Auteur Sujet: Redirection de ports et pare feu qui fonctionnent pas - TP-Link ER605 (Lu 275 fois)

Furiousnp · « **le:** **Hier** à 21:24:44 »

Bonjour, j'ai réussi à passer mon TP-Link ER605 sur OpenWRT mais j'ai un problème : aucun des ports ne sont redirigés en NAT pour IPv4 et aucun ne sont ouverts dans le pare feu pour IPv6 sa bloque pour le pare-feu et le NAT même si c'est affiché dans l'interface et que "Apply" ait bien été cliqué. Et sa se produit sur plusieurs types de ports (voire tous peut-être, j'ai pas tout testé) comme NTP, HTTP ou HTTPS.

Merci de votre aide et bonne journée / bonne soirée (je débute avec OpenWRT).

Voici la configuration (en fichier) :

Mjules · « **Réponse #1 le:** **Hier** à 21:43:18 »

de ce que je lis là, tu n'as qu'une règle personnalisée qui redirige le port 123 vers l'ip interne 10.0.0.225, tu as un serveur NTP sur cette machine ?

voilà un exemple de redirection du port 80 (Port Forward) vers une machine interne, pour de l'ipv4 :

Code: [Sélectionner]

config redirect
	option dest 'lan'
	option target 'DNAT'
	option name 'HTTP'
	option family 'ipv4'
	option src 'wan'
	option src_dport '80'
	option dest_ip '192.168.10.2'
	option dest_port '80'

Mjules · « **Réponse #2 le:** **Hier** à 21:56:24 »

Et là même chose en ipv6, ouverture du port 80 (Traffic Rules) vers les machines dont l'adresse se finit en 10:2 et 10:3 :

Code: [Sélectionner]

config rule
	option name 'http ipv6'
	option dest_port '80'
	option target 'ACCEPT'
	option src 'wan'
	option dest 'lan'
	option family 'ipv6'
	list dest_ip '::10:2/-64'
	list dest_ip '::10:3/-64'

Mjules · « **Réponse #3 le:** **Hier** à 21:57:59 »

D'après ton profil tu es chez orange, si tu n'as pas remplacé la livebox, est-ce que ton routeur est bien dans la DMZ (pour l'ipv4) ou est ce que tu as bien ouvert les ports/protocoles qui vont bien (pour l'ipv6) ?

Furiousnp · « **Réponse #4 le:** **Hier** à 22:12:57 »

Citation de: Mjules le Hier à 21:57:59

D'après ton profil tu es chez orange, si tu n'as pas remplacé la livebox, est-ce que ton routeur est bien dans la DMZ (pour l'ipv4) ou est ce que tu as bien ouvert les ports/protocoles qui vont bien (pour l'ipv6) ?

Bonjour, oui, la DMZ est bien là et sa fonctionnait bien sur le firmware TP-Link original.
Bonne soirée / bonne journée

Furiousnp · « **Réponse #5 le:** **Hier** à 22:25:26 »

Plus d'informations sur la configuration :

basilix · « **Réponse #6 le:** **Aujourd'hui** à 08:36:22 »

Citation de: Furiousnp le Hier à 21:24:44

Bonjour, j'ai réussi à passer mon TP-Link ER605 sur OpenWRT mais j'ai un problème : aucun port n'est redirigé en NAT pour IPv4 et aucun n'est ouvert dans le pare feu pour IPv6. Ça bloque pour le pare-feu et le NAT même si c'est affiché dans l'interface et en ayant validé avec "Apply". Et ça se produit sur plusieurs types de ports (voire tous peut-être, j'ai pas tout testé) comme NTP, HTTP ou HTTPS.

Merci de votre aide et bonne journée / bonne soirée (je débute avec OpenWRT).

Voici la configuration (en fichier) :

Il faut bien connaître sa configuration.

Code: [Sélectionner]

config forwarding
	option src 'wan'
	option dest 'lan'

~~Tu as ouvert tous les ports du pare-feu dans ton routeur.~~ On peut scanner tous les nœuds de l'Internet IPv4 pour déceler des ports ouverts en seulement quelques minutes.
Et à la recherche de n'importe quel port.

[08:58] En IPv4, il s'agit ~~d'une redirection~~. Je me suis sûrement emballé pour rien (mais à vérifier pour être sûr). J'ai confondu la redirection de ports (NAPT) avec l'ouverture de ports (pare-feu).

[10:15] J'ai traduis informellement forwarding comme une redirection alors que ce serait plutôt une retransmission.

Exemple

Définir une règle permet de définir plus précisément comment le trafic est retransmis. Tous les ports sont ouverts (section forwarding) mais les flux restent bloqués par le NAT (pas de section redirect).

Citer

If src and dest are given, the rule matches forwarded traffic/
dest zone name Specifies the traffic destination zone. Refers to one of the defined zone names, or * for any zone. If specified, the rule applies to forwarded traffic; otherwise, it is treated as input rule.

Citer

The rule section is used to define basic accept, drop, or reject rules to allow or restrict access to specific ports or hosts.

Code: [Sélectionner]
config rule option name 'Reject LAN to WAN for custom IP' option src 'lan' option src_ip '192.168.1.2' option src_mac '00:11:22:33:44:55' option src_port '80' option dest 'wan' option dest_ip '194.25.2.129' option dest_port '120' option proto 'tcp' option target 'REJECT'

Citer

Below example is based on a inter zone forward case (where zone forward is set to reject) where you have one firewall zone called lan with two interfaces. In one interface you have a server with IP address 172.30.100.1 and the other interface is the default lan interface with 192.168.1.0/24 IP range. This configuration case will allow IPv4 tcp traffic from all IP addresses in the default lan interface to specifically connect only to the server IP address and to the server port 22.

Code: [Sélectionner]
config rule option name 'forward ssh to server' option family 'ipv4' option src 'lan' option src_ip '192.168.1.0/24' option dest 'lan' option dest_ip '172.30.100.1' option proto 'tcp' option dest_port '22' option target 'ACCEPT'

La règle inter-zone s'applique au trafic entre des interfaces appartenant à la même zone. On redéfinit le paramètre FORWARD de la zone pour certaines IP.

Hyperlien : https://openwrt.org/docs/guide-user/firewall/fw3_configurations/fw3_ipv6_examples#opening_ipv6_ports_to_lan_clients

basilix · « **Réponse #7 le:** **Aujourd'hui** à 08:39:03 »

Il me semblerait qu'il faille allouer un bail statique.

Réf.:

https://openwrt.org/docs/guide-user/firewall/fw3_configurations/fw3_ipv6_examples#dynamic_prefix_forwarding
https://openwrt.org/docs/guide-user/base-system/dhcp_configuration#static_leases