Igen!Nem változik az ip nagyon sokáig csak ha a adsl modemet újra indítom.Mindjárt mutatom a szabályt amit írtam.A legmegfelelőbb ember válaszolt.Úgytudom te sok ilyet üzemeltetsz.:-)Én csak most ismerkedem vele.Láthom hogy deb alapú.

edit firewall name WAN_LOCAL rule 60
set description “Inbound traffic to SSH Management”
set action accept
set log disable
set protocol tcp_udp
set destination port 8023

Ez kevés lenne?meg is eszi azonnal és nyitodik de ahogy bontja 24 óra után kötelezően a vonalat és az ip nem változik akkor is azonnal zárja a portot utána.köszi a segítséget.

hmmm
ssh { port 8023 ... } van a konfigban, igaz?
egyébként az ssh tcp-n megy így set protocol tcp jobb lenne.
LAN oldalról be tudsz ssh-zni mikor a wan oldal megsüketült?

8023 van és lanról megy a bejelentekezés.

Javítom csak tcp portra.Fura mert lanon tovább él 8023 és csatlakozik is csak kívüről lessz filtered.

iptables -L -n mit mutat a (látszólagos) filtered állapotban?

Linux ubnt 3.10.20-UBNT #1 SMP Fri Jul 29 16:51:50 PDT 2016 mips64
Welcome to EdgeOS
Last login: Sat Oct 1 16:39:42 2016 from 192.168.0.39
anthony_11@ubnt:~$ iptables -L -n
-vbash: iptables: command not found
anthony_11@ubnt:~$ sudo iptables -L-n
iptables: No chain/target/match by that name.
anthony_11@ubnt:~$ sudo iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
UBNT_VPN_IPSEC_FW_HOOK all -- 0.0.0.0/0 0.0.0.0/0
VYATTA_FW_LOCAL_HOOK all -- 0.0.0.0/0 0.0.0.0/0
VYATTA_POST_FW_IN_HOOK all -- 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT)
target prot opt source destination
MINIUPNPD all -- 0.0.0.0/0 0.0.0.0/0
UBNT_VPN_IPSEC_FW_IN_HOOK all -- 0.0.0.0/0 0.0.0.0/0
UBNT_PFOR_FW_HOOK all -- 0.0.0.0/0 0.0.0.0/0
VYATTA_FW_IN_HOOK all -- 0.0.0.0/0 0.0.0.0/0
VYATTA_FW_OUT_HOOK all -- 0.0.0.0/0 0.0.0.0/0
VYATTA_POST_FW_FWD_HOOK all -- 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
VYATTA_POST_FW_OUT_HOOK all -- 0.0.0.0/0 0.0.0.0/0

Chain MINIUPNPD (1 references)
target prot opt source destination

Chain UBNT_PFOR_FW_HOOK (1 references)
target prot opt source destination

Chain UBNT_PFOR_FW_RULES (0 references)
target prot opt source destination

Chain UBNT_VPN_IPSEC_FW_HOOK (1 references)
target prot opt source destination

Chain UBNT_VPN_IPSEC_FW_IN_HOOK (1 references)
target prot opt source destination

Chain VYATTA_FW_IN_HOOK (1 references)
target prot opt source destination
WAN_IN all -- 0.0.0.0/0 0.0.0.0/0

Chain VYATTA_FW_LOCAL_HOOK (1 references)
target prot opt source destination
WAN_LOCAL all -- 0.0.0.0/0 0.0.0.0/0

Chain VYATTA_FW_OUT_HOOK (1 references)
target prot opt source destination

Chain VYATTA_POST_FW_FWD_HOOK (1 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0

Chain VYATTA_POST_FW_IN_HOOK (1 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0

Chain VYATTA_POST_FW_OUT_HOOK (1 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0

Chain WAN_IN (1 references)
target prot opt source destination
RETURN all -- 0.0.0.0/0 0.0.0.0/0 /* WAN_IN-10 */ state RELATED,ESTABLISHED
DROP all -- 0.0.0.0/0 0.0.0.0/0 /* WAN_IN-20 */ state INVALID
DROP all -- 0.0.0.0/0 0.0.0.0/0 /* WAN_IN-10000 default-action drop */

Chain WAN_LOCAL (1 references)
target prot opt source destination
RETURN all -- 0.0.0.0/0 0.0.0.0/0 /* WAN_LOCAL-10 */ state RELATED,ESTABLISHED
DROP all -- 0.0.0.0/0 0.0.0.0/0 /* WAN_LOCAL-20 */ state INVALID
LOG tcp -- 0.0.0.0/0 0.0.0.0/0 /* WAN_LOCAL-40 */ tcp dpt:8023 LOG flags 0 level 4 prefix "[WAN_LOCAL-40-A]"
RETURN tcp -- 0.0.0.0/0 0.0.0.0/0 /* WAN_LOCAL-40 */ tcp dpt:8023
DROP all -- 0.0.0.0/0 0.0.0.0/0 /* WAN_LOCAL-10000 default-action drop */
anthony_11@ubnt:~$

Javaslom még as dpt:8023-as szabályra a "state NEW,RELATED,ESTABLISHED" felrakását.
De látszólag jó.
Nem nagyon használjuk szakításos DSL-en a cuccokat.

Köszi az eddigieket majd holnap meglátjuk.A kedves szolgáltató persze most ip-t cserélt azért tuti ami tuti.Egyébként folyamatos ip cserénél más beállítások vannak?Mármint úgy értem hogy 24 bontásnál ip csere van akkor erre más érvényes?Ha lenne hozzá egy jò doksi!:-)Azért nem adjuk fel!Működnie kell csak idő és sok olvasás kérdése.;-)

Sziasztok.

Úgy nézz ki megoldódott a
NEW RELATED ESTABLISHED beállításával ;-)Bár most ip vált a nyomorult úgyhogy kell egy mail script ami elküldi az aktuális ip-t.vagy dyndns és társai.Köszönöm STP-nek és a többieknek.

Üdv:Anthony_

Ha ez segítség tűzfall alap beállítással van 3 napja van üzemben a vas.

Egyébként van erről az EdgeOS-ről valami leírás? Vagy komolyan egy vyatta doksit kell nézegetni és vagy működnek az abban leírtak vagy nem?
EdgeRouter Lite 3-ról van szó itt is.

Jó nincs.
ubnt support oldalak, vyatta doksi (sajna egyre jobban outdated) és tab intenzív nyomkodása configure módban.

Akkor megérte Ubiquiti router vásárolni :D
Utólag könnyen okos az ember...

Basic júzer összekattintgathat alapdolgokat a GUI-n.
Az advanced meg tud olvasni...
Nem atomfizika, nem ez a gyenge pontja.
Sokkal kellemetlenebb, hogy boot közben nem szereti az áramszünetet.