Board logo

標題: [操作疑難] openwrt firewall 問題 [打印本頁]
作者: fatman    時間: 2019-12-14 16:30     標題: openwrt firewall 問題

各位Ching,我試用openwrt firewall "Traffic Rules"去加可以由wan用ssh 去router,但我發覺好似firewall無開到個port 22.
  1. config rule                  
  2.         option target 'ACCEPT'        
  3.         option src 'wan'              
  4.         option proto 'tcp'     
  5.         option dest_port '22'  
  6.         option name 'accept-ssh-wan-service'
  7.         option dest_ip '192.168.1.1'
  8.         option enabled '1'
複製代碼
如果用 "Port Forwards" 加條rule, 就可以開到
  1. config redirect               
  2.         option target 'DNAT'         
  3.         option src 'wan'      
  4.         option dest 'lan'
  5.         option proto 'tcp'        
  6.         option src_dport '22'      
  7.         option dest_ip '192.168.1.1'
  8.         option dest_port '22'         
  9.         option name 'wan-ssh'
複製代碼
係唔係唔應該係"Traffic Rules" set? 定我做錯config? 有無ching指教一下
作者: lancer    時間: 2019-12-14 17:46

iptables -L
之後貼上來

via HKEPC IR Pro 3.6.1 - iOS(3.0.0)
作者: fatman    時間: 2019-12-14 22:09

Ching, 唔該睇下有無建議
  1. Chain INPUT (policy ACCEPT)
  2. target     prot opt source               destination
  3. ACCEPT     all  --  anywhere             anywhere             /* !fw3 */
  4. input_rule  all  --  anywhere             anywhere             /* !fw3: Custom input rule chain */
  5. ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED /* !fw3 */
  6. DROP       all  --  anywhere             anywhere             ctstate INVALID /* !fw3 */
  7. syn_flood  tcp  --  anywhere             anywhere             tcp flags:FIN,SYN,RST,ACK/SYN /* !fw3 */
  8. zone_lan_input  all  --  anywhere             anywhere             /* !fw3 */
  9. zone_wan_input  all  --  anywhere             anywhere             /* !fw3 */
  10. zone_dmz_input  all  --  anywhere             anywhere             /* !fw3 */

  12. Chain FORWARD (policy DROP)
  13. target     prot opt source               destination
  14. forwarding_rule  all  --  anywhere             anywhere             /* !fw3: Custom forwarding rule chain */
  15. FLOWOFFLOAD  all  --  anywhere             anywhere             /* !fw3: Traffic offloading */ ctstate RELATED,ESTABLISHED FLOWOFFLOAD hw
  16. ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED /* !fw3 */
  17. @
  18. "iptables.txt" 180L, 10529C
  19. Chain INPUT (policy ACCEPT)
  20. target     prot opt source               destination
  21. ACCEPT     all  --  anywhere             anywhere             /* !fw3 */
  22. input_rule  all  --  anywhere             anywhere             /* !fw3: Custom input rule chain */
  23. ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED /* !fw3 */
  24. DROP       all  --  anywhere             anywhere             ctstate INVALID /* !fw3 */
  25. syn_flood  tcp  --  anywhere             anywhere             tcp flags:FIN,SYN,RST,ACK/SYN /* !fw3 */
  26. zone_lan_input  all  --  anywhere             anywhere             /* !fw3 */
  27. zone_wan_input  all  --  anywhere             anywhere             /* !fw3 */
  28. zone_dmz_input  all  --  anywhere             anywhere             /* !fw3 */

  30. Chain FORWARD (policy DROP)
  31. target     prot opt source               destination
  32. forwarding_rule  all  --  anywhere             anywhere             /* !fw3: Custom forwarding rule chain */
  33. FLOWOFFLOAD  all  --  anywhere             anywhere             /* !fw3: Traffic offloading */ ctstate RELATED,ESTABLISHED FLOWOFFLOAD hw
  34. ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED /* !fw3 */
  35. DROP       all  --  anywhere             anywhere             ctstate INVALID /* !fw3 */
  36. zone_lan_forward  all  --  anywhere             anywhere             /* !fw3 */
  37. zone_wan_forward  all  --  anywhere             anywhere             /* !fw3 */
  38. zone_dmz_forward  all  --  anywhere             anywhere             /* !fw3 */
  39. reject     all  --  anywhere             anywhere             /* !fw3 */

  41. Chain OUTPUT (policy ACCEPT)
  42. Chain INPUT (policy ACCEPT)
  43. target     prot opt source               destination
  44. ACCEPT     all  --  anywhere             anywhere             /* !fw3 */
  45. input_rule  all  --  anywhere             anywhere             /* !fw3: Custom input rule chain */
  46. ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED /* !fw3 */
  47. DROP       all  --  anywhere             anywhere             ctstate INVALID /* !fw3 */
  48. syn_flood  tcp  --  anywhere             anywhere             tcp flags:FIN,SYN,RST,ACK/SYN /* !fw3 */
  49. zone_lan_input  all  --  anywhere             anywhere             /* !fw3 */
  50. zone_wan_input  all  --  anywhere             anywhere             /* !fw3 */
  51. zone_dmz_input  all  --  anywhere             anywhere             /* !fw3 */

  53. Chain FORWARD (policy DROP)
  54. target     prot opt source               destination
  55. forwarding_rule  all  --  anywhere             anywhere             /* !fw3: Custom forwarding rule chain */
  56. FLOWOFFLOAD  all  --  anywhere             anywhere             /* !fw3: Traffic offloading */ ctstate RELATED,ESTABLISHED FLOWOFFLOAD hw
  57. ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED /* !fw3 */
  58. DROP       all  --  anywhere             anywhere             ctstate INVALID /* !fw3 */
  59. zone_lan_forward  all  --  anywhere             anywhere             /* !fw3 */
  60. zone_wan_forward  all  --  anywhere             anywhere             /* !fw3 */
  61. zone_dmz_forward  all  --  anywhere             anywhere             /* !fw3 */
  62. reject     all  --  anywhere             anywhere             /* !fw3 */

  64. Chain OUTPUT (policy ACCEPT)
  65. target     prot opt source               destination
  66. Chain INPUT (policy ACCEPT)
  67. target     prot opt source               destination
  68. ACCEPT     all  --  anywhere             anywhere             /* !fw3 */
  69. input_rule  all  --  anywhere             anywhere             /* !fw3: Custom input rule chain */
  70. ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED /* !fw3 */
  71. DROP       all  --  anywhere             anywhere             ctstate INVALID /* !fw3 */
  72. syn_flood  tcp  --  anywhere             anywhere             tcp flags:FIN,SYN,RST,ACK/SYN /* !fw3 */
  73. zone_lan_input  all  --  anywhere             anywhere             /* !fw3 */
  74. zone_wan_input  all  --  anywhere             anywhere             /* !fw3 */
  75. zone_dmz_input  all  --  anywhere             anywhere             /* !fw3 */

  77. Chain FORWARD (policy DROP)
  78. target     prot opt source               destination
  79. forwarding_rule  all  --  anywhere             anywhere             /* !fw3: Custom forwarding rule chain */
  80. FLOWOFFLOAD  all  --  anywhere             anywhere             /* !fw3: Traffic offloading */ ctstate RELATED,ESTABLISHED FLOWOFFLOAD hw
  81. ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED /* !fw3 */
  82. DROP       all  --  anywhere             anywhere             ctstate INVALID /* !fw3 */
  83. zone_lan_forward  all  --  anywhere             anywhere             /* !fw3 */
  84. zone_wan_forward  all  --  anywhere             anywhere             /* !fw3 */
  85. zone_dmz_forward  all  --  anywhere             anywhere             /* !fw3 */
  86. reject     all  --  anywhere             anywhere             /* !fw3 */

  88. Chain OUTPUT (policy ACCEPT)
  89. target     prot opt source               destination
  90. ACCEPT     all  --  anywhere             anywhere             /* !fw3 */

  92. Chain zone_wan_dest_REJECT (1 references)
  93. target     prot opt source               destination
  94. reject     all  --  anywhere             anywhere             /* !fw3 */

  96. Chain zone_wan_forward (1 references)
  97. target     prot opt source               destination
  98. forwarding_wan_rule  all  --  anywhere             anywhere             /* !fw3: Custom wan forwarding rule chain */
  99. zone_lan_dest_ACCEPT  esp  --  anywhere             anywhere             /* !fw3: Allow-IPSec-ESP */
  100. zone_lan_dest_ACCEPT  udp  --  anywhere             anywhere             udp dpt:isakmp /* !fw3: Allow-ISAKMP */
  101. ACCEPT     all  --  anywhere             anywhere             ctstate DNAT /* !fw3: Accept port forwards */
  102. MINIUPNPD  all  --  anywhere             anywhere
  103. zone_wan_dest_REJECT  all  --  anywhere             anywhere             /* !fw3 */

  105. Chain zone_wan_input (1 references)
  106. target     prot opt source               destination
  107. input_wan_rule  all  --  anywhere             anywhere             /* !fw3: Custom wan input rule chain */
  108. ACCEPT     udp  --  anywhere             anywhere             udp dpt:bootpc /* !fw3: Allow-DHCP-Renew */
  109. ACCEPT     icmp --  anywhere             anywhere             icmp echo-request /* !fw3: Allow-Ping */
  110. ACCEPT     igmp --  anywhere             anywhere             /* !fw3: Allow-IGMP */
  111. ACCEPT     udp  --  anywhere             newifi.lan           udp dpt:domain /* !fw3: dmz-dns */
  112. ACCEPT     udp  --  anywhere             newifi.lan           udp dpt:bootps /* !fw3: dmz-dhcp */
  113. ACCEPT     tcp  --  anywhere             newifi.lan           tcp dpt:ssh /* !fw3: accept-ssh-wan-service */
  114. ACCEPT     all  --  anywhere             anywhere             ctstate DNAT /* !fw3: Accept port redirections */
  115. zone_wan_src_REJECT  all  --  anywhere             anywhere             /* !fw3 */

  117. Chain zone_wan_output (1 references)
  118. target     prot opt source               destination
  119. output_wan_rule  all  --  anywhere             anywhere             /* !fw3: Custom wan output rule chain */
  120. zone_wan_dest_ACCEPT  all  --  anywhere             anywhere             /* !fw3 */

  122. Chain zone_wan_src_REJECT (1 references)
  123. target     prot opt source               destination
  124. reject     all  --  anywhere             anywhere             /* !fw3 */
複製代碼
作者: 321    時間: 2019-12-14 23:36

在/etc/config/firewall加入以下幾行就可以
config rule
        option target 'ACCEPT'
        option src 'wan'
        option proto 'tcp'
        option dest_port '22'
        option name 'ssh'

唔需要"option dest_ip '192.168.1.1"呢行
作者: fatman    時間: 2019-12-14 23:43

本帖最後由 fatman 於 2019-12-14 23:44 編輯
在/etc/config/firewall加入以下幾行就可以
config rule
        option target 'ACCEPT'
        option s ...
321 發表於 2019-12-14 23:36

Ching, 試過都係一樣,都係connection refused
用forward port 就可以!
作者: ckshum    時間: 2019-12-15 01:28

openwrt default應該唔俾從wan interface入ssh,要自行修改dropbear嘅config:
https://openwrt.org/docs/guide-user/base-system/dropbear
作者: platinum    時間: 2019-12-15 21:07

有d危, 基本上唔會開俾wan access
你想achieve 到d乜?

Secure your router's access
https://openwrt.org/docs/guide-user/security/secure.access

Also, as long as an attacker has network access to the console, he can always run a brute-force attack to find out username and password. He does not have to do that himself: he can let his computer(s) do the guessing. To render this option improbable or even impossible you can:

    not offer access from the Internet at all, or restrict it to certain IP addresses or IP address ranges
        by letting the SSH server dropbear and the web-Server uhttpd not listen on the external/WAN port
        by blocking incoming connections to those ports (TCP 22, 80 and 443 by default) in your firewall
作者: fatman    時間: 2019-12-15 22:57

ssh 係個測試,因為想開一個wan port 1234然後forward 去 LAN 其中一部機嘅ssh server.

如果用port forward rules, 係無問題。但如果用Traffic Rules 做,就做唔到。
所以想問下Traffic Rules 係唔係有特別用途?!

via HKEPC IR Pro 3.6.1 - iOS(3.0.0)
作者: erickobiz    時間: 2019-12-16 00:20

回覆 1# fatman


  我無用開openwrt... 但
發現呢句可能有問題:

config redirect               
        option target 'DNAT'         
        option src 'wan'      
        option dest 'lan'
        option proto 'tcp'        
        option src_dport '22'      <-------- 你開個 ssh client , connect 去 ssh 既 source port 唔會有指定port number , 所以試下刪左呢句先
         option dest_ip '192.168.1.1'
        option dest_port '22'         
        option name 'wan-ssh'




歡迎光臨 電腦領域 HKEPC Hardware (https://www.hkepc.com/forum/) Powered by Discuz! 7.2