Как открыть порты на Openwrt (web, rdp, torrentstream)?

Question

[saibaneko]

Всем привет.
Коллеги, подскажите как открыть порты на openwrt для RDP, TorrentStream и Webserver?
Что имею:
1.Роутер Asus RT-N13-U B1 c OpenWrt BarrierBreaker 14.07
2.Провайдер Билайн с динамическим внешним ip.
3.На роутере настроен dydns (no-ip.com), пинг по зарегистрированному хосту выдает мой внешний динамический ip.
4.Поднят upnp (порт 5000)
Что хочу:
1.Доступ к одному из компов в домашней сети по RDP
2.Просмотр TorrentTV в XBMC
3.Доступ к роутеру из инета

Прописал в /etc/config/firewall как мне казалось правильные правила, с пернаправлением портов 80 и 3389, и открытием 80, 3389 и 8621, но ничего не работает. Конфиг ниже. Помогите, пожалуйста разобраться.

root@OpenWrt:~# cat /etc/config/firewall

config defaults
option syn_flood '1'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'

config zone
option name 'lan'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'ACCEPT'
option network 'lan'

config zone
option name 'wan'
option output 'ACCEPT'
option masq '1'
option mtu_fix '1'
option network 'wan wan6 BeeLine'
option input 'REJECT'
option forward 'REJECT'

config forwarding
option src 'lan'
option dest 'wan'

config rule
option name 'Allow-DHCP-Renew'
option src 'wan'
option proto 'udp'
option dest_port '68'
option target 'ACCEPT'
option family 'ipv4'

config rule
option name 'Allow-Ping'
option src 'wan'
option proto 'icmp'
option icmp_type 'echo-request'
option family 'ipv4'
option target 'ACCEPT'

config rule
option name 'Allow-DHCPv6'
option src 'wan'
option proto 'udp'
option src_ip 'fe80::/10'
option src_port '547'
option dest_ip 'fe80::/10'
option dest_port '546'
option family 'ipv6'
option target 'ACCEPT'

config rule
option name 'Allow-ICMPv6-Input'
option src 'wan'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
list icmp_type 'router-solicitation'
list icmp_type 'neighbour-solicitation'
list icmp_type 'router-advertisement'
list icmp_type 'neighbour-advertisement'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'

config rule
option name 'Allow-ICMPv6-Forward'
option src 'wan'
option dest '*'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'

config include
option path '/etc/firewall.user'

config redirect
option target 'DNAT'
option src 'wan'
option dest 'lan'
option proto 'tcp'
option src_dport '80'
option dest_ip '192.168.1.1'
option dest_port '80'
option name 'Router_From_Inet'

config include 'miniupnpd'
option type 'script'
option path '/usr/share/miniupnpd/firewall.include'
option family 'any'
option reload '1'

config rule
option target 'ACCEPT'
option src 'wan'
option proto 'tcp udp'
option dest_port '8621'
option name 'TorrentSteam'
option dest 'lan'

config rule
option target 'ACCEPT'
option src 'wan'
option proto 'tcp'
option dest_port '80'
option name 'RouterInet'

config rule
option enabled '1'
option target 'ACCEPT'
option src 'wan'
option proto 'tcp udp'
option dest_port '3389'
option name 'RDP'
option dest_ip '192.168.1.224'
option dest 'lan'

config redirect
option target 'DNAT'
option src 'wan'
option dest 'lan'
option proto 'tcp'
option src_dport '3389'
option dest_ip '192.168.1.224'
option dest_port '3389'
option name 'RDP'

Answer 1

[sixhundredsixtyfive]

Попробуйте использовать интерфейс пользователя LuCI для наглядной настройки iptables.
Еще можно посмотреть цепочки правил iptables после применения конфига, чтобы понять какие правила применяются и сколько пакетов по какому правилу заблокировано (iptables -vnL и iptables -t nat -vnL).
Еще можно попробовать вручную команднуть что то типа:
iptables -t nat -I PREROUTING -p tcp -m tcp --dport 8080 -i pppoe-wan -j DNAT --to 10.0.0.33:8080
iptables -I FORWARD -m tcp -p tcp -d 10.0.0.33 --dport 8080 -j ACCEPT
для перенаправления, и для открытия:
iptables -I INPUT -i pppoe-wan -p tcp -m tcp --dport 25 -j ACCEPT
Не забудьте заменить IP, порты и имена интерфейсов. Так же, для отладки, можно заставить iptables писать в лог о блокируемых пакетах.

Comments

[saibaneko]

Удалось пробиться к роутеру из инета, открыл все такими командами:
iptables -t nat -A PREROUTING -p tcp -i l2tp-BeeLine --dport 8081 -j DNAT --to-destination 192.168.1.1:80
iptables -I FORWARD -i l2tp-BeeLine -d 192.168.1.1 -p tcp -m tcp --dport 80 -j ACCEPT

Проблема заключалась в операторе, просканировав порты и увидев, что большинство из них в статусе stealth, нагуглил, что это блокировка оператором, после чего зашел в личный кабинет Билайн и нашел опцию подключенного файерволла, перевел его в статус отключенного и после этого все заработало.

Однако ping.eu/port-chk пишет, что 3389 закрыт и 8621 тоже, при конечном конфиге:

# openwrt www(80) interface - outside 8081 port
iptables -t nat -A PREROUTING -p tcp -i l2tp-BeeLine --dport 8081 -j DNAT --to-destination 192.168.1.1:80
iptables -I FORWARD -i l2tp-BeeLine -d 192.168.1.1 -p tcp -m tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p udp -i l2tp-BeeLine --dport 8081 -j DNAT --to-destination 192.168.1.1:80
iptables -I FORWARD -i l2tp-BeeLine -d 192.168.1.1 -p udp -m tcp --dport 80 -j ACCEPT

# RDP(3389)
iptables -t nat -A PREROUTING -p tcp -i l2tp-BeeLine --dport 3389 -j DNAT --to-destination 192.168.1.224:3389
iptables -A FORWARD -i l2tp-BeeLine -d 192.168.1.224 -p tcp --dport 3389 -j ACCEPT

# TorrentTV(8621)
iptables -A INPUT --protocol tcp --dport 8621 -j ACCEPT
iptables -A INPUT --protocol udp --dport 8621 -j ACCEPT

Ничего уже не понимаю :(

[sixhundredsixtyfive]

RDP может быть закрыт потому что блокирует брандмауэр Windows, когда видит внешние IP в обращение, его можно попробовать отключить для пробы, потом создать соответствующие правило.
TorrentTV - не знаю что это, если это работает на openwrt попробуйте заглянуть в конфиги этого сервиса и посмотреть какой интерфейс он слушает, если br0(lan) например, то это не ok, надо чтобы все интерфейсы слушал.

Answer 2

[Евгений Романенко]

Покажите вывод команды iptables -vnL.

Comments

[saibaneko]

Да, конечно

Или ниже, или быть может более визуально удобнее здесь https://docs.google.com/document/d/1h-caCwV0N4Te-C...

root@OpenWrt:~# iptables -n -L -v --line-numbers
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 48432 5427K delegate_input all -- * * 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy DROP 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 18639 1391K delegate_forward all -- * * 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 174K 76M delegate_output all -- * * 0.0.0.0/0 0.0.0.0/0

Chain MINIUPNPD (1 references)
num pkts bytes target prot opt in out source destination
1 1 48 ACCEPT udp -- * * 0.0.0.0/0 192.168.1.244 udp dpt:9799
2 1 52 ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.244 tcp dpt:9799
3 0 0 ACCEPT udp -- * * 0.0.0.0/0 192.168.1.224 udp dpt:62201

Chain delegate_forward (1 references)
num pkts bytes target prot opt in out source destination
1 18639 1391K forwarding_rule all -- * * 0.0.0.0/0 0.0.0.0/0 /* user chain for forwarding */
2 1046 95320 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
3 16672 1234K zone_lan_forward all -- br-lan * 0.0.0.0/0 0.0.0.0/0
4 0 0 zone_wan_forward all -- eth0.2 * 0.0.0.0/0 0.0.0.0/0
5 921 62326 zone_wan_forward all -- l2tp-BeeLine * 0.0.0.0/0 0.0.0.0/0
6 0 0 reject all -- * * 0.0.0.0/0 0.0.0.0/0

Chain delegate_input (1 references)
num pkts bytes target prot opt in out source destination
1 1084 73888 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
2 47348 5353K input_rule all -- * * 0.0.0.0/0 0.0.0.0/0 /* user chain for input */
3 115 6991 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
4 1854 91980 syn_flood tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02
5 11298 711K zone_lan_input all -- br-lan * 0.0.0.0/0 0.0.0.0/0
6 33291 4457K zone_wan_input all -- eth0.2 * 0.0.0.0/0 0.0.0.0/0
7 2644 178K zone_wan_input all -- l2tp-BeeLine * 0.0.0.0/0 0.0.0.0/0

Chain delegate_output (1 references)
num pkts bytes target prot opt in out source destination
1 1084 73888 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
2 173K 76M output_rule all -- * * 0.0.0.0/0 0.0.0.0/0 /* user chain for output */
3 4577 802K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
4 157K 74M zone_lan_output all -- * br-lan 0.0.0.0/0 0.0.0.0/0
5 0 0 zone_wan_output all -- * eth0.2 0.0.0.0/0 0.0.0.0/0
6 11360 756K zone_wan_output all -- * l2tp-BeeLine 0.0.0.0/0 0.0.0.0/0

Chain forwarding_lan_rule (1 references)
num pkts bytes target prot opt in out source destination

Chain forwarding_rule (1 references)
num pkts bytes target prot opt in out source destination

Chain forwarding_wan_rule (1 references)
num pkts bytes target prot opt in out source destination

Chain input_lan_rule (1 references)
num pkts bytes target prot opt in out source destination

Chain input_rule (1 references)
num pkts bytes target prot opt in out source destination

Chain input_wan_rule (1 references)
num pkts bytes target prot opt in out source destination

Chain output_lan_rule (1 references)
num pkts bytes target prot opt in out source destination

Chain output_rule (1 references)
num pkts bytes target prot opt in out source destination

Chain output_wan_rule (1 references)
num pkts bytes target prot opt in out source destination

Chain reject (5 references)
num pkts bytes target prot opt in out source destination
1 1336 65216 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 reject-with tcp-reset
2 34463 4565K REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable

Chain syn_flood (1 references)
num pkts bytes target prot opt in out source destination
1 1854 91980 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02 limit: avg 25/sec burst 50
2 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain zone_lan_dest_ACCEPT (6 references)
num pkts bytes target prot opt in out source destination
1 157K 74M ACCEPT all -- * br-lan 0.0.0.0/0 0.0.0.0/0

Chain zone_lan_forward (1 references)
num pkts bytes target prot opt in out source destination
1 16672 1234K forwarding_lan_rule all -- * * 0.0.0.0/0 0.0.0.0/0 /* user chain for forwarding */
2 16672 1234K zone_wan_dest_ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 /* forwarding lan -> wan */
3 0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate DNAT /* Accept port forwards */
4 0 0 zone_lan_dest_ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0

Chain zone_lan_input (1 references)
num pkts bytes target prot opt in out source destination
1 11298 711K input_lan_rule all -- * * 0.0.0.0/0 0.0.0.0/0 /* user chain for input */
2 0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate DNAT /* Accept port redirections */
3 11298 711K zone_lan_src_ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0

Chain zone_lan_output (1 references)
num pkts bytes target prot opt in out source destination
1 157K 74M output_lan_rule all -- * * 0.0.0.0/0 0.0.0.0/0 /* user chain for output */
2 157K 74M zone_lan_dest_ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0

Chain zone_lan_src_ACCEPT (1 references)
num pkts bytes target prot opt in out source destination
1 11298 711K ACCEPT all -- br-lan * 0.0.0.0/0 0.0.0.0/0

Chain zone_wan_dest_ACCEPT (2 references)
num pkts bytes target prot opt in out source destination
1 0 0 ACCEPT all -- * eth0.2 0.0.0.0/0 0.0.0.0/0
2 28032 1990K ACCEPT all -- * l2tp-BeeLine 0.0.0.0/0 0.0.0.0/0

Chain zone_wan_dest_REJECT (1 references)
num pkts bytes target prot opt in out source destination
1 0 0 reject all -- * eth0.2 0.0.0.0/0 0.0.0.0/0
2 0 0 reject all -- * l2tp-BeeLine 0.0.0.0/0 0.0.0.0/0

Chain zone_wan_forward (2 references)
num pkts bytes target prot opt in out source destination
1 921 62326 MINIUPNPD all -- * * 0.0.0.0/0 0.0.0.0/0
2 42 2146 forwarding_wan_rule all -- * * 0.0.0.0/0 0.0.0.0/0 /* user chain for forwarding */
3 0 0 zone_lan_dest_ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8621 /* TorrentSteam */
4 0 0 zone_lan_dest_ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:8621 /* TorrentSteam */
5 40 1916 zone_lan_dest_ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.224 tcp dpt:3389 /* RDP */
6 0 0 zone_lan_dest_ACCEPT udp -- * * 0.0.0.0/0 192.168.1.224 udp dpt:3389 /* RDP */
7 2 230 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate DNAT /* Accept port forwards */
8 0 0 zone_wan_dest_REJECT all -- * * 0.0.0.0/0 0.0.0.0/0

Chain zone_wan_input (2 references)
num pkts bytes target prot opt in out source destination
1 35935 4635K input_wan_rule all -- * * 0.0.0.0/0 0.0.0.0/0 /* user chain for input */
2 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:68 /* Allow-DHCP-Renew */
3 126 4192 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 8 /* Allow-Ping */
4 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 /* WebOpenWRT */
5 10 473 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:80 /* WebOpenWRT */
6 0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate DNAT /* Accept port redirections */
7 35799 4630K zone_wan_src_REJECT all -- * * 0.0.0.0/0 0.0.0.0/0

Chain zone_wan_output (2 references)
num pkts bytes target prot opt in out source destination
1 11360 756K output_wan_rule all -- * * 0.0.0.0/0 0.0.0.0/0 /* user chain for output */
2 11360 756K zone_wan_dest_ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0

Chain zone_wan_src_REJECT (1 references)
num pkts bytes target prot opt in out source destination
1 33290 4457K reject all -- eth0.2 * 0.0.0.0/0 0.0.0.0/0
2 2509 173K reject all -- l2tp-BeeLine * 0.0.0.0/0 0.0.0.0/0

[Евгений Романенко]

Забыл, еще нужен вывод
iptables -vnL -t nat
Начнем с RDP.
Если нет подобного правила, то добавьте его
iptables -t nat -I PREROUTING -p tcp -m tcp --dport 3389 -i l2tp-BeeLine -j DNAT --to 192.168.1.224

[saibaneko]

@FessAectan: правильно я понимаю, что все правила созданные ранее мною через luci надо убрать?
И еще, последовательность команд идет обычно:
PREROUTING
FORWARD
ACCEPT
так?

Вывод без добавления вашей команды:
root@OpenWrt:~# iptables -vnL -t nat
Chain PREROUTING (policy ACCEPT 10 packets, 933 bytes)
pkts bytes target prot opt in out source destination
858K 964M delegate_prerouting all -- * * 0.0.0.0/0 0.0.0.0/0

Chain INPUT (policy ACCEPT 2 packets, 104 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
38714 2545K delegate_postrouting all -- * * 0.0.0.0/0 0.0.0.0/0

Chain MINIUPNPD (1 references)
pkts bytes target prot opt in out source destination
1 48 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:9799 to:192.168.1.244:9799
1 52 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:9799 to:192.168.1.244:9799
0 0 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:62201 to:192.168.1.224:62201

Chain delegate_postrouting (1 references)
pkts bytes target prot opt in out source destination
38714 2545K postrouting_rule all -- * * 0.0.0.0/0 0.0.0.0/0 /* user chain for postrouting */
1113 109K zone_lan_postrouting all -- * br-lan 0.0.0.0/0 0.0.0.0/0
66 2640 zone_wan_postrouting all -- * eth0.2 0.0.0.0/0 0.0.0.0/0
36424 2357K zone_wan_postrouting all -- * l2tp-BeeLine 0.0.0.0/0 0.0.0.0/0

Chain delegate_prerouting (1 references)
pkts bytes target prot opt in out source destination
858K 964M prerouting_rule all -- * * 0.0.0.0/0 0.0.0.0/0 /* user chain for prerouting */
26896 2691K zone_lan_prerouting all -- br-lan * 0.0.0.0/0 0.0.0.0/0
816K 960M zone_wan_prerouting all -- eth0.2 * 0.0.0.0/0 0.0.0.0/0
15430 911K zone_wan_prerouting all -- l2tp-BeeLine * 0.0.0.0/0 0.0.0.0/0

Chain postrouting_lan_rule (1 references)
pkts bytes target prot opt in out source destination

Chain postrouting_rule (1 references)
pkts bytes target prot opt in out source destination

Chain postrouting_wan_rule (1 references)
pkts bytes target prot opt in out source destination

Chain prerouting_lan_rule (1 references)
pkts bytes target prot opt in out source destination

Chain prerouting_rule (1 references)
pkts bytes target prot opt in out source destination

Chain prerouting_wan_rule (1 references)
pkts bytes target prot opt in out source destination

Chain zone_lan_postrouting (1 references)
pkts bytes target prot opt in out source destination
1113 109K postrouting_lan_rule all -- * * 0.0.0.0/0 0.0.0.0/0 /* user chain for postrouting */
0 0 SNAT tcp -- * * 192.168.1.0/24 192.168.1.224 tcp dpt:3389 /* RDP (reflection) */ to:192.168.1.1

Chain zone_lan_prerouting (1 references)
pkts bytes target prot opt in out source destination
26896 2691K prerouting_lan_rule all -- * * 0.0.0.0/0 0.0.0.0/0 /* user chain for prerouting */
0 0 DNAT tcp -- * * 192.168.1.0/24 10.159.40.45 tcp dpt:3389 /* RDP (reflection) */ to:192.168.1.224:3389
0 0 DNAT tcp -- * * 192.168.1.0/24 37.145.119.42 tcp dpt:3389 /* RDP (reflection) */ to:192.168.1.224:3389

Chain zone_wan_postrouting (2 references)
pkts bytes target prot opt in out source destination
36490 2360K postrouting_wan_rule all -- * * 0.0.0.0/0 0.0.0.0/0 /* user chain for postrouting */
36490 2360K MASQUERADE all -- * * 0.0.0.0/0 0.0.0.0/0

Chain zone_wan_prerouting (2 references)
pkts bytes target prot opt in out source destination
832K 961M MINIUPNPD all -- * * 0.0.0.0/0 0.0.0.0/0
831K 961M prerouting_wan_rule all -- * * 0.0.0.0/0 0.0.0.0/0 /* user chain for prerouting */
0 0 REDIRECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 /* WebOpenWRT */ redir ports 80
35 1660 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3389 /* RDP */ to:192.168.1.224:3389

Вывод c добавлением вашей команды в пользовательские правила и перезапуска файерволла :
root@OpenWrt:~# iptables -vnL -t nat
Chain PREROUTING (policy ACCEPT 32 packets, 10838 bytes)
pkts bytes target prot opt in out source destination
87 25695 delegate_prerouting all -- * * 0.0.0.0/0 0.0.0.0/0

Chain INPUT (policy ACCEPT 7 packets, 456 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 7 packets, 525 bytes)
pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
18 985 delegate_postrouting all -- * * 0.0.0.0/0 0.0.0.0/0

Chain MINIUPNPD (1 references)
pkts bytes target prot opt in out source destination
1 48 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:9799 to:192.168.1.244:9799
1 52 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:9799 to:192.168.1.244:9799
0 0 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:62201 to:192.168.1.224:62201

Chain delegate_postrouting (1 references)
pkts bytes target prot opt in out source destination
18 985 postrouting_rule all -- * * 0.0.0.0/0 0.0.0.0/0 /* user chain for postrouting */
1 60 zone_lan_postrouting all -- * br-lan 0.0.0.0/0 0.0.0.0/0
0 0 zone_wan_postrouting all -- * eth0.2 0.0.0.0/0 0.0.0.0/0
17 925 zone_wan_postrouting all -- * l2tp-BeeLine 0.0.0.0/0 0.0.0.0/0

Chain delegate_prerouting (1 references)
pkts bytes target prot opt in out source destination
87 25695 prerouting_rule all -- * * 0.0.0.0/0 0.0.0.0/0 /* user chain for prerouting */
10 1020 zone_lan_prerouting all -- br-lan * 0.0.0.0/0 0.0.0.0/0
61 23303 zone_wan_prerouting all -- eth0.2 * 0.0.0.0/0 0.0.0.0/0
16 1372 zone_wan_prerouting all -- l2tp-BeeLine * 0.0.0.0/0 0.0.0.0/0

Chain postrouting_lan_rule (1 references)
pkts bytes target prot opt in out source destination

Chain postrouting_rule (1 references)
pkts bytes target prot opt in out source destination

Chain postrouting_wan_rule (1 references)
pkts bytes target prot opt in out source destination

Chain prerouting_lan_rule (1 references)
pkts bytes target prot opt in out source destination

Chain prerouting_rule (1 references)
pkts bytes target prot opt in out source destination

Chain prerouting_wan_rule (1 references)
pkts bytes target prot opt in out source destination

Chain zone_lan_postrouting (1 references)
pkts bytes target prot opt in out source destination
1 60 postrouting_lan_rule all -- * * 0.0.0.0/0 0.0.0.0/0 /* user chain for postrouting */
0 0 SNAT tcp -- * * 192.168.1.0/24 192.168.1.224 tcp dpt:3389 /* RDP (reflection) */ to:192.168.1.1

Chain zone_lan_prerouting (1 references)
pkts bytes target prot opt in out source destination
10 1020 prerouting_lan_rule all -- * * 0.0.0.0/0 0.0.0.0/0 /* user chain for prerouting */
0 0 DNAT tcp -- * * 192.168.1.0/24 10.159.40.45 tcp dpt:3389 /* RDP (reflection) */ to:192.168.1.224:3389
0 0 DNAT tcp -- * * 192.168.1.0/24 37.145.119.42 tcp dpt:3389 /* RDP (reflection) */ to:192.168.1.224:3389

Chain zone_wan_postrouting (2 references)
pkts bytes target prot opt in out source destination
17 925 postrouting_wan_rule all -- * * 0.0.0.0/0 0.0.0.0/0 /* user chain for postrouting */
17 925 MASQUERADE all -- * * 0.0.0.0/0 0.0.0.0/0

Chain zone_wan_prerouting (2 references)
pkts bytes target prot opt in out source destination
77 24675 MINIUPNPD all -- * * 0.0.0.0/0 0.0.0.0/0
77 24675 prerouting_wan_rule all -- * * 0.0.0.0/0 0.0.0.0/0 /* user chain for prerouting */
0 0 REDIRECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 /* WebOpenWRT */ redir ports 80
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3389 /* RDP */ to:192.168.1.224:3389

[Евгений Романенко]

Пакеты ходят вот так - ru.wikibooks.org/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:Net...
Что касается luci, то мне он совсем не подуше, лучше сделайте отдельный конфиг для iptables, где все пропишите, что необходимо.

[saibaneko]

@FessAectan: спасибо за картинку, что-то прояснилось в голове.
Правильно ли я понимаю что конечный вариант для моего RDP будет выглядеть так:
#Rule for RDP-connect
iptables -t nat -I PREROUTING -m tcp -p tcp --dport 3389 -i l2tp-BeeLine -j DNAT --to 192.168.1.224
iptables -I FORWARD -m tcp -p tcp -d 192.168.1.224 --dport 3389 -j ACCEPT
iptables -I INPUT -i l2tp-BeeLine -p tcp -m tcp --dport 3389 -j ACCEPT

[Евгений Романенко]

Да, только в цепочке INPUT не нужно открывать для проброса этот порт.
Пакеты идущие к локальным процессам роутера попадают в эту цепочку, а нас интересует транзит, т.е. FORWARD.
Проверить можете здесь - ping.eu/port-chk

[saibaneko]

Ага, то есть прероутинга и форварда достаточно. Вечером буду пробовать. Спасибо.

[saibaneko]

@FessAectan: port is closed :(, хотя на выводе вроде все есть:

root@OpenWrt:~# iptables -vnL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
431 56786 delegate_input all -- * * 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
3 180 ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.224 tcp dpt:3389
108 5985 delegate_forward all -- * * 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
644 170K delegate_output all -- * * 0.0.0.0/0 0.0.0.0/0

Chain MINIUPNPD (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT udp -- * * 0.0.0.0/0 192.168.1.221 udp dpt:3658
0 0 ACCEPT udp -- * * 0.0.0.0/0 192.168.1.224 udp dpt:62201

Chain delegate_forward (1 references)
pkts bytes target prot opt in out source destination
108 5985 forwarding_rule all -- * * 0.0.0.0/0 0.0.0.0/0 /* user chain for forwarding */
1 56 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
107 5929 zone_lan_forward all -- br-lan * 0.0.0.0/0 0.0.0.0/0
0 0 zone_wan_forward all -- eth0.2 * 0.0.0.0/0 0.0.0.0/0
0 0 zone_wan_forward all -- l2tp-BeeLine * 0.0.0.0/0 0.0.0.0/0
0 0 reject all -- * * 0.0.0.0/0 0.0.0.0/0

Chain delegate_input (1 references)
pkts bytes target prot opt in out source destination
14 954 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
417 55832 input_rule all -- * * 0.0.0.0/0 0.0.0.0/0 /* user chain for input */
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
68 3548 syn_flood tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02
341 47664 zone_lan_input all -- br-lan * 0.0.0.0/0 0.0.0.0/0
65 7602 zone_wan_input all -- eth0.2 * 0.0.0.0/0 0.0.0.0/0
11 566 zone_wan_input all -- l2tp-BeeLine * 0.0.0.0/0 0.0.0.0/0

Chain delegate_output (1 references)
pkts bytes target prot opt in out source destination
14 954 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
630 169K output_rule all -- * * 0.0.0.0/0 0.0.0.0/0 /* user chain for output */
42 10254 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
317 140K zone_lan_output all -- * br-lan 0.0.0.0/0 0.0.0.0/0
0 0 zone_wan_output all -- * eth0.2 0.0.0.0/0 0.0.0.0/0
271 18692 zone_wan_output all -- * l2tp-BeeLine 0.0.0.0/0 0.0.0.0/0

Chain forwarding_lan_rule (1 references)
pkts bytes target prot opt in out source destination

Chain forwarding_rule (1 references)
pkts bytes target prot opt in out source destination

Chain forwarding_wan_rule (1 references)
pkts bytes target prot opt in out source destination

Chain input_lan_rule (1 references)
pkts bytes target prot opt in out source destination

Chain input_rule (1 references)
pkts bytes target prot opt in out source destination

Chain input_wan_rule (1 references)
pkts bytes target prot opt in out source destination

Chain output_lan_rule (1 references)
pkts bytes target prot opt in out source destination

Chain output_rule (1 references)
pkts bytes target prot opt in out source destination

Chain output_wan_rule (1 references)
pkts bytes target prot opt in out source destination

Chain reject (5 references)
pkts bytes target prot opt in out source destination
10 496 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 reject-with tcp-reset
66 7672 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable

Chain syn_flood (1 references)
pkts bytes target prot opt in out source destination
68 3548 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02 limit: avg 25/sec burst 50
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain zone_lan_dest_ACCEPT (2 references)
pkts bytes target prot opt in out source destination
317 140K ACCEPT all -- * br-lan 0.0.0.0/0 0.0.0.0/0

Chain zone_lan_forward (1 references)
pkts bytes target prot opt in out source destination
107 5929 forwarding_lan_rule all -- * * 0.0.0.0/0 0.0.0.0/0 /* user chain for forwarding */
107 5929 zone_wan_dest_ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 /* forwarding lan -> wan */
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate DNAT /* Accept port forwards */
0 0 zone_lan_dest_ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0

Chain zone_lan_input (1 references)
pkts bytes target prot opt in out source destination
341 47664 input_lan_rule all -- * * 0.0.0.0/0 0.0.0.0/0 /* user chain for input */
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate DNAT /* Accept port redirections */
341 47664 zone_lan_src_ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0

Chain zone_lan_output (1 references)
pkts bytes target prot opt in out source destination
317 140K output_lan_rule all -- * * 0.0.0.0/0 0.0.0.0/0 /* user chain for output */
317 140K zone_lan_dest_ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0

Chain zone_lan_src_ACCEPT (1 references)
pkts bytes target prot opt in out source destination
341 47664 ACCEPT all -- br-lan * 0.0.0.0/0 0.0.0.0/0

Chain zone_wan_dest_ACCEPT (2 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * eth0.2 0.0.0.0/0 0.0.0.0/0
378 24621 ACCEPT all -- * l2tp-BeeLine 0.0.0.0/0 0.0.0.0/0

Chain zone_wan_dest_REJECT (1 references)
pkts bytes target prot opt in out source destination
0 0 reject all -- * eth0.2 0.0.0.0/0 0.0.0.0/0
0 0 reject all -- * l2tp-BeeLine 0.0.0.0/0 0.0.0.0/0

Chain zone_wan_forward (2 references)
pkts bytes target prot opt in out source destination
0 0 MINIUPNPD all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 forwarding_wan_rule all -- * * 0.0.0.0/0 0.0.0.0/0 /* user chain for forwarding */
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate DNAT /* Accept port forwards */
0 0 zone_wan_dest_REJECT all -- * * 0.0.0.0/0 0.0.0.0/0

Chain zone_wan_input (2 references)
pkts bytes target prot opt in out source destination
76 8168 input_wan_rule all -- * * 0.0.0.0/0 0.0.0.0/0 /* user chain for input */
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:68 /* Allow-DHCP-Renew */
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 8 /* Allow-Ping */
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate DNAT /* Accept port redirections */
76 8168 zone_wan_src_REJECT all -- * * 0.0.0.0/0 0.0.0.0/0

Chain zone_wan_output (2 references)
pkts bytes target prot opt in out source destination
271 18692 output_wan_rule all -- * * 0.0.0.0/0 0.0.0.0/0 /* user chain for output */
271 18692 zone_wan_dest_ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0

Chain zone_wan_src_REJECT (1 references)
pkts bytes target prot opt in out source destination
65 7602 reject all -- eth0.2 * 0.0.0.0/0 0.0.0.0/0
11 566 reject all -- l2tp-BeeLine * 0.0.0.0/0 0.0.0.0/0

root@OpenWrt:~# iptables -vnL -t nat
Chain PREROUTING (policy ACCEPT 3 packets, 230 bytes)
pkts bytes target prot opt in out source destination
1 60 DNAT tcp -- l2tp-BeeLine * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3389 to:192.168.1.224
1398 903K delegate_prerouting all -- * * 0.0.0.0/0 0.0.0.0/0

Chain INPUT (policy ACCEPT 2 packets, 104 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
456 31782 delegate_postrouting all -- * * 0.0.0.0/0 0.0.0.0/0

Chain MINIUPNPD (1 references)
pkts bytes target prot opt in out source destination
0 0 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:3658 to:192.168.1.221:3658
0 0 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:62201 to:192.168.1.224:62201

Chain delegate_postrouting (1 references)
pkts bytes target prot opt in out source destination
456 31782 postrouting_rule all -- * * 0.0.0.0/0 0.0.0.0/0 /* user chain for postrouting */
27 4119 zone_lan_postrouting all -- * br-lan 0.0.0.0/0 0.0.0.0/0
0 0 zone_wan_postrouting all -- * eth0.2 0.0.0.0/0 0.0.0.0/0
416 26785 zone_wan_postrouting all -- * l2tp-BeeLine 0.0.0.0/0 0.0.0.0/0

Chain delegate_prerouting (1 references)
pkts bytes target prot opt in out source destination
1398 903K prerouting_rule all -- * * 0.0.0.0/0 0.0.0.0/0 /* user chain for prerouting */
457 43159 zone_lan_prerouting all -- br-lan * 0.0.0.0/0 0.0.0.0/0
929 859K zone_wan_prerouting all -- eth0.2 * 0.0.0.0/0 0.0.0.0/0
12 1004 zone_wan_prerouting all -- l2tp-BeeLine * 0.0.0.0/0 0.0.0.0/0

Chain postrouting_lan_rule (1 references)
pkts bytes target prot opt in out source destination

Chain postrouting_rule (1 references)
pkts bytes target prot opt in out source destination

Chain postrouting_wan_rule (1 references)
pkts bytes target prot opt in out source destination

Chain prerouting_lan_rule (1 references)
pkts bytes target prot opt in out source destination

Chain prerouting_rule (1 references)
pkts bytes target prot opt in out source destination

Chain prerouting_wan_rule (1 references)
pkts bytes target prot opt in out source destination

Chain zone_lan_postrouting (1 references)
pkts bytes target prot opt in out source destination
27 4119 postrouting_lan_rule all -- * * 0.0.0.0/0 0.0.0.0/0 /* user chain for postrouting */

Chain zone_lan_prerouting (1 references)
pkts bytes target prot opt in out source destination
457 43159 prerouting_lan_rule all -- * * 0.0.0.0/0 0.0.0.0/0 /* user chain for prerouting */

Chain zone_wan_postrouting (2 references)
pkts bytes target prot opt in out source destination
416 26785 postrouting_wan_rule all -- * * 0.0.0.0/0 0.0.0.0/0 /* user chain for postrouting */
416 26785 MASQUERADE all -- * * 0.0.0.0/0 0.0.0.0/0

Chain zone_wan_prerouting (2 references)
pkts bytes target prot opt in out source destination
941 860K MINIUPNPD all -- * * 0.0.0.0/0 0.0.0.0/0
941 860K prerouting_wan_rule all -- * * 0.0.0.0/0 0.0.0.0/0 /* user chain for prerouting */

[Евгений Романенко]

1. Попробуйте так
iptables -t nat -I PREROUTING -m tcp -p tcp --dport 3389 -i l2tp-BeeLine -j DNAT --to-destination 192.168.1.224:3389
2. На windows машине порт слушается?

[Евгений Романенко]

Кстати, можно в скайп, решение потом сюда выложите.
fessae

[saibaneko]

@FessAectan:
1. Попробовал - тоже ничего
2. Слушает
TCP 0.0.0.0:3389 beast:0 LISTENING

Завтра на работе попробую роутер прошить заново, а то он уже после экспериментов даже не перезагружается что-то.
Завтра через скайп сможем опробовать укротить мою упрямую openwrt?

[Евгений Романенко]

@saibaneko: смотря во сколько, в люьом случае можете постучать в скайп, как только увижу отвечу и заборим вашу openwrt

[saibaneko]

@FessAectan: ок, отлично.

[saibaneko]

Удалось пробиться к роутеру из инета, открыл все такими командами:
iptables -t nat -A PREROUTING -p tcp -i l2tp-BeeLine --dport 8081 -j DNAT --to-destination 192.168.1.1:80
iptables -I FORWARD -i l2tp-BeeLine -d 192.168.1.1 -p tcp -m tcp --dport 80 -j ACCEPT

Проблема заключалась в операторе, просканировав порты и увидев, что большинство из них в статусе stealth, нагуглил, что это блокировка оператором, после чего зашел в личный кабинет Билайн и нашел опцию подключенного файерволла, перевел его в статус отключенного и после этого все заработало.

Однако ping.eu/port-chk пишет, что 3389 закрыт и 8621 тоже, при конечном конфиге:

# openwrt www(80) interface - outside 8081 port
iptables -t nat -A PREROUTING -p tcp -i l2tp-BeeLine --dport 8081 -j DNAT --to-destination 192.168.1.1:80
iptables -I FORWARD -i l2tp-BeeLine -d 192.168.1.1 -p tcp -m tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p udp -i l2tp-BeeLine --dport 8081 -j DNAT --to-destination 192.168.1.1:80
iptables -I FORWARD -i l2tp-BeeLine -d 192.168.1.1 -p udp -m tcp --dport 80 -j ACCEPT

# RDP(3389)
iptables -t nat -A PREROUTING -p tcp -i l2tp-BeeLine --dport 3389 -j DNAT --to-destination 192.168.1.224:3389
iptables -A FORWARD -i l2tp-BeeLine -d 192.168.1.224 -p tcp --dport 3389 -j ACCEPT

# TorrentTV(8621)
iptables -A INPUT --protocol tcp --dport 8621 -j ACCEPT
iptables -A INPUT --protocol udp --dport 8621 -j ACCEPT

Ничего уже не понимаю :(