Всем привет!
В общем на работе урезали скорость интернета, а также поставили запрет на скачивание exe, rar, что собственно подвигло меня на решение этой проблемы.
Решение было на виду поставить админу пиво, но к сожалению локальный админ ничего не решает у него самого такой же интернет, это прокси сервер через открытий порт 443.
Дабы никому не платить за виртуальный сервер, то решил всё делать на домашнем роутере, итого имеем: 1) Роутер TP-Link TL-WR1043N/ND v1; 2) Прошивка роутера OpenWrt Attitude Adjustment 12.09 / LuCI 0.11.1 Release (0.11.1); 3) Интернет от Yota (свисток воткнут в USB роутера); 4) Так как внешний IP динамический то, установил и настроил пакет Dynamic DNS (сервис NoIP), работает успешно; 5) Установил прокси сервер «privoxy», который успешно работает по локальной сети.
Требуется: 1) Прокси сервер доступный с «внешки».
Проблема заключается в том, что никак не могу открыть и пробросить порт 443 с внешки на прокси сервер, пробовал по разному и через web интерфейс и через iptables, результат всегда один и тот же, порт закрыт и не проброшен.
Конфиги: /etc/config/firewall
config defaults
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'ACCEPT'
option syn_flood '1'
config zone
option name 'lan'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'ACCEPT'
option network 'lan'
config zone
option name 'wan'
option output 'ACCEPT'
option input 'ACCEPT'
option forward 'ACCEPT'
option network 'wan'
option masq '1'
option mtu_fix '1'
config rule
option name 'Allow-DHCP-Renew'
option src 'wan'
option proto 'udp'
option dest_port '68'
option target 'ACCEPT'
option family 'ipv4'
config rule
option name 'Allow-Ping'
option src 'wan'
option proto 'icmp'
option icmp_type 'echo-request'
option family 'ipv4'
option target 'ACCEPT'
config rule
option name 'Allow-DHCPv6'
option src 'wan'
option proto 'udp'
option src_ip 'fe80::/10'
option src_port '547'
option dest_ip 'fe80::/10'
option dest_port '546'
option family 'ipv6'
option target 'ACCEPT'
config rule
option name 'Allow-ICMPv6-Input'
option src 'wan'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
list icmp_type 'router-solicitation'
list icmp_type 'neighbour-solicitation'
list icmp_type 'router-advertisement'
list icmp_type 'neighbour-advertisement'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'
config rule
option name 'Allow-ICMPv6-Forward'
option src 'wan'
option dest '*'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
list icmp_type 'router-solicitation'
list icmp_type 'neighbour-solicitation'
list icmp_type 'router-advertisement'
list icmp_type 'neighbour-advertisement'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'
config include
option path '/etc/firewall.user'
config forwarding
option dest 'lan'
option src 'wan'
config forwarding
option dest 'wan'
option src 'lan'
config rule
option target 'ACCEPT'
option src 'lan'
option src_port '443'
option dest_port '443'
config rule
option target 'ACCEPT'
option src 'wan'
option proto 'tcp'
option dest_port '443'
option name 'HTTPS'
option dest '*'
config redirect
option target 'DNAT'
option src 'wan'
option dest 'lan'
option proto 'tcp'
option src_dport '443'
option dest_port '443'
option name 'HTTPS'
config rule
option target 'ACCEPT'
option src 'wan'
option src_port '80'
option dest_port '80'
option dest 'lan'
option dest_ip '192.168.1.1'
config rule
option target 'ACCEPT'
option src 'wan'
option proto 'tcp'
option dest_port '80'
option name 'HTTP'
/etc/firewall.user
iptables -A input_rule -i eth0.2 -p tcp --dport 443 -j ACCEPT
/etc/config/network
config interface 'loopback'
option ifname 'lo'
option proto 'static'
option ipaddr '127.0.0.1'
option netmask '255.0.0.0'
config interface 'lan'
option ifname 'eth0.1'
option type 'bridge'
option proto 'static'
option ipaddr '192.168.1.1'
option netmask '255.255.255.0'
config interface 'wan'
option type 'bridge'
option _orig_ifname 'eth0.2'
option _orig_bridge 'true'
option proto 'static'
option ipaddr '10.0.0.254'
option netmask '255.255.255.0'
option gateway '10.0.0.1'
option dns '8.8.8.8'
option ifname 'eth0.2 eth1'
config switch
option name 'rtl8366rb'
option reset '1'
option enable_vlan '1'
config switch_vlan
option device 'rtl8366rb'
option vlan '1'
option ports '1 2 3 4 5t'
config switch_vlan
option device 'rtl8366rb'
option vlan '2'
option ports '0 5t'
/etc/privoxy/config
confdir /etc/privoxy
logdir /var/log
filterfile default.filter
logfile privoxy
actionsfile match-all.action # Actions that are applied to all sites and maybe overruled later on.
actionsfile default.action # Main actions file
#actionsfile user.action # User customizations
listen-address 192.168.1.1:443
toggle 1
enable-remote-toggle 1
enable-remote-http-toggle 0
enable-edit-actions 1
enforce-blocks 0
buffer-limit 4096
forwarded-connect-retries 0
accept-intercepted-requests 0
allow-cgi-request-crunching 0
split-large-forms 0
keep-alive-timeout 300
socket-timeout 300
debug 1 # show each GET/POST/CONNECT request
debug 4096 # Startup banner and warnings
debug 8192 # Errors - *we highly recommended enabling this*
#admin-address privoxy-admin@example.com
#proxy-info-url http://www.example.com/proxy-service.html
