после любых изменений во флеше роутера, необходимо их сохранить
flashfs save && flashfs commit && flashfs enable
тогда после перезагрузки все изменения остануцца
после любых изменений во флеше роутера, необходимо их сохранить
flashfs save && flashfs commit && flashfs enable
тогда после перезагрузки все изменения остануцца
/tmp/local/sbin/post-firewall
пиши туда свои строки iptables, затем
flashfs save && flashfs commit && flashfs enable
wl-500gp + AGESTAR IUBCP + HDD Seagete 80 GB = 1.9.2.7-10 + lighttp + perl + sqlite2 + php + ados + rtorrent + Kaspersky update + squid(–enable-delay-pools) + rrd + smb + ntp + ftp + half-dynamic shaping...
nat_rules генерится при каждом рестарте заново на основании данных, сохраненных в nvram. Так что неудивительно...
Я настроил DMZ внутрь, и отдельно на вновь поднятом альясе WAN порта
вот такими строчками в /tmp/local/sbin/post-mount
ifconfig vlan1:0 10.11.69.121 netmask 255.255.255.224.0
поднял редирект портов
iptables -t nat -A PREROUTED -p top -d 10.11.69.121/255.255.255.255 --dport 80 -j DNAT --192.168.61.97:80
все работает какое-то время... есть подозрение, что до переконнекта VPNа (через который соединение в инет организуется).
Как мне эту беду побороть?
в post-firewall всё это надо
Ответ утвердительный.
Настроил проброс портов внутрь локалки:
iptables -t nat -A PREROUTED -p top -d 212.30.190.101/255.255.255.255 --dport 80 -j DNAT --192.168.61.97:80
Когда из локалки обращаюсь к 212.30.190.101 - все ок, когда с инета - фигу.
Еще позавчера работало. С тех пор особо ничего не менял, разве что внес правило в post-firewall
Пытался сделать как-то еще - не видит из нета и все тут. Даже DMZ включал...
Подскажите где копать, весь день сегодня бился...
Указанное правило не является "разрешающим", оно только производит трансляцию адресов.
Очевидно в FORWARD нет разрешающего правила.
Во-первых, стоит посмотреть действительно ли правило срабатывает при обращении на 80 порт из-за пределов локальной сети по изменению счетчика у правила (iptables -t nat -n -v -L --line-numbers).
Во-вторых, посмотреть внимательно правила в FORWARD.
Если "проброс портов" делать средствами web-интерфейса, то в FORWARD добавляется правилоКоторое и пропускает весь трафик подвергшийся преобразованию DNAT. Оно при загрузке добавляется предпоследним, передCode:iptables -A FORWARD -m conntrack --ctstate DNAT -j ACCEPTЯ полагаю, что оно добавляется при включенной опции Enable Virtual Server? в web-интерфейсе.Code:-A FORWARD -o br0 -j DROP
Сенкс. разобрался. была опечатка в строчке.
кроме того, нашел еще один баг.
локальный сервер подключен к разным каналам, и дефолт гейтвей переключается в зависимости от того, какой канал более живой. так вот, в случае когда дефолт гейтвей не роутер, то несмотря на то, что к нему приходят пакеты от роутера, ответы он шлет на дефолт гейт. и почему-то (ну не все-ли равно каким путем идут пакеты??) ответы не доходят... ;-(
Еще вопрос - а NAT в обе стороны возможен? Чтоб народ из городской локалки ходил в мою локалку просто прописав себе маршрут до роутера? Оно конечно, можно и простой маршрутизацией обойтись, но так как у меня три локалки от разных провайдеров... Хочется сделать точку обмена трафиком и чужие адреса пускать в соседнюю локалку черевато...
Нет не все равно каким путем идут пакеты. Вероятнее всего исходящие пакеты имеют srс ip отличный от dst ip входящих пакетов. Поэтому tcp соединение не может установиться.Чисто технически добавить два правила NAT в обе стороны можно, как это будет работать сказать сложно.Еще вопрос - а NAT в обе стороны возможен?Не совсем понятно как Вы хотите сделать точку обмена трафиком, тем более с использованием NAT.Чтоб народ из городской локалки ходил в мою локалку просто прописав себе маршрут до роутера? Оно конечно, можно и простой маршрутизацией обойтись, но так как у меня три локалки от разных провайдеров... Хочется сделать точку обмена трафиком и чужие адреса пускать в соседнюю локалку черевато...
У меня дома два компа ,которые нужно подключить к локальной сети.Должен быть полный доступ обоих компов в интернет, в локальную сеть а также возможность как и раньше играть в CS внутри данной сети.Также эти два компа должн видеть друг друга и обмениваться инфой друг с другом! Подскажите каким образом это лучше сделать.Если можно подробнее(как для полного чайника в сетевых подключениях)!!!
тупо включи витую в компы и в роутер. в роутере настрой инет и все, на всех компах инет и играть и т.п можно.
WL-500gP v1 1.9.2.7-d-r617 + PPPoE AVK