Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Port range forward

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
Alberto-AlBlog



Registrato: 03/12/08 22:10
Messaggi: 12

MessaggioInviato: Mer Dic 03, 2008 10:23 pm    Oggetto: Port range forward Rispondi citando

Ho letto nella sezione in inglese che il port range forward non è presente nella GUI ma Fulvio aveva in programma di aggiungerlo.
Il post è vecchio (12 Aprile 2007): Fulvio hai sempre intenzione di aggiungerlo o hai cambiato piani?
Top
Profilo Invia messaggio privato Invia e-mail
horace



Registrato: 11/04/08 09:50
Messaggi: 45

MessaggioInviato: Gio Dic 04, 2008 12:42 pm    Oggetto: Rispondi citando

bisogna farlo a mano!
da quello che ho capito, devi collegarti via ssh e dare il comando di iptables, che, per esempio, per un forward di più porte, dovrebbe essere

iptables -A PREROUTING -t nat -p udp -m udp -i ETH01 --sports 60000:65000 -j DNAT --to-destination 192.168.1.200:60000-65000
Top
Profilo Invia messaggio privato
Alberto-AlBlog



Registrato: 03/12/08 22:10
Messaggi: 12

MessaggioInviato: Gio Dic 04, 2008 2:50 pm    Oggetto: Rispondi citando

horace ha scritto:
bisogna farlo a mano!


Era proprio quello che cercavo di evitare: in quanto quasi digiuno di GNU/Linux per me sarebbe un copia e incolla.
Sarei giusto in grado di cambiare l'ip privato per farlo coincidere con quello che serve a me e le porte.
Già beccare l'interfaccia corretta potrebbe essere un problema (ETH01?).
Un copia e incolla per UDP e un altro sostituendo tutti gli UDP con TCP nel caso mi servano anche quelli.

Non è bello fare così: se si sa smanettare si smanetta, altrimenti no.
Ho provato anche la "concorrenza" ma non mi sono trovato bene.
IPCOP non mi fa usare più porte per l'interfaccia green (io ho 4 schede di rete)
Endian Firewall pare avere serie difficoltà a gestire più di 250/300 sessioni ip contemporanee facendo PPPoE su una rete Layer2 (Eolo di NGI)
PFSense non mi parte il live cd Sad

Quasi quasi metto dd-wrt x86: lo usavo prima ma volevo cambiare. Non riesco a registrare trunk EuteliaVoIP: devo registrarli in un centralino virtuale (LiberaIlVoip) che a sua volta li registra su EuteliaVoip.
Top
Profilo Invia messaggio privato Invia e-mail
horace



Registrato: 11/04/08 09:50
Messaggi: 45

MessaggioInviato: Gio Dic 04, 2008 3:36 pm    Oggetto: Rispondi citando

guarda, ora che la rileggo forse il -m udp è ridondante con --sports, cmq non è difficile:

-p = protocolo, ho messo udp perchè dovrei usarla per asterisk
-i = interfaccia di ingresso, è quello che ha la connessione WAN su zeroshell
-sports = porte in ingresso

le altre dovrebbero fare. cmq sono d'accordo con te che sarebbe carino poter specificare il port forwarding di più porte tramite interfaccia web.
Top
Profilo Invia messaggio privato
Alberto-AlBlog



Registrato: 03/12/08 22:10
Messaggi: 12

MessaggioInviato: Gio Dic 04, 2008 3:43 pm    Oggetto: Rispondi citando

horace ha scritto:
guarda, ora che la rileggo forse il -m udp è ridondante con --sports, cmq non è difficile:

-p = protocolo, ho messo udp perchè dovrei usarla per asterisk
-i = interfaccia di ingresso, è quello che ha la connessione WAN su zeroshell
-sports = porte in ingresso

le altre dovrebbero fare. cmq sono d'accordo con te che sarebbe carino poter specificare il port forwarding di più porte tramite interfaccia web.


Ti ringrazio molto per la spiegazione: sono neofita ma ho l'animo smanettone quindi, volendo, potrei imparare la lezioncina e farmi il forward a mano.
Ultima domandina: se mettessi un ulteriore wan come backup dovrei creare gli stessi port forward anche per quella nel caso che subentri?

In ogni caso lo lascerò come ultima spiaggia: prima cerco un altra soluzione (ora non riesco neppure a caricare dd-wrt: mi da problemi e non va)
Ho scaricato la versione più aggiornata di pfsense e ora vedo se quella mi fa boot (sempre che poi pfsense mi dia la possibilità di fare il port range forward da gui!)
Top
Profilo Invia messaggio privato Invia e-mail
horace



Registrato: 11/04/08 09:50
Messaggi: 45

MessaggioInviato: Gio Dic 04, 2008 4:42 pm    Oggetto: Rispondi citando

si, ora sono dietro ad una pfsense e confermo che la gestione del portforwading è molto semplice.

per quanto riguarda iptables, spero che qualcuno ci butti un occhio e confermi la validità di quello che ho scritto! Very Happy
Top
Profilo Invia messaggio privato
Alberto-AlBlog



Registrato: 03/12/08 22:10
Messaggi: 12

MessaggioInviato: Dom Dic 07, 2008 4:32 pm    Oggetto: Rispondi citando

Ho provato pfsense ed è effettivamente facile (oltre a gestire il range port forward ha la possibilità di creare automaticamente la regola del firewall per ogni porta aperta)
Peccato che non regga più di circa 400 sessioni ip contemporanee (PPPoE su Eolo di NGI che è layer2)
L'hardware è un koala mini pc (1gb di ram)

Se, invece che addentrarmi nella shell per fare un range port forward, aprissi manualmente solo le porte strettamente indispensabili?

Non devo registrarmi dall'esterno (tutti i telefoni ip sono in rete locale nella tessa subnet)
Basta la 5060 o anche una più per ciascun trunk sip?
Basta la 10000 e una più per ciascuna chiamata contemporanea in più oltre la prima?
(tutte solo udp vero?)
Top
Profilo Invia messaggio privato Invia e-mail
Alberto-AlBlog



Registrato: 03/12/08 22:10
Messaggi: 12

MessaggioInviato: Sab Dic 13, 2008 9:00 pm    Oggetto: Rispondi citando

Ho ancora bisogno di aiuto.

Ho aperto alcune porte per dei server e dei client p2p e funzionano tutti a dovere.

Ho un ata con due account sip ma, nonostante abbia aperto le porte necessarie (anzi parecchie di più sopra e sotto e pure tcp) non si registra.
Neppure il server asterisk si registra: ho aperto dalla 5060 alla 5070 udp e dalla 10000 alla 10010 udp.

Devo impostare qualcosa nel firewall? Le applicazioni p2p funzionano senza che abbia impostato nulla nel firewall (solo aprendo le porte). Anche vnc funziona.
Top
Profilo Invia messaggio privato Invia e-mail
ufoonline



Registrato: 03/07/08 22:16
Messaggi: 261

MessaggioInviato: Dom Dic 14, 2008 1:16 am    Oggetto: Re: Port range forward Rispondi citando

Alberto-AlBlog ha scritto:
Ho letto nella sezione in inglese che il port range forward non è presente nella GUI ma Fulvio aveva in programma di aggiungerlo.
Il post è vecchio (12 Aprile 2007): Fulvio hai sempre intenzione di aggiungerlo o hai cambiato piani?


Ho scritto io la patch.. e Fulvio ha detto di volerla inserire nella prossima release Smile

La patch la trovi quì:
http://www.zeroshell.net/forum/viewtopic.php?t=1338

Vorrei approfittare del tempo che abbiamo fino alla b12 in modo da testare perbene, quindi chiedo anche il tuo e l'aiuto del resto della community.

Alberto-AlBlog ha scritto:
Ho ancora bisogno di aiuto.

Ho aperto alcune porte per dei server e dei client p2p e funzionano tutti a dovere.

Ho un ata con due account sip ma, nonostante abbia aperto le porte necessarie (anzi parecchie di più sopra e sotto e pure tcp) non si registra.
Neppure il server asterisk si registra: ho aperto dalla 5060 alla 5070 udp e dalla 10000 alla 10010 udp.

Devo impostare qualcosa nel firewall? Le applicazioni p2p funzionano senza che abbia impostato nulla nel firewall (solo aprendo le porte). Anche vnc funziona.


Controlla la configurazione dell'Ata, con tcpdump -i Interfaccia_lan net ip_dell'ata
verifica che il traffico entra ed esce.. così t'assicuri che è apposto il nat.

Se entra ed esce, allora è un errore di configurazione.
Se vedi che NON esce niente verso il provider.. controlla i DNS impostati sull'ata.
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Dom Dic 14, 2008 8:42 am    Oggetto: Rispondi citando

Puoi postare la patch anche sul forum http://www.zeroshell.net/eng/forum cosi' da farla testare da piu' persone?

Ciao
Fulvio
Top
Profilo Invia messaggio privato
ufoonline



Registrato: 03/07/08 22:16
Messaggi: 261

MessaggioInviato: Dom Dic 14, 2008 3:05 pm    Oggetto: Rispondi citando

Ciao Fulvio,

Ho postato la patch sul forum inglese.

Era mia intenzione farlo, però poi mi sono dimenticato a dir la verità.

Il mio inglese fa un pò "schifo", spero che comunque il post si capisca,
se pensi sia necessario editarlo.. per correggere la mia sgrammatica inglese... fai pure Smile

Ciao!
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Dom Dic 14, 2008 4:08 pm    Oggetto: Rispondi citando

Si capisce perfettamente. Poi di errori di grammatica ne faccio tanti anch'io.

Adesso, visto che il lavoro ormai lo hai fatto, perche' non trascrivi il tutto in due pagine HTML o PDF, ci metti nome e cognome e mi mandi gli URL da linkare dalle pagine di documentazione?

Ciao e nuovamente grazie a nome di quanti useranno la tua patch
Fulvio
Top
Profilo Invia messaggio privato
ufoonline



Registrato: 03/07/08 22:16
Messaggi: 261

MessaggioInviato: Dom Dic 14, 2008 7:44 pm    Oggetto: Rispondi citando

Si, adesso ti mando il tutto via email Smile

Ho aggiunto adesso anche il supporto per il nat automatico sia su TCP che UDP, scegliendo TCP/UDP dalla lista protocolli.

Di nulla, grazie a te per questo stupendo Router\Firewall che hai realizzato! E' un piacere aiutarti dove m'è possibile in quest'impresa!

Ciao!
Top
Profilo Invia messaggio privato
Alberto-AlBlog



Registrato: 03/12/08 22:10
Messaggi: 12

MessaggioInviato: Lun Dic 15, 2008 11:43 am    Oggetto: Re: Port range forward Rispondi citando

ufoonline ha scritto:

Controlla la configurazione dell'Ata, con tcpdump -i Interfaccia_lan net ip_dell'ata
verifica che il traffico entra ed esce.. così t'assicuri che è apposto il nat.

Se entra ed esce, allora è un errore di configurazione.
Se vedi che NON esce niente verso il provider.. controlla i DNS impostati sull'ata.


Ho provato il dump e l'ata e i server di Eutelia si parlano (ti incollerei il log ma non so come si fa a fare "copia" da una shell ssh di putty sutto ubuntu)
C'è anche uno scambio su una porta che non ho mai aperto ma è tra l'ata e ZS: non so cosa sia ne se debba fare qualcosa al riguardo.

Ho già installato la tua pach e con quella ho aperto le porte che avevo aperte prima (con un altro router): in pratica ora ha le stesse porte aperte della configurazione funzionante con il precedente router.

Visto che il traffico esce il tuo suggerimento è che sia un errore di configurazione: dove?
Non nell'ata perché se rimetto il vecchio router torna a collegarsi funzionando a dovere.
Nel firewall di ZS vero?
Noto anche che con il mio portatile collegato dietro a ZS non riesco più a collegarmi con un server via desktop remoto (RTP) che è a casa mia e immagino che anche questo sia causato da una mancata/errata mia configurazione del firewall di ZS.
Top
Profilo Invia messaggio privato Invia e-mail
Alberto-AlBlog



Registrato: 03/12/08 22:10
Messaggi: 12

MessaggioInviato: Lun Dic 15, 2008 4:47 pm    Oggetto: Rispondi citando

Visto che il mio problema ora non è più il range port forward è meglio se apro un nuovo thread?

Non so neppure che cosa si il problema!
L'ata e il server Asterik, configurati così come sono ora, funzionano perfettamente con tutti gli altri router che ho provato quindi non è un problema di configurazione loro.
Ho provato con lo stesso hardware montandoci pfsense, ipcop e endian firewall e funzionano. Funzionano pure con un WTR54GL con DD-WRT e anche con un altro pc con su la versione X86 di DD-WRT.

Qualcuno mi dice almeno se devo impostare qualche regola nel firewall o, se non metto nulla, di default passa tutto?
Top
Profilo Invia messaggio privato Invia e-mail
ufoonline



Registrato: 03/07/08 22:16
Messaggi: 261

MessaggioInviato: Mar Dic 16, 2008 12:23 am    Oggetto: Rispondi citando

Guarda è molto strano, perchè proprio da 2 miei clienti ho installato dei centralini VOIP ed il loro Router\Firewall è proprio un pc con ZeroShell.

Prova a sniffare il traffico sulla rete.. c'è qualcosa che non va!

Nello sniffare il traffico sull'interfaccia WAN, hai controllato che iptables effettui il nat ? (io sono impazzito per un problema del genere!).

Ovvero.. devi trovarti con SRC\DST IP = al tuo ip d wan e non di LAN.

Se esce quello di Lan allora li è l'inghippo!

Leggi quì.. nel caso sia quello:
http://www.zeroshell.net/forum/viewtopic.php?p=4684#4684
Top
Profilo Invia messaggio privato
Alberto-AlBlog



Registrato: 03/12/08 22:10
Messaggi: 12

MessaggioInviato: Mar Dic 16, 2008 11:28 am    Oggetto: Rispondi citando

ufoonline ha scritto:
Guarda è molto strano, perchè proprio da 2 miei clienti ho installato dei centralini VOIP ed il loro Router\Firewall è proprio un pc con ZeroShell.

Prova a sniffare il traffico sulla rete.. c'è qualcosa che non va!

Nello sniffare il traffico sull'interfaccia WAN, hai controllato che iptables effettui il nat ? (io sono impazzito per un problema del genere!).

Ovvero.. devi trovarti con SRC\DST IP = al tuo ip d wan e non di LAN.

Se esce quello di Lan allora li è l'inghippo!

Leggi quì.. nel caso sia quello:
http://www.zeroshell.net/forum/viewtopic.php?p=4684#4684


Purtroppo (per me) parli arabo: so a malapena cosa significhi sniffare il traffico ma non ho idea di come fare.
Tentare non nuoce e ho provato il suggerimento che segnalavi nell'altro thread ma non cambia nulla.
Temo che mi dovrò rassegnare a non usare ZS: peccato perché tra tutti quelli che ho provato era quello che più mi piaceva.
Sono addirittura riuscito a impostare il failover su un altra linea! (il colmo è che va il failover ma non riesco a far registrare ne ata ne asterisk e non mi connetto via rdp al server esterno)

Ringrazio te e Fulvio per la pazienza e per l'ottimo lavoro ma temo di non essere in grado usarlo Sad
Top
Profilo Invia messaggio privato Invia e-mail
ufoonline



Registrato: 03/07/08 22:16
Messaggi: 261

MessaggioInviato: Mar Dic 16, 2008 5:24 pm    Oggetto: Rispondi citando

Ciao,

Guarda cerco di spiegarmi velocemnte (che sto a lavoro) e nel modo + maccheronico possibile:
tcpdump -i <interfaccia_WAN> -n net <ip_asterisk>

es:
tcpdump -i ETH00 -n net 192.168.1.20

Se vedi che sull'interfaccia WAN passno i pacchetti con quest'ip.. allora la risposta è semplice.... per qualche motivo non viene effettuato il nat.

Nel caso contrario... sul pc con asterisk, installa ngrep...
e caricalo con questa sintassi:
ngrep -d eth0 -W byline

leggi che si dicoono...


Approposito, ma hai letto i log di asterisk ?
Top
Profilo Invia messaggio privato
Alberto-AlBlog



Registrato: 03/12/08 22:10
Messaggi: 12

MessaggioInviato: Mar Dic 16, 2008 11:39 pm    Oggetto: Rispondi citando

Non posso più fare test: ho dovuto toglierlo.
Non posso restare senza telefoni.

Grazie ancora di tutto Smile
Top
Profilo Invia messaggio privato Invia e-mail
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it