Új hozzászólás Aktív témák

• #63652 Maximusz aktív tag suste #63650

  Új Válasz 2016-07-06 23:19:26 #63652

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  Maximusz

  aktív tag

  válasz suste #63650 üzenetére

  Szia!

  tehát - a "régi" (vargalex-es) konfigban sok portom volt nyitva (http, vpn, 4-5 ip camera, tranmission control,stb..) - ezek ha jól olvasom nem fognak már működni, mert kell a knockd (vagy ez alapból nincs beállítva, és amit a végén írtál, az van "alapból" - tehát , hogy a portokra ha teszek egy szabályt pl:

  config redirect
option name '102-IPCamera-Picture'
option target 'DNAT'
option src 'wan'
option dest 'lan'
option src_dport '21021'
option dest_ip '10.1.0.102'
option dest_port '80'
option proto 'tcp udp'

  akkor ez be fog menni, vagy nem fog bemenni, ha nem konfiguráltam még semmit?

  Felfedeztem (persze, ha beleolvasok a readme-be, akkor nem csoda), hogy a két fw tűzfalbeállítások terén eltér.

  Vargalex fw:

Global:
=====
Input : accept
Output : accept
Forward : reject


lan: accept, accept, reject
wan: drop, accept, reject (Maquerading MSS clamping)


Suste fw:

Global:
=====
Input : accept
Output : accept
Forward : reject


lan: accept, accept, accept
wan: reject, accept, reject (Maquerading MSS clamping)

  Az a baj, hogy az a fajta vagyok, aki szereti a config állományokat módosítani (!nem újat írni!) és szeretném érteni az "új" tűzfalam működését. Első körben a knockd-ot tanulmányozom, hogy ez mennyire működhet, ha szeretnék mobilról hazanézni az ip camerákra, előtte milyen szertartásra lesz szükségem, hogy menjen....

  és hogy a kérdésedre is válaszoljak, igen, belső hálóról próbáltam a külső címekkel (amivel eddig nem volt gond --régi fw-- - a laptopomon is egyszerű volt beállítani a külső portot, ha a transmission-ra rá szerettem volna nézni, külső címmel - ezért próbáltam úgy). Kipróbáltam mobilnettel, és megy kívül a weboldal, amit szerettem volna elérni. Most a transmission-nal szenvedek, mert letöröltem , újra felraktam, és most is ugyan azt a hibát írja mint korábban (Connection rejected) - valamit nagyon elronthattam

  "Knockd használat:
  -----------------

  -Port kopogtató szerver beállítása (portnyitás közvetlen IP-re):
  Az új webfelületre (9092/knockd) beleraktunk 3db linket, amik a különböző kopogtató kliensekre mutatnak (Android, iOS, WIN).
  Az FW-ben lévő knockd alapértelmezetten fut (luci/rednszer/rendszerindítás), de mentés felrakása után a kopogató szerver nem aktív, engedélyezni és indítani kell a luci/rendszer/rendszerindítás fülön (knockd)!

  -Beállítás: a szerveren és a kliensen be kell álllítani a 3db TCP portot, amin kopogtatni akarunk, és a szerveren meg kell adni a nyitvatartási intervallumot és azt, hogy melyik portot nyissa ki, ha jó a kopogás.
  (SSH, FTP, 9092, TM -re van előbeállítás, ezeket csak szerkeszteni kell.)

  -Működés: ha a kliens bekopogtat a WAN felöl, és a 3 port egyezik a szerveren, akkor a szerver megnyitja a beállított portot a bekopogó IP-re (csak erre az IP-re!).
  A beállított idő leteltével a szerver megvizsgálja hogy aktív-e a kapcsolat, és ha nem, akkor zárja a portot.
  Ha még aktív a kapcsolat, akkor továbbra is nyitva marad, és majd újra ellenőrzi a kapcsolatot a beállított idő múlva.

  ALAPÉRTELMEZETTEN CSAK A TRANSMISSION PORTJA VAN NYITVA FIXEN A TŰZFALBAN!
  Az SSH, FTP, HTTPS -hez vannak szabályok, de inaktívak, ha valaki mégis fixen ki akarja nyitni őket a knockd használata helyett, akkor ezeket a szabályokat be kell kapcsolni (luci/hálózat/tűzfal/átirányítás+forgalmi szabályok)."

Új hozzászólás Aktív témák