Bekijk de volledige versie : Странное поведение файрвола
Недавно заметил, что фаер пропускает запросы к веб интерфейсу из вне несмотря на запрещённый доступ (опять же в веб интерфейсе)
Отчего сие может быть?
:mad:
Недавно заметил, что фаер пропускает запросы к веб интерфейсу из вне несмотря на запрещённый доступ (опять же в веб интерфейсе)
Отчего сие может быть?
:mad:Это может быть, потому что у Вас неподходящий роутер: рекомендую выбросить свою железку, и купить WL500gP (v1).
MrGalaxy
01-09-2008, 15:21
Модель роутера и его настройки - в студию!
(Чтоб остальным не наступить на эти грабли.)
проблема в том, что у меня и так 500gp!
Не знаю, наверное я где-то накосячил в настройках, но как вернуть защиту файра хотябы через iptables ?
:confused:
Вы привели такое количество подробностей, что просто нереально хоть что-то предложить...
содержимое iptables-save может разрешить ситуацию?
проблема в том, что у меня и так 500gp! О! У Вас, оказывается, роутером является 500gp.
Ну тогда следующий совет: заменить офицальную прошивку, на прошивку от Олега, десятку.
Да в том-то и дело, что уже давно перешито :rolleyes:
Можете помочь настроить фаер?
:)
KernelMadness
01-09-2008, 19:58
Ну так iptables-save покажи
Да в том-то и дело, что уже давно перешито :rolleyes:
О, и роутер у Вас такой, какой надо, и прошивка нужная.
Хорошо, теперь нужно настроить роутер с олеговской прошивкой так, как описано в этой теме: http://wl500g.info/showthread.php?t=3171
Можете помочь настроить фаер? :)Может и смогу помочь с настройкой, если ещё чего-нибудь узнаю о вашем роутере больше.
EugeenB естественно по этой темке настраивал -)
вот что говорит iptables-save
# Generated by iptables-save v1.2.7a on Sun Aug 31 08:22:46 2008
*nat
:PREROUTING ACCEPT [241183:17484266]
:POSTROUTING ACCEPT [49933:2610288]
:OUTPUT ACCEPT [12915:816096]
:VSERVER - [0:0]
-A PREROUTING -d <my inet addr> -j VSERVER
-A PREROUTING -d <my lan addr> -j VSERVER
-A POSTROUTING -s ! <my inet addr> -o ppp0 -j MASQUERADE
-A POSTROUTING -s ! <my lan addr> -o vlan1 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -d 192.168.1.0/255.255.255.0 -o br0 -j MASQUERADE
-A VSERVER -p tcp -m tcp --dport 8084 -j DNAT --to-destination 192.168.1.1:80
-A VSERVER -p tcp -m tcp --dport 42042 -j DNAT --to-destination 192.168.1.4:42042
-A VSERVER -p udp -m udp --dport 42042 -j DNAT --to-destination 192.168.1.4:42042
-A VSERVER -p tcp -m tcp --dport 42043 -j DNAT --to-destination 192.168.1.2:42043
-A VSERVER -p tcp -m tcp --dport 42041 -j DNAT --to-destination 192.168.1.19:42041
-A VSERVER -p tcp -m tcp --dport 42040 -j DNAT --to-destination 192.168.1.34:42041
-A VSERVER -p tcp -m tcp --dport 8089 -j DNAT --to-destination 192.168.1.19:8089
COMMIT
# Completed on Sun Aug 31 08:22:46 2008
# Generated by iptables-save v1.2.7a on Sun Aug 31 08:22:46 2008
*mangle
:PREROUTING ACCEPT [174561199:131763247576]
:INPUT ACCEPT [55515549:33377274746]
:FORWARD ACCEPT [118933815:98344509506]
:OUTPUT ACCEPT [67332441:69901896327]
:POSTROUTING ACCEPT [186254243:168245643566]
COMMIT
# Completed on Sun Aug 31 08:22:46 2008
# Generated by iptables-save v1.2.7a on Sun Aug 31 08:22:46 2008
*filter
:INPUT ACCEPT [55515549:33377274746]
:FORWARD ACCEPT [118933815:98344509506]
:OUTPUT ACCEPT [67319434:69900914924]
COMMIT
# Completed on Sun Aug 31 08:22:46 2008
те правила, что я знаю, выглядят нормально. А всякие :INPUT ACCEPT и прочее... я хз (
EugeenB естественно по этой темке настраивал -)
Ну вот видете, как много НАЧАЛЬНОЙ информации Вы нам уже сообщили. ;) Через недельку такой переписки, глядишь, уже можно будет приступить к диагностике. :)
А ещё нужно бы занть, как происходит подключение к и-нету, что говорят ifconfig -a и iptables -vnL (мне так будет привычнее, чем ...-save).
вот что говорит iptables-save
[...]
*mangle
:PREROUTING ACCEPT [174561199:131763247576]
:INPUT ACCEPT [55515549:33377274746]
:FORWARD ACCEPT [118933815:98344509506]
:OUTPUT ACCEPT [67332441:69901896327]
:POSTROUTING ACCEPT [186254243:168245643566]
COMMIT
# Completed on Sun Aug 31 08:22:46 2008
# Generated by iptables-save v1.2.7a on Sun Aug 31 08:22:46 2008
*filter
:INPUT ACCEPT [55515549:33377274746]
:FORWARD ACCEPT [118933815:98344509506]
:OUTPUT ACCEPT [67319434:69900914924]
COMMIT
# Completed on Sun Aug 31 08:22:46 2008
те правила, что я знаю, выглядят нормально. А всякие :INPUT ACCEPT и прочее... я хз (Судя по "INPUT ACCEPT" у Вас вообще ни какого файрвола не включено. Точнее могу сказать, посмотрев вывод iptables -vnL.
Нет конечного правила дропать все. Так что файерволл можно сказать выключен.
аатлично просто! Скажите правило как включить, пожалуйста :)
И странно, что на действия в вебе не реагирует ((
инет - pptp ( corbina msk) over dhcp
локалка на автоматическом дхцп, даже роуты по дхцп приходят сами :p
аатлично просто! Скажите правило как включить, пожалуйста :)
И странно, что на действия в вебе не реагирует ((
инет - pptp ( corbina msk) over dhcp
локалка на автоматическом дхцп, даже роуты по дхцп приходят сами :p
Типа вот этого должно быть в конце:
iptables -A INPUT -j DROP
А ещё нужно бы занть, как происходит подключение к и-нету, что говорят ifconfig -a и iptables -vnL (мне так будет привычнее, чем ...-save).
Да нивапрос, хотя там ничего интересного нету...
[admin@Router root]$ ifconfig -a
br0 Link encap:Ethernet HWaddr 00:18:F3:D1:46:3A
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::218:f3ff:fed1:463a/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:494082 errors:0 dropped:0 overruns:0 frame:0
TX packets:358703 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:312921835 (298.4 MiB) TX bytes:61362653 (58.5 MiB)
eth0 Link encap:Ethernet HWaddr 00:18:F3:D1:46:3A
inet6 addr: fe80::218:f3ff:fed1:463a/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:407956 errors:0 dropped:0 overruns:0 frame:0
TX packets:512638 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:80842619 (77.0 MiB) TX bytes:341072235 (325.2 MiB)
Interrupt:4 Base address:0x1000
eth1 Link encap:Ethernet HWaddr 00:18:F3:D1:46:3A
inet6 addr: fe80::218:f3ff:fed1:463a/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:494069 errors:0 dropped:0 overruns:0 frame:37608
TX packets:358709 errors:12 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:319837263 (305.0 MiB) TX bytes:67103049 (63.9 MiB)
Interrupt:12 Base address:0x2000
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MULTICAST MTU:16436 Metric:1
RX packets:3826 errors:0 dropped:0 overruns:0 frame:0
TX packets:3826 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:354383 (346.0 KiB) TX bytes:354383 (346.0 KiB)
ppp0 Link encap:Point-Point Protocol
inet addr:<inte ip> P-t-P:<vpn.corbina.net> Mask:255.255.255.255
UP POINTOPOINT RUNNING MULTICAST MTU:1400 Metric:1
RX packets:356414 errors:0 dropped:0 overruns:0 frame:0
TX packets:490962 errors:0 dropped:163 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:54411342 (51.8 MiB) TX bytes:312381971 (297.9 MiB)
sit0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
NOARP MTU:1480 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
vlan0 Link encap:Ethernet HWaddr 00:18:F3:D1:46:3A
inet6 addr: fe80::218:f3ff:fed1:463a/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:1129 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:223483 (218.2 KiB)
vlan1 Link encap:Ethernet HWaddr 00:18:F3:D1:46:3A
inet addr:<my lan ip> Bcast:<lan gateway> Mask:255.255.248.0
inet6 addr: fe80::218:f3ff:fed1:463a/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:407931 errors:0 dropped:0 overruns:0 frame:0
TX packets:511507 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:73498119 (70.0 MiB) TX bytes:340848604 (325.0 MiB)
[admin@Router root]$
ну а тут всё плохо (
[admin@Router root]$ iptables -vnL
Chain INPUT (policy ACCEPT 422K packets, 75M bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 975K packets, 436M bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 600K packets, 405M bytes)
pkts bytes target prot opt in out source destination
Типа вот этого должно быть в конце:
iptables -A INPUT -j DROP
Хм, а если я хочу по 22-му порту например, ssh доступ что-бы из вне был открыт, мне как написать? или надо доп правило создавать? :rolleyes:
Да нивапрос, хотя там ничего интересного нету...
[admin@Router root]$ ifconfig -a
[...]Тааак, ппп у Вас действительно нет. Хорошо.
ну а тут всё плохо (
[admin@Router root]$ iptables -vnL
Chain INPUT (policy ACCEPT 422K packets, 75M bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 975K packets, 436M bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 600K packets, 405M bytes)
pkts bytes target prot opt in out source destination
Даже более чем плохо! Файрвол у Вас вообще не включён никакой. Смотрите что-нибудь вроде WAN2LAN фильтра в ВЕБинтерфейсе.
Типа вот этого должно быть в конце:
iptables -A INPUT -j DROPА вот это, при пустом фильтре INPUT - так просто вредный совет. Если это правило будет единственным в таблице, то тут Вы сразу потеряете всякую возможность управлять роутером: хоть через ВЕБ, хоть через телнет, хоть через SSH.
И странно, что на действия в вебе не реагирует ((
В Олеговской прошивке очень специфичный веб-интерфейс. Если не помогает сброс кеша - меняйте браузер на Оперу. С последними заплатками на IE6 я с этим столкнулся.
После этого включается все, и wi-fi в любой режим и фаервол и проброс портов.
Тааак, ппп у Вас действительно нет. Хорошо.
Даже более чем плохо! Файрвол у Вас вообще не включён никакой. Смотрите что-нибудь вроде WAN2LAN фильтра в ВЕБинтерфейсе.
Да не реагирует оно на действия в вебке (, хоть включай хоть выключай фаер
А вот это, при пустом фильтре INPUT - так просто вредный совет. Если это правило будет единственным в таблице, то тут Вы сразу потеряете всякую возможность управлять роутером: хоть через ВЕБ, хоть через телнет, хоть через SSH.
угу это я уже заметил :o, пришлось сбрасывать настройки
упд: так а как включить-то его? )
А вот это, при пустом фильтре INPUT - так просто вредный совет. Если это правило будет единственным в таблице, то тут Вы сразу потеряете всякую возможность управлять роутером: хоть через ВЕБ, хоть через телнет, хоть через SSH.
Ну так я же и написал: добавлять в конце, подразумевая, что сверху будут разрешающие правила :)
Простое указание данного правила сродни включения MAC фильтра без указания разрешенных компов.
эхх, вы можете сказать какие должны быть эти правила, если я хочу из вне ТОЛЬКО доступ по ssh по 22-му порту?
эхх, вы можете сказать какие должны быть эти правила, если я хочу из вне ТОЛЬКО доступ по ssh по 22-му порту?
Вот примерно такой post-firewall должен быть:
#! /bin/sh
## FIREWALL
## set default policy
iptables -P INPUT DROP
# remove last default rule
iptables -D INPUT -j DROP
# Для rtorrent, почты, веб серверов, etc:
for P in 25 110 443 8081 50550 51777 51778 51779 51780 65534; do
iptables -A INPUT -p tcp -m tcp -d 192.168.10.1 --dport $P -j ACCEPT
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport $P -j DNAT --to-destination 192.168.10.1:$P
done
# доступ по SSH:
iptables -A INPUT -p tcp -m tcp -d 192.168.10.1 --dport 22 -j ACCEPT
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 22 -j DNAT --to-destination 192.168.10.1:22
# Для rtorrent
for P in 6881; do
iptables -A INPUT -p udp -m udp -d 192.168.10.1 --dport $P -j ACCEPT
iptables -t nat -A PREROUTING -i ppp0 -p udp --dport $P -j DNAT --to-destination 192.168.10.1:$P
done
iptables -A INPUT -j DROP
Тогда уж примерно
iptables -A INPUT -p tcp -m tcp -d 192.168.1.1 --dport 22 -j ACCEPT
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 22 -j DNAT --to-destination 192.168.1.1:22
ssh же на роутере находится )
В целом конструкцию понял, за исключением -m tcp и -j DNAT
Тогда уж примерно
iptables -A INPUT -p tcp -m tcp -d 192.168.1.1 --dport 22 -j ACCEPT
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 22 -j DNAT --to-destination 192.168.1.1:22
ssh же на роутере находится )
В целом конструкцию понял, за исключением -m tcp и -j DNAT
iptables --help спасет отца русской демократии ;)
А адресация роутера у каждого своя, тут для примера была.
Ладно спасибо, rtfm проглотил :eek:
Даже и не знаю, стоит ли с работы пробовать удалённо эти комманды вводить, или потеряю роутер до вечера? :D
Да и ещё, эти правили применяются уже ПОСЛЕ того, как будут сгенерены правила на основании данных, введённых в веб-интерфейсе?
Ладно спасибо, rtfm проглотил :eek:
Даже и не знаю, стоит ли с работы пробовать удалённо эти комманды вводить, или потеряю роутер до вечера? :D
Да и ещё, эти правили применяются уже ПОСЛЕ того, как будут сгенерены правила на основании данных, введённых в веб-интерфейсе?
Если почитать тему с нуля и FAQ, то будет понятно, что файлики pre- и post- не зря так названы ;) post-firewall выполняется после выполнения правил, забитых в веб интерфейсе, соответственно можно настройки firewall в вебе не делать.
Если почитать тему с нуля и FAQ, то будет понятно, что файлики pre- и post- не зря так названы ;) post-firewall выполняется после выполнения правил, забитых в веб интерфейсе, соответственно можно настройки firewall в вебе не делать.
вообще-то и веб не делает flush, так что если переписывать с нуля не надо, можно и в post-boot. результат будет тот же (похоже веб добавляет все правила по номерам с #1)
Если почитать тему с нуля и FAQ, то будет понятно, что файлики pre- и post- не зря так названы ;) post-firewall выполняется после выполнения правил, забитых в веб интерфейсе, соответственно можно настройки firewall в вебе не делать.
АГа, и ещё если почитать эту тему, то станет ясно, что фаер должен включаться при установке соотв галочки в вебе , а у меня это не так. :D
А целом ясно, я так и предполагал...
АГа, и ещё если почитать эту тему, то станет ясно, что фаер должен включаться при установке соотв галочки в вебе , а у меня это не так. :D
А целом ясно, я так и предполагал...Поскольку у всех (и у меня в том числе) фаервол включается "нажатием галочи в ВЕБинтерфейсе", то предполагаю, что либо у Вас в роутере что-то поломалось (в программном смысле), либо Вы не полностью выполнили инструкции при перепрошивке и настройке роутера (например: не выполнили сброс в ФакториДефаулт).
Соответственно, можно будет ждать от роутера всяческих неприятных сюрпризов и в будующем. Поэтому, предлагаю Вам перепрошить роутер с самого начала, выполнив досконально рекомендации по его настройке "с нуля".
неправильно, эти правила блокируют всё нафиг, полностью, кроме того, что явно прописано.
А ведь логичным поведением является:
а) полная свобода внутри домашней локалки
б) если какой-то пакет идёт изнутри (т.е. попадает на br0) по ЛЮБОМУ порту хоть в инет (ppp0), хоть в локалку прова(vlan1), то он должен быть пропущен, а также обратных.
г) допуск входящих со стороны ppp0 или vlan1 по портам ssh (22) на сам роутер, rtorrent(10000) на сам роутер, utorrent 10000 на 192.168.1.2:10001 т.е на комп.
Ваши правила смогут обеспечить только а) и г) как ((
Как-то так.
Я в ступоре.
Или я чего-то не понимаю, или лыжи не едут.
Роутер RT-16N
прошивка RT-N16-1.9.2.7-rtn-r2895
[cocos@RT-16N root]$ robocfg show
Switch: enabled gigabit
Port 0: 100FD enabled stp: none vlan: 2 jumbo: off mac: 00:0f:e2:8e:c3:cf
Port 1: 100FD enabled stp: none vlan: 2 jumbo: off mac: 00:02:02:1c:d7:35
Port 2: DOWN enabled stp: none vlan: 1 jumbo: off mac: 00:06:dc:46:cc:87
Port 3: 1000FD enabled stp: none vlan: 1 jumbo: off mac: 00:16:17:9b:d8:67
Port 4: 1000FD enabled stp: none vlan: 1 jumbo: off mac: 90:e6:ba:3a:6b:44
Port 8: 1000FD enabled stp: none vlan: 1 jumbo: off mac: 20:cf:30:ce:af:99
VLANs: BCM53115 enabled mac_check mac_hash
1: vlan1: 2 3 4 8t
2: vlan2: 0 1 8t
vlan2 - провайдер (ip адрес из сети 10.160.101.0/24)
vlan1 - комп в локальной сети (ip адрес из сети 192.168.133.0/24)
На компьютере запускается закачка с сайта провайдера файла размером 100MB.
Закачка идет, но вот пакетов этой закачки ни в одной из таблиц iptables нет.
Например нет здесь после того как было закачено 50M bytes:
[cocos@RT-16N root]$ iptables -t mangle -L -nv
Chain PREROUTING (policy ACCEPT 1832 packets, 455K bytes)
pkts bytes target prot opt in out source destination
0 0 MARK udp -- * * 192.168.133.6 0.0.0.0/0 udp spts:16384:16482 MARK set 0x6
0 0 MARK udp -- * * 192.168.133.6 0.0.0.0/0 udp dpt:5060 MARK set 0x6
Chain INPUT (policy ACCEPT 1558 packets, 430K bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 108 packets, 5950 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 1342 packets, 247K bytes)
pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 1472 packets, 254K bytes)
pkts bytes target prot opt in out source destination
Кто-нибудь сталкивался с подобным? Почему пакеты ходят мимо iptables?
Ага!
Разобрался.
Проблема была во включенном fastnat, которая по всей видимости заставляет ходить транзитные пакеты мимо netfilter.
После отключения опциии
#nvram set misc_fastnat_x=0
#flashfs save && flashfs commit && flashfs enable && reboot
все встало на свои места.:)
Добрый день всем. Есть 2 одинаковых рутера WL500G Premium.
Один находится в сети himki.net, имеет внешний выделенный IP, прошивку от Олега 1.9.2.7-8
Настройки фаервола такие:
Enable Firewall? Yes No
Enable DoS protection? Yes No
Logged packets type: none
Enable Web Access from WAN? Yes No
Port of Web Access from WAN: 8080
Respond LPR Request from WAN? Yes No
Respond Ping Request from WAN? Yes No
Number of connections to track: 4096
При этом рутер пингуется, трассируется и доступ по http возможен.
Другой находится в сети Корбина (подсеть не знаю, улица Большая Марьинская), имеет внешний выделенный IP, прошивку от Олега 1.9.2.7-10
Настройки фаервола (были):
Enable Firewall? Yes No
Enable DoS protection? Yes No
Logged packets type: none
Enable Web Access from WAN? Yes No
Port of Web Access from WAN: 8080
Respond LPR Request from WAN? Yes No
Respond Ping Request from WAN? Yes No
Number of connections to track: 4096
При этом пинг и трассировка проходили, но доступ по http не работал
Настройки фаервола (стали):
Enable Firewall? Yes No
Enable DoS protection? Yes No
Logged packets type: none
Enable Web Access from WAN? Yes No
Port of Web Access from WAN: 1024
Respond LPR Request from WAN? Yes No
Respond Ping Request from WAN? Yes No
Number of connections to track: 4096
Пинг, трассировка – ок. И доступ по http заработал. Что, собственно, мне и было нужно.
Однако вопрос возник такой. Выходит, что в случае с химкинским роутером значения Enable Web Access from WAN и Respond Ping Request from WAN игнорируются, а в случае с роутером в сети корбина игнорируется значение параметра Respond Ping Request from WAN. Может кто-нибудь объяснить почему так? Мне для собственного развития пригодится. Заранее спасибо.
stvladimir
14-12-2011, 00:13
Пытаюсь произвести замену WL500P на RT-N16. Возникает следующая проблема:
есть следующий post-firewall, прекрасно работающий на многих, мной настроенных, WL500х:
#!/bin/sh
iptables -P INPUT DROP
iptables -F INPUT
iptables -P OUTPUT DROP
iptables -F OUTPUT
iptables -F logaccept
iptables -A logaccept -j ACCEPT
#OpenVPN
iptables -A OUTPUT -p udp -o $1 --destination-port 2294 -j logaccept
iptables -A INPUT -p udp -i $1 --source-port 2294 -j logaccept
iptables -I INPUT -i tun0 -j logaccept
iptables -I FORWARD -i tun0 -j logaccept
iptables -I FORWARD -o tun0 -j logaccept
iptables -I OUTPUT -o tun0 -j logaccept
#SSH
iptables -A INPUT -p tcp -i! $1 --destination-port 22 -j logaccept
iptables -A OUTPUT -p tcp -o! $1 --source-port 22 -j logaccept
#WEB Console
iptables -A INPUT -p tcp -s 127.0.0.1 -d 127.0.0.1 --destination-port 80 -j logaccept
iptables -A INPUT -p tcp -s 127.0.0.1 -d 127.0.0.1 --source-port 80 -j logaccept
iptables -A OUTPUT -p tcp -s 127.0.0.1 -d 127.0.0.1 --source-port 80 -j logaccept
iptables -A OUTPUT -p tcp -s 127.0.0.1 -d 127.0.0.1 --destination-port 80 -j logaccept
#DNS
iptables -A OUTPUT -p udp --source-port 53 -j logaccept
iptables -A OUTPUT -p udp --destination-port 53 -j logaccept
iptables -A INPUT -p udp --source-port 53 -j logaccept
iptables -A INPUT -p udp --destination-port 53 -j logaccept
#NTP
iptables -A OUTPUT -p tcp -m state --state ESTABLISHED,RELATED --source-port 123 -j logaccept
iptables -A OUTPUT -p tcp --destination-port 123 -j logaccept
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED --source-port 123 -j logaccept
iptables -A INPUT -p tcp --destination-port 123 -j logaccept
iptables -A OUTPUT -p udp --source-port 123 -j logaccept
iptables -A OUTPUT -p udp --destination-port 123 -j logaccept
iptables -A INPUT -p udp --source-port 123 -j logaccept
iptables -A INPUT -p udp --destination-port 123 -j logaccept
#DHCP
iptables -A INPUT -p udp --source-port 68 --destination-port 67 -j logaccept
iptables -A OUTPUT -p udp --source-port 67 --destination-port 68 -j logaccept
#ROUTD
iptables -A INPUT -p udp --source-port 520 --destination-port 520 -j logaccept
iptables -A OUTPUT -p udp --source-port 520 --destination-port 520 -j logaccept
#Drop incoming UPnP silently
iptables -A INPUT -p udp --destination-port 1900 -j DROP
После выполнения скрипта машины по Wifi не могут соединиться с узлом, не могут получить IP адрес, при этом машины на LAN портах прекрасно работают, OpenVPN работает. После проведенных исследований выяснилось, что проблема пропадает, если iptables -P INPUT DROP и iptables -P OUTPUT DROP заменить на iptables -P INPUT ACCEPT и iptables -P OUTPUT ACCEPT.
Пробовал на прошивках начиная с RT-N16-1.9.2.7-rtn-r3497.trx и до RT-N16-1.9.2.7-rtn-r3668.trx.
Что изменилось в -rtn прошивках или, что я делаю не так?
Spartach
14-12-2011, 06:28
Пробовал на прошивках начиная с RT-N16-1.9.2.7-rtn-r3497.trx и до RT-N16-1.9.2.7-rtn-r3668.trx.
Что изменилось в -rtn прошивках или, что я делаю не так?
FASTNAT пробовали отключать?
Мне помогло.
nvram set misc_fastnat_x=0 && nvram commit && reboot
stvladimir
14-12-2011, 20:42
FASTNAT пробовали отключать?
Мне помогло.
nvram set misc_fastnat_x=0 && nvram commit && reboot
Пробовал. Не помогло
P.S. Спасибо vectorm за оформление моего вопроса.
BcTpe4HbIu
14-12-2011, 20:59
Пробовал. Не помогло
P.S. Спасибо vectorm за оформление моего вопроса.
а может лучше убрать
iptables -F INPUT
iptables -F OUTPUT
заменив на
# remove last default rule
iptables -D INPUT -j DROP
iptables -D OUTPUT-j DROP
stvladimir
14-12-2011, 21:48
а может лучше убрать
iptables -F INPUT
iptables -F OUTPUT
заменив на
# remove last default rule
iptables -D INPUT -j DROP
iptables -D OUTPUT-j DROP
Это не помогает, так как политика остается DROP.
BcTpe4HbIu
15-12-2011, 12:12
Это не помогает, так как политика остается DROP.
Вам скрипт в таком виде убирает все стандартные правила из этих таблиц.
Например там есть
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i br0 -m conntrack --ctstate NEW -j ACCEPT
А вообще хотелось бы вывод iptables-save посмотреть...
stvladimir
15-12-2011, 20:30
А вообще хотелось бы вывод iptables-save посмотреть...
*nat
:PREROUTING ACCEPT [2003:216116]
:POSTROUTING ACCEPT [112:7988]
:OUTPUT ACCEPT [142:13942]
:UPNP - [0:0]
:VSERVER - [0:0]
-A PREROUTING -d 192.168.1.190/32 -j VSERVER
-A POSTROUTING ! -s 192.168.1.190/32 -o vlan2 -j MASQUERADE
-A POSTROUTING -s 192.168.2.0/24 -d 192.168.2.0/24 -o br0 -j MASQUERADE
COMMIT
*mangle
:PREROUTING ACCEPT [4124:374249]
:INPUT ACCEPT [1326:114744]
:FORWARD ACCEPT [2178:141795]
:OUTPUT ACCEPT [1438:219590]
:POSTROUTING ACCEPT [3458:346376]
COMMIT
*filter
:INPUT DROP [50:2796]
:FORWARD ACCEPT [2164:140147]
:OUTPUT DROP [55:5146]
:BRUTE - [0:0]
:MACS - [0:0]
:SECURITY - [0:0]
:UPNP - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -i tun0 -j logaccept
-A INPUT -i vlan2 -p udp -m udp --sport 2294 -j logaccept
-A INPUT ! -i vlan2 -p tcp -m tcp --dport 22 -j logaccept
-A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -p tcp -m tcp --dport 80 -j logaccept
-A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -p tcp -m tcp --sport 80 -j logaccept
-A INPUT -p udp -m udp --sport 53 -j logaccept
-A INPUT -p udp -m udp --dport 53 -j logaccept
-A INPUT -p tcp -m tcp --dport 123 -j logaccept
-A INPUT -p udp -m udp --sport 123 -j logaccept
-A INPUT -p udp -m udp --dport 123 -j logaccept
-A INPUT -p udp -m udp --sport 68 --dport 67 -j logaccept
-A INPUT -p udp -m udp --sport 520 --dport 520 -j logaccept
-A INPUT -p udp -m udp --dport 1900 -j DROP
-A FORWARD -o tun0 -j logaccept
-A FORWARD -i tun0 -j logaccept
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -d 224.0.0.0/4 -p udp -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD ! -i br0 -o vlan2 -j DROP
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -o br0 -j DROP
-A OUTPUT -o tun0 -j logaccept
-A OUTPUT -o vlan2 -p udp -m udp --dport 2294 -j logaccept
-A OUTPUT ! -o vlan2 -p tcp -m tcp --sport 22 -j logaccept
-A OUTPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -p tcp -m tcp --sport 80 -j logaccept
-A OUTPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -p tcp -m tcp --dport 80 -j logaccept
-A OUTPUT -p udp -m udp --sport 53 -j logaccept
-A OUTPUT -p udp -m udp --dport 53 -j logaccept
-A OUTPUT -p tcp -m tcp --dport 123 -j logaccept
-A OUTPUT -p udp -m udp --sport 123 -j logaccept
-A OUTPUT -p udp -m udp --dport 123 -j logaccept
-A OUTPUT -p udp -m udp --sport 67 --dport 68 -j logaccept
-A OUTPUT -p udp -m udp --sport 520 --dport 520 -j logaccept
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j DROP
-A logaccept -j ACCEPT
-A logdrop -m conntrack --ctstate NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options --log-macdecode
-A logdrop -j DROP
COMMIT
А теперь описываю интересный эксперимент. Комп по Wifi не может получить IP и, соответственно, не соединяется с сеткой. Захожу на узел с машины подключенной по проводам, которая так же получает динамический IP. Даю команды:
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
Комп по WiFi получает свой IP, все сервисы начинают работать на ура. Далее на узле даю команды:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
Все продолжает работать до момента renew IP на WiFi компе. Кто сможет объяснить такое поведение.
BcTpe4HbIu
15-12-2011, 21:47
*nat
:PREROUTING ACCEPT [2003:216116]
:POSTROUTING ACCEPT [112:7988]
:OUTPUT ACCEPT [142:13942]
:UPNP - [0:0]
:VSERVER - [0:0]
-A PREROUTING -d 192.168.1.190/32 -j VSERVER
-A POSTROUTING ! -s 192.168.1.190/32 -o vlan2 -j MASQUERADE
-A POSTROUTING -s 192.168.2.0/24 -d 192.168.2.0/24 -o br0 -j MASQUERADE
COMMIT
*mangle
:PREROUTING ACCEPT [4124:374249]
:INPUT ACCEPT [1326:114744]
:FORWARD ACCEPT [2178:141795]
:OUTPUT ACCEPT [1438:219590]
:POSTROUTING ACCEPT [3458:346376]
COMMIT
*filter
:INPUT DROP [50:2796]
:FORWARD ACCEPT [2164:140147]
:OUTPUT DROP [55:5146]
:BRUTE - [0:0]
:MACS - [0:0]
:SECURITY - [0:0]
:UPNP - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -i tun0 -j logaccept
-A INPUT -i vlan2 -p udp -m udp --sport 2294 -j logaccept
-A INPUT ! -i vlan2 -p tcp -m tcp --dport 22 -j logaccept
-A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -p tcp -m tcp --dport 80 -j logaccept
-A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -p tcp -m tcp --sport 80 -j logaccept
-A INPUT -p udp -m udp --sport 53 -j logaccept
-A INPUT -p udp -m udp --dport 53 -j logaccept
-A INPUT -p tcp -m tcp --dport 123 -j logaccept
-A INPUT -p udp -m udp --sport 123 -j logaccept
-A INPUT -p udp -m udp --dport 123 -j logaccept
-A INPUT -p udp -m udp --sport 68 --dport 67 -j logaccept
-A INPUT -p udp -m udp --sport 520 --dport 520 -j logaccept
-A INPUT -p udp -m udp --dport 1900 -j DROP
-A FORWARD -o tun0 -j logaccept
-A FORWARD -i tun0 -j logaccept
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -d 224.0.0.0/4 -p udp -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD ! -i br0 -o vlan2 -j DROP
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -o br0 -j DROP
-A OUTPUT -o tun0 -j logaccept
-A OUTPUT -o vlan2 -p udp -m udp --dport 2294 -j logaccept
-A OUTPUT ! -o vlan2 -p tcp -m tcp --sport 22 -j logaccept
-A OUTPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -p tcp -m tcp --sport 80 -j logaccept
-A OUTPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -p tcp -m tcp --dport 80 -j logaccept
-A OUTPUT -p udp -m udp --sport 53 -j logaccept
-A OUTPUT -p udp -m udp --dport 53 -j logaccept
-A OUTPUT -p tcp -m tcp --dport 123 -j logaccept
-A OUTPUT -p udp -m udp --sport 123 -j logaccept
-A OUTPUT -p udp -m udp --dport 123 -j logaccept
-A OUTPUT -p udp -m udp --sport 67 --dport 68 -j logaccept
-A OUTPUT -p udp -m udp --sport 520 --dport 520 -j logaccept
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j DROP
-A logaccept -j ACCEPT
-A logdrop -m conntrack --ctstate NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options --log-macdecode
-A logdrop -j DROP
COMMIT
А теперь описываю интересный эксперимент. Комп по Wifi не может получить IP и, соответственно, не соединяется с сеткой. Захожу на узел с машины подключенной по проводам, которая так же получает динамический IP. Даю команды:
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
Комп по WiFi получает свой IP, все сервисы начинают работать на ура.
"Все" это какие? роутер пингуется?
Далее на узле даю команды:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
Все продолжает работать до момента renew IP на WiFi компе. Кто сможет объяснить такое поведение.
Роутер уже не пингуется?
в iptables нет правил для доступа к роутеру из локальной сети (это после очистки таблиц в самом начале). и я кстати не понимаю как по проводу комп ip получает...
Как сам роутер настроен? подключение какое?
Пробовали это (http://wl500g.info/showpost.php?p=242026&postcount=39) делать все таки? Зачем вообще очищать таблицы эти..?
stvladimir
15-12-2011, 22:39
"Все" это какие? роутер пингуется?
Я имел ввиду, что компьютер, подключенный по Wifi, имеет полный доступ в интернет, т.е. пингует все внешние адреса, через OpenVPN можно попасть в другую дружественную сеть, работает доступ к системе доменных имен и т.д. Работает так, как и задумано. Сам роутер не пингуется, но на нем открыто все, что требуется для обеспечения всего указанного и я могу зайти на него по SSH. Посмотрите внимательнее на скрипт, там есть небольшие комментарии от том, за что отвечает тот или иной блок правил: #DNS, #NTP, #SSH, #OpenVPN...
я кстати не понимаю как по проводу комп ip получает...
Ну, это вообще просто. Благодаря правилу:
#DHCP
iptables -A INPUT -p udp --source-port 68 --destination-port 67 -j logaccept
iptables -A OUTPUT -p udp --source-port 67 --destination-port 68 -j logaccept
Я еще раз скажу, что этот скрипт работает, с небольшими изменениями, не только на роутерах с Oleg'овой прошивкой, но и на других firewall уже не один год.
Скрипт построен "по блочному" принципу. Например, вам не нужен OpenVPN, тогда комментируете строки относящиеся к OpenVPN. У вас соединение к провайдеру с использованием PPTP, тогда добавляются следующий блок правил:
#PPTP
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED --source-port 1723 -j logaccept
iptables -A OUTPUT -p tcp --source-port 1024:65535 --destination-port 1723 -j logaccept
iptables -A OUTPUT -p 47 -j logaccept
iptables -A INPUT -p 47 -j logaccept
Пробовали это делать все таки?
Да.
Зачем вообще очищать таблицы эти..?
Считайте меня параноиком.
BcTpe4HbIu
16-12-2011, 21:57
Ну, это вообще просто. Благодаря правилу:
#DHCP
iptables -A INPUT -p udp --source-port 68 --destination-port 67 -j logaccept
iptables -A OUTPUT -p udp --source-port 67 --destination-port 68 -j logaccept
проглядел...
можно для теста добавить в конец скрипта
iptables -A INPUT -j logdrop
ну и логи смотреть... может что и прояснится:confused:
Считайте меня параноиком.
ок...:cool:
stvladimir
19-12-2011, 23:35
можно для теста добавить в конец скрипта
iptables -A INPUT -j logdrop
ну и логи смотреть... может что и прояснится:confused:
Добавил:
iptables -A INPUT -j logdrop
iptables -A OUTPUT -j logdrop
И...тишина. Такое ощущение, что нет запросов к DHCP серверу от Wifi клиента.
Для теста убираю:
#iptables -A INPUT -p udp --source-port 68 --destination-port 67 -j logaccept
Получаю ругань для клиента на LAN'е, а с Wifi запросов вообще не видно
Dec 20 03:20:14 kernel: DROP IN=br0 OUT= MACSRC=00:1e:33:94:44:5b MACDST=ff:ff:ff:ff:ff:ff MACPROTO=0800 SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=128 ID=23155 PROTO=UDP SPT=68 DPT=67 LEN=308
Dec 20 03:20:18 kernel: DROP IN=br0 OUT= MACSRC=00:1e:33:94:44:5b MACDST=ff:ff:ff:ff:ff:ff MACPROTO=0800 SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=128 ID=23156 PROTO=UDP SPT=68 DPT=67 LEN=308
Ничего не понимаю:confused:
P.S. Вчера поменяли по гарантии железку. В пятницу предыдущая приказала долго жить. После очередной перезагрузки индикаторы PWD и Wifi потухли и больше не зажглись. Остальные индикаторы зажигались, когда вставлялся кабель в соответствующий порт.
stvladimir
20-12-2011, 20:24
Все нашел решение. В скрипт для DHCP нужно добавить еще 4-е дополнительных правила:
#DHCP
iptables -A INPUT -p udp -s 127.0.0.1 -d 127.0.0.1 --source-port 38000 --destination-port 38032 -j logaccept
iptables -A OUTPUT -p udp -s 127.0.0.1 -d 127.0.0.1 --source-port 38000 --destination-port 38032 -j logaccept
iptables -A INPUT -p udp -s 127.0.0.1 -d 127.0.0.1 --source-port 38032 --destination-port 38000 -j logaccept
iptables -A OUTPUT -p udp -s 127.0.0.1 -d 127.0.0.1 --source-port 38032 --destination-port 38000 -j logaccept
timofey_
25-01-2012, 23:54
Установил последнюю прошивочку на WL-500gP V2. Появилась проблемка, мадам любит залипать в chatroulette.com и через некоторое время, буквально пару общений, сайт выдает:
Info: Unable to connect to Chatroulette media server 2.
Please configure your firewall or router to allow peer-to-peer networking.
Потом через несколько минут если обновить страницу сайта, опять чутка работает и опять данная проблема. Помогите))
С родной прошивкой все работало нормально.
Подключение PPPoE
Помогите, пожалуйста - когда ставлю на wan-интерфейсе маску /30, роутер (прошивка rtn-r4330) дальше шлюза пинги никуда не ходят. Если отключить в веб-интерфейсе Internet Firewall, то интернет начинает работать. Как настроить, чтобы работало с internet firewall?
ifconfig: ...
vlan2 ...
inet addr:192.168.99.202 Bcast:192.168.99.203 Mask:255.255.255.252
...
$ route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.99.201 * 255.255.255.255 UH 0 0 0 vlan2
192.168.99.200 * 255.255.255.252 U 0 0 0 vlan2
192.168.11.0 * 255.255.255.0 U 0 0 0 br0
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default 192.168.99.201 0.0.0.0 UG 0 0 0 vlan2
192.168.11.0 - сеть за nat'ом роутера
192.168.99.202 - адрес wan, 192.168.99.201 - шлюз
UPD: команда route почему очень долго отрабатывает на этапе шлюза по-умолчанию (вывод останавливается на несколько секунд).
UPD: включил обратно firewall, работоспособность сохранилась, но не могу теперь зайти через winscp, пишет Cannot initialize SFTP protocol. Is the host running a SFTP server? Вообщем чудеса нехорошие...
Помогите, пожалуйста - когда ставлю на wan-интерфейсе маску /30, роутер (прошивка rtn-r4330) дальше шлюза пинги никуда не ходят. Если отключить в веб-интерфейсе Internet Firewall, то интернет начинает работать. Как настроить, чтобы работало с internet firewall?
192.168.11.0 - сеть за nat'ом роутера
192.168.99.202 - адрес wan, 192.168.99.201 - шлюз
маска /30 это 4 адреса из них первый номер сети а последний бродкаст, еще вопросы?
маска /30 это 4 адреса из них первый номер сети а последний бродкаст, еще вопросы?
Это понятно. Не понятно, почему не работает инет через такую сеть и шлюз - сбросил все ресетом и заново настроил, не работает инет=(
UPD: настроил снова после сброса, вроде работает =) Неясно, в чем проблема была
маска /30 это 4 адреса из них первый номер сети а последний бродкаст, еще вопросы?
ну так одно другому не противоречит
192.168.99.200/30 - сеть
192.168.99.201 - 192.168.99.202 - два хоста
192.168.99.204 - Broadcast
должно работать...
Добрый день
Надеюсь на помощь
Есть роутер WL500g Premium
прошит форумной прошивкой, 9й версии вроде
Роутер в течени дня, и особенно вечером иногда теряет PPPoE соединение, но потом через 5-20-30мин востанавливает
Сегодня потерял соединение и не смог востановить
Я сбросил все настройки в дефаулт
И оказалось
Когда компьютер подключен к ЛАН порту, для управления роутером,
роутер пингуется
как только подключаешь провайдера на ВАН или ЛАН порт, сразу же роутер теряет 70-80% пакетов приходящих с комьютера на ЛАН порт
ВАН порт похоже рабочий, так как роутер при статик ИП, управлется через ВАН без проблем и пакеты не теряет
Подскажите какие есть идеи?
Пока все думают на провайдера, так как многие высказываются что их роутеры (не знаю моделей)
также теряют ПППоЕ, но еще и подвисают
Если это виноват провайдер, то как такое может быть
что роутер теряет пакеты,
но если провайдера напрямую подключить в комп, то инте работает
Спасибо
Похоже на DOS-атаку, роутер не справляется с большим числом входящих пакетов на WAN.