转发端口在网络外部关闭/过滤,在网络内部打开

tag-icon tag-icon iptables vpn openvpn port-forwarding
转发端口在网络外部关闭/过滤,在网络内部打开

我正在尝试将 VPN 端口转发到开放互联网以创建远程办公网络。当我在办公室网络内时,我的 VPN 可以正常连接,但是 VPN 在办公室网络外无法正常连接。我有一台使用 AT&T(光纤)ISP 的 Fresh Tomato (2022.6) 路由器,它支持端口转发到开放互联网。

举个例子,我想将 HTTPS 协议而不是 VPN 协议转发到开放互联网。这是我在网络中检查端口时得到的结果。

> nmap -Pn -p443-443 homenet****.duckdns.org
Starting Nmap 7.93 ( https://nmap.org ) at 2022-11-25 21:14 CST
Nmap scan report for homenet****.duckdns.org (87.8.12.16)
Host is up (0.0022s latency).
rDNS record for 87.8.12.16: wan1-ip.lan

PORT    STATE SERVICE
443/tcp open  https

但是,当我离开网络(例如附近的蜂窝塔)时。然后执行端口扫描,我得到以下结果。

> nmap -Pn -p443-444 homenet****.duckdns.org
Starting Nmap 7.93 ( https://nmap.org ) at 2022-11-25 21:09 CST
Nmap scan report for homenet****.duckdns.org (87.8.12.16)
Host is up.
Other addresses for homenet****.duckdns.org (not scanned): 2607:7700:0:4:0:2:2523:3333
rDNS record for 87.8.12.16: 87-8-12-16.lightspeed.rcsntx.sbcglobal.net

PORT    STATE    SERVICE
443/tcp filtered https
444/tcp filtered snpp
>

我的 Fresh Tomato Linux 防火墙(使用 iptables)给出以下结果。

> iptables -S
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-N shlimit
-N triggers
-N wanin
-N wanout
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j shlimit
-A INPUT -i lo -j ACCEPT
-A INPUT -i br0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -m state --state NEW,RELATED,ESTABLISHED -m limit --limit 3/sec -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 30 -m state --state NEW,RELATED,ESTABLISHED -m limit --limit 3/sec -j ACCEPT
-A INPUT -p udp -m udp --dport 33434:33534 -m limit --limit 3/sec -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i vlan2 -p esp -j ACCEPT
-A FORWARD -i vlan2 -p ah -j ACCEPT
-A FORWARD -i vlan2 -p udp -m udp --dport 500 -j ACCEPT
-A FORWARD -i vlan2 -p udp -m udp --dport 4500 -j ACCEPT
-A FORWARD -i vlan2 -j wanin
-A FORWARD -o vlan2 -j wanout
-A FORWARD -i br0 -j ACCEPT
-A shlimit -m recent --set --name shlimit --mask 255.255.255.255 --rsource
-A shlimit -m recent --update --seconds 60 --hitcount 4 --name shlimit --mask 255.255.255.255 --rsource -j DROP
-A triggers -p tcp -m tcp --dport 17000:18000 -j TRIGGER --trigger-type out --trigger-proto tcp --trigger-match 17000-18000 --trigger-relate 17000-18000
-A triggers -p udp -m udp --dport 17000:18000 -j TRIGGER --trigger-type out --trigger-proto udp --trigger-match 17000-18000 --trigger-relate 17000-18000
-A wanin -j TRIGGER --trigger-type in --trigger-proto --trigger-match 0-0 --trigger-relate 0-0
-A wanin -d 192.168.1.118/32 -p tcp -m tcp --dport 443 -j ACCEPT
-A wanin -d 192.168.1.118/32 -p udp -m udp --dport 443 -j ACCEPT
-A wanout -j triggers

IP 地址是正确的,因为当我在网络上输入主机名时,服务器会返回登录网页。但是,它在网络外失败了。我不确定问题是什么?可能是 AT&T ISP 或 BGW320 路由器的问题吗?另外,我不确定为什么端口 8080 在网络外和网络内都可以访问?

设置:AT&T ISP >-ONT AUTH-> BGW320 路由器/网关 >-IP 直通-> R7000 Fresh Tomato 路由器 > OpenVPN 和 HTTPS Web 门户服务器

BGW320 路由器已重置。BGW320 路由器上的防火墙和 WiFi 已禁用。

https://forums.att.com/conversations/att-fiber-equipment/forwarded-port-is-closed-filtered-outside-the-network-and-open-inside-the-network/63827e3ec46ec145737c0e1a

相关内容