как с помощью iptables открыть порт для 192.168.1.0/24?

iptables -A FORWARD -p tcp -s 192.168.1.0/24 --dport 443 -j ACCEPT

Нет не срабатывает, ввожу через putty, на роутере эти порты открыты, а вот нас не хочет их открывать - там стоит iptables

Тогда рассказывай подробности, где ты чего собрался открывать. И какая текущая настройка.

Наверное потому что на роутере NAT, а то что ты пытаешься сделать это проброс порта из LAN в WAN, и работает он не для всей подсети, а для конкретного ip в LAN.

В роутерах такие вещи настраиваются через веб интерфейс, даже в открытых прошивках это настраивается так, и не нужно заморачиваться с iptables.

Тогда рассказывай подробности, где ты чего собрался открывать. И какая текущая настройка.

В сети есть нас (с ip 192.168.1.76) который открывает нужные порты только когда включить все разрешения, если включить доступ только для сети типо 192.168.1.0/24 - то порты блокируются.

Также есть роутер (с ip 192.168.1.1) на котором эти порты открыты, но полное открытие идет когда на насе разрешить все доступы.

Проверяю на 2ip.ru

Задача такая,что необходимо прокинуть сеть 192.168.1.0/24 во внешний мир по порту 443.

Задача такая,что необходимо прокинуть сеть 192.168.1.0/24 во внешний мир по порту 443.

Но эта строчка не имеет смысла, как понять покинуть сеть или подсеть по порту 443? Наверное тебе нужно так:

*:443 -> роутер (wan:хх.хх.хх.хх, lan:192.168.1.1) -> 192.168.1.76:443

Поможет ли тебе это или нет, но у меня на роутере так отображается проброшенный порт (после его настройки через WebUI) так:

iptables-save
-A zone_lan_postrouting -s 192.168.1.0/24 -d 192.168.1.4/32 -p tcp -m tcp --dport 8080 -m comment --comment "trnt (reflection)" -j SNAT --to-source 192.168.1.1
-A zone_lan_postrouting -s 192.168.1.0/24 -d 192.168.1.4/32 -p udp -m udp --dport 8080 -m comment --comment "trnt (reflection)" -j SNAT --to-source 192.168.1.1
-A zone_lan_prerouting -s 192.168.1.0/24 -d xx.xx.xx.xx/32 -p tcp -m tcp --dport 8080 -m comment --comment "trnt (reflection)" -j DNAT --to-destination 192.168.1.4:8080
-A zone_lan_prerouting -s 192.168.1.0/24 -d xx.xx.xx.xx/32 -p udp -m udp --dport 8080 -m comment --comment "trnt (reflection)" -j DNAT --to-destination 192.168.1.4:8080
-A zone_wan_prerouting -p tcp -m tcp --dport 8080 -m comment --comment trnt -j DNAT --to-destination 192.168.1.4:8080
-A zone_wan_prerouting -p udp -m udp --dport 8080 -m comment --comment trnt -j DNAT --to-destination 192.168.1.4:8080

iptables -nvL -t nat | grep 8080
    0     0 SNAT       tcp  --  *      *       192.168.1.0/24       192.168.1.4          tcp dpt:8080 /* trnt (reflection) */ to:192.168.1.1
    0     0 SNAT       udp  --  *      *       192.168.1.0/24       192.168.1.4          udp dpt:8080 /* trnt (reflection) */ to:192.168.1.1
    0     0 DNAT       tcp  --  *      *       192.168.1.0/24       xx.xx.xx.xx        tcp dpt:8080 /* trnt (reflection) */ to:192.168.1.4:8080
    0     0 DNAT       udp  --  *      *       192.168.1.0/24       xx.xx.xx.xx        udp dpt:8080 /* trnt (reflection) */ to:192.168.1.4:8080
  406 21308 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:8080 /* trnt */ to:192.168.1.4:8080
  598 56607 DNAT       udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:8080 /* trnt */ to:192.168.1.4:8080

Где xx.xx.xx.xx мой внешний ip. Но я сказал, что я эти правила не вбивал, это так работает проброс портов на OpenWRT.

То есть, твой NAS находится за роутером с NAT, и тебе надо 443 tcp пробросить с роутера на NAS? Показывай текущие настройки роутера и NAS.

PS: забудь по закрытые и открытые порты, это слишком большое упрощение, которое не говорит вообще ни о чём.

Вот настройки наса

https://d.radikal.ru/d09/1908/af/0a936ebf8792.png

и роутера

https://c.radikal.ru/c29/1908/87/a9096af06037.png

или нужно что выдает iptables -nvL -t nat?

А что конкретно сейчас не работает? Внешние клиенты не могут зайти на NAS?

нет внешних клиентов мне не надо, мне нужно чтобы его видели только из локальной сети по ddns и те кто подключается по vpn - 192.168.5.0

точнее чтобы обновлялся сертификат от letsencrypt по 443 порту и был доступ по порту 7443

Соберись с мыслями и напиши комментарий, где нормальным языком написано, что есть и что надо сделать. А не как ты это... э-э-э... по-особенному видишь и транслируешь поток мыслей на форум.

Я вообще нихрена не понял.

нужно чтобы на насе работал 443 порт во внешку для обновления сертификата от letsencrypt, а так же порт 7443 на подключение клиентов для загрузки по ipxe, но с определенных ip или же сетей как я написал. И если на нас предоставлять доступ только для определенных категорий, то эти порты не работают!

Для letsencrypt не нужен 443 порт. Изначально у тебя нет никакого сертификата, соответственно, и SSL не работает.

Я вот здесь не вижу, чтобы ты дал доступ для серверов letsencrypt.

в том то и дело что это там ни как не впишешь

Правильно. Когда у тебя роутер днатит запрос на нас, он адрес источника не меняет. Узнаёшь с каких адресов letsencrypt проверяет доступность сервера, добавляешь их ip в настройки наса и заодно ограничиваешь на роутере днат по этим же ip.

Или как сертификат обновлять собираешься, убирай ограничения на насе и включай безусловный днат 443 порта на адрес наса.

Если впишешь, например, 8.8.8.0/24 (8.8.8.0/255.255.255.0), нас ошибку выдаёт?

PS не хватает тега «хочется странного»

На всякий случай: летсэнкрипту, в зависимости от способа валидации, еще и 80 порт может понадобиться.

Копать потеть. Я всё понял. Не нужно вошкаться с NAS'ом. Подними веб-сервер (или задействуй, если есть, имеющийся), на нём временно подними виртуальный сайт с именем твоего NAS'а, сгенерируй на нём Let's Encrypt-сертификаты, придуши виртуальный сайт (возможно, вместе с веб-сервером, если он больше не нужен), сертификаты перетащи на NAS. Пользуйся.