Asmax dostęp do kompa/debiana z zewnątrz

lapa - 06-03-2008 15:42
Witam

Posiadam następujący problem. Posiadam router z wifi Asmax'a AR-804gu i za cholerę nie mogę
dostać się na kompa z zewnątrz do kompa na debianie w sieci. Porty przekierowane. W przypadku
torrentów i emula przekierowanie działa, a przypadku ssh nie. Może to nieistotne, ale sieć wygląda u mnie tak, że
neta ciągnę legalnie neta od sąsiada (Asmax) przez wifi moim Tp-linkiem pracującym w trybie
AP Client, który jest podłączony do debiana, który z kolei jest u mnie w domu routerem i rozdziela
neta na 3 kompy.

1. Ustawiłem na debianie demona sshd na port 222
2. Ustawiłem w Asmaxie przekierowanie portu 222 na debiana, czyli 192.168.1.2
3. Testowo wyczyściłem wszystkie łańcuchy iptables i ustawiłem wszędzie politykę na ACCEPT.
4. Z innego kompa w sieci (również debian) przy pomocy "ssh -p 222 192.168.1.2" łączę się bez problemu.
5. Jak z dowolnego komputera użyję przykładowo "ssh -p 222 83.62.51.63 to nie uzyskuję połączenia,
natomiast jak dam samo "ssh 83.62.51.63" to łączę się, ale z Asmaxem, na którym uruchomiona jest możliwość
łączenia się przez ssh.

Wydaje mi się, że ten Asmax po prostu jest zjebany, czyli po prostu nie da się na nim połączyć z kompem z zewnątrz.
Może dałoby się coś ustawić w tym trybie cli?
Poniżej listing reguł iptables z Asmaxa :)

# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
DROP all -- anywhere anywhere
DROP all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT udp -- anywhere 192.168.1.2 udp dpt:222
ACCEPT tcp -- anywhere 192.168.1.2 tcp dpt:222
DROP all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
DROP icmp -- anywhere anywhere icmp destination-unreachable
DROP icmp -- anywhere anywhere state INVALID

redelek - 06-03-2008 18:49

Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
DROP all -- anywhere anywhere
DROP all -- anywhere anywhere

[/code] Dla mnie są dziwne dwie rzeczy.
1. NA INPUT są dziwne reguły wpuszczaj wszystko i uwal wszystkich ?? Albo jedno albo drugie.
2. Wyczyść wszystkie reguły na tym routerku, albo dodaj do INPYT port 222. UDP nie potrzebny TCP wystarczy. FORWARD wykasuj porty i zostaw ACCEPT all.
3. odłącz router od sieci podepnij kompa z debianem i zobacz czy wtedy załapie :)

Ja mam sieć w chello i śmiga jak szalone.

lapa - 06-03-2008 21:18
Próbowałem po swojemu i nadal nie idzie. Może więc napisz proszę jakie dokładnie regułki powinienem zastosować, po ustawieniu wszystkich policy na accept i wyczyszczeniu wpisów.

redelek - 06-03-2008 22:12

Próbowałem po swojemu i nadal nie idzie. Może więc napisz proszę jakie dokładnie regułki powinienem zastosować, po ustawieniu wszystkich policy na accept i wyczyszczeniu wpisów. Narazie to wyczyść wszystko nie kombinuj. Zobacz czy bez iptables będzie Ci działał.

INPUT - to jest łańcuch do którego z zewnątrz przychodzą zapytania
OUTPUT - to jest to co Twój komputer router wysyła w świat.
Więc dlaczego ICMP blokujesz na OUTPUT?.

Daruj sobie wyłącz wszystko ustaw tak
INPUT
ACCEPT ALL
FORWARD
ACCEPT ALL
OUTPUT
ACCEPT ALL

Zobacz czy wtedy zadziała.

lapa - 07-03-2008 11:36
No ok, ale zupełne wyczyszczenie wszystkiego nie pomoże, trzeba jeszcze przekierować port 222 z asmaxa na debiana. Aktualnie mam ustawione tak:

# iptables -L

Chain INPUT (policy ACCEPT)

target prot opt source destination

ACCEPT tcp -- anywhere 192.168.1.2 tcp dpt:222

Chain FORWARD (policy ACCEPT)

target prot opt source destination

ACCEPT tcp -- anywhere 192.168.1.2 tcp dpt:222

Chain OUTPUT (policy ACCEPT)

target prot opt source destination Uważam, że w tym sposobem prawidłowo ustawiony jest firewall na tym Asmaxie.
Nic się raczej nie da zrobić, po prostu ten asmax tak ma i nie przepuści na kompa wewnątrz.
Pozdrawiam.