Linux-IP-Tabellen unter Open-WRT: Weiterleitung vs. Zustandsfilterung

305
quaternioneer

Ich folgte dem Unix und Linux System Administration Handbook, dem vollständigen Beispiel für die 5. Ausgabe von iptables. Die zustandsbehaftete Paketfilterung ermöglichte mir das Remote-Drucken auf meinem MakerBot, aber ich konnte heute keine Verbindung zu meinem Heimserver über SSH herstellen. Das SysAdmin-Handbuch besagt, dass die zustandsbehaftete Paketfilterung die leistungsstärkste Funktion von Netfilter für das Firewalling ist, das Netzwerk jedoch möglicherweise unnötig komplexer macht. Daher werde ich wahrscheinlich meine Verluste durch zustandsbehaftete Paketfilterung verringern, wenn nicht jemand den Gordischen Knoten durchtrennen kann.

IPtables -L -v Ausgabe:

0 0 ACCEPT tcp -- any any anywhere icarus.lan tcp dpt:ssh 0 0 ACCEPT tcp -- any any anywhere icarus.lan tcp dpt:www 0 0 ACCEPT tcp -- any any anywhere icarus.lan tcp dpt:https

23M 21G AKZEPTIEREN alle - überall und überall. VERWANDT, ERSTELLT

Aus irgendeinem Grund setzt Open-WRT / LEDE meine Standard-EINGABE-Richtlinie zurück, die akzeptiert wird, auch nachdem ich sie auf DROP gesetzt habe. Diese Regel scheint jedoch mit nichts übereinzustimmen, also bin ich nicht allzu besorgt. Sie können oben sehen, dass Paketweiterleitung für SSH festgelegt ist, aber diese Regel stimmt mit nichts überein. Vielen Dank für Ihre Zeit und Ihren Input.

0
Wenn Sie nur einige Ports (ssh, printing) auf einigen Computern in Ihrem Heimnetzwerk nach außen sichtbar machen möchten (vorausgesetzt, Ihr ISP hat Ihnen eine öffentliche IP-Adresse gegeben und verwendet kein NAT), [Portweiterleitung] (https: / /wiki.openwrt.org/doc/howto/port.forwarding) ist möglicherweise einfacher als eine manuelle Firewall-Konfiguration. Wenn Ihr Internetdienstanbieter NAT auf Carrier-Niveau hat, erwarten Sie nicht, dass dies funktioniert (oder verwenden Sie IPv6). dirkt vor 5 Jahren 0
Kurzfristig wäre die Portweiterleitung einfacher, aber ich bin mir nicht sicher, ob dies auf lange Sicht einfacher wäre. Die Schnittstelle zwischen der Schnittstelle der vier Router, die ich für die Portweiterleitung für SSH, www, Drucken eingerichtet habe, ist gering: Port forwading wird immer an einer anderen Stelle in der Webbrowser-Schnittstelle aufgeführt und ein Router nennt es "Service-Management". stattdessen. Unter der Haube bin ich jedoch ziemlich sicher, dass sie alle iptables verwenden. quaternioneer vor 5 Jahren 0

2 Antworten auf die Frage

0
quaternioneer

Nach einiger Fehlerbehebung heute Morgen konnte ich Port 22 öffnen, aber mit der Einschränkung, dass meine Standardrichtlinie ACCEPT ist. Ich kann nur SSH in meinen Router, nicht meinen Server (Icarus). Natürlich konnte ich mit IPv6 direkt eine Verbindung zu Icarus herstellen, aber es gibt nur einen Coffeeshop mit IPv6 in der Stadt. Keines dieser Verfahren ist auf lange Sicht akzeptabel, daher begrüße ich immer noch Ratschläge, aber auf kurze Sicht ist meine Konfiguration akzeptabel.

Ähm, Sie wollen nicht, dass Ihr Router auf 22 frei zugänglich ist. Unterstützt der Router Port-Übersetzung? Tim_Stewart vor 5 Jahren 0
IPtables unterstützen PAT. In einigen Texten kann es als NAT bezeichnet werden. quaternioneer vor 5 Jahren 0
Die Tatsache, dass, wenn ich in einem Café zu sicher gehe, die SSH-Verbindung abbricht, wird die Anzahl der Konfigurationen, die ich in einer Woche durchlaufen kann, erheblich verlangsamt. Ich dachte, dass ich eine externe Verbindung mit dem Hotspot meines Telefons nachahmen könnte, aber manchmal kann ich über SSH über meinen Hotspot eine Verbindung herstellen, aber nicht in einem Café, das für mich nicht sinnvoll ist. quaternioneer vor 5 Jahren 0
Hmm, ich denke, das hängt vom Hotspot ab. Einige in meinem Bereich (Captive-Portal-Stil) erlauben nur den Port 53, 80 und 443, die aus dem Netzwerk ausgehen. Versuchen Sie, die SSH-Verbindung an einem anderen Port zu hosten. Oder VPN in eine Box, von der Sie wissen, dass sie die Geräte erreichen kann, die Sie konfigurieren müssen. Tim_Stewart vor 5 Jahren 0
0
quaternioneer

Der Grund dafür, dass mein mobiler Hotspot vom LAN aus mit dem Server verbunden war, liegt darin, dass ich es versäumt habe, WLAN auf meinem Smartphone auszuschalten. Mir wurde klar, dass es nicht so einfach wäre, Iptables direkt zu manipulieren, sondern es wäre viel einfacher, Port-Forwarding im Browser als SSH in den Router einzurichten und iptables -L -v auszuführen, um zu sehen, was sich im Backend geändert hat. Da sich die Änderungen im Vor- und Nachlauf befinden, zeigte der zuvor erwähnte Befehl danach keine Änderungen. Daher musste ich iptables -t nat -L ausführen, um zu sehen, was sich geändert hatte.

Verwandte Probleme