IPTables op Asus Router instellingen vraag (JFFS)

Goedemorgen!

Er is iets waar ik niet helemaal uit kom. Ik wil een IP-filter op poort 22 toegang tot mijn server - vanaf WAN. Ik heb hiertoe de volgende IPtables regels opgenomen in 'firewall-start' (Merlin firmware, JFFS werkt):



Een andere filterregel, werkt wel. Maar zodra ik het IP-filter activeer kan ik vanaf buitenaf niet meer bij poort 22.

Dit bijvoorbeeld doet wel wat het moet doen:


Nu we toch bezig zijn: stel dat ik met IPtables dit doe, moet ik dan in de GUI ook de forward nog aanzetten, of juist niet?

Enfin: Wie weet hoe iptables werkt in deze context en weet wat ik verkeerd doe? Thanks alvast voor de hulp!

donny007 schreef op vrijdag 15 december 2017 @ 13:22:
Wil je bereiken dat de SSH poort alleen vanaf één specifiek ip-adres is te benaderen?

De VSERVER chain is geen standaard onderdeel van iptables; het is een user-defined chain waar de GUI van de router zijn port forwards in aanmaakt.

Post anders je hele iptables config (alle chains).

Klopt, ik wil simpelweg een IP-filter op poort 22 aan de buitenzijde hebben. Iets wat in de Asus GUI niet kan.
Inmiddels heb ik overigens een stuk of 10 IP's die er door moeten. Nu werkt het (GUI) voor alle IP's.

Heb de huidige IPtables regel overigens op het forum gevonden, maar weet niet meer precies waar - het heeft alleen nog nooit gewerkt zeg maar.

IPtables posten heeft nu toch geen zin? poort 22 staat gewoon open voor de hele wereld?

@daxy het gaat niet zozeer om de portforward, maar om het beperken van toegang tot een portforward, op IP basis.

[ Voor 6% gewijzigd door NiGeLaToR op 15-12-2017 13:57 ]

daxy schreef op vrijdag 15 december 2017 @ 15:38:
Ahhh, my bad

Ik heb deze altijd gebruikt, werkte goed:

iptables -t nat -I VSERVER 1 -p tcp -m tcp -s 1.2.3.4/32 --dport 222 -j DNAT --to 192.168.2.11:22
iptables -t nat -I VSERVER 2 -p tcp -m tcp -s 2.3.4.0/24 --dport 222 -j DNAT --to 192.168.2.11:22

Deze in de /jffs/scripts/firewall-start, werkte altijd goed.
Enige verschil tussen mijn regel en de jouwe is dat --dport direct aan je IP zit, maar dat kan een fout in het wijzigen van je IP zijn. Ik kan me ook niet herinneren dat er andere regels nodig zijn.

Juist, dan moet ik het nog even goed checken

- heb je in de GUI poort 22 nog geforward staan, of alleen dit script actief?
- --dport is bij jou met opzet 222, maar als ik daar gewoon 22 gebruik zou dus geen probleem moeten zijn. Is de WAN kant dus.
- ik zie nog een verschil, jij doet in jouw script /32 of /24 gebruiken. Ik deed alleen losse IP's. Kan dat wel of moet het altijd een /xx zijn? Toevallig de regel die het bij mij wel doet is namelijk ook een /24

Thanks, denk dat ik er dichtbij ben zo.

@daxy ik moet je wat bekennen Hij doet het.. ik had een typefout gemaakt.. onwijs bedankt voor je hulp, het levert je in ieder geval mijn dank én een 'beste antwoord' op :-D