Доступ к вебадмину и ping со стороны WAN.

greek · Aug 16, 2009, 2:48 AM

Прочитал FAQ и форум английский, там сказано, что надо создать правило в файрволе. Из внешнего мира на ван на 80й порт.
Создал не помогло.

В итоге радикально сделал разрешающее правило для WAN:

Proto Source Port Destination Port Gateway Schedule Description

- - - - all_on

Пинги не появились, доступа к админке тоже, в арпах мак появился.

Вопрос: сразу после установки пинги заблочены со стороны wan?

Как разрешить пинги? Как правильно разрешить администрирование со стороны WAN ?

Спасибо.

greek · Aug 16, 2009, 3:22 AM

Проблему решил - неверно указал маску при прописывании static IP на wan.

volag · Aug 17, 2009, 7:28 AM

не стрёмно из внешнего мира прямо по 80-му порту заходить?
лично я подключаюсь через OpenVPN, а там уже гуляю по внутренней сети, в том числе и по веб-интерфейсу pfSense

zar0ku1 · Aug 17, 2009, 7:58 AM

@volag:

не стрёмно из внешнего мира прямо по 80-му порту заходить?
лично я подключаюсь через OpenVPN, а там уже гуляю по внутренней сети, в том числе и по веб-интерфейсу pfSense

хотите сказать что сломают? =)

Tim2000 · Aug 18, 2009, 7:43 AM

@greek:

Проблему решил - неверно указал маску при прописывании static IP на wan.

а вот я так и не добился пинга на ВАН.. вообще не понимаю в чом дело, похоже он изначально всё-таки зарублен. :-
на ИСЕ прямо в правилах есть разрешить\запретить пинг,тайм и пр.

zar0ku1 · Aug 18, 2009, 9:05 PM

Какие-то вы ужасти рассказывайте
у меня правило

ICMP * * * * *

все работает, только что добавил
ничего не перезагружал, аптайм у нее уже 171 days

P.S. не забывайте писать вашу текущую версию

Eugene · Aug 18, 2009, 11:31 PM

@zar0ku1:

Какие-то вы ужасти рассказывайте
у меня правило

ICMP * * * * *

все работает, только что добавил
ничего не перезагружал, аптайм у нее уже 171 days

P.S. не забывайте писать вашу текущую версию

Ты забыл сказал, что $10 доплатил за эту фичу… счастливчик! ;)

Tim2000 · Aug 19, 2009, 4:02 AM

какие 10$ ???
сделал то же правило - и пинг заработал, туплю))
Кстате, оффтоп: в рулзах, на ВАН интерфейсе стоит правило: TCP/UDP * 22 (SSH) * 22 (SSH) *
однако SSH не работает… :-[

zar0ku1 · Aug 19, 2009, 8:12 AM

@tim2000:

какие 10$ ???
сделал то же правило - и пинг заработал, туплю))
Кстате, оффтоп: в рулзах, на ВАН интерфейсе стоит правило: TCP/UDP * 22 (SSH) * 22 (SSH) *
однако SSH не работает… :-[
[/quote]

про 10$ он пошутил =) ну вот видишь, и у тебя заработало

Покажи скриншот правила и почему tcp/udp?

dvserg · Aug 19, 2009, 9:19 AM

@tim2000:

какие 10$ ???
сделал то же правило - и пинг заработал, туплю))
Кстате, оффтоп: в рулзах, на ВАН интерфейсе стоит правило: TCP/UDP * 22 (SSH) * 22 (SSH) *
однако SSH не работает… :-[
[/quote]
А включить SSH не забыли?

Tim2000 · Aug 19, 2009, 9:31 AM

со скрином заморачиваться не стал.. вот:

Proto Source Port Destination Port Gateway
TCP * 22 (SSH) * 22 (SSH) *

поставил ТСП, но как то просто по привычке ставил ТСП\УДП
ССХ включен, изнутри работает..

Olejka39 · Jan 14, 2010, 2:45 PM

@tim2000:

со скрином заморачиваться не стал.. вот:

Proto Source Port Destination Port Gateway
TCP * 22 (SSH) * 22 (SSH) *

поставил ТСП, но как то просто по привычке ставил ТСП\УДП
ССХ включен, изнутри работает..

Надо зайти в NAT и добавить правило указывающее на lanip+port.
Тогда и снаружи будет видно желаемое

deutsche · Jan 14, 2010, 5:44 PM

Не осталвляйте машину с открытым стандартным SSH портом.
Оставил так машину в сети, потом глянул в логи - а там какая-то байда пароли подбирает.
Теперь и админка и шелл висят совсем на других портах и открыты они только для IP из DMZ алиаса.

zar0ku1 · Jan 14, 2010, 11:03 PM

@deutsche:

Не осталвляйте машину с открытым стандартным SSH портом.
Оставил так машину в сети, потом глянул в логи - а там какая-то байда пароли подбирает.
Теперь и админка и шелл висят совсем на других портах и открыты они только для IP из DMZ алиаса.

у меня логин - 20 знаков, пароль - 15 (разный регистр, спецсимволы, цифры)
проще найти уязвимость в sshd чем подобрать эту пару

deutsche · Jan 14, 2010, 11:27 PM

@zar0ku1:

@deutsche:

Не осталвляйте машину с открытым стандартным SSH портом.
Оставил так машину в сети, потом глянул в логи - а там какая-то байда пароли подбирает.
Теперь и админка и шелл висят совсем на других портах и открыты они только для IP из DMZ алиаса.

у меня логин - 20 знаков, пароль - 15 (разный регистр, спецсимволы, цифры)
проще найти уязвимость в sshd чем подобрать эту пару

Отлично, теперь можно меряться длинной паранои.

zar0ku1 · Jan 15, 2010, 1:01 AM

@deutsche:

Отлично, теперь можно меряться длинной паранои.

Оставил так машину в сети, потом глянул в логи - а там какая-то байда пароли подбирает.

а вы логи http серверов посмотрите какой байды там только нету подбирающей пароли, давайте сменим 80 порт на 9080 :))
а 25 порт на 2525
а за фтп на 21 порту - вообще казнить

deutsche · Jan 15, 2010, 6:21 AM

У меня не публичный ссш сервер.