DD-WRT: Port yönlendirme işleminin LAN içinden gelen taleplere uygulanmasına nasıl izin verilir?

26

Yönelticimin orijinal bellenimi ile, harici bir dinamik DNS hizmeti ile birlikte kullandığım LAN'daki sunucuya 80 numaralı bağlantı noktasından tanımlı bağlantı noktası iletme yöntemim vardı.

Şimdi DD-WRT'ye yükselttim ve ne yazık ki bağlantı noktası yönlendirmesi yalnızca LAN dışından harici IP istekleri için çalışıyor . LAN'ın içinden sunucuya yalnızca dahili IP ile erişebiliyorum.

Harici IP'nin (ve dolayısıyla dinamik harici IP'ye bağlı alan adının) LAN içinden de uygun şekilde erişilebilir olmasını nasıl sağlayabilirim ?

Bunu standart DD-WRT tanımları ile nasıl elde edeceğimi öğrenmeyi tercih ediyorum, ancak örneğin iptables kullanımı söz konusu değil.

— Ürel
kaynak

25

Son DD-WRT yapılarında bir hata gibi görünüyor.

İptables kullanın:

iptables -t nat -I POSTROUTING -o br0 -s 192.168.1.0/24 -d 192.168.1.0/24 -j MASQUERADE

(alt ağınızı kendi yerel ağınıza göre değiştirin)

Gönderen http://hax.at/text/41

— Ürel
kaynak

Bu belli değildi! bir cazibe gibi çalıştı :)

— Jay,

Bunu bir başlangıç komutu olarak ayarladım ve yönlendiriciyi yeniden başlattım, ancak değişiklik yok - yine de çalışmıyor.

— Timwi

Benim için çalıştı. Çok teşekkür ederim. Artık DD-WRT yönlendiricilerdeki dahili ağımdan IP atanmış ddnslerime erişebiliyorum.

— nusi,

3

Bu benim için çalıştı, ancak güvenlik duvarı komut dosyası olarak kaydettiyseniz ve başlangıç komut dosyası olarak değil.

— Jarett Millard

@Timwi - Jarett'in belirttiği gibi, ben de bunu "Başlangıç" bölümüne değil "Güvenlik Duvarı" bölümüne koymak zorunda kaldım.

— dan_linder

4

UrEl'in cevabının ruhu: DD-WRT forumundaiptables , başka bir uyarlama olmadan sadece kopyalanabilen ve kopyalanabilen bir senaryo bulunabilir :

insmod ipt_mark 
insmod xt_mark 
iptables -t mangle -A PREROUTING -i ! `get_wanface` -d `nvram get wan_ipaddr` -j MARK --set-mark 0xd001 
iptables -t mangle -A PREROUTING -j CONNMARK --save-mark 
iptables -t nat -A POSTROUTING -m mark --mark 0xd001 -j MASQUERADE

Jarett tarafından belirtildiği gibi, bunun Başlangıç betiği olarak değil Güvenlik Duvarı betiği olarak kullanılması gerekir .

— krlmlr
kaynak

Bu çözüm benim için UrEI'den daha iyi çalıştı çünkü ikincisi SIP telefonumu bağlayamadı.

— jamix

Bu ve @ UrlEl'in kuralı arasındaki fark nedir (dinamik olarak wan arayüzü ve ip adresi alma dışında)?

— Piotr Dobrogost

1

Güvenlik-> Güvenlik Duvarı sekmesinde "Filtre WAN NAT yönlendirmesini" devre dışı bırakmayı deneyin. Yardım açıklamasından:

Filtre WAN NAT Yeniden Yönlendirme LAN üzerindeki ana makinelerin LAN üzerindeki sunuculara ulaşmak için WAN yönlendirici adresini kullanmalarını engeller (bağlantı noktası yeniden yönlendirmesi kullanılarak yapılandırılmıştır).

— Tobias Plutat
kaynak

Zaten devre dışı bırakıldı (varsayılan olarak). Başka fikrin var mı?

— Urle

Garip - LAN'ımda, bu ayar tam olarak farkı yaratan şey. Hangi yapıyı kullanıyorsunuz? Belki liman yönlendirme işleminizi iki kez kontrol etmelisiniz - belki de kaçırdığınız bir sorun var (belki IP'ler harici ve dahili erişiminiz arasında değişti, bu nedenle liman yönlendirmelerini

— bozuyor

16994 kullanıyorum. Bu arada şunu buldum: hax.at/text/41

— UrEl

Oh, nasıl arabası DD-WRT bültenleri seviyorum! (Bir süredir alıştığımız müşterilerle bağlantı kurmak ... ... statik kiralamalardaki ana bilgisayar adlarının yalnızca alfabetik karakterler içermesi gerektiğini öğrenene kadar. Arrgh!)

— Tobias Plutat

1

Gerçek probleminiz gibi görünüyor, DNS A kaydının iki görünümüne ihtiyacınız var. Harici olarak dinamik dns, 80 nolu bağlantı noktasını yerel ana bilgisayara yönlendiren ağ ortak IP’nize işaret eder. Tüm yapmanız gereken, dnsmasq içindeki bir girişin, aynı tam nitelikli alan adını yerel host ipiniz için yerel host ipine işaret eden bir A kaydı eklemektir. Bunu, Hizmetler sayfasına / Ek dnsmasq seçeneklerine aşağıdakileri ekleyerek yapabilirsiniz:

 address=/www.mydomain.com./xx.xx.xx.xx

xx'leri yerel ip ve etki alanı adınızla etki alanı adınızla değiştirin. Sondaki noktayı unutmayın, yoksa yerel alan adınızı buna ekler.

— systemconcierge
kaynak

Ben de öyle yaptım ve işe yarıyor! Fakat bunu belli limanlar için yapmak mümkün müdür? Bu, yalnızca bağlantı noktalarını tek bir bilgisayara iletiyorsanız çalışır. Bağlantı noktalarını birden fazla bilgisayara yönlendiriyorsanız, çalışmaz ...

— rinogo