Sziasztok!
Ismerkedem az edgeos 1.9.0 változatával egy rlite3 vasról lenne szó.Külső hozzáférést állítottam be neki hogy elérjem ssh-n ami működik is jól az adsl 24 bontásáig de utána
azonnal zárja a portot.Kiokítanátok a helyes cli configgal.Előre is köszi!
Üdv:anthony_
- 1513 megtekintés
Hozzászólások
"Külső hozzáférést állítottam be neki hogy elérjem ssh-n..."
Ez alatt ugye azt érted, hogy beállítottál a megadott ssh portra egy IN:new és OUT:related tűzfal szabályt? (a lényeget kiemelve)
Mit mond a log szakadáskor és után? Változik az IP címed?
Ugye Te sem vagy gondolatolvasó?!
- A hozzászóláshoz be kell jelentkezni
Szia!
Igen!Nem változik az ip nagyon sokáig csak ha a adsl modemet újra indítom.Mindjárt mutatom a szabályt amit írtam.A legmegfelelőbb ember válaszolt.Úgytudom te sok ilyet üzemeltetsz.:-)Én csak most ismerkedem vele.Láthom hogy deb alapú.
- A hozzászóláshoz be kell jelentkezni
edit firewall name WAN_LOCAL rule 60
set description “Inbound traffic to SSH Management”
set action accept
set log disable
set protocol tcp_udp
set destination port 8023
Ez kevés lenne?meg is eszi azonnal és nyitodik de ahogy bontja 24 óra után kötelezően a vonalat és az ip nem változik akkor is azonnal zárja a portot utána.köszi a segítséget.
- A hozzászóláshoz be kell jelentkezni
hmmm
ssh { port 8023 ... } van a konfigban, igaz?
egyébként az ssh tcp-n megy így set protocol tcp jobb lenne.
LAN oldalról be tudsz ssh-zni mikor a wan oldal megsüketült?
- A hozzászóláshoz be kell jelentkezni
8023 van és lanról megy a bejelentekezés.
- A hozzászóláshoz be kell jelentkezni
Javítom csak tcp portra.Fura mert lanon tovább él 8023 és csatlakozik is csak kívüről lessz filtered.
- A hozzászóláshoz be kell jelentkezni
iptables -L -n mit mutat a (látszólagos) filtered állapotban?
- A hozzászóláshoz be kell jelentkezni
Linux ubnt 3.10.20-UBNT #1 SMP Fri Jul 29 16:51:50 PDT 2016 mips64
Welcome to EdgeOS
Last login: Sat Oct 1 16:39:42 2016 from 192.168.0.39
anthony_11@ubnt:~$ iptables -L -n
-vbash: iptables: command not found
anthony_11@ubnt:~$ sudo iptables -L-n
iptables: No chain/target/match by that name.
anthony_11@ubnt:~$ sudo iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
UBNT_VPN_IPSEC_FW_HOOK all -- 0.0.0.0/0 0.0.0.0/0
VYATTA_FW_LOCAL_HOOK all -- 0.0.0.0/0 0.0.0.0/0
VYATTA_POST_FW_IN_HOOK all -- 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT)
target prot opt source destination
MINIUPNPD all -- 0.0.0.0/0 0.0.0.0/0
UBNT_VPN_IPSEC_FW_IN_HOOK all -- 0.0.0.0/0 0.0.0.0/0
UBNT_PFOR_FW_HOOK all -- 0.0.0.0/0 0.0.0.0/0
VYATTA_FW_IN_HOOK all -- 0.0.0.0/0 0.0.0.0/0
VYATTA_FW_OUT_HOOK all -- 0.0.0.0/0 0.0.0.0/0
VYATTA_POST_FW_FWD_HOOK all -- 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
VYATTA_POST_FW_OUT_HOOK all -- 0.0.0.0/0 0.0.0.0/0
Chain MINIUPNPD (1 references)
target prot opt source destination
Chain UBNT_PFOR_FW_HOOK (1 references)
target prot opt source destination
Chain UBNT_PFOR_FW_RULES (0 references)
target prot opt source destination
Chain UBNT_VPN_IPSEC_FW_HOOK (1 references)
target prot opt source destination
Chain UBNT_VPN_IPSEC_FW_IN_HOOK (1 references)
target prot opt source destination
Chain VYATTA_FW_IN_HOOK (1 references)
target prot opt source destination
WAN_IN all -- 0.0.0.0/0 0.0.0.0/0
Chain VYATTA_FW_LOCAL_HOOK (1 references)
target prot opt source destination
WAN_LOCAL all -- 0.0.0.0/0 0.0.0.0/0
Chain VYATTA_FW_OUT_HOOK (1 references)
target prot opt source destination
Chain VYATTA_POST_FW_FWD_HOOK (1 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
Chain VYATTA_POST_FW_IN_HOOK (1 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
Chain VYATTA_POST_FW_OUT_HOOK (1 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
Chain WAN_IN (1 references)
target prot opt source destination
RETURN all -- 0.0.0.0/0 0.0.0.0/0 /* WAN_IN-10 */ state RELATED,ESTABLISHED
DROP all -- 0.0.0.0/0 0.0.0.0/0 /* WAN_IN-20 */ state INVALID
DROP all -- 0.0.0.0/0 0.0.0.0/0 /* WAN_IN-10000 default-action drop */
Chain WAN_LOCAL (1 references)
target prot opt source destination
RETURN all -- 0.0.0.0/0 0.0.0.0/0 /* WAN_LOCAL-10 */ state RELATED,ESTABLISHED
DROP all -- 0.0.0.0/0 0.0.0.0/0 /* WAN_LOCAL-20 */ state INVALID
LOG tcp -- 0.0.0.0/0 0.0.0.0/0 /* WAN_LOCAL-40 */ tcp dpt:8023 LOG flags 0 level 4 prefix "[WAN_LOCAL-40-A]"
RETURN tcp -- 0.0.0.0/0 0.0.0.0/0 /* WAN_LOCAL-40 */ tcp dpt:8023
DROP all -- 0.0.0.0/0 0.0.0.0/0 /* WAN_LOCAL-10000 default-action drop */
anthony_11@ubnt:~$
- A hozzászóláshoz be kell jelentkezni
Javaslom még as dpt:8023-as szabályra a "state NEW,RELATED,ESTABLISHED" felrakását.
De látszólag jó.
Nem nagyon használjuk szakításos DSL-en a cuccokat.
- A hozzászóláshoz be kell jelentkezni
Köszi az eddigieket majd holnap meglátjuk.A kedves szolgáltató persze most ip-t cserélt azért tuti ami tuti.Egyébként folyamatos ip cserénél más beállítások vannak?Mármint úgy értem hogy 24 bontásnál ip csere van akkor erre más érvényes?Ha lenne hozzá egy jò doksi!:-)Azért nem adjuk fel!Működnie kell csak idő és sok olvasás kérdése.;-)
- A hozzászóláshoz be kell jelentkezni
Sziasztok.
Úgy nézz ki megoldódott a
NEW RELATED ESTABLISHED beállításával ;-)Bár most ip vált a nyomorult úgyhogy kell egy mail script ami elküldi az aktuális ip-t.vagy dyndns és társai.Köszönöm STP-nek és a többieknek.
Üdv:Anthony_
- A hozzászóláshoz be kell jelentkezni
Ha ez segítség tűzfall alap beállítással van 3 napja van üzemben a vas.
- A hozzászóláshoz be kell jelentkezni
Egyébként van erről az EdgeOS-ről valami leírás? Vagy komolyan egy vyatta doksit kell nézegetni és vagy működnek az abban leírtak vagy nem?
EdgeRouter Lite 3-ról van szó itt is.
- A hozzászóláshoz be kell jelentkezni
Jó nincs.
ubnt support oldalak, vyatta doksi (sajna egyre jobban outdated) és tab intenzív nyomkodása configure módban.
- A hozzászóláshoz be kell jelentkezni
Akkor megérte Ubiquiti router vásárolni :D
Utólag könnyen okos az ember...
- A hozzászóláshoz be kell jelentkezni
Basic júzer összekattintgathat alapdolgokat a GUI-n.
Az advanced meg tud olvasni...
Nem atomfizika, nem ez a gyenge pontja.
Sokkal kellemetlenebb, hogy boot közben nem szereti az áramszünetet.
- A hozzászóláshoz be kell jelentkezni