Enable Web Access from WAN? YES-NO. Ðàáîòàåò ëè çàùèòà?

**michaelV** · 20-10-2008, 20:55

Добрый день!

Недавно приобрел ASUS WL-500gP. Обновил прошивку на альтернативную 1.9.2.7-9

По многочисленным мануалам и хелпам на сайте настроил все что нужно для жизни.
В разделе Internet Firewall - Basic Config следующие настройки:
Enable Firewall? - YES
Enable Web Access from WAN? - YES
Port of Web Access from WAN: - 8080
Respond Ping Request from WAN? - YES

Набирая из внешней сети http://xxx.xxx.xxx.xxx:8080 и прекрасно вхожу в web-интерфейс роутера.

Решил ради эксперимента набрать из внешней сети: http://xxx.xxx.xxx.xxx (по умолчанию 80 порт)
И вижу эту же вэб-морду!!
Вхожу в Internet Firewall - Basic Config и снимаю галки с пунктов Enable Web Access from WAN? и Port of Web Access from WAN:
В итоге на порту 8080, вэб-морда перестала открываться, но по стандартному порту все замечательно открывает!!
Не совсем понятно, это специально открытый "черный ход" и что еще открыто для несанкционированного доступа из внешней сети?

так же дело обстоит и с пунктом Respond Ping Request from WAN? В любом из двух положений, пинг свободно проходит до роутера.

**vectorm** · 20-10-2008, 21:28

Originally Posted by michaelV

Äîáðûé äåíü!

Íåäàâíî ïðèîáðåë ASUS WL-500gP. Îáíîâèë ïðîøèâêó íà àëüòåðíàòèâíóþ 1.9.2.7-9

Ïî ìíîãî÷èñëåííûì ìàíóàëàì è õåëïàì íà ñàéòå íàñòðîèë âñå ÷òî íóæíî äëÿ æèçíè.
Â ðàçäåëå Internet Firewall - Basic Config ñëåäóþùèå íàñòðîéêè:
Enable Firewall? - YES
Enable Web Access from WAN? - YES
Port of Web Access from WAN: - 8080
Respond Ping Request from WAN? - YES

Íàáèðàÿ èç âíåøíåé ñåòè http://xxx.xxx.xxx.xxx:8080 è ïðåêðàñíî âõîæó â web-èíòåðôåéñ ðîóòåðà.

Ðåøèë ðàäè ýêñïåðèìåíòà íàáðàòü èç âíåøíåé ñåòè: http://xxx.xxx.xxx.xxx (ïî óìîë÷àíèþ 80 ïîðò)
È âèæó ýòó æå âýá-ìîðäó!!
Âõîæó â Internet Firewall - Basic Config è ñíèìàþ ãàëêè ñ ïóíêòîâ Enable Web Access from WAN? è Port of Web Access from WAN:
Â èòîãå íà ïîðòó 8080, âýá-ìîðäà ïåðåñòàëà îòêðûâàòüñÿ, íî ïî ñòàíäàðòíîìó ïîðòó âñå çàìå÷àòåëüíî îòêðûâàåò!!
Íå ñîâñåì ïîíÿòíî, ýòî ñïåöèàëüíî îòêðûòûé "÷åðíûé õîä" è ÷òî åùå îòêðûòî äëÿ íåñàíêöèîíèðîâàííîãî äîñòóïà èç âíåøíåé ñåòè?

òàê æå äåëî îáñòîèò è ñ ïóíêòîì Respond Ping Request from WAN? Â ëþáîì èç äâóõ ïîëîæåíèé, ïèíã ñâîáîäíî ïðîõîäèò äî ðîóòåðà.

Âû ôàéë post-firewall èñïîëüçóåòå? Åñëè äà, òî íàñòðîéòå áëîêèðîâàíèå 80 ïîðòà äëÿ âíåøíèõ ïîäêëþ÷åíèé â íåì.

**avk** · 20-10-2008, 22:20

À Âû ñëó÷àéíî íå ñèäÿ â LAN'å, ò.å. íàõîäÿñü âíóòðè, ëîìèòåñü â èíòíðôåéñ? Èëè âñå-òàêè äåéñòâèòåëüíî, ïûòàåòåñü âîéòè ñíàðóæè?

**michaelV** · 22-10-2008, 16:47

Можно сразу Finish. А после возникнет Save&Restart.
Но после Apply следуед обязательно дать команду nvram commit && reboot.

К счастью, я выполнял эти команды через telnet.

Originally Posted by vectorm

Âû ôàéë post-firewall èñïîëüçóåòå? Åñëè äà, òî íàñòðîéòå áëîêèðîâàíèå 80 ïîðòà äëÿ âíåøíèõ ïîäêëþ÷åíèé â íåì.

Пытался найти всю информацию по post-firewall, увы на форуме полно тем где упоминается или отрывков кода, но отдельной темы по post-firewall я не нашел

Простите за оффтоп, подскажите прямую ссылку на форуме.

еще.
Составляю правило запрета доступа с внешнего адреса на 80 порт. Взгляните пожалуйста, верно ли подобное правило?

iptables -i vlan1 -I INPUT -p tcp --dport 80 -j DROP
nvram commit
reboot
[/I][/B]

vlan0ports=1 2 3 5*
vlan1ports=0 4 5

vlan1ports - это WAN + IPTV.

Заранее спасибо!

**nightrus** · 22-10-2008, 21:59

ïðîïèøè nvram set http_lanport=8080 && nvram commit
òîãäà 80 âîîáùå îòâå÷àòü ïåðåñòàíåò (ïîêà âåá ñåðâåð íå íàñòðîèøü íà íåãî)

**michaelV** · 22-10-2008, 22:19

Originally Posted by nightrus

ïðîïèøè nvram set http_lanport=8080 && nvram commit
òîãäà 80 âîîáùå îòâå÷àòü ïåðåñòàíåò (ïîêà âåá ñåðâåð íå íàñòðîèøü íà íåãî)

îê, ïîïðîáóåì.
Íî ÿ ñòàë êîïàòü ãëóáæå, òåïåðü ýòî iptables.
Âîò ÷òî ïðîïèñàë:

#ðàçðåøèòü äîñòóï ïî 80 ïîðòó íà IP 192.168.40.1
iptables -I INPUT -p tcp -d 192.168.40.1 --dport 80 -j ACCEPT

#çàïðåòèòü äîñòóï ïî 80 ïîðòó íà IP õõõ.õõõ.õõõ.õõõ (âíåøíèé IP WAN)
iptables -I INPUT -p tcp -d õõõ.õõõ.õõõ.õõõ --dport 80 -j DROP

# çàïîìíèòü
flashfs save && flashfs commit && flashfs enable

Êàæåòñÿ âñå âñòàëî íà ñâîè ìåñòå, íî êàê òîëüêî ïåðåãðóæàþ ïðèáîð êîìàíäîé reboot, âñå êàïåö! òàáëèöà ïóñòàÿ. Êóäà êîïàòü?

**Sashunya** · 23-10-2008, 05:50

Originally Posted by michaelV

îê, ïîïðîáóåì.
Íî ÿ ñòàë êîïàòü ãëóáæå, òåïåðü ýòî iptables.
Âîò ÷òî ïðîïèñàë:

#ðàçðåøèòü äîñòóï ïî 80 ïîðòó íà IP 192.168.40.1
iptables -I INPUT -p tcp -d 192.168.40.1 --dport 80 -j ACCEPT

#çàïðåòèòü äîñòóï ïî 80 ïîðòó íà IP õõõ.õõõ.õõõ.õõõ (âíåøíèé IP WAN)
iptables -I INPUT -p tcp -d õõõ.õõõ.õõõ.õõõ --dport 80 -j DROP

# çàïîìíèòü
flashfs save && flashfs commit && flashfs enable

Êàæåòñÿ âñå âñòàëî íà ñâîè ìåñòå, íî êàê òîëüêî ïåðåãðóæàþ ïðèáîð êîìàíäîé reboot, âñå êàïåö! òàáëèöà ïóñòàÿ. Êóäà êîïàòü?

Äûê ýòî âñå íóæíî ïðîïèñàòü â post-firewall. IPTABLES àâòîìàòîì áóäåò âûïîëíÿòñÿ òîëüêî îòòóäà

**EugeenB** · 21-10-2008, 18:26

Originally Posted by michaelV

Ðåøèë ðàäè ýêñïåðèìåíòà íàáðàòü èç âíåøíåé ñåòè: http://xxx.xxx.xxx.xxx (ïî óìîë÷àíèþ 80 ïîðò)
È âèæó ýòó æå âýá-ìîðäó!!
Âõîæó â Internet Firewall - Basic Config è ñíèìàþ ãàëêè ñ ïóíêòîâ Enable Web Access from WAN? è Port of Web Access from WAN:
Â èòîãå íà ïîðòó 8080, âýá-ìîðäà ïåðåñòàëà îòêðûâàòüñÿ, íî ïî ñòàíäàðòíîìó ïîðòó âñå çàìå÷àòåëüíî îòêðûâàåò!!
Íå ñîâñåì ïîíÿòíî, ýòî ñïåöèàëüíî îòêðûòûé "÷åðíûé õîä" è ÷òî åùå îòêðûòî äëÿ íåñàíêöèîíèðîâàííîãî äîñòóïà èç âíåøíåé ñåòè?

Äóìàþ - Âàøà ïðîáëåìà ñâÿçàíà ñ òåì, ÷òî Âû íå âûïîëíèëè Commit è Reboot ïîñëå ñäåëàíûõ èçìåíåíèé.

**michaelV** · 21-10-2008, 22:23

Îòâå÷àþ ïî ïîðÿäêó.

À Âû ñëó÷àéíî íå ñèäÿ â LAN'å, ò.å. íàõîäÿñü âíóòðè, ëîìèòåñü â èíòíðôåéñ? Èëè âñå-òàêè äåéñòâèòåëüíî, ïûòàåòåñü âîéòè ñíàðóæè?

Íåò êîíå÷íî, ïðîáîâàë ñî ñòîðîíåé ìàøèíû íàõîäÿùåéñÿ äàëåêî çà ïðåäåëàìè ñåãìåíòà. 80 îòêðûò.

Originally Posted by EugeenB

Äóìàþ - Âàøà ïðîáëåìà ñâÿçàíà ñ òåì, ÷òî Âû íå âûïîëíèëè Commit è Reboot ïîñëå ñäåëàíûõ èçìåíåíèé.

Âû èìååòå ââèäó APPLY è FINISH ?

**avk** · 21-10-2008, 22:33

Ìîæíî ñðàçó Finish. À ïîñëå âîçíèêíåò Save&Restart.
Íî ïîñëå Apply ñëåäóåä îáÿçàòåëüíî äàòü êîìàíäó nvram commit && reboot.

**AlekseyM** · 04-10-2013, 16:53

â ïîñëåäíåé ïðîøèâêå, îò ýíòóçèàñòîâ âîîáùå ïðîïàëà âêëàäêà Enable Web Access from WAN.
êàê ìîæíî ñäåëàòü äîñòóï èç âíåøíåé ñåòè íà ðîóòåð?

**Vampik** · 04-10-2013, 17:45

Originally Posted by AlekseyM

â ïîñëåäíåé ïðîøèâêå, îò ýíòóçèàñòîâ âîîáùå ïðîïàëà âêëàäêà Enable Web Access from WAN.
êàê ìîæíî ñäåëàòü äîñòóï èç âíåøíåé ñåòè íà ðîóòåð?

ssh...

**AlekseyM** · 04-10-2013, 18:53

Originally Posted by Vampik

ssh...

ìîæíî òêíóòü íîñîì ãäå ïîñìîòðåòü è ïî÷èòàòü?

**theMIROn** · 05-10-2013, 13:14

Originally Posted by AlekseyM

â ïîñëåäíåé ïðîøèâêå, îò ýíòóçèàñòîâ âîîáùå ïðîïàëà âêëàäêà Enable Web Access from WAN.
êàê ìîæíî ñäåëàòü äîñòóï èç âíåøíåé ñåòè íà ðîóòåð?

âñìûñëå ïðîïàëà?
Name: e061d7b739301d75746a1e7a4d107b8a.png
Views: 576
Size: 15.8 KB

**Vampik** · 05-10-2013, 14:24

Originally Posted by theMIROn

âñìûñëå ïðîïàëà?

Òåëåïàòèðóþ, ÷òî èìååòñÿ â âèäó ìîÿ ñáîðêà. Â ìîåé ñáîðêå íåò ýòîé äûðû.

Thread: Enable Web Access from WAN? YES-NO. Ðàáîòàåò ëè çàùèòà?

Thread Tools

Rate This Thread

Display

Hybrid View

Enable Web Access from WAN? YES-NO. Ðàáîòàåò ëè çàùèòà?

Similar Threads

with Access point no web interface

configuring second wan

Tags for this Thread

Posting Permissions