Condorious

Я спросил мало ли есть простой путь. А такую штуку у меня и "железка побольше" не умела.

У меня тут новый вопрос образовался. Есть некоторое желание, чтобы роутер показывал чуть больше, для чего хочется в iptables прописать примерно это: iptables -t raw -N lawfilter iptables -t raw -A lawfilter -p tcp --sport 80 -m string --hex-string 'Location: http://фиг.вам.ru/' --algo bm --from 50 --to 200 -j DROP iptables -t raw -I PREROUTING -j lawfilter или, например, вот это: iptables -t mangle -I PREROUTING -p tcp --sport 80 -m u32 --u32 "всякие шестнадцатиричные циферки" -j DROP iptables -t mangle -I PREROUTING -p tcp --sport 443 -m connbytes --connbytes 1:4 --connbytes-mode packets --connbytes-dir reply -m u32 --u32 "ещё немного циферок" -j DROP Но не знаю как добавить таблицу raw, и с PREROUTING отлуп. Можно ли как-то это реализовать на MT7620?

Тему с пробросом портов действительно можно закрывать, проблема решена, роутер работает так как от него требуется. Но мне до сих пор не ясно, как достаточно не свежее китайское оборудование на русской прошивке работает гораздо быстрее, чем современное железо от уважаемых брендов. Ну и практически все альтернативные прошивки тестировались. Раньше на зюкселе если качаешь торренты, даже сайты еле открывались, балансировка нагрузки канала работала очень плохо, сейчас на SNR тореннты качаются быстрее, и при этом ещё ролики на трубе в HD вообще не тормозят. Магия какая-то.

В моём случае в совтовом и комплексном режиме проброс портов не отрабатывает. Пробовал несколько раз. В хардварном режиме NAT offload mode проброс портов заработал. Использую Nat Loopback, без него у меня так же порты не пробрасываются. После нескольких дней теста роутера с Wiwe-NG-MT прошивкой, убедился что SNR роутер с ней работает быстрее, чем более дорогие роутеры с родными прошивками, LEDE и DD-WRT.

Ещё экспериментальным путём установил, что если включаешь режим NAT offload mode, то проброс портов перестаёт работать. Моло ли у кого ещё проблемы с пробросом возникнут.

О_0 Заработало. 0_О После того, как пробился по SSH, перенаправление 80 порта тоже заработало. Очень странно, несколько раз перезагружал же роутер, у него мозги наместо должны были раньше встать, после обновления прошивки. Сейчас всё работает, спасибо огромное за помощь! Визуально, роутер работает чуть быстрее, чем зюксель первая гига.

Спасибо за отклик! Снаружи по http всё открывается, проблема доступа к локальному серверу по внешним адресам только из этой же локальной сети. Залил 7.0.13, не помогло. Изменения настроек NAT offload mode не на что не влияют. [Wive-NG-MT@/]# iptables -L -v -n -t nat Chain PREROUTING (policy ACCEPT 27 packets, 2331 bytes) pkts bytes target prot opt in out source destination 27 2331 port_forward_pre all -- * * 0.0.0.0/0 0.0.0.0/0 12 1107 MINIUPNPD all -- eth2.2 * !224.0.0.0/4 0.0.0.0/0 12 1107 MINIUPNPD all -- eth2.2 * 0.0.0.0/0 0.0.0.0/0 Chain INPUT (policy ACCEPT 13 packets, 1067 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 3 packets, 161 bytes) pkts bytes target prot opt in out source destination Chain POSTROUTING (policy ACCEPT 3 packets, 161 bytes) pkts bytes target prot opt in out source destination 5 318 port_forward_post all -- * * 0.0.0.0/0 0.0.0.0/0 2 157 SNAT all -- * eth2.2 192.168.0.0/24 0.0.0.0/0 to:92.54.73.68 0 0 MINIUPNPD-POSTROUTING all -- * eth2.2 0.0.0.0/0 !224.0.0.0/4 1 52 MINIUPNPD-POSTROUTING all -- * eth2.2 0.0.0.0/0 0.0.0.0/0 Chain MINIUPNPD (2 references) pkts bytes target prot opt in out source destination Chain MINIUPNPD-POSTROUTING (2 references) pkts bytes target prot opt in out source destination Chain port_forward_post (1 references) pkts bytes target prot opt in out source destination 0 0 MASQUERADE tcp -- * * 192.168.0.0/24 192.168.0.10 tcp dpt:22 0 0 MASQUERADE tcp -- * * 192.168.0.0/24 192.168.0.10 tcp dpt:80 Chain port_forward_pre (1 references) pkts bytes target prot opt in out source destination 0 0 DNAT tcp -- br0 * 0.0.0.0/0 92.54.73.68 tcp dpt:37 to:192.168.0.10:22 0 0 DNAT tcp -- eth2.2 * 0.0.0.0/0 !192.168.0.0/24 tcp dpt:37 to:192.168.0.10:22 0 0 DNAT tcp -- br0 * 0.0.0.0/0 92.54.73.68 tcp dpt:80 to:192.168.0.10:80 0 0 DNAT tcp -- eth2.2 * 0.0.0.0/0 !192.168.0.0/24 tcp dpt:80 to:192.168.0.10:80 Что это означает я не понял. Так же сделал проброс для SSH с 37 внешнего порта на 22 порт локального сервера, при попытке законнектиться по внешнему IP адресу и 37 порту, проброс корректно отрабатывает и пускает меня по SSH на локальный сервер (до обновления прошивки не пускало). Проблема с пробросом именно по 80 порту http.

Провайдер не чудит, проброс портов на ZYXEL Keenetic Giga работает с полпинка. Тут проблема в роутере точно. Попробую в НАГ написать.

По внутреннему адресу заходит, правило написано через WPN, не помогает :0(( Вот ну чего тут можно неправильно настроить?

Там сюда послали, там тоже отписался, что не помогло. Здесь было ближе к теме, но тоже не помогло. На доступе авторизатор Кабинета, морду роутера перевесил на 90 порт, переписал правило с петлёй, пытаюсь что WAN TCP 80 192.168.0.10 80, что VPN TCP 80 192.168.0.10 80 писать, всё равно "The connection has timed out".

Спасибо, настройка Nat loopback сохранилась, но внутренний сервер по прежнему не доступен по внешнему адресу.

Я сделал как вы предложили WAN TCP&UDP 80 192.168.0.10 80 х server , настройка Nat loopback сохранилась, но из локальной сети по внешнему адресу внутренний сервер так и не доступен.

Случайно попался мне SNR-CPE-W4N (rev.M), железка не новая, но достаточно интересная. Обновился до последней версии 7.0.11.RU.06022018, работает всё достаточно стабильно. Но при пробросе портов обнаружилась невозможность посещения своих внутренних ресурсах по внешним адресам. У меня проброс настроен так: WAN TCP&UDP 80 192.168.0.10 80. Если я захожу через Browsec, то всё работает. Конечно, я могу заходить на внутрение сервера по локальным адресам, но мне нужна возможность видеть как всё работает из вне. Можно ли как-то допилить проброс портов, чтобы он работал правильно?