返回列表 發帖
fatman

Rank: 3Rank: 3Rank: 3
1# 跳轉到 » 倒序看帖
打印
tT
發表於 2019-12-14 16:30 | 只看該作者

[操作疑難] openwrt firewall 問題

各位Ching,我試用openwrt firewall "Traffic Rules"去加可以由wan用ssh 去router,但我發覺好似firewall無開到個port 22.
  1. config rule                  
  2.         option target 'ACCEPT'        
  3.         option src 'wan'              
  4.         option proto 'tcp'     
  5.         option dest_port '22'  
  6.         option name 'accept-ssh-wan-service'
  7.         option dest_ip '192.168.1.1'
  8.         option enabled '1'
複製代碼
如果用 "Port Forwards" 加條rule, 就可以開到
  1. config redirect               
  2.         option target 'DNAT'         
  3.         option src 'wan'      
  4.         option dest 'lan'
  5.         option proto 'tcp'        
  6.         option src_dport '22'      
  7.         option dest_ip '192.168.1.1'
  8.         option dest_port '22'         
  9.         option name 'wan-ssh'
複製代碼
係唔係唔應該係"Traffic Rules" set? 定我做錯config? 有無ching指教一下
收藏 分享

0

lancer

Rank: 3Rank: 3Rank: 3
2#
發表於 2019-12-14 17:46 | 只看該作者
iptables -L
之後貼上來

via HKEPC IR Pro 3.6.1 - iOS(3.0.0)

TOP

fatman

Rank: 3Rank: 3Rank: 3
3#
發表於 2019-12-14 22:09 | 只看該作者
Ching, 唔該睇下有無建議
  1. Chain INPUT (policy ACCEPT)
  2. target     prot opt source               destination
  3. ACCEPT     all  --  anywhere             anywhere             /* !fw3 */
  4. input_rule  all  --  anywhere             anywhere             /* !fw3: Custom input rule chain */
  5. ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED /* !fw3 */
  6. DROP       all  --  anywhere             anywhere             ctstate INVALID /* !fw3 */
  7. syn_flood  tcp  --  anywhere             anywhere             tcp flags:FIN,SYN,RST,ACK/SYN /* !fw3 */
  8. zone_lan_input  all  --  anywhere             anywhere             /* !fw3 */
  9. zone_wan_input  all  --  anywhere             anywhere             /* !fw3 */
  10. zone_dmz_input  all  --  anywhere             anywhere             /* !fw3 */

  12. Chain FORWARD (policy DROP)
  13. target     prot opt source               destination
  14. forwarding_rule  all  --  anywhere             anywhere             /* !fw3: Custom forwarding rule chain */
  15. FLOWOFFLOAD  all  --  anywhere             anywhere             /* !fw3: Traffic offloading */ ctstate RELATED,ESTABLISHED FLOWOFFLOAD hw
  16. ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED /* !fw3 */
  17. @
  18. "iptables.txt" 180L, 10529C
  19. Chain INPUT (policy ACCEPT)
  20. target     prot opt source               destination
  21. ACCEPT     all  --  anywhere             anywhere             /* !fw3 */
  22. input_rule  all  --  anywhere             anywhere             /* !fw3: Custom input rule chain */
  23. ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED /* !fw3 */
  24. DROP       all  --  anywhere             anywhere             ctstate INVALID /* !fw3 */
  25. syn_flood  tcp  --  anywhere             anywhere             tcp flags:FIN,SYN,RST,ACK/SYN /* !fw3 */
  26. zone_lan_input  all  --  anywhere             anywhere             /* !fw3 */
  27. zone_wan_input  all  --  anywhere             anywhere             /* !fw3 */
  28. zone_dmz_input  all  --  anywhere             anywhere             /* !fw3 */

  30. Chain FORWARD (policy DROP)
  31. target     prot opt source               destination
  32. forwarding_rule  all  --  anywhere             anywhere             /* !fw3: Custom forwarding rule chain */
  33. FLOWOFFLOAD  all  --  anywhere             anywhere             /* !fw3: Traffic offloading */ ctstate RELATED,ESTABLISHED FLOWOFFLOAD hw
  34. ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED /* !fw3 */
  35. DROP       all  --  anywhere             anywhere             ctstate INVALID /* !fw3 */
  36. zone_lan_forward  all  --  anywhere             anywhere             /* !fw3 */
  37. zone_wan_forward  all  --  anywhere             anywhere             /* !fw3 */
  38. zone_dmz_forward  all  --  anywhere             anywhere             /* !fw3 */
  39. reject     all  --  anywhere             anywhere             /* !fw3 */

  41. Chain OUTPUT (policy ACCEPT)
  42. Chain INPUT (policy ACCEPT)
  43. target     prot opt source               destination
  44. ACCEPT     all  --  anywhere             anywhere             /* !fw3 */
  45. input_rule  all  --  anywhere             anywhere             /* !fw3: Custom input rule chain */
  46. ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED /* !fw3 */
  47. DROP       all  --  anywhere             anywhere             ctstate INVALID /* !fw3 */
  48. syn_flood  tcp  --  anywhere             anywhere             tcp flags:FIN,SYN,RST,ACK/SYN /* !fw3 */
  49. zone_lan_input  all  --  anywhere             anywhere             /* !fw3 */
  50. zone_wan_input  all  --  anywhere             anywhere             /* !fw3 */
  51. zone_dmz_input  all  --  anywhere             anywhere             /* !fw3 */

  53. Chain FORWARD (policy DROP)
  54. target     prot opt source               destination
  55. forwarding_rule  all  --  anywhere             anywhere             /* !fw3: Custom forwarding rule chain */
  56. FLOWOFFLOAD  all  --  anywhere             anywhere             /* !fw3: Traffic offloading */ ctstate RELATED,ESTABLISHED FLOWOFFLOAD hw
  57. ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED /* !fw3 */
  58. DROP       all  --  anywhere             anywhere             ctstate INVALID /* !fw3 */
  59. zone_lan_forward  all  --  anywhere             anywhere             /* !fw3 */
  60. zone_wan_forward  all  --  anywhere             anywhere             /* !fw3 */
  61. zone_dmz_forward  all  --  anywhere             anywhere             /* !fw3 */
  62. reject     all  --  anywhere             anywhere             /* !fw3 */

  64. Chain OUTPUT (policy ACCEPT)
  65. target     prot opt source               destination
  66. Chain INPUT (policy ACCEPT)
  67. target     prot opt source               destination
  68. ACCEPT     all  --  anywhere             anywhere             /* !fw3 */
  69. input_rule  all  --  anywhere             anywhere             /* !fw3: Custom input rule chain */
  70. ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED /* !fw3 */
  71. DROP       all  --  anywhere             anywhere             ctstate INVALID /* !fw3 */
  72. syn_flood  tcp  --  anywhere             anywhere             tcp flags:FIN,SYN,RST,ACK/SYN /* !fw3 */
  73. zone_lan_input  all  --  anywhere             anywhere             /* !fw3 */
  74. zone_wan_input  all  --  anywhere             anywhere             /* !fw3 */
  75. zone_dmz_input  all  --  anywhere             anywhere             /* !fw3 */

  77. Chain FORWARD (policy DROP)
  78. target     prot opt source               destination
  79. forwarding_rule  all  --  anywhere             anywhere             /* !fw3: Custom forwarding rule chain */
  80. FLOWOFFLOAD  all  --  anywhere             anywhere             /* !fw3: Traffic offloading */ ctstate RELATED,ESTABLISHED FLOWOFFLOAD hw
  81. ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED /* !fw3 */
  82. DROP       all  --  anywhere             anywhere             ctstate INVALID /* !fw3 */
  83. zone_lan_forward  all  --  anywhere             anywhere             /* !fw3 */
  84. zone_wan_forward  all  --  anywhere             anywhere             /* !fw3 */
  85. zone_dmz_forward  all  --  anywhere             anywhere             /* !fw3 */
  86. reject     all  --  anywhere             anywhere             /* !fw3 */

  88. Chain OUTPUT (policy ACCEPT)
  89. target     prot opt source               destination
  90. ACCEPT     all  --  anywhere             anywhere             /* !fw3 */

  92. Chain zone_wan_dest_REJECT (1 references)
  93. target     prot opt source               destination
  94. reject     all  --  anywhere             anywhere             /* !fw3 */

  96. Chain zone_wan_forward (1 references)
  97. target     prot opt source               destination
  98. forwarding_wan_rule  all  --  anywhere             anywhere             /* !fw3: Custom wan forwarding rule chain */
  99. zone_lan_dest_ACCEPT  esp  --  anywhere             anywhere             /* !fw3: Allow-IPSec-ESP */
  100. zone_lan_dest_ACCEPT  udp  --  anywhere             anywhere             udp dpt:isakmp /* !fw3: Allow-ISAKMP */
  101. ACCEPT     all  --  anywhere             anywhere             ctstate DNAT /* !fw3: Accept port forwards */
  102. MINIUPNPD  all  --  anywhere             anywhere
  103. zone_wan_dest_REJECT  all  --  anywhere             anywhere             /* !fw3 */

  105. Chain zone_wan_input (1 references)
  106. target     prot opt source               destination
  107. input_wan_rule  all  --  anywhere             anywhere             /* !fw3: Custom wan input rule chain */
  108. ACCEPT     udp  --  anywhere             anywhere             udp dpt:bootpc /* !fw3: Allow-DHCP-Renew */
  109. ACCEPT     icmp --  anywhere             anywhere             icmp echo-request /* !fw3: Allow-Ping */
  110. ACCEPT     igmp --  anywhere             anywhere             /* !fw3: Allow-IGMP */
  111. ACCEPT     udp  --  anywhere             newifi.lan           udp dpt:domain /* !fw3: dmz-dns */
  112. ACCEPT     udp  --  anywhere             newifi.lan           udp dpt:bootps /* !fw3: dmz-dhcp */
  113. ACCEPT     tcp  --  anywhere             newifi.lan           tcp dpt:ssh /* !fw3: accept-ssh-wan-service */
  114. ACCEPT     all  --  anywhere             anywhere             ctstate DNAT /* !fw3: Accept port redirections */
  115. zone_wan_src_REJECT  all  --  anywhere             anywhere             /* !fw3 */

  117. Chain zone_wan_output (1 references)
  118. target     prot opt source               destination
  119. output_wan_rule  all  --  anywhere             anywhere             /* !fw3: Custom wan output rule chain */
  120. zone_wan_dest_ACCEPT  all  --  anywhere             anywhere             /* !fw3 */

  122. Chain zone_wan_src_REJECT (1 references)
  123. target     prot opt source               destination
  124. reject     all  --  anywhere             anywhere             /* !fw3 */
複製代碼

TOP

321

Rank: 3Rank: 3Rank: 3
4#
發表於 2019-12-14 23:36 | 只看該作者
在/etc/config/firewall加入以下幾行就可以
config rule
        option target 'ACCEPT'
        option src 'wan'
        option proto 'tcp'
        option dest_port '22'
        option name 'ssh'

唔需要"option dest_ip '192.168.1.1"呢行

TOP

fatman

Rank: 3Rank: 3Rank: 3
5#
發表於 2019-12-14 23:43 | 只看該作者
本帖最後由 fatman 於 2019-12-14 23:44 編輯
在/etc/config/firewall加入以下幾行就可以
config rule
        option target 'ACCEPT'
        option s ...
321 發表於 2019-12-14 23:36

Ching, 試過都係一樣,都係connection refused
用forward port 就可以!

TOP

ckshum

Rank: 3Rank: 3Rank: 3
6#
發表於 2019-12-15 01:28 | 只看該作者
openwrt default應該唔俾從wan interface入ssh,要自行修改dropbear嘅config:
https://openwrt.org/docs/guide-user/base-system/dropbear

TOP

platinum

Rank: 3Rank: 3Rank: 3
7#
發表於 2019-12-15 21:07 | 只看該作者
有d危, 基本上唔會開俾wan access
你想achieve 到d乜?

Secure your router's access
https://openwrt.org/docs/guide-user/security/secure.access

Also, as long as an attacker has network access to the console, he can always run a brute-force attack to find out username and password. He does not have to do that himself: he can let his computer(s) do the guessing. To render this option improbable or even impossible you can:

    not offer access from the Internet at all, or restrict it to certain IP addresses or IP address ranges
        by letting the SSH server dropbear and the web-Server uhttpd not listen on the external/WAN port
        by blocking incoming connections to those ports (TCP 22, 80 and 443 by default) in your firewall

TOP

fatman

Rank: 3Rank: 3Rank: 3
8#
發表於 2019-12-15 22:57 | 只看該作者
ssh 係個測試,因為想開一個wan port 1234然後forward 去 LAN 其中一部機嘅ssh server.

如果用port forward rules, 係無問題。但如果用Traffic Rules 做,就做唔到。
所以想問下Traffic Rules 係唔係有特別用途?!

via HKEPC IR Pro 3.6.1 - iOS(3.0.0)

TOP

erickobiz

Rank: 2Rank: 2
9#
發表於 2019-12-16 00:20 | 只看該作者
回覆 1# fatman


  我無用開openwrt... 但
發現呢句可能有問題:

config redirect               
        option target 'DNAT'         
        option src 'wan'      
        option dest 'lan'
        option proto 'tcp'        
        option src_dport '22'      <-------- 你開個 ssh client , connect 去 ssh 既 source port 唔會有指定port number , 所以試下刪左呢句先
         option dest_ip '192.168.1.1'
        option dest_port '22'         
        option name 'wan-ssh'

TOP

返回列表