Vraag

maandag 31 augustus 2020 22:16

Acties:
  • 0 Henk 'm!
  • Stien
  • Registratie: Oktober 2004
  • Laatst online: 21-05 15:39

Stien

Topicstarter
Ik heb recent een unifi security gateway aangeschaft en ben de afgelopen dagen alles aan het inrichten.
Ik wil graag een webserver (Nginx) draaien en heb hiervoor de poorten 80 en 443 doorverwezen naar de relevante ip.
In eerste instantie dacht ik dat alles goed werkte; wanneer ik de domeinnaam opende kreeg ik mooi de nginx default pagina. Echter bleek later dat dit alleen vanuit mijn LAN werkte, via mijn iphone op 4g kreeg een page not found.

Vanuit de USG heb ik vervolgens een terminal session geopend en met het volgende commando gekeken of er uberhaupt verkeer is op poort 443 en de port forward werkt. Dus ik start onderstaande commando en ga vervolgens vanuit mijn telefoon (4g verbonden) het domeinnaam proberen te bereiken.
code:
1

sudo tcpdump -n -i eth1 port 443 and host 192.168.1.20


Met het volgende resultaat:
code:
1
2
3
4
5

11:23:42.068210 IP 109.36.137.120.2240 > 192.168.1.20.443: Flags [S], seq 781765358, win 65535, options [mss 1300,nop,wscale 7,nop,nop,TS val 1118375058 ecr 0,sackOK,eol], length 0
11:23:43.018022 IP 109.36.137.120.2240 > 192.168.1.20.443: Flags [S], seq 781765358, win 65535, options [mss 1300,nop,wscale 7,nop,nop,TS val 1118376058 ecr 0,sackOK,eol], length 0
11:23:44.018100 IP 109.36.137.120.2240 > 192.168.1.20.443: Flags [S], seq 781765358, win 65535, options [mss 1300,nop,wscale 7,nop,nop,TS val 1118377063 ecr 0,sackOK,eol], length 0
11:23:45.019076 IP 109.36.137.120.2240 > 192.168.1.20.443: Flags [S], seq 781765358, win 65535, options [mss 1300,nop,wscale 7,nop,nop,TS val 1118378066 ecr 0,sackOK,eol], length 0
11:23:46.036223 IP 109.36.137.120.2240 > 192.168.1.20.443: Flags [S], seq 781765358, win 65535, options [mss 1300,nop,wscale 7,nop,nop,TS val 1118379071 ecr 0,sackOK,eol], length 0


Er komen dus wel pakketjes binnen op het juiste LAN ip, maar er vindt geen response plaats vanuit mijn webserver op de request.

Wat heb ik allemaal al geprobeerd:
#1 De "port forward trouble shooting guide" van ubiquiti zelf gevolgd:
Daarin stonden de onderstaande 4 voornaamste oorzaken

-The USG/UDM is located behind NAT and does not have a public IP address. => Niet het geval (ziggo)
-The UDM/USG is already forwarding the port to another device or has UPnP enabled.. => UPNP is niet ingeschakeld
-The traffic from the Internet clients is not reaching the WAN interface of the UDM/USG. . => Niet het geval
-The LAN host is not allowing the port through the local firewall or does not have the correct route configured. . => De dietpi installatie waarop de webserver draait, heeft geen firewall

#2 Alle beperkende firewall regels uitgeschakeld

Onderstaand de output van twee relevante commando's:
sudo iptables -nvL
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 449K  496M ALIEN      all  --  *      *       0.0.0.0/0            0.0.0.0/0           
 448K  497M TOR        all  --  *      *       0.0.0.0/0            0.0.0.0/0           
3227K 2479M UBNT_VPN_IPSEC_FW_HOOK  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
3227K 2479M VYATTA_FW_LOCAL_HOOK  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
2703K 2452M VYATTA_POST_FW_IN_HOOK  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
1933K  691M ALIEN      all  --  *      *       0.0.0.0/0            0.0.0.0/0           
1950K  696M TOR        all  --  *      *       0.0.0.0/0            0.0.0.0/0           
9354K 5580M IPS        all  --  *      *       0.0.0.0/0            0.0.0.0/0           
  42M   33G MINIUPNPD  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
  42M   33G UBNT_VPN_IPSEC_FW_IN_HOOK  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
  42M   33G UBNT_PFOR_FW_HOOK  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
  42M   33G VYATTA_FW_IN_HOOK  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
  42M   33G VYATTA_FW_OUT_HOOK  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
  42M   33G VYATTA_POST_FW_FWD_HOOK  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
1952K  837M VYATTA_POST_FW_OUT_HOOK  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain ALIEN (2 references)
 pkts bytes target     prot opt in     out     source               destination         
 3607  153K ALIENLOGNDROP  all  --  *      *       0.0.0.0/0            0.0.0.0/0            match-set ALIEN src

Chain ALIENLOGNDROP (1 references)
 pkts bytes target     prot opt in     out     source               destination         
 3607  153K DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain AUTHORIZED_GUESTS (0 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* AUTHORIZED_GUESTS-10000 default-action accept */

Chain GUEST_IN (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 RETURN     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            /* GUEST_IN-3001 */ tcp dpt:53
    0     0 RETURN     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            /* GUEST_IN-3001 */ udp dpt:53
    0     0 RETURN     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            /* GUEST_IN-3002 */ tcp dpt:443 match-set captive_portal_subnets dst
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* GUEST_IN-3003 */ match-set guest_pre_allow dst
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* GUEST_IN-3004 */ match-set guest_restricted dst
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* GUEST_IN-3005 */ match-set corporate_network dst
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* GUEST_IN-3006 */ match-set remote_user_vpn_network dst
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* GUEST_IN-3007 */ match-set authorized_guests dst
    0     0 RETURN     all  --  *      *       192.168.3.0/24       0.0.0.0/0            /* GUEST_IN-6001 */
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* GUEST_IN-10000 default-action accept */

Chain GUEST_LOCAL (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 RETURN     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            /* GUEST_LOCAL-3001 */ tcp dpt:53
    0     0 RETURN     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            /* GUEST_LOCAL-3001 */ udp dpt:53
    0     0 RETURN     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            /* GUEST_LOCAL-3002 */
    0     0 RETURN     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            /* GUEST_LOCAL-3003 */ udp spt:68 dpt:67
    0     0 RETURN     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            /* GUEST_LOCAL-3004 */ udp dpt:1812
    0     0 RETURN     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            /* GUEST_LOCAL-3005 */ udp dpt:1813
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* GUEST_LOCAL-10000 default-action drop */

Chain GUEST_OUT (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 RETURN     all  --  *      *       0.0.0.0/0            192.168.3.0/24       /* GUEST_OUT-6001 */
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* GUEST_OUT-10000 default-action accept */

Chain IPS (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 IPSLOGNDROP  all  --  *      *       0.0.0.0/0            0.0.0.0/0            match-set ips dst,dst,src
    0     0 IPSLOGNDROP  all  --  *      *       0.0.0.0/0            0.0.0.0/0            match-set ips src,src,dst

Chain IPSLOGNDROP (2 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            LOG flags 0 level 4 prefix "IPS BLOCK: "
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain LAN_IN (3 references)
 pkts bytes target     prot opt in     out     source               destination         
 3446  140K RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* LAN_IN-2000 */ state INVALID,NEW,RELATED,ESTABLISHED match-set 5f3b73c57bd7ed02db3b4ad1 src match-set 5f4125d77bd7ed02dfcd042b dst match-set 5f411f707bd7ed5aa1927695 dst
   55  6845 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* LAN_IN-2001 */ state RELATED,ESTABLISHED match-set 5f3b73c57bd7ed02db3b4ad1 src match-set 5f3b75267bd7ed02db3b4bf8 dst
  484  146K RETURN     all  --  *      *       192.168.4.0/24       0.0.0.0/0            /* LAN_IN-6001 */
 6036 2176K RETURN     all  --  *      *       192.168.1.0/24       0.0.0.0/0            /* LAN_IN-6002 */
    1    76 RETURN     all  --  *      *       192.168.5.0/24       0.0.0.0/0            /* LAN_IN-6003 */
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* LAN_IN-10000 default-action accept */

Chain LAN_LOCAL (3 references)
 pkts bytes target     prot opt in     out     source               destination         
 601K   40M RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* LAN_LOCAL-10000 default-action accept */

Chain LAN_OUT (3 references)
 pkts bytes target     prot opt in     out     source               destination         
   19  8915 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* LAN_OUT-2000 */ state INVALID,NEW,RELATED,ESTABLISHED match-set 5f44dc707bd7ed031b929adc src match-set 5f44dc8b7bd7ed031b929add src
16125 4450K RETURN     all  --  *      *       0.0.0.0/0            192.168.4.0/24       /* LAN_OUT-6001 */
 262K  140M RETURN     all  --  *      *       0.0.0.0/0            192.168.1.0/24       /* LAN_OUT-6002 */
94248   41M RETURN     all  --  *      *       0.0.0.0/0            192.168.5.0/24       /* LAN_OUT-6003 */
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* LAN_OUT-10000 default-action accept */

Chain MINIUPNPD (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain TOR (2 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 TORLOGNDROP  all  --  *      *       0.0.0.0/0            0.0.0.0/0            match-set TOR src

Chain TORLOGNDROP (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain UBNT_PFOR_FW_HOOK (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain UBNT_PFOR_FW_RULES (0 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain UBNT_VPN_IPSEC_FW_HOOK (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain UBNT_VPN_IPSEC_FW_IN_HOOK (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain VYATTA_FW_IN_HOOK (1 references)
 pkts bytes target     prot opt in     out     source               destination         
 721K  205M LAN_IN     all  --  eth1.3 *       0.0.0.0/0            0.0.0.0/0           
    0     0 GUEST_IN   all  --  eth1.2 *       0.0.0.0/0            0.0.0.0/0           
4237K  181M LAN_IN     all  --  eth1.4 *       0.0.0.0/0            0.0.0.0/0           
  15M 2883M LAN_IN     all  --  eth1   *       0.0.0.0/0            0.0.0.0/0           
  22M   29G WAN_IN     all  --  eth0   *       0.0.0.0/0            0.0.0.0/0           

Chain VYATTA_FW_LOCAL_HOOK (1 references)
 pkts bytes target     prot opt in     out     source               destination         
 8143  704K LAN_LOCAL  all  --  eth1.3 *       0.0.0.0/0            0.0.0.0/0           
    0     0 GUEST_LOCAL  all  --  eth1.2 *       0.0.0.0/0            0.0.0.0/0           
 434K   26M LAN_LOCAL  all  --  eth1.4 *       0.0.0.0/0            0.0.0.0/0           
 159K   13M LAN_LOCAL  all  --  eth1   *       0.0.0.0/0            0.0.0.0/0           
2608K 2436M WAN_LOCAL  all  --  eth0   *       0.0.0.0/0            0.0.0.0/0           

Chain VYATTA_FW_OUT_HOOK (1 references)
 pkts bytes target     prot opt in     out     source               destination         
 624K  178M LAN_OUT    all  --  *      eth1.3  0.0.0.0/0            0.0.0.0/0           
    0     0 GUEST_OUT  all  --  *      eth1.2  0.0.0.0/0            0.0.0.0/0           
3757K 1625M LAN_OUT    all  --  *      eth1.4  0.0.0.0/0            0.0.0.0/0           
  25M   29G LAN_OUT    all  --  *      eth1    0.0.0.0/0            0.0.0.0/0           
  12M 1457M WAN_OUT    all  --  *      eth0    0.0.0.0/0            0.0.0.0/0           

Chain VYATTA_POST_FW_FWD_HOOK (1 references)
 pkts bytes target     prot opt in     out     source               destination         
  42M   33G ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain VYATTA_POST_FW_IN_HOOK (1 references)
 pkts bytes target     prot opt in     out     source               destination         
2703K 2452M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain VYATTA_POST_FW_OUT_HOOK (1 references)
 pkts bytes target     prot opt in     out     source               destination         
1952K  837M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain WAN_IN (1 references)
 pkts bytes target     prot opt in     out     source               destination         
 656K  417M RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* WAN_IN-3001 */ state RELATED,ESTABLISHED
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* WAN_IN-3002 */ state INVALID
   18   832 RETURN     tcp  --  *      *       0.0.0.0/0            192.168.1.20         /* WAN_IN-3003 */ tcp dpt:80
    0     0 RETURN     udp  --  *      *       0.0.0.0/0            192.168.1.20         /* WAN_IN-3003 */ udp dpt:80
   49  2968 RETURN     tcp  --  *      *       0.0.0.0/0            192.168.1.20         /* WAN_IN-3004 */ tcp dpt:443
    0     0 RETURN     udp  --  *      *       0.0.0.0/0            192.168.1.20         /* WAN_IN-3004 */ udp dpt:443
    0     0 RETURN     tcp  --  *      *       0.0.0.0/0            192.168.1.20         /* WAN_IN-3005 */ tcp dpt:8920
    0     0 RETURN     udp  --  *      *       0.0.0.0/0            192.168.1.20         /* WAN_IN-3005 */ udp dpt:8920
    1    40 RETURN     tcp  --  *      *       0.0.0.0/0            192.168.1.120        /* WAN_IN-3006 */ multiport dports 1935,3074,3478:3480
    0     0 RETURN     udp  --  *      *       0.0.0.0/0            192.168.1.120        /* WAN_IN-3006 */ multiport dports 1935,3074,3478:3480
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* WAN_IN-10000 default-action drop */

Chain WAN_LOCAL (1 references)
 pkts bytes target     prot opt in     out     source               destination         
 730K  971M RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* WAN_LOCAL-3001 */ state RELATED,ESTABLISHED
  565 23312 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* WAN_LOCAL-3002 */ state INVALID
    1    92 RETURN     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            /* WAN_LOCAL-3003 */ udp dpt:500
    0     0 RETURN     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            /* WAN_LOCAL-3004 */ udp dpt:4500
    0     0 RETURN     esp  --  *      *       0.0.0.0/0            0.0.0.0/0            /* WAN_LOCAL-3005 */
    0     0 RETURN     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            /* WAN_LOCAL-3006 */ udp dpt:1701 policy match dir in pol ipsec
 522K   26M DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* WAN_LOCAL-10000 default-action drop */

Chain WAN_OUT (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* WAN_OUT-2000 */ state INVALID,NEW,RELATED,ESTABLISHED match-set 5f44dc707bd7ed031b929adc src match-set 5f44dc8b7bd7ed031b929add src
  12M 1435M RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* WAN_OUT-10000 default-action accept */


sudo iptables -t nat -nvL
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99

Chain PREROUTING (policy ACCEPT 752K packets, 55M bytes)
 pkts bytes target     prot opt in     out     source               destination         
1053K   77M MINIUPNPD  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
1053K   77M UBNT_PFOR_DNAT_HOOK  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
1052K   77M VYATTA_PRE_DNAT_HOOK  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain INPUT (policy ACCEPT 32290 packets, 2427K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 119K packets, 8048K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 126K packets, 8425K bytes)
 pkts bytes target     prot opt in     out     source               destination         
 252K   20M UBNT_VPN_IPSEC_SNAT_HOOK  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
 252K   20M MINIUPNPD-POSTROUTING  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
 252K   20M UBNT_PFOR_SNAT_HOOK  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
73148 8424K MASQUERADE  all  --  *      eth0    0.0.0.0/0            0.0.0.0/0            match-set corporate_network src /* NAT-6001 */
 1488 96108 MASQUERADE  all  --  *      eth0    0.0.0.0/0            0.0.0.0/0            match-set remote_user_vpn_network src /* NAT-6002 */
    0     0 MASQUERADE  all  --  *      eth0    0.0.0.0/0            0.0.0.0/0            match-set guest_network src /* NAT-6003 */
 177K   12M VYATTA_PRE_SNAT_HOOK  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain MINIUPNPD (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain MINIUPNPD-POSTROUTING (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain UBNT_PFOR_DNAT_HOOK (1 references)
 pkts bytes target     prot opt in     out     source               destination         
 409K   21M UBNT_PFOR_DNAT_RULES  all  --  eth0   *       0.0.0.0/0            0.0.0.0/0            match-set ADDRv4_eth0 dst
    0     0 UBNT_PFOR_DNAT_RULES  all  --  eth1.3 *       0.0.0.0/0            0.0.0.0/0            match-set ADDRv4_eth0 dst
    0     0 UBNT_PFOR_DNAT_RULES  all  --  eth1.4 *       0.0.0.0/0            0.0.0.0/0            match-set ADDRv4_eth0 dst
  206 24136 UBNT_PFOR_DNAT_RULES  all  --  eth1   *       0.0.0.0/0            0.0.0.0/0            match-set ADDRv4_eth0 dst
    0     0 UBNT_PFOR_DNAT_RULES  all  --  eth1.2 *       0.0.0.0/0            0.0.0.0/0            match-set ADDRv4_eth0 dst

Chain UBNT_PFOR_DNAT_RULES (5 references)
 pkts bytes target     prot opt in     out     source               destination         
  146  6724 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 to:192.168.1.20
    2    99 DNAT       udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:80 to:192.168.1.20
  127  6592 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443 to:192.168.1.20
    5  2667 DNAT       udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:443 to:192.168.1.20
    8   416 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:8920 to:192.168.1.20
    0     0 DNAT       udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:8920 to:192.168.1.20
    5   240 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp multiport dports 1935,3074,3478:3480 to:192.168.1.120
    1    56 DNAT       udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp multiport dports 1935,3074,3478:3480 to:192.168.1.120

Chain UBNT_PFOR_SNAT_HOOK (1 references)
 pkts bytes target     prot opt in     out     source               destination         
 6285  462K UBNT_PFOR_SNAT_RULES  all  --  *      eth1.3  0.0.0.0/0            0.0.0.0/0           
  301 29136 UBNT_PFOR_SNAT_RULES  all  --  *      eth1.4  0.0.0.0/0            0.0.0.0/0           
 6720  412K UBNT_PFOR_SNAT_RULES  all  --  *      eth1    0.0.0.0/0            0.0.0.0/0           
  294 28800 UBNT_PFOR_SNAT_RULES  all  --  *      eth1.2  0.0.0.0/0            0.0.0.0/0           

Chain UBNT_PFOR_SNAT_RULES (4 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 MASQUERADE  tcp  --  *      eth1.3  0.0.0.0/0            192.168.1.20         match-set NETv4_eth1.3 src tcp dpt:80
    0     0 MASQUERADE  udp  --  *      eth1.3  0.0.0.0/0            192.168.1.20         match-set NETv4_eth1.3 src udp dpt:80
    0     0 MASQUERADE  tcp  --  *      eth1.3  0.0.0.0/0            192.168.1.20         match-set NETv4_eth1.3 src tcp dpt:443
    0     0 MASQUERADE  udp  --  *      eth1.3  0.0.0.0/0            192.168.1.20         match-set NETv4_eth1.3 src udp dpt:443
    0     0 MASQUERADE  tcp  --  *      eth1.3  0.0.0.0/0            192.168.1.20         match-set NETv4_eth1.3 src tcp dpt:8920
    0     0 MASQUERADE  udp  --  *      eth1.3  0.0.0.0/0            192.168.1.20         match-set NETv4_eth1.3 src udp dpt:8920
    0     0 MASQUERADE  tcp  --  *      eth1.3  0.0.0.0/0            192.168.1.120        match-set NETv4_eth1.3 src tcp multiport dports 1935,3074,3478:3480
    0     0 MASQUERADE  udp  --  *      eth1.3  0.0.0.0/0            192.168.1.120        match-set NETv4_eth1.3 src udp multiport dports 1935,3074,3478:3480
    0     0 MASQUERADE  tcp  --  *      eth1.4  0.0.0.0/0            192.168.1.20         match-set NETv4_eth1.4 src tcp dpt:80
    0     0 MASQUERADE  udp  --  *      eth1.4  0.0.0.0/0            192.168.1.20         match-set NETv4_eth1.4 src udp dpt:80
    0     0 MASQUERADE  tcp  --  *      eth1.4  0.0.0.0/0            192.168.1.20         match-set NETv4_eth1.4 src tcp dpt:443
    0     0 MASQUERADE  udp  --  *      eth1.4  0.0.0.0/0            192.168.1.20         match-set NETv4_eth1.4 src udp dpt:443
    0     0 MASQUERADE  tcp  --  *      eth1.4  0.0.0.0/0            192.168.1.20         match-set NETv4_eth1.4 src tcp dpt:8920
    0     0 MASQUERADE  udp  --  *      eth1.4  0.0.0.0/0            192.168.1.20         match-set NETv4_eth1.4 src udp dpt:8920
    0     0 MASQUERADE  tcp  --  *      eth1.4  0.0.0.0/0            192.168.1.120        match-set NETv4_eth1.4 src tcp multiport dports 1935,3074,3478:3480
    0     0 MASQUERADE  udp  --  *      eth1.4  0.0.0.0/0            192.168.1.120        match-set NETv4_eth1.4 src udp multiport dports 1935,3074,3478:3480
    1    60 MASQUERADE  tcp  --  *      eth1    0.0.0.0/0            192.168.1.20         match-set NETv4_eth1 src tcp dpt:80
    0     0 MASQUERADE  udp  --  *      eth1    0.0.0.0/0            192.168.1.20         match-set NETv4_eth1 src udp dpt:80
   22  1292 MASQUERADE  tcp  --  *      eth1    0.0.0.0/0            192.168.1.20         match-set NETv4_eth1 src tcp dpt:443
    0     0 MASQUERADE  udp  --  *      eth1    0.0.0.0/0            192.168.1.20         match-set NETv4_eth1 src udp dpt:443
    8   416 MASQUERADE  tcp  --  *      eth1    0.0.0.0/0            192.168.1.20         match-set NETv4_eth1 src tcp dpt:8920
    0     0 MASQUERADE  udp  --  *      eth1    0.0.0.0/0            192.168.1.20         match-set NETv4_eth1 src udp dpt:8920
    0     0 MASQUERADE  tcp  --  *      eth1    0.0.0.0/0            192.168.1.120        match-set NETv4_eth1 src tcp multiport dports 1935,3074,3478:3480
    0     0 MASQUERADE  udp  --  *      eth1    0.0.0.0/0            192.168.1.120        match-set NETv4_eth1 src udp multiport dports 1935,3074,3478:3480
    0     0 MASQUERADE  tcp  --  *      eth1.2  0.0.0.0/0            192.168.1.20         match-set NETv4_eth1.2 src tcp dpt:80
    0     0 MASQUERADE  udp  --  *      eth1.2  0.0.0.0/0            192.168.1.20         match-set NETv4_eth1.2 src udp dpt:80
    0     0 MASQUERADE  tcp  --  *      eth1.2  0.0.0.0/0            192.168.1.20         match-set NETv4_eth1.2 src tcp dpt:443
    0     0 MASQUERADE  udp  --  *      eth1.2  0.0.0.0/0            192.168.1.20         match-set NETv4_eth1.2 src udp dpt:443
    0     0 MASQUERADE  tcp  --  *      eth1.2  0.0.0.0/0            192.168.1.20         match-set NETv4_eth1.2 src tcp dpt:8920
    0     0 MASQUERADE  udp  --  *      eth1.2  0.0.0.0/0            192.168.1.20         match-set NETv4_eth1.2 src udp dpt:8920
    0     0 MASQUERADE  tcp  --  *      eth1.2  0.0.0.0/0            192.168.1.120        match-set NETv4_eth1.2 src tcp multiport dports 1935,3074,3478:3480
    0     0 MASQUERADE  udp  --  *      eth1.2  0.0.0.0/0            192.168.1.120        match-set NETv4_eth1.2 src udp multiport dports 1935,3074,3478:3480

Chain UBNT_VPN_IPSEC_SNAT_HOOK (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain VYATTA_PRE_DNAT_HOOK (1 references)
 pkts bytes target     prot opt in     out     source               destination         
1052K   77M RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain VYATTA_PRE_SNAT_HOOK (1 references)
 pkts bytes target     prot opt in     out     source               destination         
 177K   12M RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Alle reacties

dinsdag 1 september 2020 06:43

Acties:
  • 0 Henk 'm!
  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 20:03

HKLM_

Navigate to Settings > Routing & Firewall > Port Forwarding section to add a Port Forwarding rule.

Dit heb je gedaan neem ik aan?

Cloud ☁️

dinsdag 1 september 2020 07:13

Acties:
  • 0 Henk 'm!
  • Stien
  • Registratie: Oktober 2004
  • Laatst online: 21-05 15:39

Stien

Topicstarter
Jazeker, naar mijn idee zou het poort 443 verkeer dan ook niet bij het juiste ip (192.168.1.20) moeten uitkomen.

Bijgevoegd de screenshots van de firewall rules en portforward rules.
Bij de firewall rules zie je dat ik alle beperkende regels heb uitgeschakeld (geen vinkje).
Afbeeldingslocatie: https://tweakers.net/i/5yiN4WIZBuPvYmrOeyCT6r-MRKo=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/rqWdxf6eP8329USBRdzBQFDi.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/JD8htij6NIiJk5ZhAZrQVDcPQ0g=/800x/filters:strip_exif()/f/image/c0bhGLH15xfUOctXZ454pdfD.png?f=fotoalbum_large

Afbeeldingslocatie: https://tweakers.net/i/GBn-McbLaeHQ74fUoBcdIXWHdoE=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/7TUIXRAk6SXLxUBMzuiruIwF.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/3fdtv_HyOYTvS19-N7zJ5S4-MfQ=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/hrptPS84szAYmNo9aCgHHUDP.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/sjcdQhyLUyVYo1D_a3_siIbZhzY=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/eJUjn1d23fz0yHFUjqZQmLgV.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/w31uQAQAaa9BVoXP83xacySEp60=/800x/filters:strip_exif()/f/image/pdcRAZXdfjHg2kT6yU2iI3XM.png?f=fotoalbum_large

dinsdag 1 september 2020 19:18

Acties:
  • 0 Henk 'm!
  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 20:03

HKLM_

Is het niet gewoon je firewall op je webserver die de requesten niet doorlaat vanaf buiten? heb je dat ook onderzocht?

Cloud ☁️

dinsdag 1 september 2020 19:31

Acties:
  • 0 Henk 'm!
  • Stien
  • Registratie: Oktober 2004
  • Laatst online: 21-05 15:39

Stien

Topicstarter
Ik heb niet zoveel ervaring met linux firewalls. Naar mijn weten draait enkel iptables op de webserver met de volgende output. Naar mijn weten staat er dat er geen beperkende regels opgevoerd zijn.
code:
1
2
3
4
5
6
7
8
9

root@DietPi:~# iptables --list
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination


Mogelijk ook relevant is dat ik 4 verschillende vlans draai. Moet ik hier misschien nog aanvullend toestaan?
Ik lees namelijk ook onderstaande opmerking in de troubleshooting guide van ubuiqiti:
If you only see traffic in one direction, for example 198.51.100.1.1611 > 192.168.1.10.443 repeatedly, then the internal LAN host is not able to respond to the traffic. There are two likely causes as to why this is occurring:

The firewall on the internal LAN host is blocking the traffic
The internal LAN host does not know how to reach the IP address of the Internet client. This will happen if the default gateway is not set correctly.

Verify the firewall and routing settings on the internal LAN host to resolve this issue.

[ Voor 34% gewijzigd door Stien op 01-09-2020 19:35 ]

woensdag 2 september 2020 10:02

Acties:
  • 0 Henk 'm!
  • Stien
  • Registratie: Oktober 2004
  • Laatst online: 21-05 15:39

Stien

Topicstarter
Ik heb nog even de gateway nagelopen.

De webserver draait binnen VLAN 1 op ip 192.168.1.20 met de gateway / subnet 192.168.1.1/24
Dit alles draait vervolgens weer op de USG (centrale gateway) op 192.168.0.1

Zou dat de issues kunnen veroorzaken?

woensdag 2 september 2020 10:07

Acties:
  • 0 Henk 'm!
  • tinusbalpol
  • Registratie: Januari 2004
  • Niet online

tinusbalpol

Heb je ook al geregeld dat jouw externe IP Adres is gekoppeld aan de domeinnaam in je DNS records?

woensdag 2 september 2020 10:08

Acties:
  • 0 Henk 'm!
  • The Lord
  • Registratie: November 1999
  • Laatst online: 23:00

The Lord

Stien schreef op maandag 31 augustus 2020 @ 22:16:
-The USG/UDM is located behind NAT and does not have a public IP address. => Niet het geval (ziggo)
Je modem staat echt in bridge en je USG krijgt een publiek adres?

geeft geen inhoudelijke reacties meer

woensdag 2 september 2020 17:17

Acties:
  • 0 Henk 'm!
  • Stien
  • Registratie: Oktober 2004
  • Laatst online: 21-05 15:39

Stien

Topicstarter
The Lord schreef op woensdag 2 september 2020 @ 10:08:
[...]

Je modem staat echt in bridge en je USG krijgt een publiek adres?
Ik heb jaren geleden de ziggo modem in bridge mode gezet.
Ik zie bij de preferences van de USG mijn eigen publieke ip onder WAN 1
Afbeeldingslocatie: https://tweakers.net/i/I5urvYxEVADaht5hL0bAoxbMADY=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/vnPLKbO6LG4emjqjPt4A9HYD.png?f=user_large

woensdag 2 september 2020 17:20

Acties:
  • 0 Henk 'm!
  • Stien
  • Registratie: Oktober 2004
  • Laatst online: 21-05 15:39

Stien

Topicstarter
tinusbalpol schreef op woensdag 2 september 2020 @ 10:07:
Heb je ook al geregeld dat jouw externe IP Adres is gekoppeld aan de domeinnaam in je DNS records?
Ik heb bij transip onderstaande DNS inrichting gedaan met de verwijzing naar mijn publieke ip adres

Afbeeldingslocatie: https://tweakers.net/i/yWIdBn-qsIMEDJ-56QYvhdglAEE=/800x/filters:strip_exif()/f/image/i1s6q2YXHhen2wK6V8Hk1E4c.png?f=fotoalbum_large

vrijdag 4 september 2020 08:24

Acties:
  • 0 Henk 'm!
  • Stien
  • Registratie: Oktober 2004
  • Laatst online: 21-05 15:39

Stien

Topicstarter
Ik ben inmiddels weer een stukje verder en heb kunnen constateren dat andere apparaten wel response geven bij een port forward (bijv domoticz).
Dus daarmee lijkt het toch een probleem te zijn bij de webserver zelf.

Zou het misschien te maken kunnen hebben met het feit dat ik een letsencrypt certificaat recentelijk heb aangemaakt en dat dit niet goed is gegaan?

vrijdag 4 september 2020 20:06

Acties:
  • 0 Henk 'm!
  • Stien
  • Registratie: Oktober 2004
  • Laatst online: 21-05 15:39

Stien

Topicstarter
Opgelost!

Ik was vergeten dat ik op de achtergrond een vpn client had draaien, waardoor de reply traffic dus door de vpn tunnel naar buiten ging en dus een totaal andere public ip mee kreeg. Dat gaat niet werken idd.
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq