Что за клиент?
В Putty в разделе Tunnels вбиваете Source Port 8081, в Destination 192.168.1.2:8081 и не забываете жать Add.
Приветствую!
Есть острое желание залезть на www-интерфейс торрента снаружи. Сидит на порту 8081 и доступ снаружи прикрыт. Крутится dropbear на порту 2222, который открыт для доступа снаружи.
Прочитал про волшебную функцию проброса портов через SSH туннель и попытался сделать это.
Настройки использую следующие:
ssh server: myasus.dyndns.org
ssh port: 2222
localport: 8081
server: 192.168.1.2 <это адрес интерфейса роутера, смотрящего внутрь локалки>
remoteport: 8081
В результате, после авторизации и поднятия туннеля, когда пробую обратится с удаленной машины на ее локальный порт (http://localhost:8081), получаю пустую страничку. Если туннель не поднят - получаю таймаут.
Что я забыл сделать?
Нужно некое специальное правило в iptables, чтобы форвардить траффик выходящий из ssh-туннеля на порт 8081 локального интерфейса?
Адрес какого интерфейса удаленного узла следует использовать при поднятии туннеля (192.168.1.2 или 127.0.0.1)?
Что за клиент?
В Putty в разделе Tunnels вбиваете Source Port 8081, в Destination 192.168.1.2:8081 и не забываете жать Add.
Клиент Pocket Putty. Именно так и вбиваю. Пробовал еще zaTunnel - те же яйца.
Забыл указать: удаленная машина - КПК на Windows Mobile, инет через GPRS от МТС.
Поставил вместо IE Оперу - стало интересней!
Опера качает 7КБ от общего размера странички и затыкается. В этот момент Pocket Putty падает с ошибкой WSAEnumNetworkEvents(): SOCKET_ERROR и туннель рвется.
Судя по всему, глюк специфичен для Windows Mobile и к роутеру не имеет никакого отношения.
IMHO, может проще вместо http поставить https (SSL) и открыть его наружу ? Мне кажется, что по уровню безопасности это не хуже ssh туннеля.
Как настроить lighttpd с SSL на форруме описано подробно.
http://wl500g.info/showpost.php?p=47181&postcount=8
http://wl500g.info/showpost.php?p=47928&postcount=10
Единственно, pocket IE у меня (wm2003se) не поддерживает авторизацию htdigest, пришлось использовать plain/basic. Но это не так критично внутри SSL, наверное.
Last edited by zheka_ppp; 28-11-2007 at 13:03.
Да, выход. Но все же не хотелось бы плодить порты открытые снаружи.
Добрый день форумчане, Олег!
При выборе перечитал рекомендации на сайте и отзывы от друзей которые уже имеют роутер Asus wl500g Premium.
У меня есть Asus wl500g Premium v.2, с прошивкой от Олега последней (...-10). Настроил DHCP, настроил PPTP, по описаниям на сайте поднял ssh демона. Все как бы работает для работы в интернете хватает. Но сейчас мне нужно открыть доступ к роутеру из интернета по ssh так чтобы можно было клиентом из инета конектится, например, <мой IP>:443, а попадать на <мой IP роутера внутренний>:22, т.е. с пробросом порта во внутрь.
Как это сделать, и, можно ли это сделать через Web интерфейс, до сих пор у меня не получилось это сделать так чтоб работало?
Еще мне требуется открыть с пробросом во внутрь таким же способом через Web интерфейс еще несколько портов для некоторых мне необходимых сервисов, например, ftp (т.е. чтобы они были доступны из интернета, чтоб роутер при коннекте на определенный порт перебрасывал соединение на внутреннего клиента). Если это можно сделать только из под консоли линукса, то прошу написать как? Т.к. на форуме очень много информации смежной с моей задачей, но толком не понятно и линукс достаточно специфичный чтоб с ним работать так как с обычным полноценным.
Еще один момент хотел бы чтобы прояснили для меня, каким образом обнаружить что флешка гиговая которую я воткнул в один из портов в роутер обнаружилась роутером и принципиально ли иметь файловую систему какую либо на этой флешке до начала работы с ней? Если я удалил файловую систему на флешке и сделал ее Free, она ведь все равно должна найтись роутером? После того как роутер обноружил ее где и как посмотреть ее и отформатировать (как отформатировать встречал на форуме но не получилось)? На форуме только про винты видел сообщения и объяснения как с ними работать. У меня в /dev нет каталога /scsi, есть каталог /usb но в нем ничего нет когда подключаешь флешку (флешка простая гиговая Kingston).
Да, и еще один вопрос. У меня есть динамический IP привязан он у провайдера к мак адресу который я настроил. Все бы ничего но при подключении VPN все запросы идут через него, а хочется локальные ресурсы провайдера который мне выдает динамический IP юзать без VPN. Как создать файлик и применить его с сетями провайдера локальными или скрипт которым можно будет стягивать таблицу сетей и применять ее?
Очень хотелось бы чтобы интерфейс Web морды роутера был переработан и дополнен функционалом.
До того как пророшить Олеговской прошивкой прошил асусовской последней доступной там интерфейс гораздо приятнее.
Очень надеюсь что меня не пошлют кудани-будь в поиск (поиском слава богу умеем пользоваться) и ответят точно на мои вопросы по порядку в теме.
С Уважением, Agure
Last edited by agure; 12-11-2008 at 09:11. Reason: дополнения
1. Если нужен SSH на 443 порту, то надо в настройках SSH-сервера этот порт и указать вместо 22, ничего пробрасывать не надо.
2. Чтобы открыть порты на роутере во внешний мир, надо создать файл /usr/local/bin/post-firewall, сделать исполняемым, добавить в него строчку "#!/bin/sh" и для каждого порта, который надо открыть, по строчке вида:
iptables -I INPUT -p tcp --dport <номер_порта> -j ACCEPT
После чего выполнить "flashfs save && flashfs commit && flashfs enable" и перезагрузиться.
3. Если в /dev/ нет каталога scsi, флэшка, скорее всего, не определилась. Отсутствие на ней файловой системы не должно быть проблемой. В чем дело, можно попробовать понять, посмотрев вывод команд "dmesg | grep usb" и "dmesg | grep scsi".
4. Маршрутизация, вроде бы, вполне настраивается и из веб-интерфейса. Если что-то не получается - опишите подробнее, что именно надо и что делали.
5. Веб-интерфейс у прошивки Олега вполне нормальный для того, чтобы сделать первичную настройку, а дальше уже работать с конфигурационными файлами и т.п. напрямую. Если Вам хочется все настраивать через красивый веб-интерфейс - может быть, Вам не нужна прошивка от Олега и хватит стандартной?
Last edited by Alexander B.; 13-11-2008 at 09:36. Reason: Опечатка в строке "#!/bin/sh"
Я так понял что,
1. В настройках ssh сервера опять же через telnet с доступом к роутеру надо указывать порт который мне нужен 443 например вместо 22, учитывая пункт 2, будет ли в такой ситуации доступен роутер по telnet <IP адрес моего шлюза который выдает мне провайдер>:22 (или 443)?
2. Чтобы заходить из вне по порту 443 и попадать на 22 роутера надо создать файл /usr/local/bin/post-firewall, сделать исполняемым (как если не сложно напишите)
и добавить строчки в созданном файле
!/bin/sh
iptables -I INPUT -p tcp --dport <443> -j ACCEPT - если нужно открыть 443 порт из вне
iptables -I INPUT -p tcp --dport <22> -j ACCEPT - если нужно открыть 22 порт из вне
iptables -I INPUT -p tcp --dport <80> -j ACCEPT - если нужно открыть 80 порт из вне
потом сделать flashfs save && flashfs commit && flashfs enable
reboot
А можно ли это сделать через веб интерфейс?
Я же хочу чтобы порт из вне был открыт 443, но при коннекте на него роутилось на 22 роутера. Как это сделать?
С роутингом через веб интерфейс не понял вообще как настраивается.
Есть список "сеть\маска\индекс подсети", который я хочу, прописать в роутере и ходить по этим сетям без VPN. Роутер стоит в режиме домашней маршрутиризации.
Если работать без VPN, то сайты в локальной сети открываются несколько медленно, возможно это связано с проблемой скорости download\upload о которой уже писали на форуме (попробую поднастроить чуть позже), но пинги ходят только до шлюза провайдера моего, а сайты открываются и из-за шлюза провайдера. Когда подключаешь VPN, то пинги все идут через VPN, а не по локальной сети. Хочу разделить локальные ресурсу и внешку.
1. telnet и SSH - разные протоколы. Вам что надо?
2. Вам нужен SSH (или все-таки telnet) на 22 порту или на 443? В чем смысл желания "открыть 443, но попадать на 22"?
3. Про маршрутизацию ничего не понял. Какие сетевые интерфейсы подняты на роутере, какие адреса и шлюзы по умолчанию на каждом из них? К каким сетям через какие шлюзы Вы хотите иметь доступ? Подозреваю, если Вы сами сформулируете ответы на этот вопросы, то дальше ничего объяснять уже не придется.
P.S. Без базовых знаний линукса лучше Вам в консоль не лезть от греха подальше...
ssh по 443 порту с перенаправлением на 22 уже сделал с помощью модератора форума. За что ему огромное спасибо.
По поводу сетей разъясню еще раз подробно.
У меня в городе очень много ресурсов всяких разных и провайдер к которому я подключен только за абон. плату предоставляет доступ к этим ресурсам (без внешнего интернета подключением VPN или еще как). Есть cписок сетей в текстовом формате. Мне нужно прописать в роутере этот список в каком либо виде, например, "сеть/префикс сети" (87.239.8.0/21) или за место префикса маску. А еще лучше написать скрипт который будет в текстовом виде скачивать такой список и применять его на роутере.
Список большой, порядка 100 строк таких из сетей и префиксов\масок будет.
Проблема у меня еще в том что сейчас у меня пинг без включенного VPN не выходит дальше шлюза провайдера, а когда включаешь VPN, то даже по ресурсам нашего города я хожу через VPN и пинг тоже. Скорее всего что нужно именно на роутере прописать сети и явным образом указать настройки сети в роутере (IP, маска, шлюз, DNS).
Теперь еще раз, как это сделать?
PS: Надеюсь теперь я понятно изложил, тьфу-тьфу...иногда отличаюсь сложностью мысли.
Я правильно Вас понял, что Вы:
1) Получаете адрес, шлюз и адреса серверов DNS из сети провайдера по DHCP.
2) Подключаетесь по VPN для доступа к внешним ресурсам.
При этом раньше (до того, как Вы поставили роутер), к внутренним ресурсам после выполнения п. 1 был доступ без выполнения п. 2, а сейчас (когда роутер поставили) такой вариант не работает?
Абсолютно правильно.
Только я могу получать адрес, шлюз и DNS по DHCP от провайдера а могу и сам прописать. Раньше было прописано и я просто делал
route ADD 157.0.0.0 MASK 255.0.0.0 157.55.80.1 METRIC 3 IF 2
но в линухе несколько все подругому.
Надо прописать сети таким же образом на роутере.
Прописать маршруты не проблема. Указанную Вами выше виндовую команду можно повторить для роутера как через веб-интерфейс, так и из командной строки. В последнем случае получится "route add 157.0.0.0 netmask 255.0.0.0 gw 157.55.80.1 metric 3 dev XXX", где XXX - имя WAN-интерфейса (посмотреть можно, вызвав "nvram get wan_ifname").
А вот то, что без VPN внутренние ресурсы недоступны, - это уже отдельная проблема. Ее причина мне, честно говоря, непонятна. Роутер по DHCP точно получает те же настройки, как и Ваш компьютер, на котором все работало?