Эх, тряхну-ка я стариной и расскажу вам как настраивается Port Forwarding на ADSL модеме Acorp W422G v3, если кто-то еще помнит такие. Быть может в каких-то регионах ADSL только начинает входить в массы, а у нас ADSL'ный "бум" уже давно прошел и нахватать своих граблей успели все. На картинке кстати изображен тот самый Acorp W422G v3, хотя мне больше нравилась его вторая ревизия, которую я в свое время успел задействовать даже как ethernet маршрутизатор с помощью хитрых скриптов инициализации в mtd5 разделе. Ну да ладно ... что-то я отвлекся от темы. Итак, представим что у вас есть этот самый W422G v3 и вы к примеру хотите пробросить TCP 3389 наружу, для организации доступа через удаленный рабочий стол к своему любимому домашнему или офисному ПК. Прописав соответствующее правило в разделе Port Forwarding мы получаем "облом". Порт снаружи закрыт (кстати проверить доступность порта извне можно на том же самом 2ip.ru). Все дело в том, что с определенной ревизии прошивки, помимо Port Forwarding, есть еще раздел IP/Port Filtering. Так входящее соединение еще нужно разрешить там. Причем есть крайне важная особенность, цитирую:
"Прохождение пакетов такое PREROUTING->FORWARD->POSTROUTING так что в нашем случае нужно указывать в dstport уже локальный порт а не порт торчащий наружу."
Т.е. в правилах для IP/Port Filtering надо указывать не внешний порт со стороны WAN IP на который будут приниматься соединения, а Local Port, т.е. тот, на который осуществляется перенаправление порта.
Сейчас объясню чуть более подробно, но сначала нужно почитать мануалы:
Все вышесказанное проиллюстрировано в следующих картинках:
"Прохождение пакетов такое PREROUTING->FORWARD->POSTROUTING так что в нашем случае нужно указывать в dstport уже локальный порт а не порт торчащий наружу."
Т.е. в правилах для IP/Port Filtering надо указывать не внешний порт со стороны WAN IP на который будут приниматься соединения, а Local Port, т.е. тот, на который осуществляется перенаправление порта.
Сейчас объясню чуть более подробно, но сначала нужно почитать мануалы:
- Acorp W422G v3 - руководство пользователя (черновик) - здесь обязательно читаем раздел Firewall - IP/Port filtering.
- Обсуждение прошивок для модемов W422G_v3(4)/W510N/W520N - а здесь пост sfstudio. Особенное внимание следует обратить на слова: "Начиная с версии 0.3.0 при настройке Port Forwarding следует учитывать что даже после того как будут добавлены записи в соответствующую таблицу порты не будут доступны с наружи. Для того чтобы всё заработало нужно также внести соответствующие разрешающие правила в таблицу на закладке IP/Port Filtering.ВНИМАНИЕ в IP/Port Filtering нужно в dst port должны быть указаны локальные порты ПК на которые производиться перенаправление, а не внешние порты с которых это перенаправление производиться. Например нам нужно протащить порт с локального ПК за номером 22 на внешний IP модема как порт за номером 24, настраиваем портфорвард соответствующим образом а в Ip Filter добавляем правило разрешающее прохождение пакетов на порт 22 локального ПК."
- Ну а вот в этом посте прохождение пакетов через цепочку PREROUTING->FORWARD->POSTROUTING рассмотрено более подробно.
Все вышесказанное проиллюстрировано в следующих картинках:
На этом пожалуй все, думаю после прочтения всего вышесказанного и просмотра этих двух картинок проблем быть не должно.
p.s. Да, еще один интересный момент ... Оказывается в некоторых регионах у Ростелекома наблюдается нехватка IP-адресов, поэтому они без предупреждения сажают клиентов за NAT. Грубо говоря, если у вас есть модем, то по PPPoE он получает один WAN IP, причем якобы белый, а вот по факту, если посмотреть свой IP на том же 2ip.ru или internet.yandex.ru он будет другим. Что это означает? Предположим модем у вас получает IP1, а по факту ваш IP во внешнем мире - это IP2. Т.е. где-то между ними есть провайдерский NAT. Вы открываете какой-либо порт, настраиваете правила, проверяете и опп-па ... "Порт закрыт". Потому что между вами и интернет NAT провайдера. Будьте внимательны, можно потерять не один час времени пытаясь понять почему у вас не работают правила port forwarding'а и не открываются порты вовне, хотя на самом деле проблемы в вашем оборудовании и в настройках нет.
Комментариев нет :
Отправить комментарий