странно... машина к которой подключаемся рдп слушает порт?
rdp и ssh 100% работает.
хз, дайте адрес..

_________________
2540U/BRU/D, 2600U/BRU/C, ОГО+!

2 tundra37 - ну хорошо....но это же фильтр исходящих соединений ?! как он с входящими то связан ?! непонимаю....сейчас попробую добавить порты...

2 tundra37 - ты всё таки не прав, смотри у меня в Outgoing - есть правило:

VNC TCP 192.168.10.1-192.168.10.99 any any 5900

telnet xxx.xxx.190.171 5900
Connecting To xxx.xxx.190.171...Could not open connection to the host, on port 5900: Connect failed

2 Anri_K - 100% на машине к которой должен цепляться всё открыто брандмауэра нет !!!

а на самой машине соответствующие службы включены в момент подключения? т.к. просто "проброшеный порт" ничего не даст, его кто то должен "словить".

настройте рдп и дайте адрес.. можно в личку, имя и пароль некие тестовые

_________________
2540U/BRU/D, 2600U/BRU/C, ОГО+!

Блин не могу я дать адрес и пароль, машина доменный сервер, там всё работает ещё раз повторяю, мешает именно модем, БЕЗ НЕГО ВСЁ РАБОТАЕТ !!!

ну незнаю... за внутренний почтовый сервер ничего сказать немогу, но rdp и ssh точно работают как и многие другие порты.. всё норм пробрасывается... есть только некоторые логические неувязочки при пробросе к примеру 80... но это уже совсем другая история.
почему я вам советую дать мну тестовые имя и пароль, т.к. мне кажется что вы что то не так тестите..
хз, попробуйте сбросить модем к настройкам по умолчанию, и ненастраивая правил Security пробросьте порты в вирт.сервер

_________________
2540U/BRU/D, 2600U/BRU/C, ОГО+!

Как и просили выкладываю листинг фаервола с модема....

ifconfig -a

atm0 Link encap:UNSPEC HWaddr 71-60-00-00-00-60-00-41-00-00-00-00-00-00-00-00
[NO FLAGS] MTU:0 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:81156650 (77.3 MiB) TX bytes:116707680 (111.3 MiB)

br0 Link encap:Ethernet HWaddr 00:21:91:54:C0:C7
inet addr:192.168.10.100 Bcast:192.168.10.255 Mask:255.255.255.0
UP BROADCAST RUNNING ALLMULTI MULTICAST MTU:1500 Metric:1
RX packets:295168 errors:0 dropped:0 overruns:0 frame:0
TX packets:252586 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:112004100 (106.8 MiB) TX bytes:79045472 (75.3 MiB)

cpcs0 Link encap:UNSPEC HWaddr C4-10-FF-FF-FF-00-00-00-00-00-00-00-00-00-00-00
[NO FLAGS] MTU:65535 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:81156650 (77.3 MiB) TX bytes:116707680 (111.3 MiB)

dsl0 Link encap:UNSPEC HWaddr C4-10-00-00-00-00-00-00-00-00-00-00-00-00-00-00
[NO FLAGS] MTU:0 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

eth0 Link encap:Ethernet HWaddr 00:21:91:54:C0:C7
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:295170 errors:0 dropped:0 overruns:0 frame:0
TX packets:252587 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:117317254 (111.8 MiB) TX bytes:80590538 (76.8 MiB)
Interrupt:23 Base address:0x2800

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:1 errors:0 dropped:0 overruns:0 frame:0
TX packets:1 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:87 (87.0 B) TX bytes:87 (87.0 B)

nas_0_0_33 Link encap:Ethernet HWaddr 00:21:91:54:C0:C8
inet addr:xxx.xxx.190.171 Bcast:xxx.xxx.190.191 Mask:255.255.255.192
UP BROADCAST RUNNING ALLMULTI MULTICAST MTU:1500 Metric:1
RX packets:248444 errors:0 dropped:0 overruns:0 frame:0
TX packets:271306 errors:0 dropped:3 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:75193994 (71.7 MiB) TX bytes:116707680 (111.3 MiB)

> iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:telnet
ACCEPT icmp -- anywhere anywhere icmp echo-request
ACCEPT tcp -- anywhere anywhere tcp dpt:www
ACCEPT 2 -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
LOG tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN limit: avg 6/hour burst 5 LOG level alert prefix `Intrusion -> '
DROP all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere 239.255.255.254
ACCEPT all -- anywhere 239.255.255.250
ACCEPT tcp -- anywhere 192.168.10.1 tcp dpt:3389
ACCEPT tcp -- anywhere 192.168.10.1 tcp dpt:5900
ACCEPT tcp -- anywhere 192.168.10.1 tcp dpt:smtp
ACCEPT tcp -- anywhere 192.168.10.1 tcp dpt:110
ACCEPT all -- anywhere 224.0.0.0/3
ACCEPT icmp -- anywhere anywhere source IP range 192.168.10.1-192.168.10.99
ACCEPT tcp -- anywhere anywhere source IP range 192.168.10.1-192.168.10.99 tcp dpt:domain
ACCEPT udp -- anywhere anywhere source IP range 192.168.10.1-192.168.10.99 udp dpt:domain
ACCEPT tcp -- anywhere anywhere source IP range 192.168.10.1-192.168.10.99 tcp dpt:110
ACCEPT tcp -- anywhere anywhere source IP range 192.168.10.1-192.168.10.99 tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere source IP range 192.168.10.1-192.168.10.99 tcp dpt:5190
ACCEPT tcp -- anywhere anywhere source IP range 192.168.10.19-192.168.10.19 destination IP range 85.91.108.74-85.91.108.74 tcp dpt:9091
ACCEPT tcp -- anywhere anywhere source IP range 192.168.10.14-192.168.10.15 tcp dpt:www
ACCEPT tcp -- anywhere anywhere source IP range 192.168.10.27-192.168.10.31 tcp dpt:www
ACCEPT tcp -- anywhere anywhere source IP range 192.168.10.17-192.168.10.17 tcp dpt:www
ACCEPT tcp -- anywhere anywhere source IP range 192.168.10.20-192.168.10.20 tcp dpt:www
ACCEPT tcp -- anywhere anywhere source IP range 192.168.10.25-192.168.10.25 tcp dpt:www
ACCEPT tcp -- anywhere anywhere source IP range 192.168.10.1-192.168.10.1 tcp dpt:www
ACCEPT tcp -- anywhere anywhere source IP range 192.168.10.1-192.168.10.99 tcp dpt:https
ACCEPT tcp -- anywhere anywhere source IP range 192.168.10.1-192.168.10.99 tcp dpts:ftp-data:ftp
ACCEPT tcp -- anywhere anywhere source IP range 192.168.10.1-192.168.10.99 tcp dpt:5900
DROP all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
LOG tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN limit: avg 6/hour burst 5 LOG level alert prefix `Intrusion -> '
DROP all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

> iptables -t nat -L -nv
Chain PREROUTING (policy ACCEPT 98608 packets, 6336K bytes)
pkts bytes target prot opt in out source destination
30 3102 ACCEPT all -- * * 0.0.0.0/0 224.0.0.0/3
34 2510 DNAT udp -- br0 * 0.0.0.0/0 192.168.10.100 udp dpt:53 to:195.49.232.2
0 0 DNAT tcp -- nas_0_0_33 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:110 to:192.168.10.1
1166 59784 DNAT tcp -- nas_0_0_33 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 to:192.168.10.1
2 96 DNAT tcp -- nas_0_0_33 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5900 to:192.168.10.1
1 48 DNAT tcp -- nas_0_0_33 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3389 to:192.168.10.1

Chain POSTROUTING (policy ACCEPT 1226 packets, 63771 bytes)
pkts bytes target prot opt in out source destination
83810 5221K MASQUERADE all -- * nas_0_0_33 192.168.10.0/24 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Объясняю : при проверке идет запрос с порта ХХХХ на 5900 - он проходит, т.к. проброшено. Ответ идет на порт ХХХХ - вовне он для 192.168.10.1 закрыт. Т.к. ответ не получен - диагностика порт закрыт.
При работе вовне NAT контролирует это дело и пропускает, а вот в другом направлении это не работает. Похоже ляпа программистская.
А может так и задумано.

возможно ошибаюсь, но у мну в фильтре исходящем не прописаны порты, которые проброшены в вирт.сервере на внутренние ресурсы..
т.е. вообще в фильтрации и вирт.сервер нет прямой связи портов.. по крайней мере при настройке по хттп
вечером уточню

_________________
2540U/BRU/D, 2600U/BRU/C, ОГО+!

Все верно.


Разрешены пакеты с any на 192.168.10.1:5900 и с 192.168.10.1-192.168.10.99 на any:5900. Пакеты с 192.168.10.1:5900 блокируются.
Выполните "iptables -I FORWARD 1 -m state --state ESTABLISHED,RELATED -j ACCEPT". Это разрешит проходить пакетам уже установленных соединений.
Я вижу, вы уже писали нечто подобное, но оно добавилось в конец списка и идет следом за правилом, уничтожающим все пакеты

Доброго вечера.

И у меня похожая ситуация.
Всего-то одна машина с WinXP (без брандмауэра) - 192.168.1.2
и 2540U (BCM96338) - 192.168.1.1
"наружу" - все нормально, как и у Dr.Shooter'a, и "внутрь" - точно так же закрыто.

Для чистоты эксперимента в свежезалитодефолтносброшенном и настроенном создаю ЕДИНСТВЕННОЕ правило в VirtualServers: port port TCP/UDP port port 192.168.1.2
Запускаю Гипертерминал в режиме ТСР, для надежности ставлю сниффер. Порты снаружи недоступны. Пробовал разные.

История борьбы. Чтение мануала, FAQов, ресеты, restore default и настройки "с нуля", с ребутами. Смены прошивок. Прописывание обоих IP в явном виде, с отключением DHCP.

Разумеется, у провайдера - ОК, IP доступен снаружи. При открытии Access Control - Services - WAN - Enable, роутер доступен через Веб-интерфейс и пингуется, а Телнетом - нет.

Вопрос: эта штука вообще у кого-нибудь работает в части Chain FORWARD?

Я написал естественно понимая, что пишу "чушь". Но просто единственно различие было в том, что правила Outgoing ставились на "разрешения". Теперь вспоминая еще одну тему про порядок исполнения правил, "получаем" решение. Похоже что важно в каком порядке все задается.
Т.е. есть два варианта :
1) Сначала задаем Outgoing, а потом пробрасывем порты.
2) Сначала пробрасываем порты, а потом задаем Outgoing.
Смотрим где заработает или проверяем порядок правил.
А вот в Asus похоже правила упорядочиваются автоматом и там все работает правильно. А может просто повезло.

2 Radrik - я поробую прописать как Вы указали, похоже вы правы таки, к сожалению в линухе не силён, поэтому с IP tables не очень понятно...

Мне вот интересно, господа из D-Linkа вообще тестируют свои продукты ?! Или то что индусы напишут, сразу в прошивку - не тестируя....Насколько я понимаю - криво отрабатывает скрипт который с веб-интерфейса в таблицу заносит данные для фаервола !!!

P. S. У меня этот модем на аутсорсинге стоит, а вот на основном месте работы генеральный, цисок накупил для связи представитьльств (их 40 штук), паралельно с этим модемом настраивал PPTP VPN для их связи через циски с центральным офисом сервер и клиентов. Так вот на конфигурирование цисок с 0 ушло 4 - дня под мою задачу, были конечно и проблемы. А С ЭТИМ МОДЕМОМ Я МУЧАЮСЬ 2 недели, теперь становиться понятно почему Cisco стоит 1500$ !!!!