Доступ к вебадмину и ping со стороны WAN.



  • Прочитал FAQ и форум английский, там сказано, что надо создать правило в файрволе. Из внешнего мира на ван на 80й порт.
    Создал не помогло.

    В итоге радикально сделал разрешающее правило для WAN:

    Proto  Source  Port  Destination  Port  Gateway  Schedule  Description

              • all_on

    Пинги не появились, доступа к админке тоже, в арпах мак появился.

    Вопрос: сразу после установки пинги заблочены со стороны wan?

    Как разрешить пинги? Как правильно разрешить администрирование со стороны WAN ?

    Спасибо.



  • Проблему решил - неверно указал маску при прописывании static IP на wan.



  • не стрёмно из внешнего мира прямо по 80-му порту заходить?
    лично я подключаюсь через OpenVPN, а там уже гуляю по внутренней сети, в том числе и по веб-интерфейсу pfSense



  • @volag:

    не стрёмно из внешнего мира прямо по 80-му порту заходить?
    лично я подключаюсь через OpenVPN, а там уже гуляю по внутренней сети, в том числе и по веб-интерфейсу pfSense

    хотите сказать что сломают? =)



  • @greek:

    Проблему решил - неверно указал маску при прописывании static IP на wan.

    а вот я так и не добился пинга на ВАН.. вообще не понимаю в чом дело, похоже он изначально всё-таки зарублен. :-
    на ИСЕ прямо в правилах есть разрешить\запретить пинг,тайм и пр.



  • Какие-то вы ужасти рассказывайте
    у меня правило

    ICMP * * * * *

    все работает, только что добавил
    ничего не перезагружал, аптайм у нее уже 171 days

    P.S. не забывайте писать вашу текущую версию



  • @zar0ku1:

    Какие-то вы ужасти рассказывайте
    у меня правило

    ICMP * * * * *

    все работает, только что добавил
    ничего не перезагружал, аптайм у нее уже 171 days

    P.S. не забывайте писать вашу текущую версию

    Ты забыл сказал, что $10 доплатил за эту фичу… счастливчик! ;)



  • какие 10$  ???
    сделал то же правило - и пинг заработал, туплю))
    Кстате, оффтоп: в рулзах, на ВАН интерфейсе стоит правило: TCP/UDP  *  22 (SSH)  *  22 (SSH)  *
    однако SSH не работает…  :-[



  • @tim2000:

    какие 10$  ???
    сделал то же правило - и пинг заработал, туплю))
    Кстате, оффтоп: в рулзах, на ВАН интерфейсе стоит правило: TCP/UDP  *  22 (SSH)  *  22 (SSH)  *
    однако SSH не работает…  :-[
    [/quote]

    про 10$ он пошутил =) ну вот видишь, и у тебя заработало

    Покажи скриншот правила и почему tcp/udp?



  • @tim2000:

    какие 10$  ???
    сделал то же правило - и пинг заработал, туплю))
    Кстате, оффтоп: в рулзах, на ВАН интерфейсе стоит правило: TCP/UDP  *  22 (SSH)  *  22 (SSH)  *
    однако SSH не работает…  :-[
    [/quote]
    А включить SSH не забыли?



  • со скрином заморачиваться не стал.. вот:

    Proto  Source  Port          Destination  Port          Gateway
    TCP    *          22 (SSH)    *              22 (SSH)    *

    поставил ТСП, но как то просто по привычке ставил ТСП\УДП
    ССХ включен, изнутри работает..



  • @tim2000:

    со скрином заморачиваться не стал.. вот:

    Proto   Source   Port          Destination   Port          Gateway
    TCP     *          22 (SSH)     *               22 (SSH)    *

    поставил ТСП, но как то просто по привычке ставил ТСП\УДП
    ССХ включен, изнутри работает..

    Надо зайти в NAT и добавить правило указывающее на lanip+port.
    Тогда и снаружи будет видно желаемое



  • Не осталвляйте машину с открытым  стандартным SSH портом.
    Оставил так машину в сети, потом глянул в логи - а там какая-то байда пароли подбирает.
    Теперь и админка и шелл висят совсем на других портах и открыты они только для IP из DMZ алиаса.



  • @deutsche:

    Не осталвляйте машину с открытым  стандартным SSH портом.
    Оставил так машину в сети, потом глянул в логи - а там какая-то байда пароли подбирает.
    Теперь и админка и шелл висят совсем на других портах и открыты они только для IP из DMZ алиаса.

    у меня логин - 20 знаков, пароль - 15 (разный регистр, спецсимволы, цифры)
    проще найти уязвимость в sshd чем подобрать эту пару



  • @zar0ku1:

    @deutsche:

    Не осталвляйте машину с открытым  стандартным SSH портом.
    Оставил так машину в сети, потом глянул в логи - а там какая-то байда пароли подбирает.
    Теперь и админка и шелл висят совсем на других портах и открыты они только для IP из DMZ алиаса.

    у меня логин - 20 знаков, пароль - 15 (разный регистр, спецсимволы, цифры)
    проще найти уязвимость в sshd чем подобрать эту пару

    Отлично, теперь можно меряться длинной паранои.



  • @deutsche:

    Отлично, теперь можно меряться длинной паранои.

    Оставил так машину в сети, потом глянул в логи - а там какая-то байда пароли подбирает.

    а вы логи http серверов посмотрите какой байды там только нету подбирающей пароли, давайте сменим 80 порт на 9080 :))
    а 25 порт на 2525
    а за фтп на 21 порту - вообще казнить



  • У меня не публичный ссш сервер.


Log in to reply