iptables -t nat -vL
и содержание файлов в /usr/local/sbin в студию, скорее всего в них зашито что-то. Но чтобы с гарантией надо бы всё перепрошить и перенастроить, малоли что могли изменить.
Member
скажите пожалуйста.
Несколько дней сеть была без защиты - мой комп на DMZ и wifi без пароля, telnet работал, пароли были по умолчанию admin admin - тестировал настройки. Потом сделал DHCP server + Manually Assigned IP List, поставил пароли, настроил пробросы портов в Virtual Server и заметил в Status & Log-> Port Forwarding ,что появились правила, которые я не устанавливал и более того, одно из них для IP, которого не должно быть, так как все машины привязаны, а новых я не подключал.
Выключил Virtual Server, перезагрузился - снова посмотрел в Port Forwarding - правила, которые я не ставил, остались.
IP 192.168.1.2 мой , но такого правила я не делал в Virtual Server. А 192.168.1.5 вообще не подключался мной.
Destination Proto. Port Range Redirect to
all TCP 44680 192.168.1.2
all UDP 44680 192.168.1.2
all UDP 44681 192.168.1.2
all UDP 48470 192.168.1.5
all TCP 48470 192.168.1.5
Понимаю, что скорее всего все обьясняется просто - но мне то что думать?
Last edited by moveinone; 14-04-2009 at 15:59.
Junior Member
iptables -t nat -vL
и содержание файлов в /usr/local/sbin в студию, скорее всего в них зашито что-то. Но чтобы с гарантией надо бы всё перепрошить и перенастроить, малоли что могли изменить.
Member
Chain PREROUTING (policy ACCEPT 36548 packets, 3745K bytes)Originally Posted by ivlis
pkts bytes target prot opt in out source destination
13 1330 VSERVER all -- any any anywhere 95-28-23-9.broadband.corbina.ru
0 0 VSERVER all -- any any anywhere 10.115.105.23
Chain POSTROUTING (policy ACCEPT 136 packets, 8117 bytes)
pkts bytes target prot opt in out source destination
180 18213 MASQUERADE all -- any ppp0 !95-28-23-9.broadband.corbina.ru anywhere
0 0 MASQUERADE all -- any eth1 !10.115.105.23 anywhere
2 712 MASQUERADE all -- any br0 192.168.1.0/24 192.168.1.0/24
Chain OUTPUT (policy ACCEPT 129 packets, 8405 bytes)
pkts bytes target prot opt in out source destination
Chain VSERVER (2 references)
pkts bytes target prot opt in out source destination
0 0 DNAT tcp -- any any anywhere anywhere tcp dpt:48470 to:192.168.1.5:48469
0 0 DNAT udp -- any any anywhere anywhere udp dpt:48470 to:192.168.1.5:48469
0 0 DNAT udp -- any any anywhere anywhere udp dpt:44681 to:192.168.1.2:44680
6 277 DNAT udp -- any any anywhere anywhere udp dpt:44680 to:192.168.1.2:44680
1 48 DNAT tcp -- any any anywhere anywhere tcp dpt:44680 to:192.168.1.2:44680
как это сделать? я простите, "чайник" в консольных командах.и содержание файлов в /usr/local/sbin в студию, скорее всего в них зашито что-то.
UPDATE: Выключил Enable UPnP - правила пропали.
Включил YES, report MAN adress или report WAN adress - снова появились.
Только я не понял для кого и для чего?
192.168.1.5 у меня в сети НЕ используется! это пустой гостевой ip, а такие порты и подавно не использую.
ДО прошивки 10.7А на обычной 10. от Олега никогда такого не проявлялось. Вижу впервые. Правда я провайдера поменял - перешел на Корбину/Билайн - может у него свои "приветы".
Кто просветит?
Last edited by moveinone; 14-04-2009 at 16:11.
Member
сделал так
ls: /usr/local/sbin: No such file or directory
правильно?
Forum Guru
Раз уж есть интернет, можно было поискать, что такое UPnP и не задавать таких вопросов.Программы на локальных компьютерах, поддерживающие UPnP, могут автоматически делать port forwarding на роутере без участия пользователя.Это могут быть разного рода качалки (torrent, dc++, ed2k), мессенджеры (icq, jabber), программы для голосового общения (skype, sip-телефония). При подключенном интернете, в папке "Сетевые подключения" появляется "Подключение к Интернету". Если нажать на нем правой кнопкой мыши, выбрать "Свойства", и в открывшемся окне нажать кнопку "Параметры", то можно увидеть все перенаправления портов, автоматически созданные при помощи UPnP.
Member
Это я знаю, только у меня все отключено. И к тому же зачем компьютеру с ip 1 делать правило на ip 5, если на нем пусто?????Раз уж есть интернет, можно было поискать, что такое UPnP и не задавать таких вопросов.
Forum Guru
а вы после каждой перезагрузки проверяли какой именно ИП реально назначен? Я бы на вашем месте не был бы настолько уверен. Или задаем его статически?
Forum Guru
Что значит "все отключено"? Вы самми написали:
Так? Значит, эти правила создаются UPnP. Я написал, как посмотреть список правил. По этому списку обычно понятно, какими программами созданы правила.
Однако, проблемы с неправильными IP я встречал только в случаях, когда на компьютере несколько сетевых интерфейсов.
Member
Безопасный UPnP
Приветствую всех.
Прошу подсказать, если кто знает, есть ли возможность реализовать "безопасный UPnP" на роутере и олеговской прошивке?
Сам по себе UPnP IGD с возможностью добавления форварда портов очень удобен, но опасен - так любое приложение на любой машине в локальной сети может себе получить порт смотрящий наружу.
Есть ли какие-то возможности аутенификации или хотя бы идентификации приложений, которым можно прокидывать для себя порт?
Буду благодарен за любые наводки. Уж очень надоело держать кучу правил для скайпа, п2п, торрентов для нескольких машин.
Спасибо откликнувшимся.
WL-500gPv1, RT-N16. Just routers
Forum Guru
имя приложения открывшего порт в nvram сохраняется. Можете написать скрипт, который будет оставлять проброс только разрешенных приложений и перезапускать upnp, либо переписать кусок прошивки, который сохраняет в nvram эти порты
Однако, ИМХО, если уж озаботились безопасностью, то порты нужно все же прописывать самостоятельно, без помощи upnp. Если это делать через post-firewall, то это copy-paste с заменой порта.
Member
Спасибо за ответ. В общем, про статические пробросы: пока так всё и работает, просто в добавлением, убавлением техники уже надоело делать одно и тоже для одних и тех же приложений.
Про идею: а нет ли upnp, с конфигурируемым IGD под анализ имён приложений?
WL-500gPv1, RT-N16. Just routers
имя приложение передает само. что хочет то и передаст
ASUS WL5xx: FW 1.9.2.7-d-rXXXX / обсуждение прошивки [RU] / firmware discussion [EN] | bip irc proxy
ASUS RT-N1x: FW 1.9.2.7-rtn-rXXXX / обсуждение прошивки [RU] / firmware discussion [EN] | fake ident daemon
Member
Да, я это тоже понимаю. Но тем не менее, насколько я понял, сам по себе IGD не поддерживает аутентификации, поэтому, как я вижу, единственным вариантом, позволяющим работать с (пока-выдуманным-)демоном upnp, проверяющим имя приложения, является просто обычная проверка строки имени приложения, которое оно само и передало. Согласен, небезопасно.
WL-500gPv1, RT-N16. Just routers
Member
Раз уж пошла такая пьянка, спрошу еще вопрос про UPnP. Может ли приложение через UPnP запросить порт, который был уже прописан руками в настройках роутера? Например, Linksys AG241 такой багой страдает. На асусах пока не проверял.
Member
В общем имеется роутер WL-500W, и проблема в том, что постоянно перестает работать Upnp. Т.е. он работает нормально, например, неделю, а потом просто перестает работать и все, порты не перебрасываются. Помогает только сброс настроек на дефолт, после этого он опять работает неделю или около того, и опять слетает. За это время ничего не меняется, даже роутер не ребутается, но через какое то время эта фича обязательно перестает работать, и, как я уже сказал, не помогает ничего кроме сброса в дефолт или перепрошивки. Что за фигня? Такое происходит на любой прошивке, и Олеговской и последней оф (2.0.0.6, она сейчас и стоит)...
Posting Permissions
