Port forward 6.0.4/6.0.7

[David2006]

Mám nastaven port forwarding na NS M5Loco a bohužel mi tam něco nefunguje tak jak na ostatních jednotkách kde portforward používám normálně.

192.168.10.99 port 8000 0.0.0.0/0 na IP 189.98.85.95/29 port 8000 takhle nějak to vypadá. Firewall není použit.

Přesto mi to dle http://www.ipv6scanner.com hlásí:
TCP Port IPV4 State Service
8000 FILTERED http-alt

FILTERED The port is blocked by firewall or other network obstacle


Nenapadá někoho kam ještě šáhnout nebo co zdiagnostikovat?

[cerva]

Můžeš sem hodit výstup z:
iptables -L -n
a
iptables -L -t nat -n
?

[David2006]

Díky, jsem to teď porovnal s jednou co mi jede a mám to tam nějaký divoký.

[David2006]

Nemáte náhodou někdo nějaký link na ukázky CLI příkazů pro UBNT nebo aspoň něco obecně?

Pořád nevím kde se mi tam ten REJECT vzal a hlavně proč není vidět ve webové části konfigurace.

[ludvik]

port 1900 se týká UPnP. A také lze zneužít pro DDoS. Zákaz je nejspíš automatický.

port forward v tom tomto výpisu neuvidíš. Je totiž v tabulce nat, nikoliv filter. Musíš přidat parametr -t nat
Také je dobré přidat parametr v (tedy -vnL), aby bylo vidět třeba i rozhraní. Ono je to totiž zakázáno na eth0, což je WAN. Tedy správně ...

[David2006]

Stále nemůžu přijít na to proč mi to nejde jako jinde. Přikládám obrázky z nastavení.

[ludvik]

Když pominu, že ti nesouhlasí IP v prvním příspěvku s tím co vidím na obrázku, tak to je správně. Za předpokladu, že ta IP je na NS nastavená.
Také je dost matoucí zadávat IP adresu v tomto případě jako síť ... ale vadit by to nemělo.

A opět opakuji, používej výpis "-vnL" ono to pak i ukazuje počty paketů, které tím pravidlem prošly. A jejich počet tě dokáže nasměrovat na možný problém ... buď je tam nula a někdo filtruje ještě před tebe, nebo není a odmítá to cílová IP (nebo něco po trase k ní).

A když si to v tom putty označíš myší, máš to automaticky v clipboardu.

Kód: Vybrat vše

a pak to lze vložit sem mezi tagy CODE

lépe se to čte.

[David2006]

Díky za odpověď. Ano adresy mi nekorespondují s původním příspěvkem kde jsem to psal narychlo, ale postup/logika zadávání je stejná.

Už moc nevím co s tím provést a kde to "filtered" chybu hledat. Evidentně to něco blokuje protože online port scan z venku to vidí že se to někam snažilo se dostat a bylo to zamítnuto. Ale proč to už se nemůžu dopátrat.


XM.v6.0.7# iptables -t nat -vnL
Chain PREROUTING (policy ACCEPT 28159 packets, 4845K bytes)
pkts bytes target prot opt in out source destination
28184 4847K PORTFORWARD all -- * * 0.0.0.0/0 0.0.0.0/0

Chain POSTROUTING (policy ACCEPT 54 packets, 9420 bytes)
pkts bytes target prot opt in out source destination
11276 1911K MASQUERADE all -- * ath0 0.0.0.0/0 0.0.0.0/0
54 9420 BACKPORTFORWARD all -- * * 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 2326 packets, 163K bytes)
pkts bytes target prot opt in out source destination

Chain BACKPORTFORWARD (1 references)
pkts bytes target prot opt in out source destination
0 0 SNAT tcp -- * ath0 0.0.0.0/0 192.168.30.99 tcp dpt:8000 to:192.168.30.1
0 0 SNAT tcp -- * ath0 0.0.0.0/0 192.168.30.99 tcp dpt:80 to:192.168.30.1
0 0 SNAT tcp -- * ath0 0.0.0.0/0 192.168.30.99 tcp dpt:554 to:192.168.30.1

Chain PORTFORWARD (1 references)
pkts bytes target prot opt in out source destination
4 240 DNAT tcp -- ath0 * 0.0.0.0/0 xx.242.88/29 tcp dpt:8000 to:192.168.30.99:8000
20 1100 DNAT tcp -- ath0 * 0.0.0.0/0 xx.242.88/29 tcp dpt:8080 to:192.168.30.99:80
0 0 DNAT tcp -- ath0 * 0.0.0.0/0 xx242.88/29 tcp dpt:554 to:192.168.30.99:554
XM.v6.0.7#

[ludvik]

Tady to hledat nemusíš.

[David2006]

Napadá mě zkusit dát tu verejku na ten Hikvision a vystrčit ji přes DMZ te routovane antény.Ale nikdy jsem to nezkoušel.