Member
Ага, понятно flood - разновидность DoS атаки http://ru.wikipedia.org/wiki/DDoS.
Last edited by cipipi; 17-03-2009 at 12:20.
Forum Guru
эти 4 строки и есть защита от DoS
а вот это:
называется brute forceВидел где-то на форуме тред про защиту SSH от перебора паролей, о перенаправлении портов и прочих интересностях.. сейчас найти не могу, выложите сюда, пожалуйста, если у кого сохранилось..
и от нее защиту можно сделать вручную, по ссылке Less, либо если используется 1.9.2.7-d старше r156, то эту защиту можно включить и в веб-интерфейсе
Junior Member
Ребят, помогите.
дано:
на роутер постедвтвом ssh туннеля приходит порт 8877
на роутере "слушается" порт 8877 только на 127.0.0.1
на роутере, на 192.168.1.1 этот же порт не "слушается"
вот вывод netstat -lnt | grep 8877
из консоли на роутере телнетом на 127,0,0,1 8877 тоже заходится.PHP Code:netstat -lnt | grep 8877
tcp 0 0 127.0.0.1:8877 0.0.0.0:* LISTEN
tcp 0 0 ::1:8877 :::* LISTEN
настройки iptables стандартные дефолтные с прошивкой от Олега 10.7
Хочу сделать так, чтобы работало перенаправление с 192.168.1.1:8877 на 127.0.0.1:8877 из LAN сети, с любого из компов из диапазона (192.168.1.2-192.168.1.255) был доступ к 192.168.0.1 8877 прту на роутере.
как назначить перенаправление с 192.168.1.1:8877 на 127.0.0.1:8877
пробовал
результат ноль. телнетом на 192.168.1.1. 8877 не зайдешь.PHP Code:iptables -t nat -A PREROUTING -p tcp -d 192.168.1.1 --dport 8877 -j DNAT --to-destination 127.0.0.1:8877
еще раз вопрос - как назначить перенаправление с 192.168.1.1:8877 на 127.0.0.1:8877
Last edited by brv555; 25-03-2009 at 04:47.
Senior Member
Вот так
Только странно что не пускает с внутри сети.Code:iptables -A INPUT -p tcp -d 192.168.1.1 --dport 8877 -j ACCEPT
Дайте вывод
Code:iptables-save -t filter
wl500gp-1.9.2.7-d-r1222 + StoreJet 35 Ultra >>> rtorrent+rutorrent -|- lighhtpd + ssl + auth -|- vnStat + vnStat PHP frontend -|- vsftpd -|- squid + lightsquid...
Junior Member
попробовал то что вы посоветывали - не помогло.Originally Posted by Less
вот ptables-save -t filter
Даже если политику для INPUT делаю ACCEPT все равно не работает.PHP Code:# Generated by iptables-save v1.2.7a on Wed Mar 25 09:27:08 2009
*filter
:INPUT DROP [8:2029]
:FORWARD ACCEPT [12:624]
:OUTPUT ACCEPT [883:111623]
:MACS - [0:0]
:SECURITY - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i br0 -m state --state NEW -j ACCEPT
-A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22888 -j ACCEPT
-A INPUT -d 192.168.1.1 -p tcp -m tcp --dport 8877 -j ACCEPT
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ! br0 -o ppp0 -j DROP
-A FORWARD -i ! br0 -o vlan1 -j DROP
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -o br0 -j DROP
-A SECURITY -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j DROP
-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logaccept -j ACCEPT
-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logdrop -j DROP
COMMIT
# Completed on Wed Mar 25 09:27:08 2009
PHP Code:telnet 192.168.1.1 8877
telnet: Unable to connect to remote host (192.168.1.1): Connection refused
Junior Member
пробовал SNAT в обратную сторону. не помогло
вот такой вот вывод iptables -L -t natPHP Code:iptables -t nat -I POSTROUTING -p tcp -s 127.0.0.1 --sport 8877 -j SNAT --to-source 192.168.1.1:8877
по прежнему не могу добиться целиPHP Code:Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- anywhere my_router tcp dpt:8877 to:127.0.0.1:8877
VSERVER all -- anywhere brv.vzletka.net
VSERVER all -- anywhere brv.vzletka.net
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT tcp -- localhost.localdomain anywhere tcp spt:8877 to:192.168.1.1:8877
MASQUERADE all -- !brv.vzletka.net anywhere
MASQUERADE all -- !brv.vzletka.net anywhere
MASQUERADE all -- 192.168.1.0/24 192.168.1.0/24
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain VSERVER (2 references)
target prot opt source destination
жду помощи
Senior Member
Что у Вас на том порту?
SNAT, DNAT - это изврат имхо.
Попробуйте отключить firewall, отключите кабель от WAN порта и наберите
И протестируйте если работает, уже хорошо.Code:iptables -t nat -F iptables -F iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT
Перегрузите роутер правила востановлятся.
Отпишытесь.
wl500gp-1.9.2.7-d-r1222 + StoreJet 35 Ultra >>> rtorrent+rutorrent -|- lighhtpd + ssl + auth -|- vnStat + vnStat PHP frontend -|- vsftpd -|- squid + lightsquid...
Junior Member
Разобрался сам.
Спасибо всем кто отозвался.
Объясняю:
проблема состояла в том что на роутере интерфейс 127.0.0.1 слушал порт 8877
а интерфейс 192.168.1.1 тотже порт не слушал.
Поэтому я пытался настроить перенезначение портов.
Ворос:
что сидело у меня на 127.0.0.1:8877
Ответ обратный ссш туннель, отправленный с компа на работе.
типа так
Оказалось что несмотря на *:8877 в команде запуска ссш (назначение порта 8877 на ВСЕ интерфейсы роутера) , сервер dropbear не умеет назначать пришедший по ссш туннелю порт, всем интерфейсам роутера.PHP Code:ssh -R *:8877:work_comp:4555 home_comp
Проблему решил поставив sshd. он полноценно умеет назначать пришедший по ссш туннелю порт, любому интерфейсу роутера.
Junior Member
Имеется роутер wl500gp v2 с белым ip адресом.
Во внутренний сети на адресе 192.168.0.99 порт 8081 сидит сервер обновлений нод.
В virtual server добавил правило, чтобы можно было обновляться из вне.
Все работает, но обновиться можно с любого компа из вне, а хочется чтоб только с определенного адреса. Содержание post-firewall:
#!/bin/sh
iptables -P INPUT DROP
# remove last default rule
iptables -D INPUT -j DROP
iptables -A INPUT -p tcp --syn --dport 24853 -j ACCEPT
iptables -A INPUT -p 91.143.0.5 -s --dport 8081 -j ACCEPT
Хочу обновляться только вот с этого адреса 91.143.0.5, но обновляется с любых внешних
Спасибо большое и не пинайте сильно, я только начинаю разбираться.
Member
-p ПРОТОКОЛ, а не IPiptables -A INPUT -p 91.143.0.5 -s --dport 8081 -j ACCEPT
-s ИСТОЧНИК, а не пусто
Forum Guru
из INPUT это чудо можете убрать сразу и из виртуального сервера правило тоже уберите
попробуйте такой вариант:
PHP Code:iptables -A VSERVER -p tcp -m tcp --dport 8081 -s 91.143.0.5 -j DNAT --to-destination 192.168.0.99:8081
Junior Member
Не получается. После того как убрал правило из виртуального сервера достучаться до машины в локальной сети не может.
post-firewall
#!/bin/sh
iptables -P INPUT DROP
# remove last default rule
iptables -D INPUT -j DROP
iptables -A INPUT -p tcp --syn --dport 24853 -j ACCEPT
iptables -A VSERVER -p tcp -m tcp --dport 8081 -s 91.143.0.5 -j DNAT --to-destination 192.168.0.99:8081
Forum Guru
а что кажет iptables-save
Junior Member
# Generated by iptables-save v1.2.7a on Wed Apr 1 15:15:59 2009
*nat
:PREROUTING ACCEPT [1479:109695]
:POSTROUTING ACCEPT [308:15578]
:OUTPUT ACCEPT [133:9992]
:VSERVER - [0:0]
-A PREROUTING -d 213.87.34.89 -j VSERVER
-A POSTROUTING -s ! 213.87.34.89 -o vlan1 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -o br0 -j MASQUERADE
-A VSERVER -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.0.5:80
-A VSERVER -p tcp -m tcp --dport 11406 -j DNAT --to-destination 192.168.0.59:114 06
COMMIT
# Completed on Wed Apr 1 15:15:59 2009
# Generated by iptables-save v1.2.7a on Wed Apr 1 15:15:59 2009
*mangle
:PREROUTING ACCEPT [22324:5034014]
:INPUT ACCEPT [3577:458506]
:FORWARD ACCEPT [18649:4567102]
:OUTPUT ACCEPT [2891:849025]
:POSTROUTING ACCEPT [21614:5441992]
COMMIT
# Completed on Wed Apr 1 15:15:59 2009
# Generated by iptables-save v1.2.7a on Wed Apr 1 15:15:59 2009
*filter
:INPUT DROP [328:30453]
:FORWARD ACCEPT [814:46287]
:OUTPUT ACCEPT [2164:525133]
:MACS - [0:0]
:SECURITY - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i br0 -m state --state NEW -j ACCEPT
-A INPUT -d 192.168.0.5 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 24853 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ! br0 -o vlan1 -j DROP
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -o br0 -j DROP
-A SECURITY -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j DROP
-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequen ce --log-tcp-options --log-ip-options
-A logaccept -j ACCEPT
-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence - -log-tcp-options --log-ip-options
-A logdrop -j DROP
COMMIT
PopTop ломатель
ВыполнииCode:iptables -L -nvРезультаты в студию.Code:iptables -t nat -L -nv
В зависимости от того что у тебя есть надо будет писать привила Forward и POSTROUTING писать
Posting Permissions
Reply With Quote
