Page 1 of 9 123 ... LastLast
Results 1 to 15 of 132

Thread: Удаленный доступ

  1. 15-05-2007, 11:39 #1
    26dx
    26dx is offline Junior Member
    Join Date
    May 2007
    Posts
    9

    Telnet/SSH доступ к роутеру из вне.

    Собственно столкнулся с тем, что не могу получить доступ к консоли роутера через WAN порт. Ситуация следующая, есть сеть организации в которой я работаю с роутером на фрюхе, к этой сети подрублена небольшая сеть соседней организации через wl500gp, в настройках роутера стоит режим работы Home Gateway и соответственно прописан как шлюз фрюшный роутер. Все работает отлично, асус успешно раздает инет, администрируется из маленькой сетки и т.п.
    Но при этом не дает подключиться к нему из большой сети. Подозреваю что ответ надо искать в iptables, но сам никогда с этим делом не работал, читаю мены, но думаю это займет некоторое время.
    В общем вопрос - как открыть доступ к консоли из вне?
  2. 15-05-2007, 14:59 #2
    26dx
    26dx is offline Junior Member
    Join Date
    May 2007
    Posts
    9
    Вчитался в тему описания первой установки, плюс поискал по форуму, и в результате попробовал сделать следующее:

    создал файл /usr/local/sbin/post-firewall
    #!/bin/sh
    iptables -D INPUT -j DROP
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT
    iptables -A INPUT -j DROP

    сделал его исполняемым
    chmod -x /usr/local/sbin/post-firewall

    и записал изменения во флэшь
    flashfs save
    flashfs commit
    flashfs enable
    reboot

    Ничего не изменилось, в чем может быть ошибка?
  3. 15-05-2007, 15:17 #3
    imdex
    imdex is offline Senior Member
    Send a message via ICQ to imdex
    Join Date
    May 2006
    Location
    Москва
    Posts
    355
    А post-boot можно посмотреть?
    У меня тоже есть роутер!
  4. 15-05-2007, 15:18 #4
    Mam(O)n
    Mam(O)n is offline Forum Guru
    Send a message via ICQ to Mam(O)n
    Join Date
    Aug 2006
    Location
    Moscow, Russia
    Posts
    788
    Quote Originally Posted by 26dx View Post
    Ничего не изменилось, в чем может быть ошибка?
    Quote Originally Posted by 26dx View Post
    chmod -x /usr/local/sbin/post-firewall
    Здесь надо было "chmod +x /usr/local/sbin/post-firewall".

    А вообще ssh сервер (например dropbear) на нем запущен?
  5. 16-05-2007, 06:26 #5
    26dx
    26dx is offline Junior Member
    Join Date
    May 2007
    Posts
    9
    imdex:
    Там только старт dropbear, больше ничего пока не прописывал.

    Mam(O)n:
    Угу, действительно не сделал файл исполняемым. Но тем не менее, всеравно не могу достучаться до роутера из вне.
    SSH конечно запущен, ведь изнутри я именно по нему и работал.

    Еще немного в догонку, просканировал порты роутеру, открыты только 8080, 515, 9100. 22го как не было, так и нет.
    Last edited by 26dx; 16-05-2007 at 06:44.
  6. 16-05-2007, 07:38 #6
    KRandall
    KRandall is offline Senior Member
    Join Date
    Jan 2007
    Location
    Moscow
    Posts
    156

    Lightbulb dropbear

    Вот это должно помочь
    WL-500gP(v1, 64mb) (1.9.2.7-d-r2624 by Oleg) + 3 x USB HDD
    Работают: analog, syslog-ng, cron, samba 3, RTorrent+RuTorrent, lighttpd, vsftpd+, настроена сеть и сетевая печать
  7. 16-05-2007, 10:30 #7
    26dx
    26dx is offline Junior Member
    Join Date
    May 2007
    Posts
    9
    KRandall: пока тот пост не помог, его смотрел в первую очередь.
  8. 16-05-2007, 12:31 #8
    Venik
    Venik is offline Member
    Join Date
    Mar 2006
    Posts
    44
    нужно добавить правило
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT

    причём желательно указать адреса источника и места назначения, типа
    iptables -A INPUT -s ip_source -d ip_dest -p tcp --dport 22 -j ACCEPT
  9. 16-05-2007, 12:33 #9
    26dx
    26dx is offline Junior Member
    Join Date
    May 2007
    Posts
    9
    Quote Originally Posted by Venik View Post
    нужно добавить правило
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT

    причём желательно указать адреса источника и места назначения, типа
    iptables -A INPUT -s ip_source -d ip_dest -p tcp --dport 22 -j ACCEPT
    Это правило вместо того что у меня было или в добавок?
  10. 16-05-2007, 13:05 #10
    al37919
    al37919 is offline Forum Guru
    Join Date
    Feb 2007
    Location
    Moscow, Russia
    Posts
    3,805
    вместо. А у меня это правило прописано вот так:
    iptables -A INPUT -p tcp --syn --dport 22 -j ACCEPT

    кроме того, имеет смысл посмотреть как выглядит список правил: iptables -L

    и, наконец, можно проверить выполняются ли файлы post-boot, post-firewall при запуске вручную --- может там просто символы конца строки неправильные...
    Last edited by al37919; 16-05-2007 at 13:08.
  11. 16-05-2007, 13:29 #11
    26dx
    26dx is offline Junior Member
    Join Date
    May 2007
    Posts
    9
    Вот кусок таблицы
    [root@(none) sbin]$ iptables -t filter -L
    Chain INPUT (policy ACCEPT)
    target prot opt source destination
    logdrop all -- anywhere anywhere state INVALID
    ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
    logaccept all -- anywhere anywhere state NEW
    logaccept all -- anywhere anywhere state NEW
    logaccept tcp -- anywhere my.router tcp dpt:www
    logaccept tcp -- anywhere anywhere tcp dpt:ftp
    logaccept icmp -- anywhere anywhere
    logaccept tcp -- anywhere anywhere tcp dptrinter
    logaccept tcp -- anywhere anywhere tcp dpt:laserjet
    logaccept tcp -- anywhere anywhere tcp dpt:3838
    logdrop all -- anywhere anywhere
    ACCEPT tcp -- 192.168.0.50 192.168.0.240 tcp dpt:ssh

    Вроде должен пропускать? Или я что-то не так понимаю?
  12. 16-05-2007, 13:31 #12
    26dx
    26dx is offline Junior Member
    Join Date
    May 2007
    Posts
    9
    Судя по тому что в конце отрывка таблице появилась запись по SSH файлы работают. post-boot точно работает ибо dropbear запускается.
  13. 16-05-2007, 13:41 #13
    al37919
    al37919 is offline Forum Guru
    Join Date
    Feb 2007
    Location
    Moscow, Russia
    Posts
    3,805
    однако перед этим выполняется :
    logdrop all -- anywhere anywhere
    и дальше этого правила мы никуда не попадаем

    Вопрос --- нужно ли слать в системный лог все сообщения? уж тем более logaccept --- это вообще ужасно.

    На мой взгляд надо в web интерфейсе выключить логи файрвола, тогда все заработает прямо так как написано выше, либо поменять правило
    iptables -D INPUT -j DROP на iptables -D INPUT -j logdrop

    А еще лучше отключив логи оставить следующее:
    # set default policy
    iptables -P INPUT DROP
    # remove last default rule
    iptables -D INPUT -j DROP

    после этого пишем то что надо разрешать и в конце iptables -A INPUT -j DROP добавлять не надо.
    Last edited by al37919; 16-05-2007 at 13:46.
  14. 16-05-2007, 14:08 #14
    26dx
    26dx is offline Junior Member
    Join Date
    May 2007
    Posts
    9
    Quote Originally Posted by al37919 View Post
    однако перед этим выполняется :
    logdrop all -- anywhere anywhere
    и дальше этого правила мы никуда не попадаем
    Спасибо за наводку, я думал над этой строкой, но видимо неправильно истолковал маны что читал на тему iptables. Думалось, что только после направления на RETURN цепочка не анализируется.
  15. 24-07-2007, 08:47 #15
    aik
    aik is offline Member
    Join Date
    Jul 2007
    Posts
    74

    как пробросить порт на другой хост из WAN

    На данный момент, для windows, самым простым оказалось поднять на роутере SSH, разрешить заход снаружи и запустить на клиентской машине SSH клиент отсюда - http://www.bitvise.com/tunnelier
    Этот клиент замечателен тем, что, помимо статического проброса портов (как и у любого другого SSH клиента), он умеет изображать на localhost SOCKS4-прокси, который понимается очень многими софтинами.

    Кто скажет - линуксячий SSH умеет так? Если да, то опишите как и прицепим к "настройке с нуля".
Page 1 of 9 123 ... LastLast
« Previous Thread | Next Thread »

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •  

Forum Rules