saibaneko
@saibaneko

Как открыть порты на Openwrt (web, rdp, torrentstream)?

Всем привет.
Коллеги, подскажите как открыть порты на openwrt для RDP, TorrentStream и Webserver?
Что имею:
1.Роутер Asus RT-N13-U B1 c OpenWrt BarrierBreaker 14.07
2.Провайдер Билайн с динамическим внешним ip.
3.На роутере настроен dydns (no-ip.com), пинг по зарегистрированному хосту выдает мой внешний динамический ip.
4.Поднят upnp (порт 5000)
Что хочу:
1.Доступ к одному из компов в домашней сети по RDP
2.Просмотр TorrentTV в XBMC
3.Доступ к роутеру из инета

Прописал в /etc/config/firewall как мне казалось правильные правила, с пернаправлением портов 80 и 3389, и открытием 80, 3389 и 8621, но ничего не работает. Конфиг ниже. Помогите, пожалуйста разобраться.

root@OpenWrt:~# cat /etc/config/firewall

config defaults
option syn_flood '1'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'

config zone
option name 'lan'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'ACCEPT'
option network 'lan'

config zone
option name 'wan'
option output 'ACCEPT'
option masq '1'
option mtu_fix '1'
option network 'wan wan6 BeeLine'
option input 'REJECT'
option forward 'REJECT'

config forwarding
option src 'lan'
option dest 'wan'

config rule
option name 'Allow-DHCP-Renew'
option src 'wan'
option proto 'udp'
option dest_port '68'
option target 'ACCEPT'
option family 'ipv4'

config rule
option name 'Allow-Ping'
option src 'wan'
option proto 'icmp'
option icmp_type 'echo-request'
option family 'ipv4'
option target 'ACCEPT'

config rule
option name 'Allow-DHCPv6'
option src 'wan'
option proto 'udp'
option src_ip 'fe80::/10'
option src_port '547'
option dest_ip 'fe80::/10'
option dest_port '546'
option family 'ipv6'
option target 'ACCEPT'

config rule
option name 'Allow-ICMPv6-Input'
option src 'wan'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
list icmp_type 'router-solicitation'
list icmp_type 'neighbour-solicitation'
list icmp_type 'router-advertisement'
list icmp_type 'neighbour-advertisement'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'

config rule
option name 'Allow-ICMPv6-Forward'
option src 'wan'
option dest '*'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'

config include
option path '/etc/firewall.user'

config redirect
option target 'DNAT'
option src 'wan'
option dest 'lan'
option proto 'tcp'
option src_dport '80'
option dest_ip '192.168.1.1'
option dest_port '80'
option name 'Router_From_Inet'

config include 'miniupnpd'
option type 'script'
option path '/usr/share/miniupnpd/firewall.include'
option family 'any'
option reload '1'

config rule
option target 'ACCEPT'
option src 'wan'
option proto 'tcp udp'
option dest_port '8621'
option name 'TorrentSteam'
option dest 'lan'

config rule
option target 'ACCEPT'
option src 'wan'
option proto 'tcp'
option dest_port '80'
option name 'RouterInet'

config rule
option enabled '1'
option target 'ACCEPT'
option src 'wan'
option proto 'tcp udp'
option dest_port '3389'
option name 'RDP'
option dest_ip '192.168.1.224'
option dest 'lan'

config redirect
option target 'DNAT'
option src 'wan'
option dest 'lan'
option proto 'tcp'
option src_dport '3389'
option dest_ip '192.168.1.224'
option dest_port '3389'
option name 'RDP'
  • Вопрос задан
  • 13505 просмотров
Пригласить эксперта
Ответы на вопрос 2
sixhundredsixtyfive
@sixhundredsixtyfive
Попробуйте использовать интерфейс пользователя LuCI для наглядной настройки iptables.
Еще можно посмотреть цепочки правил iptables после применения конфига, чтобы понять какие правила применяются и сколько пакетов по какому правилу заблокировано (iptables -vnL и iptables -t nat -vnL).
Еще можно попробовать вручную команднуть что то типа:
iptables -t nat -I PREROUTING -p tcp -m tcp --dport 8080 -i pppoe-wan -j DNAT --to 10.0.0.33:8080
iptables -I FORWARD -m tcp -p tcp -d 10.0.0.33 --dport 8080 -j ACCEPT
для перенаправления, и для открытия:
iptables -I INPUT -i pppoe-wan -p tcp -m tcp --dport 25 -j ACCEPT
Не забудьте заменить IP, порты и имена интерфейсов. Так же, для отладки, можно заставить iptables писать в лог о блокируемых пакетах.
Ответ написан
FessAectan
@FessAectan
Люблю MikroTik, nix, asterisk и VoIP в целом
Покажите вывод команды iptables -vnL.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы