PDA

Bekijk de volledige versie : Internet Firewall - WAN&LAN Filter как правильно настроить?



Micky
03-07-2006, 20:08
Здравствуйте

Купили себе в небольшой офис маршрутизатор "Asus WL550gE". Задача сделать так, чтобы он пускал во внешний мир пакеты только с сервера, и не пускал с рабочих станций. То есть, действие по умолчанию для Firewall должно быть Deny, а исключением должен быть айпи-адрес сервера с нужными портами.

Заходим в раздел WL550gE "Internet Firewall - WAN & LAN Filter" указана следующая подсказка, которая полностью соответсвует нашим ожиданиям и зачаде:

LAN to WAN filter allows you to block specified packets between LAN and WAN. At first, you can define the date and time that filter will be enabled. Then, you can choose the default action for filter in both directions and insert the rules for any exceptions.

А на самом деле ниже нет никакого поля для выбора действия по умолчанию (default action for filter in both directions), а есть просто "LAN to WAN Filter Table" и кнопки Add и Remove. То есть, есть возможность только добавить несколько IP адресов, для которых выход во внешний мир запрещен. Похоже, что подсказка здесь не от этого устройства, или как-то не доделана страница, управляющая "Internet Firewall - WAN & LAN Filter".

Я попробовал загрузить с сайта Асус более новую прошивку (1.9.6.1), но это не помогло, страница "Internet Firewall - WAN & LAN Filter" осталась без изменений.

Подскажите, пожалуйста, куда зайти, какие команды задать, чтобы сказать Рутеру, чтобы пропускал в Интернет только пакеты с одного айпи-адреса, а все остальные запрещал.

Спасибо

Alex Kud
05-07-2006, 20:53
У меня есть настройка:
Packets (LAN to WAN) not specified will be: ACCEPT/DROP
Прошивка от Олега 1.9.2.7-7e.

Sabur
13-09-2006, 13:26
А скажите Уважаемые реально ли запретить в Wan to Lan filter нужный мне адрес??? Например www.pupkin.ru??? И как это сделать???
Заранее благодарен...

Alex Kud
11-11-2006, 15:08
Возник вопрос, как правильно настроить WAN to LAN фильтр. Я сначала думал так:
Source IP - адрес-источник пакета из WAN;
Port Range - диапазон портов источника.
Destination IP - адрес приемника пакета, находящийся в LAN.
Port Range - диапазон портов приемника.

Однако, если выбрать Well-Known Applications как WWW, то порт 80 подставляется в поле порта для "Source IP". Т.е. таким образом запрещается соединение с 80-ого порта? Как-то это не логично, имхо. Мне казалось, что должно запрещаться соединение на 80-ый порт на "Destination IP" с "Source IP". Или я что-то не так понимаю? Объясните, пожалуйста.

Oleg
11-11-2006, 19:38
Запрещается или разрешается зависит, от того, что делать с остальными - Drop или Accept. Если там выбрано Drop, то всё что здесь перечислено будет пропущено.

Alex Kud
11-11-2006, 21:20
Да, это я забыл указать. Допустим, с остальными Accept. Пусть задано так:

Source IP: x.x.x.x
Port Range: 80

Destination IP: y.y.y.y
Port Range: <пусто>

Как я понимаю, т.о. будут запрещены все пакеты с x.x.x.x:80 (этот адрес в WAN) на y.y.y.y:<any> (этот адрес в LAN). Вот мне тут кажется странным, что при выборе Well-Known Applications как WWW, 80ый порт подставляется к Source IP. Под Source IP тут точно подразумевается адрес в WAN? Просто на мой взгляд было бы логичнее при выборе Well-Known Applications разрешать/запрещать доступ к каким-то сервисам в LAN, т.е. подставлять соответствующий порт к Destination IP.

Oleg
11-11-2006, 21:24
Ну да, Вы правы. Логика в данном случае нарушена...
Лучше пользоваться post-firewall, там всё будет однозначно.

Alex Kud
12-11-2006, 09:55
Хорошо, спасибо! Если можно, еще пара вопросов: распространяется ли действие WAN to LAN фильтра на пакеты, направленные на IP-адрес WAN-порта роутера? Т.е., если например WAN to LAN фильтр в режиме DROP для всех пакетов, будут ли доступны Virtual Server'а? Или WAN to LAN это только для пакетов, у которых адрес назначения находится непосредственно в LAN? Если это так, то есть ли вообще смысл использовать WAN to LAN фильтр, если роутер в режиме Home Gateway, а не Router? Как я понимаю, если включен NAT, то пакеты из WAN в LAN и так не должны проходить, или я не прав? :confused:

Oleg
12-11-2006, 11:36
Нет, не распространяется. И да, режиме HomeGateway особого в фильтре нет.

Alex Kud
12-11-2006, 12:03
Спасибо, Олег! Все ясно.

Romgun
17-01-2007, 10:35
Прошу прощения за столь наивные вопросы.
1. с этим разобрался

2. Вопрос про post-firewall. Не хватает ума настроить.
В теме "инструкция по настройке WL-500g deluxe с нуля" в пункте 9B одна строка об этом "есть еще файлы post-firewall и pre-shutdown". Более подробно нашел http://oleg.wl500g.info/
Как я понял, вначале используя телнет нужно создать /usr/local/sbin путем mkdir -p /usr/local/sbin. Далее vi /usr/local/sbin/post-firewall и chmod +x /usr/local/sbin/post-firewall . Но далее для меня уже совсем не ясно:


# prepare image
flashfs save
# commit it to flash once you've checked, that file size does not exceed 64k
flashfs commit
# if you have not enabled flashfs yet type this as well
flashfs enable
Reboot your router and it should then use your file.
Here is the /usr/local/sbin/post-firewall sample (which I've used in my setup)
#!/bin/sh
# set default policy
iptables -P INPUT DROP
# remove last default rule
iptables -D INPUT -j DROP
# deny ftp access from WAN
iptables -D INPUT -p tcp -m tcp -d "$2" --dport 21 -j ACCEPT
# Allow access to ssh server from WAN
iptables -A INPUT -p tcp --syn --dport 22 -j ACCEPT
# start wshaper
wshaper start "$1" 1000 220

Буду очень благодарен, если кто-нибудь найдет время и терпение объяснить мне. Поиском пользовался, но нашел уже конкретные рекомендации, которые не понял, поскольку не ясен сам принцип (((

Oleg
17-01-2007, 11:14
А что именно не понятно?

Romgun
17-01-2007, 12:00
В данный момент я выполнил лишь шаги 1 -3 из "руководства с нуля".
ФТП нет, флэшек нет.
Следующие шаги 4 "установка SSH-сервера", 8 "установка полезных пакетов" , webtools пропускаю (или я неправильно понял?).
Далее подключаюсь телнетом. Получаю приглашение [XXX@router root ]$
Пишу cd /usr попадаю в [XXX@router /usr]$. Пишу cd local попадаю в [XXX@router local]$
Далее последовательность такая:
mkdir -p /usr/local/sbin
cd sbin
Как я понимаю создается sbin.
Потом -
touch ./post-firewall
chmod +x ./post-firewall
Здесь я не понял смысл команд и откуда post-firewall. Или это как раз создание скрипта?

Далее:
vi /usr/local/sbin/post-firewall
chmod +x /usr/local/sbin/post-firewall.
(в комментарии "edit file using vi editor" - извиняюсь, но тоже не понял vi editor уже имеется? На данном шаге начинается написание скрипта?).

Далее "if your script does not expect any args, just type
/usr/local/sbin/post-firewall" - не совсем понял, о каких аргументах речь.

Далее
flashfs save
flashfs commit
flashfs enable
reboot

Предположим, необходимо созать 4 правила (условно) -
а) TCP, направление исходящее, удаленный порт 25, разрешить.
б) TCP, направление входящее, локальный порт 113, IP- адрес любой, запретить.
в) TCP, направление входящее, порт 80, IP 195.12.12, запретить.
г) остальные входящие и исходящие разрешить.

Что следует мне сделать после написания прфдущего (flashfs enable
reboot)?
Прошу прощения, если путанно изложил.

thebix
09-07-2007, 11:35
похоже, что я что то не так сделал с цепочками iptables.
(об этом писал в теме настройка post-firewall, портфорвардинг (http://wl500g.info/showthread.php?t=9866)

хотелось бы их обнулить до первоначального состояния.
это можно как нибудь сделать, не сбрасывая роутер?
и если сбрасывать, то достаточно 5-секундного нажатия и нужно ли будет переустанавливать имеющиеся у меня программы?
спасибо за ответ.

SergeyVl
09-07-2007, 12:02
похоже, что я что то не так сделал с цепочками iptables.
(об этом писал в теме настройка post-firewall, портфорвардинг (http://wl500g.info/showthread.php?t=9866)

хотелось бы их обнулить до первоначального состояния.
это можно как нибудь сделать, не сбрасывая роутер?
и если сбрасывать, то достаточно 5-секундного нажатия и нужно ли будет переустанавливать имеющиеся у меня программы?
спасибо за ответ.

iptables -F попробуйте, подробнее - iptables -h

thebix
09-07-2007, 12:05
iptables -F попробуйте, подробнее - iptables -h

вот, к сожалению, по моему, после этой команды iptables и перестали нормально работать. т.к. сначала портфорвардинг работал нормально, а потом перестал...

al37919
09-07-2007, 13:02
Наврядли, после перезагрузки все должно вернуться в исходное состояние

thebix
09-07-2007, 13:06
Наврядли, после перезагрузки все должно вернуться в исходное состояние

как ни странно не вернулось...
вообще, я дописал в post-firewall несколько правил (в том числе и iptables -F). после запуска, соединение разорвалось (или даже скорее post-firewall недовыполнился изза ошибки, которую я допустил) fflash save я не делал. так что выдергиванием из розетки и установкой обратно, я вернул роутер в рабочее состояние. post-firewall сбросился, соответственно, до последней моей сохраненной конфигурации.
но добавление строк для portforwarding перестали работать...
я даже пробовал через веб интерфейс virtual server настроить (я так понимаю, тот же портфорвардинг) - тоже не заработало :(

al37919
09-07-2007, 13:36
через виртуальный сервер (в веб-ИФ) настраивается проброс портов сквозь роутер на стоящие за ним компы.
В post-firewall обычно пишется то что надо пропустить на роутер. Хотя и те и другие настройки в результате оказываются в одних и тех же таблицах iptables.
Смотреть какие правила них понаписаны, и соответственно, почему не работает: iptables -L -vn и iptables -L -vn -t nat

thebix
09-07-2007, 13:40
через виртуальный сервер (в веб-ИФ) настраивается проброс портов сквозь роутер на стоящие за ним компы.
В post-firewall обычно пишется то что надо пропустить на роутер. Хотя и те и другие настройки в результате оказываются в одних и тех же таблицах iptables.
Смотреть какие правила них понаписаны, и соответственно, почему не работает: iptables -L -vn и iptables -L -vn -t nat

да, пожалуй надо настраивать проброс на чем то одном, чтобы потом не путаться - либо в веб интерфейсе, либо в post-firewall...
команды эти я выполнял. вернее выполнял
iptables -L -nv -t nat && iptables -L -vn
файл с результатом вот тут
http://wl500g.info/attachment.php?attachmentid=1648&d=1183445965
но он огромный и из него вроде бы все ок получается...

al37919
09-07-2007, 14:23
да уж... длинно, муторно и полно дублирования (в цепочке INPUT)...
А если post-firewall вообще не выполнять при загрузке, а оставить только проброс портов через vserver?

thebix
09-07-2007, 14:35
да уж... длинно, муторно и полно дублирования (в цепочке INPUT)...
А если post-firewall вообще не выполнять при загрузке, а оставить только проброс портов через vserver?

странно, откуда дублирование? его как раз -F можно удалить?

спасибо за идею с пробросом без выполнения post-firewall! сегодня же попробую вечером! :)

Mam(O)n
09-07-2007, 15:29
странно, откуда дублирование?
от того, что наверное ты post-firewall несколько раз запускал.

thebix
09-07-2007, 15:32
от того, что наверное ты post-firewall несколько раз запускал.

т.е. я гружу роутер - post-firewall запускается
я правлю его - запускаю еще раз ./post-firewall - часть правил дописывается, а часть дублируется?
я правлю его еще раз - запускаю. опять правила дублируются?

al37919
09-07-2007, 15:43
при каждом запуске post-firewall правила добавляются к имеющимся (коммандами -A и -I), отсюда похоже и дублирование. Опцией -F я бы пользовался осторожно --- она должна прибить не только то, что добавлено post-fw , но и то, что пришло по умолчанию из прошивки. При отладке post-fw наверное надо загонять правила вручную по одному, проверять, что они попали в нужное место с помощью -L и проверять выполняется ли корректно требуемое действие.
http://www.linuxguruz.com/iptables/howto/maniptables.html

TrekKing
17-09-2007, 07:28
Помогите пожалуйста настроить LAN to WAN Filters для блокировки доступа в интернет с 23.00 до 19.00 для двух адресов (192.168.1.2 и 192.168.1.3) внутренней сети. Спасибо!

num
11-11-2007, 16:34
прошита модифицированная прошивка 1.9.2.7-7g.
Настроен vlan2, маршрутизация с учетом vlan1\2.
Еще в веб интерфейсе был включен фаервол.
Вопрос следующий:

при тестировании www.pcflank.com на wan1 все закрыто.
на wan2 - только нетбиос.

возник вопрос. закрывает ли iptables по дефолту и vlan2 или для этого нужны дополнительные пассы?

Mam(O)n
12-11-2007, 02:51
При конфигурации по-умолчанию дропаются все пакеты, предназначенные роутеру, кроме тех, что пришли с LAN1-4.

num
12-11-2007, 13:02
так в том-то и дело, что LAN1 нынче состоит в vlan2 и является вторым WAN, на котором висит второй провайдер :\
как бы указать фаеру что с vlan2 теперь ничего низя пускать?

Oleg
12-11-2007, 13:03
LAN1-LAN4 - это условно. Называется интерфейс br0 и включает себя только vlan0 и eth1.

Oleg
12-11-2007, 13:04
В конце-концов есть команда iptables, с помощью которой можно всё узнать.

serkup
08-01-2008, 17:12
Уважаемые коллеги!
Установил ssh по инструкции на wl-500g premium. Прошивка 1.9.2.7-8
Хочу дать доступ к девайсу из интернет.
Интернет получаю от Корбины через vpn, т.е. интерфейс ppp0
Захожу по вэб на вкладку INTERNET FIREWALL -> WAN to LAN Filter Table
Добавляю порт 22 как destination port
а получаю почему-то в Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)

ACCEPT tcp -- any br0 xxx.ru anywhere tcp dpt:ssh

а по идее должно появиться в цепочке INPUT ?!
Видимо что-то делаю не так. Помогите.

Добавление правила вручную через iptables ... INPUT и ppp0 работает.
Спасибо.

al37919
08-01-2008, 17:27
вот вручную и надо добавлять в файл /usr/local/sbin/post-firewall т.к. через веб-ИФ работает только проброс портов, а не их прием роутером

piezomotor
10-01-2008, 04:36
А как правильно настроить- WAN & LAN Filter?

Я хочу по часам блокировать интернет и такие сервесы как MSN, ICQ, Hamachi итп.

Это возможно?

Спасибо.

maelstrom
16-01-2008, 14:57
Помогите плиз.
У меня WL-520gc (с вай-фай). К нему подключен один домашний компутер (как DMZ прозрачный) и через вай-фай ноут. Оба они, как понимаю, находятся в LAN (внутр. сети относительно моего роутера). Роутер подключен к провайдеру и имеет внешний айпишник. Так же у провайдера имеются внутренние айпишники.
Как мне настроить мой роутер чтобы другой человек с таким внутренним айпишником (от этого же провайдера) мог ходить через мой роутер? (другими словами как пустить роутинг для WAN IP?). Надо ли для этого перепрошивать? Если да то можно инструкции. И как настроить при этом гейтвей или прокси для это WAN IP?

Заранее Большое спасибо!

usmailer™
16-01-2008, 15:33
Помогите плиз.
У меня WL-520gc (с вай-фай). К нему подключен один домашний компутер (как DMZ прозрачный) и через вай-фай ноут. Оба они, как понимаю, находятся в LAN (внутр. сети относительно моего роутера). Роутер подключен к провайдеру и имеет внешний айпишник. Так же у провайдера имеются внутренние айпишники.
Как мне настроить мой роутер чтобы другой человек с таким внутренним айпишником (от этого же провайдера) мог ходить через мой роутер? (другими словами как пустить роутинг для WAN IP?). Надо ли для этого перепрошивать? Если да то можно инструкции. И как настроить при этом гейтвей или прокси для это WAN IP?

Заранее Большое спасибо!

поиск.... рулит..
вот к примеру моя же темка...
http://www.wl500g.info/showthread.php?t=8385
:D

pnm
20-03-2008, 20:56
C помощью Iptables можно это сделать? Закрыть все порты и открыть только нужные.

al37919
20-03-2008, 21:00
по умолчанию при включенном файрволе все порты закрыты

avk
20-03-2008, 21:58
по умолчанию при включенном файрволе все порты закрыты

Разве так? У меня вот так:

Enable LAN to WAN Filter? No
Enable WAN to LAN Filter? Yes

al37919
20-03-2008, 22:16
у меня тоже так... Впрочем, виноват --- тему вопроса сначала не заметил... Значит надо включить вручную.

les
20-03-2008, 22:39
В /tmp/filter_rules , по крайней мере у меня, есть вот такой код



-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i br0 -m state --state NEW -j ACCEPT


Не с этого ли надо начинать?
С помощью post-firewall удалить эти правила и добавить свои?

Хотя я не уверен. Не разобрался еще с файрволом должным образом.

al37919
21-03-2008, 05:56
/tmp/filter_rules генерится автоматом при загрузке на основе настроек веб-интерфейса. Так что для начала можно поставить галку в вебе как сказал avk и посмотреть как она отразится на /tmp/filter_rules

Kobez
30-03-2008, 15:40
Добрый день!
Подскажите пожалуйста, как настроить Wl-500gP чтобы закрыть доступ к ресурсам домашней сети из внешней локалки? И как самому можно проверить действительно ли доступ перекрыт? к сожалению поиском не нашел... Спасибо!

Flyman78
09-04-2008, 09:12
А как это сделать, настроить post-firewall??? Простите за тупой вопрос но я уже 5 день сижу ищу это, и все от корки до корки прочел по установке с нуля, ничего не нашел.

Bleysus
25-04-2008, 03:42
Доброго времени суток.
Извините за, возможно, тупой вопрос, просто слабо знаком с сабжем, поиск дал только общие ответы. собственно, настроил adls модем в режиме бриджа, WL500gP цепляется к инету через WAN, все работает, треба настроить фильтр по mac адресам. Фильтр типа.

allow mac1
allow mac2
deny all

Ковырял вебинтерфейс, WAN to LAN Filter, LAN to WAN Filter. Что-то не получилось :-( . Может, подскажете, в каком файле и что прописать?
Ну и, заодно, тоже самое для WiFi, какого беспроводного клиента пускать на точку, а какого-нет. Хотелось бы, где это в прошивке настраивается, а не в вебинтерфейсе.

grigorym
16-05-2008, 05:46
В продолжение темы вот этой (http://wl500g.info/showthread.php?t=14355).

Вот тут (http://forum.ufanet.ru/mvnforum/viewthread?thread=21055&offset=0) пытался разбираться с аналогичной появившеся проблемой с провайдером. Провайдер хороший, доброжелательный, помог найти возможную проблему и даже предоставил временное решение.

Возможная причина:


boco: у меня роутера нет, я могу только теоретизировать. у udhcp (это dhcp-клиент/сервер, используемый в роутере) есть возможность запускать скрипты по событиям. в частности, по событию "получение адреса". нужно в этом скрипте сделать добавление адреса dhcp-сервера (берется из переменных окружения) в список доверенных хостов, с которых принимается любой трафик. или, если опасаетесь за безопасность, только с/на 67-68/udp.

boco: патч для клиента всего в две строчки - меняет режим, в котором открывается сокет для продления лиза, с обычного на raw (то есть, на такой же, в котором происходит первичное получение лиза). в этом режиме клиент получает пакеты в обход фаервола.

boco: у udhcp (это dhcp-клиент/сервер, используемый в роутере) есть возможность запускать скрипты по событиям. в частности, по событию "получение адреса". нужно в этом скрипте сделать добавление адреса dhcp-сервера (берется из переменных окружения) в список доверенных хостов

boco: я сейчас подумал, что он так и поступает, и именно поэтому до 29 апреля работал нормально. до этого времени ответ дхцп-сервера приходил с адреса 10.8.3.1 и именно этот адрес был указан в качестве сервера в самом пакете. адрес добавлялся в фаервол и все следующие пакеты с дхцп-сервера принимались нормально. сейчас же для каждого клиента в качестве адреса сервера в пакете указывается адрес его (клиента) дхцп-релея. это помогло побороть невозможность продления лиза д-линками типа ди-604, но в результате пакет по-прежнему идет с реального адреса дхцп-сервера (10.8.2.1), а в качестве сервера указан адрес клиентского дхцп-релея и поэтому udhcp заносит в фаервол адрес релея, а не адрес сервера, в результате пакеты от сервера на продление лиза не проходят фаервол.

boco: теперь про то, как решать:

1. можно добавить 10.8.2.1 в список доверенных (без всяких скриптов, статически)
2. описать разработчику проблему и отправить патч в надежде, что он сочтет возможным включить его в будущие релизы прошивок
3. пользоваться и дальше патченой прошивкой, но помнить о наличии проблемы в случае обновления прошивки.

GermanIvanov
26-05-2008, 13:56
К вопросу о настройке WAN to LAN Filter на WL500gP ...

Наткнулся на эту тему во время поиска ответа на то, как мне разрешить заходить по Radmin компу из WAN на комп в LAN. Причем не любому произвольному компу, а только компу с указанного IP адреса. Кроме этого должен быть открыт публичный доступ к WEB серверу расположенному на 80 порту того же компа.

Так вот, у меня все получилось и я решил оставить свои пять копеек информации тем кто будет решать эту проблему в дальнейшем:

Сначала идем на страницу "NAT Setting - Virtual Server" прописываем там два виртуальных сервера.

1) Веб сервер
Port Range - 80
Local Ip- 192.168.1.2 (локальный ip вашего сервера)
Local Port - 80
Protocol - TCP


1) Radmin
Port Range - 4889
Local Ip- 192.168.1.2 (локальный ip вашего сервера)
Local Port - 4889
Protocol - TCP

Теперь идем на страницу "Internet Firewall - WAN & LAN Filter"

Enable WAN to LAN Filter?:Yes
Packets(WAN to LAN) not specified will be: Drop
Port Forwarding default policy: Drop

дальше прописываем в WAN to LAN Filter Table два правила

1) Для Radmin
Source IP - 195.1.90.9 (это внешний IP c которого мы хотим иметь доступ к radmin) Destination port - 4899 (порт Radmin)
Остальные поля оставляем пустыми.

2) Для Web сервера
Destination IP - 192.168.1.2 (внутренний IP сервера)
Destination Port - 80 (порт сервера)
Остальные поля оставляем пустыми.

Сохраняем настройки, перезагружаем роутер. Вуаля - все работает.
Доступность(недоступность) порта можно проверить http://connect.majestyc.net/?t=80&u=

Don DaDDa
22-08-2008, 10:22
Настроена сеть wi-fi, точка доступа wl-320ge (ip раздает dhcp), нужно чтобы тем кто подключен к Wi-FI, была недоступна локальная сеть и доступ к компьютерам, только интернет, кроме прописанных "своих" компьютеров.
Покапался в настройках, ничего подходящего не нашел. Подскажите как решить задачу.

Don DaDDa
25-08-2008, 14:03
Обновил прошивку для точки доступа.
Подскажите в разделе WAN & LAN Filter есть пункт LAN to WAN Filter, я так понимаю с помощью этих настроек можно ограничить доступ к LAN?
Вопрос следующий, что нужно писать в строке Filtered ICMP(LAN to WAN) packet types: ???
При этом уже вписанные значения, не удалить. То ли глюк прошивки, то ли я что то не атк делаю.

VOVA_iS
26-08-2008, 14:07
Вопрос следующий, что нужно писать в строке Filtered ICMP(LAN to WAN) packet types: ???
При этом уже вписанные значения, не удалить. То ли глюк прошивки, то ли я что то не атк делаю.

Это у Вас настройка пинга. Вы разрешаете или запрещаети пинги.


Настроена сеть wi-fi, точка доступа wl-320ge (ip раздает dhcp), нужно чтобы тем кто подключен к Wi-FI, была недоступна локальная сеть и доступ к компьютерам, только интернет, кроме прописанных "своих" компьютеров.
Покапался в настройках, ничего подходящего не нашел. Подскажите как решить задачу.
Через Веб Вам не осуществить задуманное.

Don DaDDa
29-08-2008, 10:32
Что значит через Веб? Веб интерфейс настроки точки доступа?
Подскажите, отцы, как по-другому решить задачу?

KanycTa
29-08-2008, 10:36
Ставишь ssh сервер на роутере, подключаешся, настраиваешь iptables.

Что-то вроде этого

iptables -A INPUT -i valan1 -j DROP
iptables -A OUTPUT -o vlan1 -j DROP
iptables -A FORWARD -i vlan1 -o wan1 -j ACCEPT
iptables -A FORWARD -o vlan1 -i wan1 -j ACCEPT

Accept2
26-09-2008, 15:38
Добрый день.Такой вот вопрос.Имею выделенный инет, соединенный по кабелю через Asus WL-500GP V2.Также имеется медиаплеер Iconbit соединенный по Wi-Fi через роутер с компом.Какие нужно сделать настройки в фаерволе, чтобы моя сеть(плеер и шара на компе) не были видны извне? Спасибо

AndreyPopov
26-09-2008, 16:24
Добрый день.Такой вот вопрос.Имею выделенный инет, соединенный по кабелю через Asus WL-500GP V2.Также имеется медиаплеер Iconbit соединенный по Wi-Fi через роутер с компом.Какие нужно сделать настройки в фаерволе, чтобы моя сеть(плеер и шара на компе) не были видны извне? Спасибо

если у вас включен NAT и Firewall то по умолчанию все так и есть как вы хотите!

Accept2
26-09-2008, 16:43
Ну,Firewal включен,а как и с какими настройками включить NAT, и что это даст? Спасибо

vectorm
26-09-2008, 16:52
Ну,Firewal включен,а как и с какими настройками включить NAT, и что это даст? Спасибо
Если файерволл включен - никто извне ничего лишнего не увидит.

elbandy
16-10-2008, 09:38
Сейчас стоит D-Link. В firewall можно задать диапазон IP адресов в пунктах start IP и end IP через web интерфейс для, скажем, блокировки портов. Ничего подобного в wl500gpV2 любой прошивки не нашел. Прошу помощи, можно ли задать диапазон IP в internet firewall и как это сделать?

Tresh
16-10-2008, 21:25
man iptables

elbandy
17-10-2008, 07:28
Значит через web не работает, а руками можно? Хорошо, спасибо.

Tresh
17-10-2008, 09:51
Для "стартующих" проще через веб-интерфейс, но даже в прикрепленном мануале настоятельно советуют все делать с помощью iptables

Morze
17-10-2008, 10:07
Значит через web не работает, а руками можно? Хорошо, спасибо.

Можно попробовать задать маской типа 192.168.1.0/24 заблокирует 192.168.1.0-192.168.1.255

эквивалентное правило в табельсах
iptables -A INPUT -p TCP -s 192.168.1.0/24 --dport [порт] -j DROP

elbandy
17-10-2008, 10:12
Лично мне не сложно и руками, просто несложные вещи быстро натыкал через web, запустил и не паришься, а так в консоль лезть. Впрочем киска тоже с таким подходом. Спасибо за инфу.

elbandy
17-10-2008, 10:14
Можно попробовать задать маской типа 192.168.1.0/24 заблокирует 192.168.1.0-192.168.1.255

эквивалентное правило в табельсах
iptables -A INPUT -p TCP -s 192.168.1.0/24 --dport [порт] -j DROP

Слеш в web фейсе не принимает, кроме того скажем задал по MAC 10 компов, у 3 можно все, соотнес им IP, остальным режу аськи социальные и т.д., и нужно обрезать, скажем, не только 192.168.1.100-254, а и какой нибудь 218.212.1.152-254 по портам. В web фейсе не могу, порты так - 81:65252, а IP никак.

bagira
08-11-2008, 14:01
прочитала рекомендацию сделать

WAN to LAN Filter: выбрать Packets(WAN to LAN) not specified will be: DROP


у меня выделеный-реальный ип , скажите чем мне может грозить если будет как сейчас выключена это опция .

Или мне все же надо выставить эти параметры...
я просто не понимаю для чего она ....

Я использую на роутере 2 компа по WI-FI + 1 по кабелю.
хочу сделать безопасные настройки , больше закрыться из вне...

Power
08-11-2008, 14:38
Простое правило: если не понимаете - сделайте, как рекомендовано.
Опция отвечает за прохождение пакетов из внешней сети (WAN) во внутреннюю (домашнюю, LAN) - тех из них, которые не попали под действие других правил.
Рекомендация разумная.

AndreyPopov
08-11-2008, 14:58
[QUOTE=bagira;119003]прочитала рекомендацию сделать

WAN to LAN Filter: выбрать Packets(WAN to LAN) not specified will be: DROP

[QUOTE]

эта установка означает, что все запросы и пакеты программ и протоколов, которые НЕ приведены в нижеприведенном списке будут отброшены (заблокированы).

приведенным в списке по умолчанию следует считать запросы из внутренней сети.

bagira
08-11-2008, 15:05
а что это могут быть за запросы ? (в плане безпастности, взлом роутера или взлом компьютеров ?)

я просто не совсем понимаю , если я уберу роутер и на прямую пущу комп по линии (компу присвоится реальный ип) , (у меня стоит файрвол оутпост) эти запросы с роутером и без роутера (напрямую комп) как могут повредить роутер или комп ??

Я так понимаю это у роутера если выставить то что рекомендуется появляется еще одна ступень защиты от внешний пакетов ?

Но вся сеть интернет состоит из пакетов, я отправила пакет -- получила и тп...

Мне просто нужно понять что может вообще произойти если я оставлю выключенной эту опцию....

AndreyPopov
08-11-2008, 15:09
а у меня стоит файрвол оутпост

а у роутера свой firewall стоит. вот его параметры вы и настраиваете!

bagira
08-11-2008, 15:25
поняла , то есть рекомендуется включить...

оп, а там две таблицы , извините за мою неопытность, в двух местах ставить ВКЛЮЧИТЬ и выставить DROP , либо хватит только у одной только включить и выставить и с 0000 до 23:59 ...

я просто очень боюсь эспериментов ... помогите....

AndreyPopov
08-11-2008, 15:44
поняла , то есть рекомендуется включить...

оп, а там две таблицы , извините за мою неопытность, в двух местах ставить ВКЛЮЧИТЬ и выставить DROP , либо хватит только у одной только включить и выставить и с 0000 до 23:59 ...

я просто очень боюсь эспериментов ... помогите....

по большому счету ПО УМОЛЧАНИЮ все включено как надо по максимуму - та то и трогать не надо ничего!

ну и если вы все же читать умеете то одна таблица называется:
LAN to WAN filter
а другая WAN to LAN filter

разницу чувствуете?

bagira
08-11-2008, 15:54
ага спасибо, теперь увидила разницу.
насчет включено по умолчанию, на самом деле эту опцию я даже не трогала и она у меня стоит в NO

Еще раз если можно.... и если я не надоедаю уже....

Я включаю
WAN to LAN Filter: выбрать Packets(WAN to LAN) not specified will be: DROP

Это ни как не повлияет на мою жизнь :-) компов?

Я могу пингать, трасер делать, выходить в интернет и все все ни чего не изменится...
Как я поняла включив WAN to LAN Filter: опцию , от провайдера уже не смогут поступать направленые пакеты ко мне (которые именно не я отправляла и не ожидаю их получить)
Это опция еще одна ступень безопасности ?

У меня нет подключений между компьютерами, все компы подключены через роутер (2 WI-FI + 1 по кабелю) и только для выхода в интернет...
Все равно нужно ставить ?


просто я понимаю когда стоит файрвол включить или нет, это понятно, пинг доступен или отключить... но когда с этими пакетами я просто не понимаю эту опцию..
последний раз извините, больше мои вопросы и опасения изчезнут.

AndreyPopov
08-11-2008, 16:03
ага спасибо, теперь увидила разницу.
насчет включено по умолчанию, на самом деле эту опцию я даже не трогала и она у меня стоит в NO

Еще раз если можно.... и если я не надоедаю уже....

Я включаю
WAN to LAN Filter: выбрать Packets(WAN to LAN) not specified will be: DROP

Это ни как не повлияет на мою жизнь :-) компов?

Я могу пингать, трасер делать, выходить в интернет и все все ни чего не изменится...
Как я поняла включив WAN to LAN Filter: опцию , от провайдера уже не смогут поступать направленые пакеты ко мне (которые именно не я отправляла и не ожидаю их получить)
Это опция еще одна ступень безопасности ?

У меня нет подключений между компьютерами, все компы подключены через роутер (2 WI-FI + 1 по кабелю) и только для выхода в интернет...
Все равно нужно ставить ?


просто я понимаю когда стоит файрвол включить или нет, это понятно, пинг доступен или отключить... но когда с этими пакетами я просто не понимаю эту опцию..
последний раз извините, больше мои вопросы и опасения изчезнут.

да опция WAN to LAN включена по умолчанию!!!
если на странице Internet Firewall -> Basic Settings вы сказали Yes на Enable Firewall (она кстати тоже включена по умолчанию)!!!!

давайте уточним: зачем вам понимать? все в этом роутере сделано так, чтобы пользователем с начальным уровнем знаний никуда не лез и ничего не трогал - все уже сделано и настроено!
если же вы продвинутый пользователь и вам что-то нужно специфическое от роутера - то вам предоставляются соответсвущие настройки!

bagira
08-11-2008, 16:21
"""" да опция WAN to LAN включена по умолчанию!!! """"""

почему то она не включена у меня по умолчанию.....
я не чего особо такого не трогала, я только отключила возможность пинга и тп ..

сейчас конечно сброшу все настройки по умолчанию и посмотрю включино или нет WAN to LAN по умолчанию

Я сделала сброс настроек и файрвол да включен по умолчанию, а опции все что находятся WAN to LAN Filter: по умолчанию отключены стоит NO

A-r-t
30-11-2008, 22:26
хрен знает когда и почему, но как показали тестирования у меня перестал работать фильтрация МАК адресов, устройство wl-500gp ничего особо не менял, кроме самого списка, иногда добалял-удолял адреса, прошивка от олега. подскажите что можно сделать, перепрошивать оставил как крайний вариант

Power
30-11-2008, 23:06
Может, вы его просто отключили?

A-r-t
02-12-2008, 09:28
если бы все было так просто, я уже раз 10 ставил и Disable и обратно Accept, раньше была такая же ситуация, но тогда я случайно ввел пустой МАК адрес, тоесть идет список, а посреди путое поле, тогда тоже всех пропускало, но теперь же я весь список вводил заново, ничего не помогает

A-r-t
02-12-2008, 09:32
ну вот, и перепрошивка не канает. посоветуйте куда лезть то, что бы проверить работоспособность этого параметра, ну или как ПОЛНОСТЬЮ обновить програмное обеспечение маршуртизатора ?

Power
02-12-2008, 22:05
Тогда, может, вы сам firewall отключили (Internet Firewall - Basic Config)?

hoomanoid
28-01-2009, 00:52
реально ли? нужно для некоторых клиентов.
стыдно будет, если ткнёте в такую же существующую тему, но в поиске я прочесал 10 страниц и начего полезного для себя не нашёл
я в линуксе не очень, но если хотя бы дадите направление, куда двигаться, то справлюсь. в идеале бы конечно получить как можно более подробную инструкцию

AndreyPopov
28-01-2009, 01:01
реально ли? нужно для некоторых клиентов.
стыдно будет, если ткнёте в такую же существующую тему, но в поиске я прочесал 10 страниц и начего полезного для себя не нашёл
я в линуксе не очень, но если хотя бы дадите направление, куда двигаться, то справлюсь. в идеале бы конечно получить как можно более подробную инструкцию

какой именно VPN????????????
если PPTP - то клиент внутри прошивки (как и L2TP)
если OpenVPN или IPSec - то надо дополнительно ставить

hoomanoid
28-01-2009, 05:55
какой именно VPN????????????
если PPTP - то клиент внутри прошивки (как и L2TP)
если OpenVPN или IPSec - то надо дополнительно ставить
да, PPTP
а клиент будет ли работать с внешнего интерфейса? мне говорили, что он только изнутри сети доступен

AndreyPopov
28-01-2009, 14:02
да, PPTP
а клиент будет ли работать с внешнего интерфейса? мне говорили, что он только изнутри сети доступен
выберите тип WAN подключения PPTP и будет вам счастье. как его настраивать тут есть много тем, в том числе есть приклееная.

smiak
01-02-2009, 13:12
Как заставить работать virtual server в MAN (локальная сеть провайдера).
С интернета работает отлично. Наверное нужно iptables разрулить.Подскажите пожалуйста.
iptables -L FORWARD -vn
Chain FORWARD (policy ACCEPT 87 packets, 4508 bytes)
pkts bytes target prot opt in out source destination
1054 175K MACS all -- br0 * 0.0.0.0/0 0.0.0.0/0
6 312 ACCEPT all -- br0 br0 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
157 7952 TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x16/0x02 TCPMSS clamp to PMTU
2181 1233K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 DROP all -- !br0 ppp0 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- !br0 vlan1 0.0.0.0/0 0.0.0.0/0
71 3480 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate DNAT



route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.10.10.2 10.51.3.1 255.255.255.255 UGH 1 0 0 vlan1
192.168.3.3 192.168.0.191 255.255.255.255 UGH 1 0 0 br0
10.0.0.2 10.51.3.1 255.255.255.255 UGH 0 0 0 vlan1
10.8.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.60.10 192.168.0.191 255.255.255.255 UGH 1 0 0 br0
10.51.3.0 0.0.0.0 255.255.255.0 U 0 0 0 vlan1
192.168.80.0 192.168.0.191 255.255.255.0 UG 1 0 0 br0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
10.0.0.0 10.51.3.1 255.0.0.0 UG 0 0 0 vlan1
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 94.27.124.3 0.0.0.0 UG 0 0 0 ppp0
0.0.0.0 10.51.3.1 0.0.0.0 UG 1 0 0 vlan1


iptables -L -vnt mangle
Chain PREROUTING (policy ACCEPT 7548 packets, 2864K bytes)
pkts bytes target prot opt in out source destination

Chain INPUT (policy ACCEPT 4856 packets, 1512K bytes)
pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 2565 packets, 1335K bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 4821 packets, 824K bytes)
pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 7368 packets, 2158K bytes)
pkts bytes target prot opt in out source destination



ifconfig
br0 Link encap:Ethernet HWaddr 00:1E:8C:3D:FE:08
inet addr:192.168.0.190 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::21e:8cff:fe3d:fe08/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3412 errors:0 dropped:0 overruns:0 frame:0
TX packets:2063 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:343726 (335.6 KiB) TX bytes:1518002 (1.4 MiB)

eth0 Link encap:Ethernet HWaddr 00:1E:8C:3D:FE:08
inet6 addr: fe80::21e:8cff:fe3d:fe08/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:5886 errors:0 dropped:0 overruns:0 frame:0
TX packets:4421 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:1773723 (1.6 MiB) TX bytes:1908023 (1.8 MiB)
Interrupt:4 Base address:0x1000

eth1 Link encap:Ethernet HWaddr 00:1E:8C:3D:FE:08
inet6 addr: fe80::21e:8cff:fe3d:fe08/10 Scope:Link
UP BROADCAST RUNNING MTU:1500 Metric:1
RX packets:51 errors:0 dropped:0 overruns:0 frame:141
TX packets:1816 errors:12 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:6785 (6.6 KiB) TX bytes:122306 (119.4 KiB)
Interrupt:12 Base address:0x2000

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:1257 errors:0 dropped:0 overruns:0 frame:0
TX packets:1257 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:109881 (107.3 KiB) TX bytes:109881 (107.3 KiB)

ppp0 Link encap:Point-Point Protocol
inet addr:94.27.104.134 P-t-P:94.27.124.3 Mask:255.255.255.255
UP POINTOPOINT RUNNING MULTICAST MTU:1400 Metric:1
RX packets:2210 errors:0 dropped:0 overruns:0 frame:0
TX packets:1842 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:1199468 (1.1 MiB) TX bytes:237090 (231.5 KiB)

tun0 Link encap:Point-Point Protocol
inet addr:10.8.0.1 P-t-P:10.8.0.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

vlan0 Link encap:Ethernet HWaddr 00:1E:8C:3D:FE:08
inet6 addr: fe80::21e:8cff:fe3d:fe08/10 Scope:Link
UP BROADCAST RUNNING MTU:1500 Metric:1
RX packets:3374 errors:0 dropped:0 overruns:0 frame:0
TX packets:2117 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:352357 (344.0 KiB) TX bytes:1533423 (1.4 MiB)

vlan1 Link encap:Ethernet HWaddr 00:1A:4D:5E:6D:79
inet addr:10.51.3.248 Bcast:10.51.3.255 Mask:255.255.255.0
inet6 addr: fe80::21a:4dff:fe5e:6d79/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:2512 errors:0 dropped:0 overruns:0 frame:0
TX packets:2302 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1315418 (1.2 MiB) TX bytes:374452 (365.6 KiB)

smiak
02-02-2009, 18:51
Итак с проблемой разобрался.
Чтоби посмотреть проходят ли пакеты на роутере которые прописаны в virtual server.
iptables -L -vxn -t nat
обратить внимание на VSERVER - там есть счетчик пакетов и байт. Если там всё по нулям то ето действительно проблема с маршрутизацией MAN-LAN или WAN-LAN. Если чтото есть значит проблема не на роутере.

Я хотел пробросить локальние фтп сервера другого провайдера в МАН интерфейс своего провайдера - ето не возможно поскольку пакеты идут только в одну сторону! Тоесть удаленний сервер не видит кто ему обращаетса с моего МАН интерфеса.


Так что с маршрутизацией MAN-LAN у роутера всё в порядке.

TAG
11-03-2009, 10:37
Народ помогите плиз.
Решил опробовать встроенный firewall в Asus WL500gp.
И так вот настройки см. скрин.
Все вроде нормально работает.
Прописаны в правилах: ICQ, IMAP, ну и 80 порт.
Проблема в следующем, не могу понять как создать правило для uTorrent,
В NAT Setting - Virtual Server прописал нужный порт, толку ноль.
Если ставлю Enable LAN to WAN Filter? NO и перезагружаю роутер то все раздается и качается....
Подскажите что не так делаю.

Less
11-03-2009, 11:13
Так Вы его забанить или открыть хотите, я что то не понял :confused:

Power
11-03-2009, 12:46
Торрент использует неопределённый диапазон портов и адресов, так что для его работы придётся разрешить всё.

TAG
11-03-2009, 12:49
Так Вы его забанить или открыть хотите, я что то не понял :confused:
Из скриншота видно, что я поставил все под запрет, кроме явно указаного.
Мне нужно открыть торренту.

TAG
11-03-2009, 12:50
Торрент использует неопределённый диапазон портов и адресов, так что для его работы придётся разрешить всё.

А как это сделать, тупо все разрешить фаерволу? Тогда нафиг он нужен?

Power
11-03-2009, 12:55
А как это сделать, тупо все разрешить фаерволу? Тогда нафиг он нужен?

Зачем вам вообще фильтровать исходящий трафик? Обычно фильтруют только входящий.

Less
11-03-2009, 13:04
Хорошо открыть дорогу для uTorrent не так уж и сложно


## uTorrent
iptables -t nat -I PREROUTING -i $WANIF -p tcp --dport 25544 -j DNAT --to-destination 192.168.1.2:25544
iptables -t nat -I PREROUTING -i $WANIF -p udp --dport 25544 -j DNAT --to-destination 192.168.1.2:25544
iptables -I FORWARD -i $WANIF -p tcp --dport 25544 -d 192.168.1.2 -j ACCEPT
iptables -I FORWARD -i $WANIF -p udp --dport 25544 -d 192.168.1.2 -j ACCEPT

$WANIF - WAN интерфейс (ppp0 или vlan1... что там у Вас).

Простите а прошывка у Вас от Олега?

И для того что бы ограничить доступ к портам, Вы там кучу правил наворотили.

А можно просто в конце файла /usr/local/sbin/post-firewall добавте

iptables - A INPUT -j DROP
iptables - A OUTPUT -j DROP
iptables - A FORWARD -j DROP

И всё что не разрешено всё дропается.

2 Power
Обычно ето когда? Любой случай имеет свои определённые нюансы, и даже фильтровать входищие не всегда ефективно если у вас есть правило типа

iptables -A INPUT -m state RELATED,ESTABLISHED -j ACCEPT
То любой бекдор сделает дыру в Вашей системе защиты.

TAG
11-03-2009, 13:47
Less, спасибо за совет... вечером буду пробовать.
Кстати через веб морду я так понимаю сие сделать нельзя?
Прошивка да от Олега.
Кстати поясните, может я не прав:
WAN to LAN у меня стоит DROP (как я понимю пока руками не пропишу, все блокируется)
LAN to WAN тоже самое, а вправилах как раз и прописано по IP и порту, аська да гугл со своими сервисами.
Собственно все работает.... но вот торренты обломались.

Прав ли я в настройках?
Я просто чисто логически исходил, ежли в LAN to WAN стоит DROP и в правилах порт 5190 (ICQ) то она и неработает.
Посему я и посчитал что надежней прописывать правила через LAN to WAN, а WAN to LAN тупо все блокирует.

Less
11-03-2009, 14:07
Можно через VSERVER (я привык через консоль делать так мне удобней, и быстрее).

WAN to LAN (drop) = не принимать входищих соединений на порты отличные от 53 (DNS) и если в настройках WAN порта стоит получать адрес автоматически то 68 (DHCP), 123 (NTP) синхронизация времени.
Может что то забыл.

А вот с LAN to WAN картина другая (по умолчанию) исходящие соединения разрешены не все порты.

Торрент по умолчанию не даст Вам полной скорости пока не пробросите порты (для роздачи) а для скачивания и так должен работать неплохо.

З.Ы.
iptables -I FORWARD -i $WANIF -p tcp --dport 25544 -d 192.168.1.2 -j ACCEPT
25544 порт в uTorrent
192.168.1.2 IP адрес Вашого компа.

TAG
11-03-2009, 14:13
Еще раз спвасибо, вечером пошаманю.

А вот с LAN to WAN картина другая (по умолчанию) исходящие соединения разрешены не все порты.

Тоесть поступаю я правильно, блокируя все LAN to WAN и руками раздавая нужные правила?

bbsc
11-03-2009, 14:45
TAG, UPnP Вам категорически не нравится?
Все делается через вэб-морду, на любые порты и на любое разумное количество компов внутри сети.
Вот, к примеру, настройки роутера, p2p клиента, uTorrent-а и Миранды:

azhur
11-03-2009, 15:15
Торрент использует неопределённый диапазон портов и адресов, так что для его работы придётся разрешить всё.
Угу.
Со входящими соединениями всё просто - вы знаете какой порт настроен у вас в клиенте и его и пробрасываете до вашего компа через виртуал сервер к примеру.
А с исходящими соединениями всё гораздо сложнее.
У того, с кого вы хотите качать в настройках клиента может быть вбит любой порт (хотя порты из первой тысячи маловероятны). Соответственно в LAN to WAN нужно открывать любые порты, или не сможете законнектиться ко многим пирам. И хорошо, если они захотят вместо этого коннектиться к вам. Так что или открывать на выход всё, или включать UPnP, третьего насколько знаю не дано.

Less
11-03-2009, 15:51
Или использовать прокси в котором прописаны правила кому, когда и сколько...

Sashunya
11-03-2009, 21:13
Все делается через вэб-морду, на любые порты и на любое разумное количество компов внутри сети.


Спасибо! Самое простое решение для проброса портов. Но такой вопрос, а для рторрента порты все равно надо открывать? Он держит Upnp? А какая нагрузка на роутер при, скажем, 3 компах?

bbsc
11-03-2009, 21:20
Sashunya, пожалуйста.
Для rtorrent порты открывать все равно надо (но у Вас же был вопрос о uTorrent, не так ли?)
Ограничений у UPnP я не знаю, но думаю, что три компа роутер обслужит :)
У меня два работают отлично плюс разное мобильное барахло еще...

aivanov
11-03-2009, 22:24
Sashunya, пожалуйста.
Для rtorrent порты открывать все равно надо (но у Вас же был вопрос о uTorrent, не так ли?)
Ограничений у UPnP я не знаю, но думаю, что три компа роутер обслужит :)
У меня два работают отлично плюс разное мобильное барахло еще...

uTorrent сходу заработал через UPnP, потом я решил перенести торренты на валяющийся под тумбочкой ноут без батарейки, но с FreeBSD на борту... собрал rtorrent 0.8.2, запустил - и всё заработало (включая раздачу) без дополнительных телодвижений на роутере

TAG
12-03-2009, 06:59
Less, попробовал вот что пишет.

[TAG@share root]$ ## uTorrent
[TAG@share root]$ iptables -t nat -I PREROUTING -i $WANIF -p tcp --dport 52810 -j DNAT --to-destination 192.168.1.216:52810
Warning: wierd character in interface `-p' (No aliases, :, ! or *).
Bad argument `tcp'
Try `iptables -h' or 'iptables --help' for more information.
[TAG@share root]$ iptables -t nat -I PREROUTING -i $WANIF -p udp --dport 52810 -j DNAT --to-destination 192.168.1.216:52810
Warning: wierd character in interface `-p' (No aliases, :, ! or *).
Bad argument `udp'
Try `iptables -h' or 'iptables --help' for more information.
[TAG@share root]$ iptables -I FORWARD -i $WANIF -p tcp --dport 52810-d 192.168.1.216 -j ACCEPT
Warning: wierd character in interface `-p' (No aliases, :, ! or *).
Bad argument `tcp'
Try `iptables -h' or 'iptables --help' for more information.
[TAG@share root]$ iptables -I FORWARD -i $WANIF -p udp --dport 52810 -d 192.168.1.216 -j ACCEPT
Warning: wierd character in interface `-p' (No aliases, :, ! or *).
Bad argument `udp'
Try `iptables -h' or 'iptables --help' for more information.
[TAG@share root]$
[TAG@share root]$

bbsc, так и стоит, но не работает.
У вас как встроенный фаер отключен?

Вот скрин, как идет само соединение

bbsc
12-03-2009, 07:38
bbsc, так и стоит, но не работает.
У вас как встроенный фаер отключен?Файер включен, LAN to WAN Filter отключен. Это если говорить о вэб-морде.

Не пойму только, как с таким внешним static IP Вы будете раздавать торренты.

TAG
12-03-2009, 07:42
Да раздаются они.... по крайне мере на torrents.ru рейтинг идет.
А вот отключать LAN to WAN Filter неохота, если я его отрубаю, то у меня и без форвардинга все работает.

Sashunya
12-03-2009, 08:03
Да раздаются они.... по крайне мере на torrents.ru рейтинг идет.
А вот отключать LAN to WAN Filter неохота, если я его отрубаю, то у меня и без форвардинга все работает.

Раздача будет идти даже при закрытых портах (правда скорость никакая), у меня при отключенном Лан ту ВАН, например, ДЦ++ не работает, Уторрент имеет маленькую отдачу, при ручном прописывании Iptables или включении того же UPnP все стало на свои места и работает.

Насчет $WANIF выше писали, что нужно вместо этого вписывать имя интерфейса. Я вообще убирал -i $WANIF и все работало отлично, правда потом отказался и прописал везде UPnP. Быстро дешево и сердито.

TAG
14-03-2009, 17:30
Народ, а что скажет про такой вот скрипт iptables

#!/bin/sh

# Задаем некоторые переменные:

# Переменная, задающая путь к файлу запуска iptables.
IPT="/sbin/iptables"

# Ваш сетевой интерфейс. Это нужно, чтобы не писать в правилах одно и тоже.
INET_IFACE="ppp0"

# Номера непривилегированных портов
UNPRIPORTS="1024:65535"

start_fw()
{
# Включить перенаправление пакетов через ядро.
echo 1 > /proc/sys/net/ipv4/ip_forward

# Сбросить правила и удалить цепочки.
$IPT -F
$IPT -X

# Политики по умолчанию.
$IPT -P INPUT DROP
$IPT -P FORWARD ACCEPT
$IPT -P OUTPUT DROP

# Разрешаем прохождение любого трафика по интерфейсу обратной петли.
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT

# Запрещаем любые новые подключения с любых интерфейсов, кроме lo к компьютеру.
$IPT -A INPUT -m state ! -i lo --state NEW -j DROP

# Если интерфейс не lo, то запрещаем входить в список его адресов.
$IPT -A INPUT -s 127.0.0.1/255.0.0.0 ! -i lo -j DROP

# Отбрасывать все пакеты, которые не могут быть идентифицированы и поэтому не могут иметь определенного статуса.
$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -A FORWARD -m state --state INVALID -j DROP

# Принимать все пакеты, которые инициированы из уже установленного соединения, и имеющим признак ESTABLISHED.
# Состояние ESTABLISHED говорит о том, что это не первый пакет в соединении.
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Предупреждаю вас о туповатых провайдерах, которые назначают IP адреса, отведенные IANA для локальных сетей.
# Например адреса 10.X.X.X. Для этого надо установить правило, пропускающие трафик с этих серверов, ранее цепочки INPUT.
$IPT -t nat -I PREROUTING -i $INET_IFACE -s 10.0.0.1/32 -j ACCEPT

# Эти правила предохраняют от некоторых типов атак:

# SYN наводнение.
# Приводит к связыванию системных ресурсов, так что реальных обмен данными становится не возможным.
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
$IPT -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP

# UDP наводнение
# Службы использующие UDP, очень часто становятся мишенью для атак с целью вывода системы из строя.
$IPT -A INPUT -p UDP -s 0/0 --destination-port 138 -j DROP
$IPT -A INPUT -p UDP -s 0/0 --destination-port 113 -j REJECT
$IPT -A INPUT -p UDP -s 0/0 --source-port 67 --destination-port 68 -j ACCEPT
$IPT -A INPUT -p UDP -j RETURN
$IPT -A OUTPUT -p UDP -s 0/0 -j ACCEPT

# ICMP - перенаправление
# ICMP - сообщение указывает системе изменить содержимое таблиц маршрутизации с тем, что бы направлять
# пакеты по более короткому маршруту. Может быть использовано взломщиком для перенаправления вашего трафика через свою машину.
$IPT -A INPUT --fragment -p ICMP -j DROP
$IPT -A OUTPUT --fragment -p ICMP -j DROP

# Разрешаем ICMP соединение. Значительная часть ICMP используется для передачи сообщений о
# том, что происходит с тем или иным UDP или TCP соединением.
$IPT -A INPUT -p icmp -m icmp -i $INET_IFACE --icmp-type source-quench -j ACCEPT
$IPT -A OUTPUT -p icmp -m icmp -o $INET_IFACE --icmp-type source-quench -j ACCEPT

# Разрешаем себе ping наружу - нас же не попингуешь - пакеты отбрасываются.
$IPT -A INPUT -p icmp -m icmp -i $INET_IFACE --icmp-type echo-reply -j ACCEPT
$IPT -A OUTPUT -p icmp -m icmp -o $INET_IFACE --icmp-type echo-request -j ACCEPT

# Разрешаем передачу пакета - некорректный параметр - используется, если в заголовке пакета содержится недопустимая запись,
# или если контрольная сумма заголовка не соответствует контрольной сумме, указанной передающим узлом.
$IPT -A INPUT -p icmp -m icmp -i $INET_IFACE --icmp-type parameter-problem -j ACCEPT
$IPT -A OUTPUT -p icmp -m icmp -o $INET_IFACE --icmp-type parameter-problem -j ACCEPT

# Запрещаем подключение к X серверу через сетевые интерфейсы.
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport 6000:6063 -j DROP --syn

# Прописываем порты, которые открыты в системе, но которые не должны быть открыты на сетевых интерфейсах:
# $IPT -A INPUT -p tcp -m tcp -m multiport -i $INET_IFACE -j DROP --dports #порта
$IPT -A INPUT -p tcp -m tcp -m multiport -i $INET_IFACE -j DROP --dports 783
$IPT -A INPUT -p tcp -m tcp -m multiport -i $INET_IFACE -j DROP --dports 3310
$IPT -A INPUT -p tcp -m tcp -m multiport -i $INET_IFACE -j DROP --dports 10000

# DNS сервер имен разрешаем.
$IPT -A OUTPUT -p udp -m udp -o $INET_IFACE --dport 53 --sport $UNPRIPORTS -j ACCEPT
$IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 53 --sport $UNPRIPORTS -j ACCEPT
$IPT -A INPUT -p udp -m udp -i $INET_IFACE --dport $UNPRIPORTS --sport 53 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport 1024:65353 --sport 53 -j ACCEPT

# Разрешаем AUTH-запросы на удаленные сервера, на свой же компьютер - запрещаем.
$IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 113 --sport $UNPRIPORTS -j ACCEPT
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIPORTS --sport 113 -j ACCEPT ! --syn
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport 113 -j DROP

# Открываем некоторые порты:

# SMTP клиент (25)
$IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 25 --sport $UNPRIPORTS -j ACCEPT
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIPORTS --sport 25 -j ACCEPT ! --syn

# POP3 клиент (110)
$IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 110 --sport $UNPRIPORTS -j ACCEPT
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIPORTS --sport 110 -j ACCEPT ! --syn

# IMAP4 клиент (143)
$IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 143 --sport $UNPRIPORTS -j ACCEPT
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIPORTS --sport 143 -j ACCEPT ! --syn

# SSH клиент (22)
$IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 22 --sport $UNPRIPORTS -j ACCEPT
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIPORTS --sport 22 -j ACCEPT ! --syn
$IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 22 --sport 1020:1023 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport 1020:1023 --sport 22 -j ACCEPT ! --syn

# FPT клиент (21)
$IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 21 --sport $UNPRIPORTS -j ACCEPT
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIPORTS --sport 21 -j ACCEPT ! --syn

# HTTP/HTTPS клиент (80, 443)
$IPT -A OUTPUT -p tcp -m tcp -m multiport -o $INET_IFACE --sport $UNPRIPORTS -j ACCEPT --dports 80,443
$IPT -A INPUT -p tcp -m tcp -m multiport -i $INET_IFACE --dport $UNPRIPORTS -j ACCEPT --sports 80,443 ! --syn

# Разрешаем finger, whois, gorper, wais. Traceroute - разрешаем себе, к нам не проломятся - запрещено. Telnet
# запретил, чтобы соблазна не было передавать пароли прямым текстом.
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIPORTS --sport 20 -j ACCEPT
$IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 20 --sport $UNPRIPORTS -j ACCEPT ! --syn
$IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport $UNPRIPORTS --sport $UNPRIPORTS -j ACCEPT
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIPORTS --sport $UNPRIPORTS -j ACCEPT ! --syn
$IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 23 --sport $UNPRIPORTS -j ACCEPT
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIPORTS --sport 23 -j ACCEPT ! --syn
$IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 79 --sport $UNPRIPORTS -j ACCEPT
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIPORTS --sport 79 -j ACCEPT ! --syn
$IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 43 --sport $UNPRIPORTS -j ACCEPT
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIPORTS --sport 43 -j ACCEPT ! --syn
$IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 70 --sport $UNPRIPORTS -j ACCEPT
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIPORTS --sport 70 -j ACCEPT ! --syn
$IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 210 --sport $UNPRIPORTS -j ACCEPT
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIPORTS --sport 210 -j ACCEPT ! --syn
$IPT -A OUTPUT -p udp -m udp -o $INET_IFACE --dport 33434:33523 --sport 32769:65535 -j ACCEPT

# Разрешаем прохождение DHCP запросов через iptables. Нужно, если IP адрес динамический.
$IPT -A OUTPUT -p udp -m udp -o $INET_IFACE --dport 67 --sport 68 -j ACCEPT
$IPT -A INPUT -p udp -m udp -i $INET_IFACE --dport 68 --sport 67 -j ACCEPT

}

case "$1" in
start) echo -n "Starting firewall: iptables"
start_fw
echo "."
;;
stop) echo -n "Stopping firewall: iptables"
iptables -F
iptables -X
echo "."
;;
save) echo -n "Saving firewall: iptables"
iptables-save > /etc/rules-save
echo "."
;;
restart) echo -n "Restarting firewall: iptables"
iptables -F
iptables -X
cat /etc/rules-save | iptables-restore
echo "."
;;
reload|force-reload) echo -n "Reloading configuration files for firewall: iptables"
echo "."
;;
*) echo "Usage: /etc/init.d/rc.iptables start|stop|restart|reload|force-reload"
exit 1
;;
esac
exit 0

TAG
15-03-2009, 10:59
Понимаю что всех достал :)
Но так и не получилось перенаправить порт.
вот листинг iptables

Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:9091
ACCEPT tcp -- anywhere anywhere tcp dpt:65534
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
logaccept all -- anywhere anywhere state NEW
logaccept all -- anywhere anywhere state NEW
logaccept igmp -- anywhere BASE-ADDRESS.MCAST.NET/4
logaccept udp -- anywhere BASE-ADDRESS.MCAST.NET/4udp dpt:!upnp
SECURITY all -- anywhere anywhere state NEW
logaccept tcp -- anywhere share tcp dpt:www
logaccept tcp -- anywhere anywhere tcp dpt:ftp
logaccept tcp -- anywhere anywhere tcp dpt:printer
logaccept tcp -- anywhere anywhere tcp dpt:laserjet
logaccept tcp -- anywhere anywhere tcp dpt:3838
DROP all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination
logaccept all -- anywhere anywhere
DROP all -- anywhere anywhere state INVALID
ACCEPT udp -- anywhere BASE-ADDRESS.MCAST.NET/4
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
DROP all -- anywhere anywhere
SECURITY all -- anywhere anywhere state NEW
logaccept tcp -- anywhere anywhere tcp dpts:ftp-data:ftp
logaccept tcp -- anywhere anywhere tcp dpt:www
logaccept tcp -- anywhere 205.188.0.0/16 tcp dpt:5190
logaccept tcp -- anywhere 64.233.0.0/16 tcp dpt:imaps
logaccept tcp -- anywhere 64.233.0.0/16 tcp dpt:ssmtp
logaccept tcp -- anywhere 64.233.0.0/16 tcp dpt:https
logaccept tcp -- anywhere 64.233.0.0/16 tcp dpt:pop3s
logaccept tcp -- anywhere 216.239.0.0/16 tcp dpt:5223
logaccept tcp -- anywhere 169.254.0.0/16 tcp dpt:1041
logaccept tcp -- anywhere 64.12.0.0/16 tcp dpt:5190
logaccept tcp -- anywhere 63.245.0.0/16 tcp dpt:https
logaccept tcp -- anywhere gphou2-209-85-0-0.theplanet.com/16tcp dpt:5223
logaccept tcp -- anywhere 64.233.0.0/16 tcp dpt:imaps
logaccept tcp -- anywhere gphou2-209-85-0-0.theplanet.com/16tcp dpt:https
logaccept tcp -- anywhere 74.125.0.0/16 tcp dpt:https
logaccept tcp -- anywhere 74.125.0.0/16 tcp dpt:imaps
logaccept tcp -- anywhere 0.0.0.0 tcp dpt:52810
logaccept tcp -- anywhere anywhere tcp spt:5128
logaccept tcp -- anywhere anywhere tcp dpt:52810
DROP all -- anywhere anywhere
logaccept all -- anywhere anywhere ctstate DNAT
DROP all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain MACS (0 references)
target prot opt source destination

Chain SECURITY (2 references)
target prot opt source destination
RETURN tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN limit: avg 1/sec burst 5
RETURN tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5
RETURN udp -- anywhere anywhere limit: avg 5/sec burst 5
RETURN icmp -- anywhere anywhere limit: avg 5/sec burst 5
DROP all -- anywhere anywhere

Chain logaccept (30 references)
target prot opt source destination
LOG all -- anywhere anywhere state NEW LOG level warning tcp-sequence tcp-options ip-options prefix `ACCEPT '
ACCEPT all -- anywhere anywhere

Chain logdrop (0 references)
target prot opt source destination
LOG all -- anywhere anywhere state NEW LOG level warning tcp-sequence tcp-options ip-options prefix `DROP '
DROP all -- anywhere anywhere

TOYan
15-03-2009, 14:09
Для лучшего понимания работы iptables рекомендую ознакомиться с этим постом (http://wl500g.info/showpost.php?p=105351&postcount=26). Очень доходчиво расписано.

Mikhail_35
23-04-2009, 10:13
по умолчанию при включенном файрволе все порты закрыты

Почему-то с предыдущей прошивкой 1.9.2.7-10 они были действительно закрыты! И с помощью форвардинга приходилось пробрасывать порты. А с прошивкой 1.9.2.7-10.7 все порты открыты - в инет ломится все, что ни попадя. Как закрыть? При этом UPnP отключен. Если включаю WAN Filter - доступ в инет пропадает вообще (для браузера точно). Памажите люди добрые!:confused:

TomWert
09-05-2009, 13:11
Есть в наличии связка модем Акорп(в режиме моста) и роутер Асус 500gP v1( РРРоЕ), помогите настроить Firewall на роутере, какие настройки нужно сделать для оптимальной его работы?

vectorm
09-05-2009, 14:53
Есть в наличии связка модем Акорп(в режиме моста) и роутер Асус 500gP v1( РРРоЕ), помогите настроить Firewall на роутере, какие настройки нужно сделать для оптимальной его работы?
Смотря что Вам нужно от понятия "оптимальная работа".

Ultra_Kolya
26-06-2009, 16:51
http://wl500g.info/showthread.php?t=13093

yurasfromch
30-06-2009, 14:04
Приветствую.
У нас в офисе роутер WL500W в режиме Home Gateway подключен к провайдеру через PPPoE. Наш провайдер очень не любит, когда трояны на пользовательских машинах рассылают почтовый спам, и закрывает нам совсем 25-й порт. Поскольку от троянов обезопасить все машины надолго задача сложная, в роутере прописано правило в LAN to WAN фильтре вида
Packets(LAN to WAN) not specified will be: DROP
src=*, src-port=1:65535, dst=*, dst-port=1:24, proto=tcp
src=*, src-port=1:65535, dst=*, dst-port=26:65525, proto=tcp
(аналогично для UDP)
src=*, src-port=1:65535, dst=X.X.X.X, dst-port=25, proto=tcp
, где X.X.X.X - адрес нашего почтового сервера с авторизацией (трояны им не воспользуются).
WAN to LAN фильтр отключен

Во внутренней сети есть линуксовый сервер. Проблемы начались, когда возникла необходимость сделать доступ по SSH к этому серверу из интернет. В разделе Virtual Server сделана запись вида:
Enable Virtual Server? YES
22 192.168.X.X 22 TCP Desc

Проблема в том, что доступа нет. Кроме того, роутер не пингуется из интернет. Включение Firewall в разделе Basic Config никак не меняет ситуацию. При том, что там включено Respond Ping Request from WAN? и назначен Port of Web Access from WAN, роутер никоим образом не отвечает абсолютно ни на какие запросы из интернета: ни пинги, ни веб-доступ, ни 22-й на внутренний сервер, ни трейсроут. Если отключить LAN to WAN фильт, то всё начинает работать, как положено: и Virtual Server, и веб-доступ, и пинги. Но нам нужен этот фильтр. Что это? Меня жестоко плющит или баг в роутере? Включение WAN to LAN ничего не дало. Прошивка была 2.0.0.1, обновил до последней 2.0.0.6 - эффект тот же.
Помогите, кто знает.

Power
30-06-2009, 16:16
Для диагностики: зайдите на страницу http://my.router/Main_AdmStatus_Content.asp, выполните команду


iptables-save

и покажите результат.


А вообще, странно у вас настроено. Фильтр WAN to LAN лучше не выключать. Если бы мне пришлось такое настраивать, я бы поставил прошивку от Олега и воспользовался возможностями скриптовой настройки, в частности, post-firewall. Вам же по сути только одно правило нужно:


iptables -A FORWARD -d ! X.X.X.X -i br0 -o ! br0 -p tcp -m tcp --dport 25 -m state --state NEW -j DROP

а вместо этого вам пришлось через веб-интерфейс такую кучу правил наворотить...

yurasfromch
30-06-2009, 16:59
iptables-save у меня не находит. Сделал iptables -L с включенным фильтром и с выключенным. Разница в цепочках INPUT и FORWARD, их и привожу. С фильтром:
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere state NEW
ACCEPT all -- anywhere anywhere state NEW
DROP all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere state NEW
ACCEPT all -- anywhere anywhere state NEW
DROP all -- anywhere anywhere

Без фильтра:
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere state NEW
ACCEPT all -- anywhere anywhere state NEW
ACCEPT tcp -- anywhere anywhere tcp dpt:21
DROP all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN TCPMSS clamp to PMTU
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
DROP all -- anywhere anywhere
DROP all -- anywhere anywhere
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN limit: avg 1/sec burst 5
ACCEPT tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5
ACCEPT icmp -- anywhere anywhere limit: avg 1/sec burst 5 icmp echo-request
ACCEPT all -- anywhere anywhere ctstate DNAT
ACCEPT udp -- anywhere anywhere udp dpt:6112



Это при включенном Firewall в Basic Config. Своих правил из фильтра здесь не наблюдаю, а так разница очевидна.
А какой мне смысл включать WAN to LAN фильтр? Я не знаю, какие туда можно прописать правила. По идее во внутреннюю сеть на адресах 192.168 и так никто не проникнет.

Power
01-07-2009, 00:39
iptables-save у меня не находит. Сделал iptables -L с включенным фильтром и с выключенным. Разница в цепочках INPUT и FORWARD, их и привожу.

Тогда уж iptables -nvL лучше покажите, а то от этого толку мало.



А какой мне смысл включать WAN to LAN фильтр? Я не знаю, какие туда можно прописать правила. По идее во внутреннюю сеть на адресах 192.168 и так никто не проникнет.

Скажем так: если у вас нет причин выключать WAN to LAN, то лучше держать его включённым. Само его включение уже добавляет некоторые правила (надо ещё действием по умолчанию выбрать DROP). Обычная предосторожность.

yurasfromch
02-07-2009, 12:22
Спасибо за помощь. Наверно, поменяю прошивку.

zamza
19-07-2009, 13:58
Доброго дня!

Отвалился ЛАН и ни с одного лана не пингуется роутер.
Все работает по радио как и работает.

после выключения и сброски настроек по умолчанию комп по Лану не пингует роутер... По Радио - пингует.

Так же возник странный артефакт - Горит лампочка Лан1 даже тогда, когда туда не воткнут кабель. Иногда помигивает раз в секунду.

Перепрошивки фирмваре на олеговскую, или любую официальную не приводят к значительным изменениям.

Помогите пожалуйста!

Такое ощущение что какие то настройки остаются даже после сброски настроек по умолчанию.

Перепрошить по tftp не получается - радио не доступно, а лан не работает. Предполагаю что проблемы с настройками, которые не даступны через вэб интерфейс.

Напомните пожалуйста!

falselight
03-08-2009, 22:01
Подскажите как правильно сделать
Мой IP дин. и каждый час обновляется, чтобы мой один из компьютеров видно было из вне нужно прописывать правило с новым IP адресом $MY_NEW_IP
Как правильно это сделать?
iptables -t nat -R PREROUTING 1 -p tcp -d $MY_NEW_IP --dport 80 -j DNAT --to-destination 192.168.1.3:80

Less
03-08-2009, 23:17
Только пара строк в post-firewall



WAN_IP=`nvram get wan0_ipaddr`
iptables -t nat -R PREROUTING 1 -p tcp -d $WAN_IP --dport 80 -j DNAT --to-destination 192.168.1.3:80

Power
04-08-2009, 00:38
А зачем? В веб-интерфейсе - Virtual server - отлично справится.

falselight
05-08-2009, 16:03
когда добавляю это в post-firewall (после чего сохраняюсь и ребут делаю)


WAN_IP=`nvram get wan0_ipaddr`
iptables -t nat -A PREROUTING -p tcp -d $WAN_IP --dport 80 -j DNAT --to-destination 192.168.1.3:80
iptables -A FORWARD -i eth0 -d 192.168.1.3 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

ничего не меняется, как только прописываю вручную БЕЗ $WAN_IP, а с текущим айпи все ок стает... что делать?


[admin@WL-001FC6621E56 root]$ iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere state RELATED,ESTABL ISHED
ACCEPT all -- anywhere anywhere state NEW
ACCEPT all -- anywhere anywhere state NEW
ACCEPT tcp -- anywhere WL-001FC6621E56 tcp dpt:www
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
DROP all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
DROP all -- anywhere anywhere state INVALID
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST,AC K/SYN TCPMSS clamp to PMTU
ACCEPT all -- anywhere anywhere state RELATED,ESTABL ISHED
DROP all -- anywhere anywhere
DROP all -- anywhere anywhere
ACCEPT all -- anywhere anywhere ctstate DNAT
DROP all -- anywhere anywhere
ACCEPT tcp -- anywhere 192.168.1.3 tcp dpt:www
ACCEPT all -- anywhere anywhere state RELATED,ESTABL ISHED

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain MACS (0 references)
target prot opt source destination

Chain SECURITY (0 references)
target prot opt source destination
RETURN tcp -- anywhere anywhere tcp flags:SYN,RST,AC K/SYN limit: avg 1/sec burst 5
RETURN tcp -- anywhere anywhere tcp flags:FIN,SYN,RS T,ACK/RST limit: avg 1/sec burst 5
RETURN udp -- anywhere anywhere limit: avg 5/sec bur st 5
RETURN icmp -- anywhere anywhere limit: avg 5/sec bur st 5
DROP all -- anywhere anywhere

Chain logaccept (0 references)
target prot opt source destination
LOG all -- anywhere anywhere state NEW LOG level warning tcp-sequence tcp-options ip-options prefix `ACCEPT '
ACCEPT all -- anywhere anywhere

Chain logdrop (0 references)
target prot opt source destination
LOG all -- anywhere anywhere state NEW LOG level warning tcp-sequence tcp-options ip-options prefix `DROP '
DROP all -- anywhere anywhere

[Z]eRr0r
22-08-2009, 23:01
Совсем недавно приобрел WL-500W, настройл кое-как :), теперь задумался о целесообразности держать на машине фаервол???

Так что вопрос простой: нужен или нет, и почему?

Power
23-08-2009, 00:01
Нужен, потому что безопасность. Но это сильно зависит от того, как его настроить.

[Z]eRr0r
23-08-2009, 04:07
Добавлю к прошлому сообщению, что фаервол имеется ввиду на ПК из серии outpost, kerio и т.п.

baklajan
03-09-2009, 23:42
Столкнулся с проблемой - на давно настроенном и корректно работающем wl-500g Premium v1 с прошивкой 1.9.2.7-10 понадобилось настроить LAN & WAN filter, дабы зарубить доступ к некоторым сайтам в интернете по их IP. А он, собака, не работает.

В WAN-порт воткнута локальная сеть провайдера, из которой подается интернет через VPN (PPTP).

В LAN-порты - компы. Радио вообще выключено, все на проводах.

Все компы внутренней LAN привязаны по макам к фиксированным адресам, например тот, с которого работаю я, всегда называется 192.168.1.2

WAN & LAN filter настроен на работу 00:00-23.59, по всем дням недели (галочки проставлены). Создаю, допустим, простейшее "правило" - packets that are not specified -> DROP для WAN->LAN и LAN->WAN фильтров. И оставляю совершенно пустые таблицы. То есть все пакеты заведомо попадают в категорию non-specified, и никакого интернета ни на одной машине в LAN быть не должно.

Результат - все работает, как если бы WAN & LAN filter полностью игнорировался.

Далее в LAN->WAN таблице написал 192.168.1.2, 1:65335, 74.125.67.100, 1:65535, и продублировал запись для TCP и UDP.

Результат - после перезагрузки роутера опять все осталось на своих местах, машина как видела гугл так и видит, и открывает, и пингует.

Далее перепробовал все что только можно - фильтр не работает. Убито свыше 8 часов времени, но не удалось заблокировать ничего.

В связи с этим, несколько глупых вопросов.

1. Правильно ли я понимаю разницу между LAN->WAN и WAN->LAN таблицами фильтра? В случае LAN->WAN роутер сперва проверяет на принадлежность к списку Source находящуюся в LAN машину, являющуюся источником пакетов, а затем проверяет на принадлежность к списку Destination адресата пакетов, находящегося в WAN. А в случае WAN->LAN все работает наоборот - правило срабатывает, если источник пакетов в WAN обнаруживается в списке Source, а машина-адресат из списка Destination - в локальной сети роутера LAN. Так ведь?

2. При пустых таблицах фильтров выставление Non-specified packets -> DROP должно полностью отрубать доступ в WAN у всех обитателей LAN, т.к. в касту "необозначенных" попадают все пакеты ввиду отсутствия в таблицах каких-либо записей. Так?

3. Пустое поле в таблице фильтров означает wildcard вида *.*, т.е. оставленная пустой строка Port Range будет обозначать 1:65536, а пустая Source/Destination должна читаться системой как *.*.*.*. Так?

4. Пустые поля в настройках почасовой активации фильтра означают, что фильтр работает круглосуточно. Так?

5. Фильтр пашет, даже если Firewall одной вкладкой выше отключен, т.е. достаточно лишь радиокнопок Enable LAN->WAN и Enable WAN->LAN на самой страничке фильтра?

Я, конечно, перестраховывался и включал фаирволл, заполнял все поля в фильтрах, но даже банальный бан гугла в LAN у меня не получился...

ppsbkwmcrs
10-09-2009, 21:30
Здравствуйте.Слышал что лучший фаервол это аппаратный,у меня такой есть wl500gp v1.Прошивка официальная 1.9.7.7.

Вопросы:
1) Можно ли мне настроить раздел WAN & LAN Filter так,что бы он затрагивал только мой компьютер,что бы на остальных пользователей роутера моя настройка не влияла?
2) Прошивок для WL500GP тьма тьмущая, и официальная и "от Олега" и всякие dd,open,free,x-wrt и многие мне не извесные.Я не обладаю никакими особыми знаниями и особые функции мне не нужны.Скажите какая прошивка мне больше всего подходит (официальная?)?

Power
11-09-2009, 21:13
0) На этих роутерах фаерволл не аппаратный, а программный.
1) В общем, можно.
2) Если нет критериев выбора - оставайтесь на той, что уже прошита в ваш роутер.

ppsbkwmcrs
11-09-2009, 21:45
0) На этих роутерах фаерволл не аппаратный, а программный.
1) В общем, можно.
2) Если нет критериев выбора - оставайтесь на той, что уже прошита в ваш роутер.

0) Так роутеровский программный лучше любого програмного (наподобие Outpost, Comodo и тд) или мне выбрать обыкновенный фаерволл аля Outpost ? Я думал что роутеровский принципиально лучше любых установливающихся на Windows,это так?

1) А как это сделать? Я хочу фильтровать только для себя, т.е для 192.168.1.2.

Power
11-09-2009, 23:57
0) Так роутеровский программный лучше любого програмного (наподобие Outpost, Comodo и тд) или мне выбрать обыкновенный фаерволл аля Outpost ? Я думал что роутеровский принципиально лучше любых установливающихся на Windows,это так?

1) А как это сделать? Я хочу фильтровать только для себя, т.е для 192.168.1.2.

0) На роутере стоит ОС Linux. И фаерволл там - более-менее стандартный линуксовый iptables. Я бы не сказал, что он принципиально лучше того же Outpost-а, хотя лично моё мнение: iptables - лучший :) Упомянутый Outpost, например, в те славные времена, когда я им ещё пользовался, любил иногда уронить систему в BSoD (такая опасность существует при использовании любого софта под Win, который добавляет в систему свои драйверы). Использование iptables даёт меньшую вероятность уронить систему, особенно, если он установлен на внешнем устройстве.
Другой момент - фаерволл на роутере защищает вашу внутреннюю сеть от угроз извне. Но он не защитит ваш комп от угроз, идущих изнутри самой сети (от соседей с вирусами, например). Поэтому более правильная стратегия - общая защита на роутере и отдельная защита на каждом из компов в сети.

1) Если только для 192.168.1.2, то при создании правил в LAN to WAN Filter Table выбираете Source IP: 192.168.1.2, а в WAN to LAN Filter Table выбираете Destination IP: 192.168.1.2.
Но веб-морда не даст вам воспользоваться всеми возможностями iptables. А принимая во внимание предыдущий пункт, вывод: лучше установите что-то у себя на компе.

И не забудьте - каким бы крутым ни был сам фаерволл, всё решает грамотная его настройка.

ppsbkwmcrs
12-09-2009, 12:12
Спасибо,сильно мне помогли.Я для себя решил что буду пользоваться только такими сетевыми приложениями:

Opera,uTorrent,Strong,eMule,QIP,The Bat!,Download Master. (подскажите ихние порты,я искад не нашел)

Добавляю правило для Opera в Lan to Wan:
192.168.1.2 80 tcp
192.168.1.2 80 udp
Packets(WAN to LAN) not specified will be: DROP
Добавляю правило для Opera в Wan to Lan:
------------------------------- 192.168.1.2 80 tcp
--------------------------------192.168.1.2 80 udp
Packets(WAN to LAN) not specified will be: DROP

И нефига! Opera не работает,интернет не грузит!

Power
13-09-2009, 15:49
Спасибо,сильно мне помогли.Я для себя решил что буду пользоваться только такими сетевыми приложениями:

Opera,uTorrent,Strong,eMule,QIP,The Bat!,Download Master. (подскажите ихние порты,я искад не нашел)

Добавляю правило для Opera в Lan to Wan:
192.168.1.2 80 tcp
192.168.1.2 80 udp
Packets(WAN to LAN) not specified will be: DROP
Добавляю правило для Opera в Wan to Lan:
------------------------------- 192.168.1.2 80 tcp
--------------------------------192.168.1.2 80 udp
Packets(WAN to LAN) not specified will be: DROP

И нефига! Opera не работает,интернет не грузит!

Ну это как-то несерьёзно... Чтобы настраивать фаерволл, нужно хоть немного в этом всём понимать. Если вам так важна безопасность, попросите какого-нибудь разбирающегося в этом знакомого, пусть он вам за малую мзду всё настроит и объяснит.

nik_bash
14-09-2009, 06:18
Доброе утро.

девайс ASUS WL500GPv2 с прошивкой Олега

как пробросить из WAN сети с любого айпи(-s 0/0) но с порта скажем 123(--sport 123) обратно в WAN на другой хост с айпи скажем 1.2.3.4:321

Virtual Server я как понял не подходит - он предназначет для проброса из WAN в LAN и обратно -

поэтому наверно нужно копать в iptables - но там я не знаю скажем в какую таблицу писать и что писать-)

люди добрые и умные пожалуйста подскажите очень срочно нужно!!!!
заранее благодарен

LOEDiver
14-09-2009, 06:45
Примерно так:

# разрешаем проброс
iptables -I FORWARD -p tcp --sport 123 -d 1.2.3.4 --dport 321 -j ACCEPT
# меняем dst
iptables -t nat -I PREROUTING -p tcp --sport 123 -j DNAT --to-destination 1.2.3.4:321
# меняем src
iptables -t nat -I POSTROUTING -p tcp --sport 123 -d 1.2.3.4 --dport 321 -j MASQUERADE

Можно более конкретизировать имя интерфейса и сделать -j SNAT вместо маскарадинга.
Разумеется, подключаться извне надо на внешний адрес роутера.

slide
23-10-2009, 13:55
Если в "LAN to WAN Filter" в полях "Source IP", "Port Range" ничего не задавать, то фильтрация работает.
Например чтобы заблокировать этот сайт "w500g.info", достаточно в полях "Destination IP" указать "87.239.12.213", в "Protocol" — "TCP" =)

А ICMP запросы, как я понял, нельзя блокировать на конкретные IP, только если на все.
Указав в поле "Filtered ICMP(LAN to WAN) packet types:" "8" - будут блокироваться ICMP - Echo (тип 8).

CHAFA
17-11-2009, 21:48
Здравствуйте!
Прошу консультацию.

Поставил прошивку 10-7 от Олега (http://wl500g.info/showthread.php?t=18519) и поставил программы скриптом от valerakvb (http://wl500g.info/showthread.php?t=21889). Итого, на рутере wl500gp есть lighthttpd, polipo+privoxy и всё остальное. Пространство LAN 14.0.0.0/8, пространство MAN 10.0.0.0/8.

Вопрос: каким образом разрешить доступ к ftp, http и proxy серверам из LAN и MAN, и запретить доступ из WAN? хотелось бы достичь результата конфигурацией рутера, а не посредством редактирования отдельных конфигов серверов.

Заранее спасибо.

Power
17-11-2009, 22:16
Просто в /usr/local/sbin/post-firewall пишите


iptables -I INPUT -i vlan1 -p tcp --dport 21 -j ACCEPT

вместо


iptables -I INPUT -p tcp --dport 21 -j ACCEPT

Аналогично для других портов.

CHAFA
17-11-2009, 22:41
Спасибо большое, всё работает!

Taras
15-12-2009, 10:13
Пров (intellonet.ru) не отвечает на звонки и письма. В офисе сидит тупая тётка, умеющая только принимать деньги.
Рутер (N16 c родной прошивкой) я настроил методом научного тыка. Одну запись для маршрутизации нарыл на их сайте. Но хочется быть уверенным, что мне доступны все сегменты локалки. Должны же быть технические средства для определения её структуры. Посоветуйте, плиз.

Goletsa
15-12-2009, 10:46
netstat -r -n
Но если инфы нету то и смысла прописывать нету.
Лучше не станет. Может придется разве что поставить получение роутингов по dhcp если он используется в сети.

vectorm
15-12-2009, 15:39
А за пользование "технических средств по определению логической структуры сети" могут договор расторгнуть и денег снять за неправомерную деятельность в сети (договор почитайте).

Taras
16-12-2009, 15:54
Спасибо.
Буду мучать провайдера. Должны же быть там люди понимающие.

HAEMHIK
12-02-2010, 13:54
собственно сабж ...

Basile
12-02-2010, 18:00
nvram get wan0_ipaddr

HAEMHIK
12-02-2010, 20:29
nvram get wan0_ipaddr

это понятно, но как поднять алиас на wan'e типа vlan1:1, vlan1:2 .... ?
если поднимать ifconfig'ом то это до первой перезагрузки

Basile
13-02-2010, 13:45
Все настройки valn'ов с помощью ifconfig'а вы можете прописать в post-boot

igor1010
26-02-2010, 14:17
Добрый день, хочу попросить помощи в настройке asus 500gp
1. имеется локальная сеть 192.168.0/24
2. есть asus - который нужен только для раздачи интернета путем wi-fi. IP раздает через DHCP в сети 192.168.1/24
3. в WAN настроен статический адрес из сети 192.168.0
4. Asus работает в режиме Home Gatewey, прошивка 1.9.2.7

Как через веб-интерфейс закрыть доступ из сети 192.168.1/24 (wi-fi) в 192.168.0/24 (локальную сеть)

Unlimited
26-02-2010, 14:46
Интернет-то как организован?

igor1010
26-02-2010, 15:01
Интернет-то как организован?

Канал приходит в ISA, дальше раздает в сеть 192.168.0/24, в Asuse IP 192.168.0.2, шлюз Исы

Unlimited
26-02-2010, 15:22
Ну так сделайте на WAN интерфейсе асуса подсеть с маской /30 (255.255.255.252)
А остальную /24 подсеть зарутите в /dev/null
(сработает только если у исы и асуса айпишники будут .1 и .2 или .5 и .6 и т.д.)

Ну или пишите пару правил в фаерволе...

igor1010
26-02-2010, 15:34
Ну так сделайте на WAN интерфейсе асуса подсеть с маской /30 (255.255.255.252)
А остальную /24 подсеть зарутите в /dev/null
(сработает только если у исы и асуса айпишники будут .1 и .2 или .5 и .6 и т.д.)

Ну или пишите пару правил в фаерволе...

Вот если бы вы мне подсказали какие правила, я был бы вам очень благодарен

Unlimited
27-02-2010, 11:15
Я с iptables пока не сильно дружу :) я больше с pf и ipfw :) Так что может кто другой подскажет..

nvsport
23-04-2010, 03:37
файрволл отваливатеся через некоторое время,не понятно почему, перегружаю девайс, коннектюсь под разрешенным айпи-коннектится, пробую не под разрешенным-не коннтектится все хорошо,но проходит минут 10 начинает и коннектится не с разрешенных айпи:confused:, poost-firewall сконфигурирован как в этом топике... http://wl500g.info/showpost.php?p=69...unt=63,заранее спасибо за ответ

6sid3
30-04-2010, 00:16
WL500gpv2-1.9.2.7-10
надо прописать ИП, шлюз и маску на wan (внутренний ИП (10.2.3.5) провайдер почему-то сменил, с винды получается старый занять)
через interfaces это вроде обычно делается)
я понимаю синтексис такой:


ifconfig vlan1 address 10.2.3.4 netmask 255.255.255.0 gateway 10.2.3.1

но после ребута скинется.
если менять в подключении PPTP то это уже ИП ВПНки задаёться - не надо

как непосрественно в файл interfaces залезть?

Power
30-04-2010, 12:02
Я мало что понял, но, видимо, вам нужно менять это в секции IP Config - WAN & LAN :: WAN IP Setting в веб-морде (это настройки не pptp).

nikyer
13-05-2010, 22:01
Здравствуйте уважаемые Разработчики прошивки всеми нами любимой коробочки. Хотелось бы обратиться к Вам с идеей и просьбой добавить в вебинтерфейсе для "Internet firewall"->"WAN & LAN filter" возможность фильтровать траффик, который форвардится, через определенные сетевые сетевые интерфейсы, в дополнение к уже реализованному у Вас диапазону адресов и портов. Скажем в моей ситуации, у моего работодателя и местного провайдера договоренность, что траффик через VPN установленный с работодателем не тарифицируется. Соответственно, хотелось бы, чтобы в "WAN & LAN filter" была бы возможность разрешить весь траффик от LAN через интерфейс ppp0 роутера, на котором поднят VPN до работы. Естественно, политика по умолчанию "Packets(LAN to WAN) not specified will be" "DROP". Понимаю, что это все можно сделать ручками через файл post-firewall, но так хотелось бы иметь возможность устанавливать это через "WAN & LAN filter" в вебе. Как Вы считаете, возможно это реализовать у нас?

Unlimited
14-05-2010, 05:49
Ага, поставить accept или выключить фильтр.

nikyer
14-05-2010, 06:01
К сожалению, если выставить accept в фильтре по умолчанию, то в случае падения ppp0 (PPTP) весь траффик молча пойдет через vlan1 (WAN)...

Unlimited
14-05-2010, 06:07
И ничего в этом страшного нет ибо трафик зарежется на следующем хопе.

nikyer
14-05-2010, 07:11
Получется, что не зарежется, если роутинг выглядит так:
Destination Gateway Genmask Flags Metric Ref Use Iface
локалка прова гейт прова 255.255.255.255 UGH 1 0 0 WAN vlan1
192.168.1.0 * 255.255.255.0 U 0 0 0 LAN br0
default гейт VPN 0.0.0.0 UG 0 0 0 WAN ppp0
default гейт прова 0.0.0.0 UG 1 0 0 WAN vlan1
В вебинтерфесе стоит "Use DHCP routes?" "yes" и "Enable static routes?" "yes". Соответственно "локалка прова" "гейт прова" вбиты руками, а "гейт VPN" получаю по DHCP в VPN. При этом, последняя строка "default гейт прова" , видимо как-то добавляется коробочкой, из чего я делаю вывод, что траффик в случае отсутствия WAN ppp0 вполне себе спокойно пойдет через "гейт прова". Так? Поэтому и хотелось бы еще иметь возможность в "LAN & WAN" фильтре разрешать только что нужно, а не надеятся на роутинг, который я получаю по DHCP...

vorobiev
23-05-2010, 21:42
Приветствую!
Имеется WL520gu с прошивкой 1.9.2.7-10.7
Вопрос: как на нем грамотно настроить firewall чтобы с полуночи до восьми утра доступ к интернету был ограничен?

Пробовал устанавливать WAN & LAN Filter. Устанавливал Packets(LAN to WAN) not specified will be: DROP и время работы с 0 до 8, без специфических пакетов в определении. Но в реальности он дропает пакеты и в остальное время. Есть ли методы более тонкой настройки?

strikebox
24-05-2010, 11:50
Приветствую!
Имеется WL520gu с прошивкой 1.9.2.7-10.7
Вопрос: как на нем грамотно настроить firewall чтобы с полуночи до восьми утра доступ к интернету был ограничен?

Пробовал устанавливать WAN & LAN Filter. Устанавливал Packets(LAN to WAN) not specified will be: DROP и время работы с 0 до 8, без специфических пакетов в определении. Но в реальности он дропает пакеты и в остальное время. Есть ли методы более тонкой настройки?

не мешайте детям развиваться :D

ну а если уж на то пошло
/opt/etc/crontab
http://athena.vvsu.ru/docs/unix/man/crontab.html

vectorm
24-05-2010, 17:00
Приветствую!
Имеется WL520gu с прошивкой 1.9.2.7-10.7
Вопрос: как на нем грамотно настроить firewall чтобы с полуночи до восьми утра доступ к интернету был ограничен?

Пробовал устанавливать WAN & LAN Filter. Устанавливал Packets(LAN to WAN) not specified will be: DROP и время работы с 0 до 8, без специфических пакетов в определении. Но в реальности он дропает пакеты и в остальное время. Есть ли методы более тонкой настройки?
Слова для поиска: "iptables+mtime", "odnoklassniki"

vorobiev
24-05-2010, 19:24
не мешайте детям развиваться :D

ну а если уж на то пошло
/opt/etc/crontab
http://athena.vvsu.ru/docs/unix/man/crontab.html

Если они разберутся как это отключать, то это и будет развитие. ;)

Пока бы самому разобраться, ибо в линуксе не силен. Я правильно понимаю, что надо через telnet зайти на роутер, ввести 2 команды:
/opt/etc/crontab deny.txt
/opt/etc/crontab allow.txt

Где deny.txt
0 0 * * * <команда выключения соединения>

allow.txt
0 8 * * * <команда включения соединения>

Так получается? Буду благодарен, если подскажете где искать команды для выключения и включения соединения.

strikebox
25-05-2010, 07:18
Если они разберутся как это отключать, то это и будет развитие. ;)


ну вы для них тогда хотя бы стандартный логин и пароль оставте)))

зайти по телнету

#добавляем в crontab строчки
[n16@root]$ echo "0 0 * * * iptables -I OUTPUT -p tcp --dport 80 -j DROP" >> /opt/etc/crontab
[n16@root]$ echo "0 8 * * * iptables -I OUTPUT -p tcp --dport 80 -j ACCEPT" >> /opt/etc/crontab

проверить, если работает то
#сохраняем во флэш
[n16@root]$ flashfs save && flashfs commit && flashfs enable
reboot

это весь инет будет заблокирован, можно усложнить задачу и например привязаться к ip) глядишь научатся менять ip будет работать инет:D

igor77777
27-11-2010, 16:51
У меня тип соединения PPPoE, тариф 4 мегибита.
Т.е. соединение ppp0.
Заметил, что на закладке Status & Log - System Utilization присутсвует трафик на интерфейсе MAN(vlan1). На приложенных скринах он колеблется в раойне 50килобит с сек. Когда впервые обратил на это внимает, там было ~ 4,5 мегабит в сек.
Пик, который есть на графике и на ppp0 и на vlan1 - это я загружал страничку.

Что это может быть за трафик?

Ну может всё же кто объяснит поведение графиков PPP0 и Vlan1 у меня.
Соединение у меня - только pppoe.
Что это такое - провайдер глючит? или графики считаются/отображаются не правильно?

Кроме того, тариф 4Мегабита, а тут явно ими не пахнет, притом что на закачке стоит десяток торрентов с достаточным количеством сидов.

A.SSpike
01-12-2010, 11:04
Господа, подскажите пожалуйста, почему при включенном фаерволе у меня нет доступа к роутеру извне, ни к вебморде, ни по телнету или ssh, хотя галочка Enable Web Access from WAN стоит. или эта галочка значит что то другое? :)

Basile
01-12-2010, 19:32
Господа, подскажите пожалуйста, почему при включенном фаерволе у меня нет доступа к роутеру извне, ни к вебморде, ни по телнету или ssh, хотя галочка Enable Web Access from WAN стоит. или эта галочка значит что то другое? :)

А немного пониже написан порт для доступа к роутеру через WAN (Port of Web Access from WAN:). Допустим, он указан как 8080, так на роутер нужно заходить не по http://ip.адрес.вашего.роутера/, а по http://ip.адрес.вашего.роутера:8080/

MNEO
02-12-2010, 14:04
Помогите пожалуйста задропить (заблокировать его выход в интернет ) одно из устройств в локальной сетке по ip адресу, по mac адресу. Короче оно должно видеть только локалку.
Знаю что нужно добавить строку в /tmp/local/sbin/post-firewall но с созданием правила проблема.

guzovets
22-08-2011, 17:40
Поэкспериментировал с WAN & LAN Filter и перестал работать utorrent, точнее он работает, прекрасно раздает торренты, но они не учитываются в рейтинге и с некоторых трекеров вообще не качаются.
Порт utorrent-а проброшен на роутере и прекрасно работает, но соединения с трекером все равно нет, все время пишет "оффлайн (ответа не получено)"
сбрасывал прошивку на роутере на дефолт и опять ставил от олега, толку ноль, все равно такое же.
подскажите как можно проверить, роутер в этом виноват или нет?
версия прошивки - 1.9.2.7-8
принтскрин работающего мюторрента - http://imageshack.us/photo/my-images/171/utorrentg.jpg/
по форуму искал похожие темы, но решения не нашел, если есть ткните носом плиз и я сразу удалю и поблагодарю.

Adelek
28-08-2011, 18:46
Народ помогите плиз.
Решил опробовать встроенный firewall в Asus WL500gp.
И так вот настройки см. скрин.
Все вроде нормально работает.
Прописаны в правилах: ICQ, IMAP, ну и 80 порт.
Проблема в следующем, не могу понять как создать правило для uTorrent,
В NAT Setting - Virtual Server прописал нужный порт, толку ноль.
Если ставлю Enable LAN to WAN Filter? NO и перезагружаю роутер то все раздается и качается....
Подскажите что не так делаю.


Присоединяюсь к этой же теме.
У меня правилах стоит заблокировать всё, кроме
В кроме у меня пока прописаны тока 20:21, 80, 5190

ЧТо мне ещё нужно прописать для нормального функционирования сети ( интернета) у людей,( но чтоб не работали сети p2p)

Заранее спасибо за ответы и помощь

avk1973
17-10-2011, 03:04
Апну тему, поскольку схожая проблема. И также не дружу с iptables...

Мне нужно закрыть для абонентов wifi несколько адресов в локальной сети предприятия. Подсеть сделал аналогично первому автору, на его примере можно написать?

разобрался. Даже не пришлось iptables изучать.

Прямо в веб-интерфейсе- lan to wan фильтр задаются запреты.
Включается фильтр и указывается запрет для всей ви-фи сети на всю локалку
вида
192.168.wifi.* 1:65535 192.168.local.* 1:65535

kot777
02-11-2011, 11:53
Вот что то никак не пойму, раньше делал, щас не получается.
lighttpd перекинул на другой порт ну например 1114, в виртуал серверс прописал ип роутера и этот порт. но с внешки не пускает. Раньше все так же вроде делал и работало. Подскажите что поправить

Asgard
02-11-2011, 12:16
У Вас во вкладке Internet Firewall - WAN & LAN Filter - WAN to LAN Filter - Port Forwarding default policy стоит ACCEPT ?

kot777
02-11-2011, 12:43
да, конечно. в пост файрвол для lighttpd 80 порт так же исправил на 1112 но все колом

Asgard
03-11-2011, 09:40
В конец post-firewall внесите такую строку:

iptables -I INPUT -p tcp -s aaa.bbb.ccc.ddd --dport xyz -j ACCEPT
где aaa.bbb.ccc.ddd - адрес откуда хотите получить доступ, а xyz - порт на который стучитесь.

З.Ы. Проверьте возможность выхода откуда пытаетесь зайти на нестандартные порты.
З.Ы.Ы. А зачем Вы прописывали это в Virtual Server - он же для проброса в локалку, а lighttpd крутится непосредственно на роутере. Предыдущий мой пост считайте недействительным - я не понял тогда о чем речь.

DenisKalou
20-12-2011, 10:29
Здравствуйте, такая проблема:
в офисе имеется роутер wl-320gP
необходимо закрыть всем пользователям закрыть выход только в интернет, кроме компьютера с ftp-сервером, но все сетевые ресурсы оставить открытыми.
Я пробовал ставить в настройках Packets(LAN to WAN) not specified will be: Denied и в таблицу вписать Source IP (Ip ftp-сервера) Port Range 1:65535 Destination IP 0.0.0.0 Port Range 1:65535 Protocol (добавил 2 правила на TCP All и UDP), но по-видимому это не правильно, так как и ftp-сервер и другие пользователи никуда не могут зайти.
Если дадите ссылку на тему, где это рассматривается(к сожалению ничего не нашел, может плохо искал) или расскажете как - буду очень признателен.

P.S. В настройках Operation Mode стоит Home Gateway - это может быть причиной?

xenx
22-01-2012, 11:33
Здравствуйте! Как заблокировать в фаерволе порт на роутере rt-n16? Прошивка RT-N16-1.9.2.7-rtn-r3497

dmw
25-01-2012, 08:48
Помогите настроить правильно iptable?
Роутер не пускает из WAN на порт 8082, причем к 8081 доступ есть без проблем:

Chain INPUT (policy DROP 33352 packets, 2191K bytes)
pkts bytes target prot opt in out source destination
8 2085 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8082
90228 3638K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8081
1503 69131 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
9127 1237K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
14 708 shlimit tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 state NEW
2 96 shlimit tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1024 state NEW
23 2393 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
3744 274K ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0
182 9444 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080
2 96 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1024
54 2804 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
2970K 2696M all -- * * 0.0.0.0/0 0.0.0.0/0 account: network/netmask: 192.168.1.0/255.255.255.0 name: lan
0 0 ACCEPT all -- br0 br0 0.0.0.0/0 0.0.0.0/0
6100 247K DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
47973 2465K TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
1208K 551M restrict all -- * ppp0 0.0.0.0/0 0.0.0.0/0
1149K 546M monitor all -- * ppp0 192.168.1.100 0.0.0.0/0
2867K 2689M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 wanin all -- ppp0 * 0.0.0.0/0 0.0.0.0/0
96407 6685K wanout all -- * ppp0 0.0.0.0/0 0.0.0.0/0
96407 6685K ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 183K packets, 249M bytes)
pkts bytes target prot opt in out source destination

Chain monitor (1 references)
pkts bytes target prot opt in out source destination
0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 WEBMON --max_domains 300 --max_searches 300

Chain rdev01 (1 references)
pkts bytes target prot opt in out source destination
1149K 546M rres01 all -- * * 192.168.1.100 0.0.0.0/0 [goto]

Chain restrict (1 references)
pkts bytes target prot opt in out source destination
1208K 551M rdev01 all -- * * 0.0.0.0/0 0.0.0.0/0

Chain rres01 (1 references)
pkts bytes target prot opt in out source destination
110 99142 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 web --hore "vkontakte.ru dokumentu.ru" reject-with tcp-reset

Chain shlimit (2 references)
pkts bytes target prot opt in out source destination
16 804 all -- * * 0.0.0.0/0 0.0.0.0/0 recent: SET name: shlimit side: source
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 recent: UPDATE seconds: 60 hit_count: 4 name: shlimit side: source

Chain wanin (1 references)
pkts bytes target prot opt in out source destination

Chain wanout (1 references)
pkts bytes target prot opt in out source destination

Chain PREROUTING (policy ACCEPT 91118 packets, 8526K bytes)
pkts bytes target prot opt in out source destination
33848 2217K WANPREROUTING all -- * * 0.0.0.0/0 46.0.146.148
0 0 DROP all -- ppp0 * 0.0.0.0/0 192.168.1.0/24

Chain POSTROUTING (policy ACCEPT 23 packets, 2393 bytes)
pkts bytes target prot opt in out source destination
50339 3927K MASQUERADE all -- * ppp0 0.0.0.0/0 0.0.0.0/0
30 9840 SNAT all -- * br0 192.168.1.0/24 192.168.1.0/24 to:192.168.1.1

Chain OUTPUT (policy ACCEPT 3052 packets, 203K bytes)
pkts bytes target prot opt in out source destination

Chain WANPREROUTING (1 references)
pkts bytes target prot opt in out source destination
37 1236 DNAT icmp -- * * 0.0.0.0/0 0.0.0.0/0 to:192.168.1.1

Chain PREROUTING (policy ACCEPT 3115K packets, 2706M bytes)
pkts bytes target prot opt in out source destination

Chain INPUT (policy ACCEPT 138K packets, 7427K bytes)
pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 2970K packets, 2696M bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 183K packets, 249M bytes)
pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 3146K packets, 2945M bytes)
pkts bytes target prot opt in out source destination
Или дело не в таблице, а в том кто должен на этом порту ответить? Тогда как можно отключить фаервол чтобы проверить (прошивка вражеская - томато)?

tempik
26-01-2012, 20:04
Здравствуйте! Как заблокировать в фаерволе порт на роутере rt-n16? Прошивка RT-N16-1.9.2.7-rtn-r3497
Видимо сказать с помощью iptables не отвечать на нужном порту ... Может почитать чего (http://www.opennet.ru/docs/RUS/iptables/) ... Каков вопрос, таков ответ ...


Или дело не в таблице, а в том кто должен на этом порту ответить? Тогда как можно отключить фаервол чтобы проверить (прошивка вражеская - томато)?

iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
Нет под рукой щас роутера, но вроде должно разрешить ВСЕ по сети

xenx
30-01-2012, 17:40
Мне надо в фаерволе заблокировать UDP порт 1434. Можете объяснить, как это сделать с помощью графического интерфейса?

SerJJ
02-02-2012, 15:48
в настройах роутера есть некий WAN & LAN Filter.

В опциях LAN TO WAN FILTER настроено так:

Packets(LAN to WAN) not specified will be: ACCEPT
а в таблице забито:
192.168.1.11 1:65535 *.*.*.* 1:1193 UDP
192.168.1.11 1:65535 *.*.*.* 1:65535 TCP ALL
192.168.1.11 1:65535 *.*.*.* 1195:65535 UDP

Хотелось бы блокировать все соединения компьютера с IP адресом 192.168.1.11 с интернетом, кроме OpenVPN соединений. При описаной выше конфигурации блокирования доступа в интернет для данного компьютера не происходит. Если же переключить Packets(LAN to WAN) not specified will be: в режим DROP то тогда роутер рубит соединения с интернетом и для этого и для всех других компов :)))))))))))))) А поставленая мной задача не решается :(
Что я делаю не так?

Kramzlik
04-02-2012, 19:18
Столкунлся с такой проблемой, что в WAN to LAN Filter Table можно ввести всего 32 ip-адреса. Как можно увеличить это количество?

Поясните пожалуйста. Залил последнию прошивку. Сделал изменения с опиции файрволл, на юсб модеме правила отрабатываются, а вот если через wan интерфейс с мануал настройками, файрволл напрячь отказывается ограничивать. Куда копать? Спасибо.

Dor+
11-02-2013, 18:59
Всем Hi! Помогите настролить файервол. Роутер wl500gP, прошивка 1.9.2.7-rtn-r4772. Озадачился проблемой, дома два компа 172.16.10.23
и 172.16.10.24 На одном из них на 172.16.10.23 нужно запретить всё, кроме двух сайтов. Например mail.ru и beeline.ru
Вроде ничего сложного в настройках Internet Firewall - WAN & LAN Filte иду в меню LAN to WAN Filter далее:

Enable LAN to WAN Filter (yes)
далее выставляю время и дни недели (например все галки и часы с 00:00 - 23-59)
Packets(LAN to WAN) not specified will be: drop
далее
Source IP (нужный мне комп в локалке) 172.16.10.23
Destination IP (нужный мне внешний IP) 94.100.191.205
Range (поля пустые) типа все.
protocol TCP ALL
ну и apply, save & restart
так вот после рестарта отваливается вообще весь трафик, включая комп который я не указывал. Где то накосячил? Или правила не так понял?

kostasoft
04-04-2013, 12:41
Уважаемые форумчане!
Подскажите пожалуйста:
В роутере поднял transparent proxy на 8118 порту.
Сделал проброску трафика, идущего через роутер с 80 порта на 8118:

iptables -A PREROUTING -t nat -i lan -p tcp --dport 80 -j REDIRECT --to-port 8118
А как теперь мне заблокировать выход в интернет по остальным портам, кроме избранных (21, 25, 110, 995, 465, ...)?

SaikoP
17-12-2013, 10:42
Всем привет. Имею роутер Asus WL520 gP V2 прошивка от Олега 1.9.2.7-10, вернее он меня имеет.
Установил PuTTY, в Линуксе 0. Не вдупляю как открыть/зарыть/просмотреть порты firewall. Я предполагал это делается с помощью iptables, но после iptables -L не показываются открытые порты, по крайней мере в привычном мне виде, в виде цифр.

И что такое цепочка. В справке везде встречается злополучное chain