Проблема с пробросом портов

Evgeny Belichenko написал(а) к All в Oct 18 08:13:59 по местному времени:

Добрый день, господа хорошие, а именно All!

Интересно, есть среди нас пользователи VDSL, а может даже, что невероятно, при помощи модема zyxel p-870hw-51a v2? Сабж у меня вылез прям на ровном месте. Не могу открыть порт и хоть ты тресни.. Возможно, это связано с тем, что в данном маршрутизаторе надо настраивать и проброс портов и фаервол (как только не пробовал - не получается), а, возможно, прошивка кривая.. А, может, проблема моя вполне тривиальная - руки кривые.. Поэтому и спрашиваю, может кто сталкивался с подобным?

С уважением,
JENY.
* Originally in KLG.TALK

Winamp closed
E-mail: 752006@gmail.com WWW: :( ICQ: 109-032-340
--- Ask not what you can do for your country. Ask what your country did to you.

Igor Zakharov написал(а) к Evgeny Belichenko в Nov 18 21:00:52 по местному времени:

Привет Evgeny!

31 Окт 18 08:13, Evgeny Belichenko -> All:

EB> Интересно, есть среди нас пользователи VDSL, а может даже, что
EB> невероятно, при помощи модема zyxel p-870hw-51a v2? Сабж у меня вылез
EB> прям на ровном месте. Не могу открыть порт и хоть ты тресни..
EB> Возможно, это связано с тем, что в данном маршрутизаторе надо
EB> настраивать и проброс портов и фаервол (как только не пробовал - не
EB> получается), а, возможно, прошивка кривая.. А, может, проблема моя
EB> вполне тривиальная - руки кривые.. Поэтому и спрашиваю, может кто
EB> сталкивался с подобным?

Во всех маршрутизаторах с которыми я сталкивался, от домашних dlink до кластерных Cisco и Juniper, всегда проброс порта и файрвол - это разные веши.

У меня дома zyxel keenetic giga II и для проброса порта на свой компьютер из интернета:

1. создаю правило на интерфейсе pppoe, номер входяшего порта нужного протокола(tcp,udp..), на ip адрес своего компьютера и номер порта на нем.
2. в межсетевом экране на интерфейсе pppoe разрешаю доступ к входяшему порту всем на все, ну или конкретно откуда нужно.

Если помотреть в командной строчке, то видно, что есть access list, например:

access-list _PPPoE0
permit tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 80
он открывает 80 порт tcp (web) с любых адресов на любые и это и есть правило файрвола

этот access-list привязан к порту pppoe для ограничения входящих

interface PPPoE0
ip access-group _PPPoE0 in

А проброс порта это частный случай nat(network adress translation) - pat(port adress translation):

ip static tcp PPPoE0 80 192.168.1.2 80

входящий 80 порт tcp на интерфейсе pppoe перенаправляется на 80 порт внутреннего адреса

EB> С уважением,
EB> JENY.

Igor (aka ~ZIV).
... Kaluga, Russia
--- ----------------------------------------------------------------------- ---

Evgeny Belichenko написал(а) к Igor Zakharov в Nov 18 08:07:03 по местному времени:

Добрый день, господа хорошие, а именно Igor!

Igor Zakharov wrote to Evgeny Belichenko.

EB>> получается), а, возможно, прошивка кривая.. А, может, проблема моя
EB>> вполне тривиальная - руки кривые.. Поэтому и спрашиваю, может кто
EB>> сталкивался с подобным?

IZ> 1. создаю правило на интерфейсе pppoe, номер входяшего порта нужного
IZ> протокола(tcp,udp..), на ip адрес своего компьютера и номер порта на нем.
IZ> 2. в межсетевом экране на интерфейсе pppoe разрешаю доступ к входяшему
IZ> порту всем на все, ну или конкретно откуда нужно.
IZ> Если помотреть в командной строчке, то видно, что есть access list,
IZ> например:

IZ> access-list _PPPoE0
IZ> permit tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 80
IZ> он открывает 80 порт tcp (web) с любых адресов на любые и это и есть
IZ> правило файрвола

Спасибо за ответ! Да, логично, что необходимо настраивать и то, и другое, если фаервол включен. И вот, при настройке фаервола, я не могу установить адрес источника 0.0.0.0 (так же не могу поставить ALL и ANY).. Могу адрес оставить пустым, но в этому случае не порт не работает. Может, как-то по-другому её можно указать адрес произвольного источника? Или пробовать править вручную через телнет тот же..

С уважением,
JENY.
* Originally in KLG.TALK

Winamp closed
E-mail: 752006@gmail.com WWW: :( ICQ: 109-032-340
--- Ask not what you can do for your country. Ask what your country did to you.

Evgeny Belichenko написал(а) к All в Nov 18 12:23:39 по местному времени:

Доброе время суток, All !

Помнится 31 Окт 18 08:13, Evgeny Belichenko писал к All:

EB> Интересно, есть среди нас пользователи VDSL, а может даже, что
EB> невероятно, при помощи модема zyxel p-870hw-51a v2? Сабж у меня вылез
EB> прям на ровном месте. Не могу открыть порт и хоть ты тресни..
EB> Возможно, это связано с тем, что в данном маршрутизаторе надо
EB> настраивать и проброс портов и фаервол (как только не пробовал - не
EB> получается), а, возможно, прошивка кривая.. А, может, проблема моя
EB> вполне тривиальная - руки кривые.. Поэтому и спрашиваю, может кто
EB> сталкивался с подобным?

В общем, как оно чаще вего бывает - дело оказалось именно в руках.. Просто уже много времени ростелеком выдавал мне белый адрес. Пусть динамический, но белый. А, видать, какое-то время назад он стал выдавать серые адреса. Мне же давно не было необходимости в белом адресе, поэтому я этот момент и не заметил. И ведь после смены маршрутизатора даже не подумал, что порт может не открываться, т.к. адрес тупо серый.. :( Эх, старею.. :(

С уважением, Evgeny !

--- GoldEd 1.1.5-040321

Aleksey Matyuk написал(а) к Evgeny Belichenko в Nov 18 02:43:54 по местному времени:

../++==""^^~~ Привет, Evgeny! ~~^^""==++\..
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

05 Ноя 18 12:23, ты писал(а) All:

EB>> Интересно, есть среди нас пользователи VDSL, а может даже, что
EB>> невероятно, при помощи модема zyxel p-870hw-51a v2? Сабж у меня
EB>> вылез прям на ровном месте. Не могу открыть порт и хоть ты
EB>> тресни.. Возможно, это связано с тем, что в данном маршрутизаторе
EB>> надо настраивать и проброс портов и фаервол (как только не
EB>> пробовал - не получается), а, возможно, прошивка кривая.. А,
EB>> может, проблема моя вполне тривиальная - руки кривые.. Поэтому и
EB>> спрашиваю, может кто сталкивался с подобным?
EB> В общем, как оно чаще вего бывает - дело оказалось именно в руках..
EB> Просто уже много времени ростелеком выдавал мне белый адрес. Пусть
EB> динамический, но белый. А, видать, какое-то время назад он стал
EB> выдавать серые адреса. Мне же давно не было необходимости в белом
EB> адресе, поэтому я этот момент и не заметил. И ведь после смены
EB> маршрутизатора даже не подумал, что порт может не открываться, т.к.
EB> адрес тупо серый.. :( Эх, старею.. :(

Так у почти всех встречавшихся мне провайдеров - по дефолту IP-адрес за NAT.
В какой-то подсети провайдера.

За внешний хотят денежку.

Я не говорю "у всех", я говорю именно про встречавшиеся мне провайдеры...



WBR, Aleksey Matyuk

Modem line #1: 8-495-597-4300 (CM) | Modem line #2: 8-495-597-0106 (CM)
Modem line #3: 8-495-597-0144 (CM) | Modem line #4: 8-495-597-0142 (CM)
Modem line #5: 8-495-597-0680 (CM) | Voice phone : 8-495-597-4144
/New points and links are welcome!/

--- E-mail: soft-cat@mail.ru

Dmitry Bakhrov написал(а) к Aleksey Matyuk в Nov 18 07:25:17 по местному времени:

Приветствую, Aleksey!
06.11.2018 в 7:20 прочёл в письме от Aleksey Matyuk к Evgeny Belichenko

AM> Так у почти всех встречавшихся мне провайдеров - по дефолту IP-адрес за NAT.
AM> В какой-то подсети провайдера.

Это, видимо, только у вас в 5020 так, ибо юзверей опасных и гламурного
киса, бродящего по вконтачам и ютьюбам много, а адресного пространства
мало. У нас в 5015 тот же Билайн выдаёт белые адреса, равно, как и
ттк, а вот вроттелеком, как повезёт, иногда выдаст белый, иногда
серый. Народ даже скриптики пилил для прошивок, чтобы роутер
реконнектился до тех пор, пока белый не придёт. Дурдом.ру по умолчанию
всех сажает за nat, но в лк это отключается бесплатно, у МТС nat, но
за 50 рублей в месяц дают статику, вернее, это не совсем статика, а
проброс всех портов. Вот так оно тут у нас.
--
Dmitry
НеWINный миp


--- NNTP gate

Alexandr Kruglikov написал(а) к Aleksey Matyuk в Nov 18 09:09:58 по местному времени:

Привет, Aleksey!

06 ноя 18 02:43, Aleksey Matyuk писал(а) к Evgeny Belichenko:

AM> Так у почти всех встречавшихся мне провайдеров - по дефолту IP-адрес
AM> за NAT. В какой-то подсети провайдера.

Это проблема 5020. Провайдеров и юзеров много, IPv4-адресов мало, IPv6 не умеют или не хотят. Вот и костылят.
Ещё, утырки, и IP выдают из 10.0.0.0/8 или 172.0.0.0/16...

С наилучшими пожеланиями, Alexandr.
--- "GoldED+/LNX 1.1.5-b20170303" ---

Evgeny Belichenko написал(а) к Aleksey Matyuk в Nov 18 08:31:01 по местному времени:

Добрый день, господа хорошие, а именно Aleksey!

Aleksey Matyuk wrote to Evgeny Belichenko.

EB>> Мне же давно не было необходимости в белом адресе, поэтому я этот
EB>> момент и не заметил. И ведь после смены маршрутизатора даже не
EB>> подумал, что порт может не открываться, т.к. адрес тупо серый.. :(
EB>> Эх, старею.. :(

AM> Так у почти всех встречавшихся мне провайдеров - по дефолту IP-адрес за
AM> NAT. В какой-то подсети провайдера.

Ну, в этом плане наш ростелеком отличался в положительную сторону..

С уважением,
JENY.
* Originally in KLG.TALK

Winamp closed
E-mail: 752006@gmail.com WWW: :( ICQ: 109-032-340
--- Ask not what you can do for your country. Ask what your country did to you.

Aleksey Matyuk написал(а) к Alexandr Kruglikov в Nov 18 18:45:50 по местному времени:

../++==""^^~~ Привет, Alexandr! ~~^^""==++\..
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

06 Ноя 18 09:09, ты писал(а) мне:

AK> Ещё, утырки, и IP выдают из 10.0.0.0/8 или 172.0.0.0/16...

Именно так. Как ты угадал? :)

Мастерство не пропьёшь...






WBR, Aleksey Matyuk

Modem line #1: 8-495-597-4300 (CM) | Modem line #2: 8-495-597-0106 (CM)
Modem line #3: 8-495-597-0144 (CM) | Modem line #4: 8-495-597-0142 (CM)
Modem line #5: 8-495-597-0680 (CM) | Voice phone : 8-495-597-4144
/New points and links are welcome!/

--- E-mail: soft-cat@mail.ru

Aleksey Matyuk написал(а) к Evgeny Belichenko в Nov 18 21:06:04 по местному времени:

../++==""^^~~ Привет, Evgeny! ~~^^""==++\..
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

06 Ноя 18 08:31, ты писал(а) мне:

AM>> Так у почти всех встречавшихся мне провайдеров - по дефолту
AM>> IP-адрес за NAT. В какой-то подсети провайдера.
EB> Ну, в этом плане наш ростелеком отличался в положительную сторону..

Повезло, однако.




WBR, Aleksey Matyuk

Modem line #1: 8-495-597-4300 (CM) | Modem line #2: 8-495-597-0106 (CM)
Modem line #3: 8-495-597-0144 (CM) | Modem line #4: 8-495-597-0142 (CM)
Modem line #5: 8-495-597-0680 (CM) | Voice phone : 8-495-597-4144
/New points and links are welcome!/

--- E-mail: soft-cat@mail.ru