[Thread ufficiale] amod - firmware modificato per DGND4000, DGN3500, DGN2200V3/V4

[Polva]

Quote:

Originariamente inviato da alfonsor

scusa la questione che ti pongo in questo momento, non avendo nessuna possibilità di fare prove sul 2200, ma mi è capitata una stessa situazione mesi fa ...

l'utente inseriva nella pagina di wakeonlan l'indirizzo ip dello host che voleva accendere e non l'indirizzo pubblico della wan ..................

No, ho sempre inserito l'indirizzo pubblico (che trall'altro anche il sito rileva e mostra accanto all'apposito campo), addirittura per sicurezza evitando di inserire il dyndns che ho (sai mai se talvolta non lo aggiornasse).

[plive]

Quote:

Originariamente inviato da alfonsor

sul 2200V3 con amod

per semplificare, ti consiglio di includere nella macro in cui dai i comandi il file
/etc/amod/func
ovvero fare un

. /etc/amod/func

ed utilizzare la funzione
AMODHandleLANService

# Authorize and forward port for a service running on a host in LAN
# Usage: AMODHandleLANService {open|close} {udp|0|tcp|1|udp/tcp|tcp/udp|2} {ip} {port}

guarda in quel file se vuoi vedere cosa fa

ricorda che questa cosa va fatta ogni volta che il firewall viene rilanciato (soprattutto quando la wan va online e prende un nuovo indirizzo) e quindi va messa in firewall.user

Come avevo anticipato sono totalmente inesperto e non riesco a trovare nelle varie directory nè l'editor vi nè l'utility mc per editare il file firewall.rules.
Con il cat ho guardato dentro a func ma non ho capito come fare ad indicare quale porta esterna deve essere rediretta su una differente interna.
Grazie Alfonso e scusa la banalità delle mie domande

[Polva]

Mi ero scordato di specificare che le prove di "WOL on WAN" le sto facendo da un'altra connessione (3G del telefono) per evitare conflitti di porta.
Una cosa che ho notato è che se instrado ad es. la UDP 7 su un indirizzo IP che è bindato con il corrispettivo MAC address nelle tabelle di prenotazione, a prescindere dalla spunta apposita sul WOL che dicevo, il segnale dall'esterno viene instradato correttamente, ovviamente però solo su quel MAC address.
Avendo più computer mi sarebbe piaciuto far instradare il Magic Packet sull'indirizzo di broadcast (che dovrebbe infatti fare la spunta apposita). Come ho visto anche in passato con altri FW originali e non, il port forwarding implementato nei router home della Netgear (a differenza della linea Prosafe e anche di altre marche) non permette l'instradamento sul broadcast ma solo su indirizzi utilizzati, per questo ero molto interessato all'opzione che hai inserito, Alfonso.

[alfonsor]

di nuovo, siccome non posso provare, visto che mi dici che provi con la connessione del telefonino, lo ip pubblico che ti appare riportato su quella pagina e che usi per svegliare i computer non è quello della wan del router, ma del telefonino; scusa se insisto

[alfonsor]

Quote:

Originariamente inviato da plive

Come avevo anticipato sono totalmente inesperto e non riesco a trovare nelle varie directory nè l'editor vi nè l'utility mc per editare il file firewall.rules.
Con il cat ho guardato dentro a func ma non ho capito come fare ad indicare quale porta esterna deve essere rediretta su una differente interna.
Grazie Alfonso e scusa la banalità delle mie domande

mc non c'è su amod

a memoria, perché non posso provare come sopra, per indirizzare la porta tcp 21 sulla 90 di 192.168.0.11, essendo WANIP l'indirizzo della WAP:

Codice:

iptables -t nat -A AMOD_NAT_LAN -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.0.11:90
iptables -A AMOD_FILTER_LAN -d 192.168.0.11/32 -p tcp -m tcp --dport 90 -j ACCEPT
cpm_cmd add pf:1:tcp:192.168.0.11:90-90:WANIP:21-21

[Polva]

Quote:

Originariamente inviato da alfonsor

di nuovo, siccome non posso provare, visto che mi dici che provi con la connessione del telefonino, lo ip pubblico che ti appare riportato su quella pagina e che usi per svegliare i computer non è quello della wan del router, ma del telefonino; scusa se insisto

Scusa tu! Hai ragione, ho fatto un po' di confusione.
Mi sono corretto ed ho utilizzato il dyndns (che risolve correttamente, quindi dall'esterno sono sicuro di "rientrarmi" in casa via UDP 7).
Il pacchetto arriva ed accende il computer, ma soltanto se instrado la porta su un indirizzo IP con associato il suo MAC address. Ho fatto anche un tentativo con WakeOnLanMonitor su due PC per vedere se effettivamente broadcastava (come credo dovrebbe) il magic. Risultato: il pacchetto viene sentito soltanto attraverso l'instradamento su indirizzo reale, impostato nella sezione "port". Se utilizzo l'opzione "Use the magic WOL broadcast method" impostandola su UDP 7 e 192.168.0.255 non arriva niente.
Era questo che intendevo dire, perdonami!

[alfonsor]

non c'entra un granché la prenotazione degli indirizzo con il pacchetto; siamo su pacchetti arp e non ci sono indirizzi internet ma solo indirizzi mac

tra qualche giorno vedo di provare e vediamo se c'è qualche problema ma non ricordo che molti mesi fa ci fosse e non è mai stato cambiato nulla

[alfonsor]

Quote:

Originariamente inviato da Polva

Se utilizzo l'opzione "Use the magic WOL broadcast method" impostandola su UDP 7 e 192.168.0.255 non arriva niente.

per curiosità, prova 192.168.0.254

[alfonsor]

però non fate così eh

ho chiamato un amico con amod ed il 2200 mi ha dato il suo indirizzo ip, il mac di un serverino in sala e quello si è acceso dopo 2 secondi; il programma WakeOnLanMonitor non ha rilevato un bel niente di niente;

insomma provare le cose (in questo caso spegnendo il computer da accendere)

ps nessuna prenotazione indirizzo via mac

[plive]

Quote:

Originariamente inviato da alfonsor

mc non c'è su amod

a memoria, perché non posso provare come sopra, per indirizzare la porta tcp 21 sulla 90 di 192.168.0.11, essendo WANIP l'indirizzo della WAP:

Codice:

iptables -t nat -A AMOD_NAT_LAN -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.0.11:90
iptables -A AMOD_FILTER_LAN -d 192.168.0.11/32 -p tcp -m tcp --dport 90 -j ACCEPT
cpm_cmd add pf:1:tcp:192.168.0.11:90-90:WANIP:21-21

Ho fatto la prova sostituendo i miei indirizzi IP (esterno e interno)e mettendo le porte che vorrei nattare ma non ha funzionato.
Quindi devo comunque usare direttamente iptables?

[alfonsor]

"non ha funzionato" vuol dire? cioé realmente non ha funzionato, hai lanciato un server web su una macchina sulla porta 80, hai reindirizzato la 10000 sulla 80 di quella macchina ed hai provato dall'esterno a connetterti?

[plive]

Ho un pc a cui mi collego in l'rdp ma visti i continui tentativi di fare login voglio spostare la porta dalla default 3389 alla 3388 quindi ho usato

Codice:

iptables -t nat -A AMOD_NAT_LAN -p tcp -m tcp --dport 3388 -j DNAT --to-destination 192.168.30.3:3389
iptables -A AMOD_FILTER_LAN -d 192.168.30.3/32 -p tcp -m tcp --dport 3389 -j ACCEPT
cpm_cmd add pf:1:tcp:192.168.30.3:3389-3389:MIO_IP_PUBBLICO:3388-3388
iptables -t nat -A AMOD_NAT_LAN -p udp -m udp --dport 3388 -j DNAT --to-destination 192.168.30.3:3389
iptables -A AMOD_FILTER_LAN -d 192.168.30.3/32 -p udp -m udp --dport 3389 -j ACCEPT
cpm_cmd add pf:1:udp:192.168.30.3:3389-3389:MIO_IP_PUBBLICO:3388-3388

mettendo ovviamente il mio ip pubblico al posto di MIO_IP_PUBBLICO e ho tentato di collegarmi da fuori alla porta 3388 anzichè alla 3389.

[alfonsor]

apro un apache in ascolto sullo host 192.168.0.2 porta 80

inserisco

Codice:

iptables -t nat -A AMOD_NAT_LAN -p tcp -m tcp --dport 90 -j DNAT --to-destination 192.168.0.2:80

iptables -A AMOD_FILTER_LAN -d 192.168.0.2/32 -p tcp -m tcp --dport 80 -j ACCEPT

cpm_cmd add pf:1:tcp:192.168.0.2:80-80:95.244.XXX.YYY:90-90

mi connetto dal telefonino a 95.244.XXX.YYY:90 e mi si apre apache su 192.168.0.2

altro non so dirti... ma sei su amod?

PS
ricontrolla un pò le due porte nei comandi che hai postato perché mi sembrano scambiate...

[plive]

Le porte per l'rdp sono le 3389: http://en.wikipedia.org/wiki/Remote_Desktop_Protocol
I comandi li ho confrontati con i tuoi:

Codice:

iptables -t nat -A AMOD_NAT_LAN -p tcp -m tcp --dport 13388 -j DNAT --to-destination 192.168.30.3:3389
iptables -t nat -A AMOD_NAT_LAN -p tcp -m tcp --dport 90 -j DNAT --to-destination 192.168.0.2:80

iptables -A AMOD_FILTER_LAN -d 192.168.30.3/32 -p tcp -m tcp --dport 3389 -j ACCEPT
iptables -A AMOD_FILTER_LAN -d 192.168.0.2/32 -p tcp -m tcp --dport 80 -j ACCEPT

cpm_cmd add pf:1:tcp:192.168.30.3:3389-3389:MIO_IP_PUBBLICO:13388-13388
cpm_cmd add pf:1:tcp:192.168.0.2:80-80:95.244.XXX.YYY:90-90

dopo averli digitati devo dare qualche altro comando per attivarli (con amod 1.0.16 su DGN2200v3)?
Facendo iptables -S non trovo nessuna riga che corrisponda al comando:
iptables -t nat -A AMOD_NAT_LAN -p tcp -m tcp --dport 13388 -j DNAT --to-destination 192.168.30.3:3389

[random566]

avrei una domanda che potrebbe essere pertinente al'argomento dell'apertura delle porte.
l'eventuale utilizzo dell'interfaccia web del router per impostare il port forwarding sul 2200v3 o 3500 interferisce in qualche modo con i comandi iptables dati manualmente o messi nel file firewall.user?
lo chiedo perchè sto avendo qualche problema con alcuni comandi iptables messi nel file firewall user di un 3500, che si attivano subito dopo l'avvio del router, ma poi non vengono ripristinati a seguito di cambio indirizzo ip della lan.
mi è sembrato che il problema si risolva eliminando tutte le regole di port forwarding inserite dall'interfaccia web, ma non ne ho la certezza, magari è stato solo un caso.

[alfonsor]

Quote:

Originariamente inviato da plive

Le porte per l'rdp sono le 3389: http://en.wikipedia.org/wiki/Remote_Desktop_Protocol
I comandi li ho confrontati con i tuoi:

Codice:

iptables -t nat -A AMOD_NAT_LAN -p tcp -m tcp --dport 13388 -j DNAT --to-destination 192.168.30.3:3389
iptables -t nat -A AMOD_NAT_LAN -p tcp -m tcp --dport 90 -j DNAT --to-destination 192.168.0.2:80

iptables -A AMOD_FILTER_LAN -d 192.168.30.3/32 -p tcp -m tcp --dport 3389 -j ACCEPT
iptables -A AMOD_FILTER_LAN -d 192.168.0.2/32 -p tcp -m tcp --dport 80 -j ACCEPT

cpm_cmd add pf:1:tcp:192.168.30.3:3389-3389:MIO_IP_PUBBLICO:13388-13388
cpm_cmd add pf:1:tcp:192.168.0.2:80-80:95.244.XXX.YYY:90-90

dopo averli digitati devo dare qualche altro comando per attivarli (con amod 1.0.16 su DGN2200v3)?
Facendo iptables -S non trovo nessuna riga che corrisponda al comando:
iptables -t nat -A AMOD_NAT_LAN -p tcp -m tcp --dport 13388 -j DNAT --to-destination 192.168.30.3:3389

con esattamente quelle linee sopra mi sono appena connesso da android ad un windows 7

[alfonsor]

Quote:

Originariamente inviato da random566

avrei una domanda che potrebbe essere pertinente al'argomento dell'apertura delle porte.
l'eventuale utilizzo dell'interfaccia web del router per impostare il port forwarding sul 2200v3 o 3500 interferisce in qualche modo con i comandi iptables dati manualmente o messi nel file firewall.user?
lo chiedo perchè sto avendo qualche problema con alcuni comandi iptables messi nel file firewall user di un 3500, che si attivano subito dopo l'avvio del router, ma poi non vengono ripristinati a seguito di cambio indirizzo ip della lan.
mi è sembrato che il problema si risolva eliminando tutte le regole di port forwarding inserite dall'interfaccia web, ma non ne ho la certezza, magari è stato solo un caso.

non ci dovrebbe essere alcun nesso

non è che per caso hai disattivato l'opzione firewall user sulla pagina dei servizi amod?

firewall.user è chmod +x ?

se lo lanci a mano, funziona o ti dà qualche errore (a mano vuol dire scrivere
/www.eng/langs/firewall.user o come si chiama esattamente in telnet)

[Polva]

Quote:

Originariamente inviato da alfonsor

non c'entra un granché la prenotazione degli indirizzo con il pacchetto; siamo su pacchetti arp e non ci sono indirizzi internet ma solo indirizzi mac

tra qualche giorno vedo di provare e vediamo se c'è qualche problema ma non ricordo che molti mesi fa ci fosse e non è mai stato cambiato nulla

Il tuo discorso non fa una piega. A quanto ne sapevo io il pacchetto viene instradato a livello di ICMP, che è trasparente a IP e porte. Però pensavo che il router, una volta associato IP a MAC, creasse un collegamento in grado di indirizzare il pacchetto al MAC giusto in base all'associazione con l'IP.
Anche a me pare strano, ma quando mi è funzionato è stato forwardando 9 o 7 UDP sull'IP del computer da accendere, che a sua volta era associato nel router con il suo MAC corrispondente.
Ti ringrazio intanto per la pazienza. Cerco di indagare ulteriormente sperando di capire cosa fosse.
Una curiosità: a livello pratico, cosa fa quella spunta?

[Polva]

Quote:

Originariamente inviato da alfonsor

però non fate così eh

ho chiamato un amico con amod ed il 2200 mi ha dato il suo indirizzo ip, il mac di un serverino in sala e quello si è acceso dopo 2 secondi; il programma WakeOnLanMonitor non ha rilevato un bel niente di niente;

insomma provare le cose (in questo caso spegnendo il computer da accendere)

ps nessuna prenotazione indirizzo via mac

WakeOnLanMonitor l'ho usato soltanto per test iniziale, per farmi un'idea del transito dei pacchetti. Le prove "definitive" le facevo tutte a computer spento e da accendere.

Comunque, AGGIORNAMENTO:
ho fatto il tentativo di mettere .254 ed è partito. Non me la so spiegare, dato che in teoria sarebbe sempre un indirizzo da assegnare in DHCP. Il port-forwarding di 7 e 9 UDP era disattivato. Fatto questo, ho provato soltanto a rimettere .255 e, a differenza di tutti i tentativi scorsi, è ripartito anche in quel modo. Sono riuscito ad accendere via internet 2 PC. Ho notato anche che è indifferente (a quanto mi sembra di vedere) la porta che si seleziona sotto la spunta "Use the magic WOL broadcast method": ho appena acceso un computer inviando il pacchetto sulla 9 mentre era configurata la 7. Immagino sia proprio per il discorso di prima: il WOL non va in base alle porte, ma queste sono un "trucco" per aprire il canale anche all'ICMP (correggimi se dico sfondoni).
Comunque ora mi sembra funzioni, non mi so soltanto spiegare cosa lo inchiodasse prima... mi piacerebbe capirlo per non farlo risuccedere.
In ogni caso, grazie infinite!

[alfonsor]

Quote:

Originariamente inviato da Polva

Una curiosità: a livello pratico, cosa fa quella spunta?

arp -i group1 -s 192.168.0.254 FF:FF:FF:FF:FF:FF
AMODHandleLANService open udp 192.168.0.254 7

la seconda riga apre la porta, altrimenti il router non accetta i pacchetti sulla porta 7 e via
la prima riga crea un'associazione tra un ip ed un mac

lo ip non esiste quindi non creaiamo problemi agli host della lan, il mac address è quello di broadcast, quando arriva un pacchetto per quell'ip viene mandato su tutta la lan (group1)

il pacchetto contiene il wake on lan indirizzato ad un mac specifico, quando l'interfaccia con quel mac lo riceve, si appiccia