Přesměrování portu z/do vnitřní sítě

Přesměrování portu z/do vnitřní sítě
« kdy: 24. 10. 2010, 23:24:12 »
Zdravim,
mam ADSL router CELL-22A-BX-CZ a nastavil jsem si na nem presmerovani portu pro rubyovskou webovou aplikaci (http://85.71.233.8:3000)
Jak si muzete ozkouset, tak vy se na tu adresu dostanete, ale ja kdyz tuto adresu zadam v ramci vnitrni site, tak mi zamitne pozadavek. Stejne tak s portem pro SSH.

Nemate nekdo s timto routerem zkusenosti a dokazali byste rict na cem ty pozadavky z vnitrni site umiraji?

Predem dekuji za komentare
Kadera
« Poslední změna: 25. 10. 2010, 13:02:19 od Petr Krčmář »


pepazdepa

Re: Presmerovani portu z/do vnitrni site
« Odpověď #1 kdy: 25. 10. 2010, 10:48:08 »
Zdravim,
mam ADSL router CELL-22A-BX-CZ a nastavil jsem si na nem presmerovani portu pro rubyovskou webovou aplikaci (http://85.71.233.8:3000)
Jak si muzete ozkouset, tak vy se na tu adresu dostanete, ale ja kdyz tuto adresu zadam v ramci vnitrni site, tak mi zamitne pozadavek. Stejne tak s portem pro SSH.

Nemate nekdo s timto routerem zkusenosti a dokazali byste rict na cem ty pozadavky z vnitrni site umiraji?

Predem dekuji za komentare
Kadera

tcpdump rika co?

Re: Presmerovani portu z/do vnitrni site
« Odpověď #2 kdy: 25. 10. 2010, 12:16:21 »
TCPDUMP:
12:13:16.003654 IP need4speed.local.49057 > 8.233.broadband4.iol.cz.3000: Flags , seq 2426430117, win 5840, options [mss 1460,sackOK,TS val 231401847 ecr 0,nop,wscale 6], length 0
12:13:16.003990 IP need4speed.local.33063 > google-public-dns-a.google.com.domain: 28057+ PTR? 8.233.71.85.in-addr.arpa. (42)
12:13:16.004153 IP 8.233.broadband4.iol.cz.3000 > need4speed.local.49057: Flags [FR.], seq 0, ack 2426430118, win 0, length 0
12:13:16.004316 IP 8.233.broadband4.iol.cz > need4speed.local: ICMP 8.233.broadband4.iol.cz tcp port 3000 unreachable, length 36
12:13:16.030032 IP google-public-dns-a.google.com.domain > need4speed.local.33063: 28057 1/0/0 PTR 8.233.broadband4.iol.cz. (79)


a jeste jsem prisel na jednu vec, na ten router se da pristupovat z venku, to je podle me hrozne spatne a domnivam se, ze to bude dost obdobnym nastavenim, jako po kterem se shanim

PCnity

  • *****
  • 701
    • Zobrazit profil
    • E-mail
Re: Presmerovani portu z/do vnitrni site
« Odpověď #3 kdy: 25. 10. 2010, 12:18:32 »
Podobny problem robil aj jeden d-link s ktorym som sa stretol. Proste z LAN ani z WLAN nedovolil pristupovat na vlastnu WAN adresu [jedno aky port].

Jednoduchsie nez sa s tym babrat bude lokalne pristupovat cez localhost... Pripadne ak by ti na routrei bezal nejaku gnu/linux tak si urob routing cez iptables sam... [2 riadky]

Inak tcpdump ti nepovie nic, pretoze tvoj local to piosle na default gateway a ten ro dropne.

Z toho ma vsak napada jedna jednoducha moznost :)) Preco si svoju vlastnu externu IP nedas ako alias?

ifconfig eth0:1 <verejna_ip> netmask 255.255.255.255 tym nepojde na default gateway ale poziadavky na tuto hjednu adresu sa osetria lokalne :)


BTW: Pusti ten tcp dump este raz ale s tymyto parametrami:

tcpdump -i any -v -n host <externa_ip>
« Poslední změna: 25. 10. 2010, 12:21:34 od PCnity »

Re: Presmerovani portu z/do vnitrni site
« Odpověď #4 kdy: 25. 10. 2010, 12:24:39 »
Ja to potrebuju poresit na tom routeru, protoze to ze k tem serverovym vecem pristupuju ja, to navadi, ja se prizpusobim a budu si vybirat lokalne/globalne, ale treba rss feed, kterej tu mam nebude fungovat lidem odsus venku a principielne i naopak. Stejne tak vsechny dalsi sluzby.


PCnity

  • *****
  • 701
    • Zobrazit profil
    • E-mail
Re: Presmerovani portu z/do vnitrni site
« Odpověď #5 kdy: 25. 10. 2010, 12:32:20 »
A mas na ten "router" nejaky ssh pristup? Ak tam uz bezi nejaky linux firmware, mozes to flashnut podporovanejsim. Inak ak sa jedna o firemne prostredie by bolo najlepsie dat medzi uplink a siet skutocny router, nejake stare pentium alebo microITX pc a na nom si spravis co len chces.

EDIT: Nevies na tej skatulke risit veci typu static routes? Mozno by si vedel aj dake prerouting postrouting pravidla priamo zapisovat... Prehladaj tomu fw.
« Poslední změna: 25. 10. 2010, 12:34:11 od PCnity »

Re: Presmerovani portu z/do vnitrni site
« Odpověď #6 kdy: 25. 10. 2010, 12:57:41 »
Chcete povedat ze existuje router ktory mi dovoli pristupovat z vnutornej siete na svoju verejnu IP? Este som sa s takym nestretol. Dost by pomoholo ak by sa to dalo nejako vyriesit.

PCnity

  • *****
  • 701
    • Zobrazit profil
    • E-mail
Re: Presmerovani portu z/do vnitrni site
« Odpověď #7 kdy: 25. 10. 2010, 13:07:29 »
OpenWRT a nemas problem. Dane ruly boli moc komplikovane na mna [nemam rad networking] robila sa tam vlastna chain a nejako komplexne to potom z tej chain slo spat akoby z wan do lan. Ale funguje to.

Inak si myslim ze by sa to dalo aj nejako jednoducho na styl

$IPT -A INPUT -i $IF_LAN -p tcp -d $WAN_IP -j ACCEPT
$IPT -t nat -A POSTROUTING -p tcp -d $WAN_IP --dport 3000  -j SNAT --to-source <co tu? Mozno nejaka vymyslena vonkjasia?>
$IPT -t nat -A PREROUTING -i $IF_LAN -d $WAN_IP -j DNAT --to-destination $SERV
$IPT -A FORWARD -i $IF_LAN -p tcp -d $SERV --dport 3000 -j ACCEPT

Ale na mna v tomto spolah nie je. Nemam rad iptables a pokial nemusim, moc to ich nechtam.
« Poslední změna: 25. 10. 2010, 13:19:47 od PCnity »

Re: Presmerovani portu z/do vnitrni site
« Odpověď #8 kdy: 25. 10. 2010, 23:45:54 »
A mas na ten "router" nejaky ssh pristup? Ak tam uz bezi nejaky linux firmware, mozes to flashnut podporovanejsim. Inak ak sa jedna o firemne prostredie by bolo najlepsie dat medzi uplink a siet skutocny router, nejake stare pentium alebo microITX pc a na nom si spravis co len chces.

EDIT: Nevies na tej skatulke risit veci typu static routes? Mozno by si vedel aj dake prerouting postrouting pravidla priamo zapisovat... Prehladaj tomu fw.
Na ten router se ssh udelat neda, ma to jen webove rozhranni. Zadnym jinym routerem to resit nemuzeme(neumime) a nechceme(nic nam nebude na chodbe hucet)
Ostatnimu bohuzel nerozumim :(

Chcete povedat ze existuje router ktory mi dovoli pristupovat z vnutornej siete na svoju verejnu IP? Este som sa s takym nestretol. Dost by pomoholo ak by sa to dalo nejako vyriesit.
Minuly router co jsme tu meli je nejaky Huawei a ten to umel bez potizi.

OpenWRT a nemas problem. Dane ruly boli moc komplikovane na mna [nemam rad networking] robila sa tam vlastna chain a nejako komplexne to potom z tej chain slo spat akoby z wan do lan. Ale funguje to.

Inak si myslim ze by sa to dalo aj nejako jednoducho na styl

$IPT -A INPUT -i $IF_LAN -p tcp -d $WAN_IP -j ACCEPT
$IPT -t nat -A POSTROUTING -p tcp -d $WAN_IP --dport 3000  -j SNAT --to-source <co tu? Mozno nejaka vymyslena vonkjasia?>
$IPT -t nat -A PREROUTING -i $IF_LAN -d $WAN_IP -j DNAT --to-destination $SERV
$IPT -A FORWARD -i $IF_LAN -p tcp -d $SERV --dport 3000 -j ACCEPT

Ale na mna v tomto spolah nie je. Nemam rad iptables a pokial nemusim, moc to ich nechtam.
OpenWRT = flashnout ten firmware? Protoze se domnivam ze to nejde a jestli jo, tak pri tom procesu ten router znicim.

Nemate nekdo prosim nejaky tip ve stylu: Zkus tam najit neco co se jmenuje 'default port route' nebo cokoliv a nastav to na true nebo 10 nebo neco???