Не пробрасываются порты извне через роутер. Почему они фильтруются?

Question

[instantia]

Роутер (ASUS RT-N10PV2) выходит через белый ip от провайдера. Веб-интерфейс повесил на 8081 порт.
В локальной сети есть linux сервер. 80 порт nginx, 8080 порт apache, 53 порт dns.

В настройках роутерах включил forwarding данных портов.

HTTP Server	        80	     192.168.1.11	   80	       BOTH

Где 192.168.1.11 - локальный ip сервера.

Но извне всё равно выдает что порт закрыт. а 8081 открыт. До этого веб-интерфейс роутера стоял на 80ом порте и этот порт был тоже открыт.

Starting Nmap 6.47 ( http://nmap.org ) at 2015-05-05 02:46 Coordinated Universal Time
Nmap scan report for 161.*.189.89.sta.211.ru (89.189.*.161)
Host is up (0.11s latency).
Not shown: 94 closed ports
PORT STATE SERVICE
22/tcp filtered ssh
23/tcp open telnet
53/tcp filtered domain
80/tcp filtered http
8080/tcp filtered http-proxy
8081/tcp open blackice-icecap
 
Nmap done: 1 IP address (1 host up) scanned in 3.29 seconds

- вывод nmap.

Почему эти порты фильтруются? Фаерволл отключен. iptables не мешает. сервер выдает что данные порты прослушиваются.
Это проделки провайдера? Но почему тогда 80ый порт был открыт, когда на нем висел интерфейс роутера.

Comments

[Сергей]

белый айпи провайдера купленный лично вами?) или белый айпи провайдера для всех?)

[instantia]

Мой айпи) Выделили только для меня)

[instantia]

У меня просто роутер стоит. linux сервер поднят в виртуалке.

Answer 1

[instantia]

Проблема решилась.. Виноват vagrant. Точнее его настройка шлюзов. С конфигом vagrantа всё нормально.

Пакеты в одну сторону ходят через второй адаптер - напрямую, а в другую они идут через NAT и у них меняется адрес. Потому-то они и отбрасываются роутером.

Судя по всему, оба адаптера на сервере смотрят в одну и ту же сеть. При этом пакеты идущие через один маскарадятся - а через другой нет. В то же время, маршрут по умолчанию (если настраивать сервер без изысков) может быть лишь один. Если пакет попадет на сервер через один адаптер - а вернется через другой - то он вернется с неверным IP.

В итоге, из двух адаптеров полноценно может работать лишь один.

Я просто напросто изменил gateway.

sudo route del default gw 10.0.2.2 dev eth0 
sudo route add default gw 192.168.1.1 dev eth1

Создал отдельно скрипт gateway.sh.

И вызываю его сразу после включения машины.

config.vm.provision :shell, :path => "gateway.sh", run: "always"

Answer 2

[Кирилл]

Был в свое время похожий глюк с D-lnik, не помню уже какой модели. Оказалось что баг в самом роутере. Веб интерфейс на 80 работал отлично, а вот форвардинг никак (только на 80 порту.) Решилось обновлением прошивки роутера.

Comments

[instantia]

обновил прошивку, проблема не решилась. у меня подозрения на какой-то фаерволл. с локальной машины доступ к серверу (порту) есть.

Answer 3

[solalex]

N10P то еще г... на родной прошивке
Ставьте asuswrt-merlin https://github.com/AndreyPopovNew/asuswrt-merlin-r...

Comments

[instantia]

Обновил прошивку на 3.0.0.4_378_4129. Проблема не решилась :(

Answer 4

[lexalex]

Покзывайте правила файрволлов роутера и сервака

Comments

[instantia]

Роутер: https://www.dropbox.com/s/kyl85l18r2t3z5z/router.j...
А на серваке service ufw остановлен. iptables -L -n пустой.

[lexalex]

instantia: Возможен вариант, что ваш провайдер блокирует, либо вообще вы за его натом. Посмотрите в личном кабинете настройки или свяжитесь с тех. поддержкой.

[instantia]

Обратился к провайдеру. Они порты не блочат. Попробовал форвардинг порта к своему основному ПК. Все сработало. Порт открылся. Значит с роутером всё ок.

на основном пк стоит vagrant+virtualbox.

config.vm.network "public_network", ip: "192.168.1.11"

telnet от машин в локальной сети до 192.168.1.11 : 80 подключается успешно. В чем проблема? Может virtualbox блочит как-то доступ извне..

[lexalex]

instantia: как у вас настроена сеть в virtualbox-е? bridge или nat?

[lexalex]

instantia: стоит также раскрыть подробнее схему подключений включая вм

[instantia]

Adapter 1: nat (forwarding 22 port for ssh)
Adapter 2: bridged

[instantia]

eth0 Link encap:Ethernet HWaddr 08:00:27:98:dc:aa
inet addr:10.0.2.15 Bcast:10.0.2.255 Mask:255.255.255.0
inet6 addr: fe80::a00:27ff:fe98:dcaa/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:434 errors:0 dropped:0 overruns:0 frame:0
TX packets:347 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:66782 (66.7 KB) TX bytes:43403 (43.4 KB)

eth1 Link encap:Ethernet HWaddr 08:00:27:11:62:86
inet addr:192.168.1.11 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::a00:27ff:fe11:6286/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:26 errors:0 dropped:0 overruns:0 frame:0
TX packets:35 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:2450 (2.4 KB) TX bytes:3869 (3.8 KB)

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:404 errors:0 dropped:0 overruns:0 frame:0
TX packets:404 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:33680 (33.6 KB) TX bytes:33680 (33.6 KB)

[instantia]

https://www.dropbox.com/s/g2l7aj5btx1of20/vm1.jpg?dl=0
https://www.dropbox.com/s/nhu7hsqpy1tsvb3/vm2.jpg?dl=0

[instantia]

https://www.dropbox.com/s/q9q46n6gztfue1r/lan.jpg?dl=0
схема

[lexalex]

на хост машине с windows, фаерволл включен, какие правила? по идее остаётся только вариант, что как-то ограничивает февролл windows
p.s. спасибо за хорошую схему ;)