Page 3 of 34 FirstFirst 1234513 ... LastLast
Results 31 to 45 of 499

Thread: Настройка IPTables

  1. 18-03-2008, 22:16 #31
    naves
    naves is offline Member
    Join Date
    Apr 2007
    Posts
    67
    Quote Originally Posted by boby7 View Post
    А какую строчку надо прописать и в каком файле, что бы в Firewall закрыть порт FTP для доступа из WAN, который открыт по умолчанию.
    в /usr/local/sbin/post-firewal
    Code:
    iptables -A INPUT -p tcp -m tcp -i vlan1 --dport 21 -j DROP
iptables -A INPUT -p tcp -m tcp -i ppp0 --dport 21 -j DROP
    Reply With Quote Reply With Quote
  2. 18-03-2008, 23:03 #32
    djet
    djet is offline Senior Member
    Join Date
    Jul 2007
    Posts
    365
    Не сработает, порядок обхода правил другой.

    Идеологически правильнее удалить имеющуюся с разрешением:
    PHP Code:
    iptables -D INPUT -p tcp -m tcp --dport 21 -j ACCEPT 
    Либо отключить из вебморды ftp и запускать вручную.
    Reply With Quote Reply With Quote
  3. 19-03-2008, 13:53 #33
    shell
    shell is offline Junior Member
    Join Date
    Nov 2007
    Posts
    19

    Не сохранаются правила iptables

    post-boot
    PHP Code:
    dropbear -p 2120 > /dev/null 2>&1  
    /opt/bin/dbhub 
    post-mount
    PHP Code:
    mount -obind /tmp/harddisk/opt /opt 
    post-firewall
    PHP Code:
    iptables -P INPUT DROP 
    iptables     -D INPUT -j DROP 
    iptables     -A INPUT -p tcp --syn --dport 2120 -j ACCEPT
    iptables     -A INPUT -p tcp --syn --dport 411 -j ACCEPT 
    iptables     -A INPUT -j DROP 
    Кто-нибудь подскажет - после перезагрузки роутера правила перестают работать т.е. не стартуют ? Дропбеар запускается и работает нормально, но правило открывающее порт при загрузке не срабатывает ... прошивка последняя.
    Last edited by shell; 19-03-2008 at 14:02.
    Reply With Quote Reply With Quote
  4. 22-03-2008, 21:49 #34
    shell
    shell is offline Junior Member
    Join Date
    Nov 2007
    Posts
    19
    Ну так никто и не подскажет ???
    Reply With Quote Reply With Quote
  5. 22-03-2008, 22:36 #35
    al37919
    al37919 is offline Forum Guru
    Join Date
    Feb 2007
    Location
    Moscow, Russia
    Posts
    3,777
    смотреть вывод iptables -L
    Reply With Quote Reply With Quote
  6. 22-03-2008, 23:01 #36
    shell
    shell is offline Junior Member
    Join Date
    Nov 2007
    Posts
    19
    Quote Originally Posted by al37919 View Post
    смотреть вывод iptables -L
    А чего там смотреть ? естественно после перезагрузки роутера этих правил моих в таблице нет , я наверное чето не так делаю...
    Reply With Quote Reply With Quote
  7. 22-03-2008, 23:03 #37
    al37919
    al37919 is offline Forum Guru
    Join Date
    Feb 2007
    Location
    Moscow, Russia
    Posts
    3,777
    значит post-firewall не выполняется
    Reply With Quote Reply With Quote
  8. 24-03-2008, 07:13 #38
    bocman
    bocman is offline Senior Member
    Join Date
    Feb 2008
    Location
    Moscow
    Posts
    115
    А после перезагрузки post-firewall сождержит все изменения?
    post-farewall точно исполняемый? первая строка какая в этом файле?
    если вполнять команды, которые прописаны в post-farewall, вручную, они срабатывают? (лучше проверять копируя то, что написано в файле, что бы проверить и синтаксис)
    Reply With Quote Reply With Quote
  9. 25-03-2008, 19:05 #39
    shell
    shell is offline Junior Member
    Join Date
    Nov 2007
    Posts
    19
    Да post-firewall после перезагрузки сохраняет изменения, исполняемый ли он я если честно не знаю и не знаю как проверить это.
    первая строка #!/bin/sh
    да строчки которые в нём копи-пастом срабатывают без проблем, ни каких больше идей что может быть ? Только вот ещё проблема 1-2 раза в сутки эти правила слетают сами по себе даже если роутер не перезагружался и самое обидное - слетают только для wan для lana всё пашет, и в iptables -L эти правила также существуют (когда слетели), но не выполняются, допустим - я заметил что правила слетели - загоняю их через командную строку снова, вывожу опять iptables -L и вижу как эти правила успешно задублировались в таблице - бред какойто.
    я уже всю голову сломал что может быть такое , отключений эл-ва при этом нет ...
    Сами правила выглядят так:
    iptables -I INPUT -p tcp --dport 411 -j ACCEPT
    iptables -I INPUT -p tcp --dport 2120 -j ACCEPT
    и тоже самое
    iptables -A INPUT -p tcp --syn --dport 411 -j ACCEPT
    iptables -A INPUT -p tcp --syn --dport 2120 -j ACCEPT
    или не тоже самое? вобщем пробовал итак и эдак.
    Reply With Quote Reply With Quote
  10. 26-03-2008, 05:58 #40
    bocman
    bocman is offline Senior Member
    Join Date
    Feb 2008
    Location
    Moscow
    Posts
    115
    Quote Originally Posted by shell View Post
    Да post-firewall после перезагрузки сохраняет изменения, исполняемый ли он я если честно не знаю и не знаю как проверить это.
    после команды
    chmod +x /usr/local/sbin/post-firewall
    этот файл станет испоняемым...
    Reply With Quote Reply With Quote
  11. 04-06-2008, 10:52 #41
    leniviy
    leniviy is offline Senior Member
    Join Date
    Jun 2007
    Location
    Санкт-Петербург
    Posts
    243

    как на iptables пробросить порт не из своей сети? Типа прокси.

    Привет. Я хочу в эксп. целях сделать так, чтобы на 9901 порту у меня открывалась страничка яндекса, и чтобы к этому порту можно было подключиться снаружи. Не получается. Может быть это потому, что у пакетов источник не меняется, и их провайдер не пускает?
    Мой внешний интерфейс vlan1
    Code:
    iptables -i vlan1 -I INPUT -p tcp --dport 9900:9999 -j ACCEPT
iptables -t nat -I PREROUTING -i vlan1 -p tcp --dport 9901 -j DNAT --to 213.180.204.8:80
    Last edited by leniviy; 04-06-2008 at 13:39.
    Reply With Quote Reply With Quote
  12. 04-06-2008, 18:10 #42
    Ilmarinen
    Ilmarinen is offline Member
    Join Date
    May 2007
    Posts
    57
    Quote Originally Posted by leniviy View Post
    Привет. Я хочу в эксп. целях сделать так, чтобы на 9901 порту у меня открывалась страничка яндекса, и чтобы к этому порту можно было подключиться снаружи. Не получается. Может быть это потому, что у пакетов источник не меняется, и их провайдер не пускает?
    Мой внешний интерфейс vlan1
    Code:
    iptables -i vlan1 -I INPUT -p tcp --dport 9900:9999 -j ACCEPT
iptables -t nat -I PREROUTING -i vlan1 -p tcp --dport 9901 -j DNAT --to 213.180.204.8:80
    Читаем внимательно http://www.opennet.ru/docs/RUS/iptables/#DNATTARGET
    Дело в том что адрес получателя Вы заменили, а адрес отправителя нет, пакет ушел яндексу и от ответ отправил не Вашему асусу, а реальному отправителю пакета. Нужно еще сделать SNAT, в указанном выше руководстве это все хорошо описано.
    Что-то вроде
    Code:
    iptables -t nat -A POSTROUTING -p tcp --dst 213.180.204.8  --dport 80 \
-j MASQUERADE
    Last edited by Ilmarinen; 04-06-2008 at 18:13.
    Reply With Quote Reply With Quote
  13. 04-06-2008, 19:24 #43
    leniviy
    leniviy is offline Senior Member
    Join Date
    Jun 2007
    Location
    Санкт-Петербург
    Posts
    243
    получается пробрасывать порты либо изнутри наружу, либо снаружи внутрь. А снаружи наружу не получается.
    Reply With Quote Reply With Quote
  14. 05-06-2008, 13:03 #44
    Ilmarinen
    Ilmarinen is offline Member
    Join Date
    May 2007
    Posts
    57
    Quote Originally Posted by leniviy View Post
    получается пробрасывать порты либо изнутри наружу, либо снаружи внутрь. А снаружи наружу не получается.
    А Вы читали IPTables Tutorial, пробовали описанный рецепт?
    Обращаю внимание на то, что нужны два правила -- первое для замены адреса получателя пакета (DNAT) и второе для замены адреса отправителя (SNAT).
    У меня работает
    Code:
    iptables -i vlan1 -I INPUT -p tcp --dport 9900 -j ACCEPT
iptables -t nat -I PREROUTING -i vlan1 -p tcp --dport 9900 -j DNAT --to IP-адрес-сайта:80
iptables -t nat -I POSTROUTING -p tcp --dst IP-адрес-сайта --dport 80 -j MASQUERADE
    Last edited by Ilmarinen; 05-06-2008 at 13:10.
    Reply With Quote Reply With Quote
  15. 21-06-2008, 13:45 #45
    Closer
    Closer is offline Registered User
    Join Date
    Jan 2008
    Location
    Msk
    Posts
    4

    Question Нет доступа к внешнему IP

    Привет All
    Извиняюсь за глупый вопрос.

    У меня следующая проблема: я получил внешний IP, соответственно с компа за пределами моей локальной сети он пингуется, а вот внутри самой локальной сети нет. Из-за этого возникают проблемы: например отлаживая web сайт на своём компе внутри сети идёт запрос на получение рисунка по внешнему IP, соответственно URL не находится и рисунок не грузиться.

    Как я понял поискав по этому форуму проблема с NAT.

    Помогите пожалуйсто его настроить или поделитесь ссылкой на описание решения моей проблемы (я думаю она возникает довольно часто и уже где-то описано что нужно делать в такой ситуации).

    Заранее спасибо

    P.S.
    Если для решения необходима дополнительная информация, то я готов её предоставить.
    Reply With Quote Reply With Quote
Page 3 of 34 FirstFirst 1234513 ... LastLast
« Previous Thread | Next Thread »

Similar Threads

  1. Шейпер с приоретизацией по портам
    By indlg0 in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 65
    Last Post: 18-01-2010, 11:35
  2. Help with IPTABLES
    By tomv in forum WL-500gP Q&A
    Replies: 1
    Last Post: 14-01-2008, 20:43
  3. WL-500gx WAN & LAN Filter example
    By pshah in forum WL-500g Q&A
    Replies: 1
    Last Post: 24-09-2005, 13:50

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •  

Forum Rules