Page 12 of 15 FirstFirst ... 21011121314 ... LastLast
Results 166 to 180 of 213

Thread: Не получается открыть 80 порт

  1. 08-03-2012, 15:35 #166
    oxy-fox
    oxy-fox is offline Junior Member
    Send a message via ICQ to oxy-fox Send a message via Skype™ to oxy-fox
    Join Date
    Mar 2010
    Location
    Беларусь
    Posts
    11
    пытался открыть 80 порт, не вышло...
    получилось только пробросив в виртуал сервер через 82 порт
    22 работает, 8080 - работает
    что может быть??
    Last edited by oxy-fox; 08-03-2012 at 15:46.
    Reply With Quote Reply With Quote
  2. 07-08-2012, 14:36 #167
    AndreyPopov
    AndreyPopov is offline Forum Guru
    Join Date
    Feb 2008
    Posts
    1,163

    Question

    присоединяюсь к проблеме:

    стоит wl-50gpv2 на нем прошивка от энтузиастов

    проброшены порты:
    Code:
    -A VSERVER -p tcp -m tcp --dport 9091 -j DNAT --to-destination 195.24.153.51:9091
-A VSERVER -p udp -m udp --dport 9091 -j DNAT --to-destination 195.24.153.51:9091
-A VSERVER -p tcp -m tcp --dport 51413 -j DNAT --to-destination 195.24.153.51:51413
-A VSERVER -p udp -m udp --dport 51413 -j DNAT --to-destination 195.24.153.51:51413
-A VSERVER -p tcp -m tcp --dport 2706 -j DNAT --to-destination 195.24.153.51:2706
-A VSERVER -p udp -m udp --dport 2706 -j DNAT --to-destination 195.24.153.51:2706
-A VSERVER -p tcp -m tcp --dport 110 -j DNAT --to-destination 195.24.153.67:110
-A VSERVER -p udp -m udp --dport 110 -j DNAT --to-destination 195.24.153.67:110
-A VSERVER -p tcp -m tcp --dport 25 -j DNAT --to-destination 195.24.153.67:25
-A VSERVER -p tcp -m tcp --dport 143 -j DNAT --to-destination 195.24.153.67:143
-A VSERVER -p udp -m udp --dport 143 -j DNAT --to-destination 195.24.153.67:143
-A VSERVER -p tcp -m tcp --dport 23377 -j DNAT --to-destination 195.24.153.66:23377
-A VSERVER -p udp -m udp --dport 23377 -j DNAT --to-destination 195.24.153.66:23377
-A VSERVER -p tcp -m tcp --dport 80 -j DNAT --to-destination 195.24.153.53:80
-A VSERVER -p udp -m udp --dport 80 -j DNAT --to-destination 195.24.153.53:80
    все порты работают кроме 80!!!!


    есть еще таблица FORWARD и там такие записи:
    Code:
    :FORWARD ACCEPT [7672:508657]
:FORWARD ACCEPT [4639:324252]
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD ! -i br0 -o ppp0 -j DROP
-A FORWARD ! -i br0 -o vlan1 -j DROP
-A FORWARD ! -i br0 -m conntrack --ctstate NEW -j SECURITY
-A FORWARD -s 0.0.0.0/32 -d 195.24.153.53/32 -o br0 -p tcp -m tcp --sport 80 --dport 80 -j ACCEPT
-A FORWARD -s 0.0.0.0/32 -d 195.24.153.53/32 -o br0 -p udp -m udp --sport 80 --dport 80 -j ACCEPT
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -o br0 -j DROP
    смущает маска /32 на source!!!! потому как маска /32 подразумевает всего ОДИН адрес!

    есть еще INPUT:
    Code:
    :INPUT ACCEPT [823:118856]
:INPUT ACCEPT [0:0]
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i br0 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i ppp0 -m conntrack --ctstate NEW -j SECURITY
-A INPUT -i vlan1 -m conntrack --ctstate NEW -j SECURITY
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -j BRUTE
-A INPUT -p tcp -m tcp --dport 21 --tcp-flags FIN,SYN,RST,ACK SYN -j BRUTE
-A INPUT -d 195.24.153.49/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p udp -m udp --dport 33434:33534 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 515 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 9100 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3838 -j ACCEPT
-A INPUT -j DROP
    где тоже присутствует 80-й порт и указано, что только на адрес 195.24.153.49/32 может принимать по 80 порту - это я так понимаю вэб-морда роутера?

    но факт остается фактом - 80-й порт из интернета НЕ виден. рядом стоит роутер с DD-WRT и там с точно такими же настройками 80-й порт пробрасывается.
    Reply With Quote Reply With Quote
  3. 07-08-2012, 18:06 #168
    tempik
    tempik is offline Senior Member
    Join Date
    Jan 2009
    Posts
    456
    Quote Originally Posted by AndreyPopov View Post
    присоединяюсь к проблеме:

    стоит wl-50gpv2 на нем прошивка от энтузиастов
    смущает маска /32 на source!!!! потому как маска /32 подразумевает всего ОДИН адрес!
    ....
    где тоже присутствует 80-й порт и указано, что только на адрес 195.24.153.49/32 может принимать по 80 порту - это я так понимаю вэб-морда роутера?
    ....
    но факт остается фактом - 80-й порт из интернета НЕ виден. рядом стоит роутер с DD-WRT и там с точно такими же настройками 80-й порт пробрасывается.
    для обозначения любого адреса маска должна быть /0 (или вообще "-s" опустить ...)
    веб-морду лучше перевесить на другой порт ...
    для нормального понимания лучше приводить весь вывод правил, а не кусками ...
    tempik aka Mirage-net
    Reply With Quote Reply With Quote
  4. 08-08-2012, 11:18 #169
    AndreyPopov
    AndreyPopov is offline Forum Guru
    Join Date
    Feb 2008
    Posts
    1,163
    Quote Originally Posted by tempik View Post
    для обозначения любого адреса маска должна быть /0 (или вообще "-s" опустить ...)
    веб-морду лучше перевесить на другой порт ...
    для нормального понимания лучше приводить весь вывод правил, а не кусками ...
    знаете маску /32 прописывал НЕ я. то что маска должна быть /0 для всех адресов - и так ясно.

    проброс 80 порта на других прошивках работает без проблем!

    а что еще не достает? я привел выдержку VSERVER, FORWARD и INPUT - чего еще не хватает?

    добавлю к этому, что даже не работает вэб-морда роутера на 8080 порту из интернета, хотя в настройках указано Enable Web Access from WAN? Yes

    вчера даже сбросил настройки на заводские и настроил все заново - без результата.

    при это надо сказать что ftp, dns и torrent пробросв портов работают нормально!
    Last edited by AndreyPopov; 08-08-2012 at 11:22.
    Reply With Quote Reply With Quote
  5. 08-08-2012, 18:43 #170
    tempik
    tempik is offline Senior Member
    Join Date
    Jan 2009
    Posts
    456
    Quote Originally Posted by AndreyPopov View Post
    знаете маску /32 прописывал НЕ я. то что маска должна быть /0 для всех адресов - и так ясно.
    Я и не говорил что маску /32 прописали ВЫ, я сказал как должно быть....
    Quote Originally Posted by AndreyPopov View Post
    проброс 80 порта на других прошивках работает без проблем!

    а что еще не достает? я привел выдержку VSERVER, FORWARD и INPUT - чего еще не хватает?

    добавлю к этому, что даже не работает вэб-морда роутера на 8080 порту из интернета, хотя в настройках указано Enable Web Access from WAN? Yes

    вчера даже сбросил настройки на заводские и настроил все заново - без результата.

    при это надо сказать что ftp, dns и torrent пробросв портов работают нормально!
    Ну есть еще цепочка PREROUTING которая может все испортить .... Для перенаправления порта достаточно правила в VSERVER, в FORWARD про 80 порт правила не нужны ... Полный вывод правил дает возможность "почувствовать себя пакетом" и пробежать по правилам как это делает пакет... А выдернутые из полного контекста правила/цепочки все равно что кусок кода выдранный из исходников ...
    tempik aka Mirage-net
    Reply With Quote Reply With Quote
  6. 08-08-2012, 22:24 #171
    AndreyPopov
    AndreyPopov is offline Forum Guru
    Join Date
    Feb 2008
    Posts
    1,163
    ну вот PREROUTING:
    Code:
    :PREROUTING ACCEPT [25376:3269659]
-A PREROUTING -d 78.25.8.242/32 -j VSERVER
-A PREROUTING -d 78.25.8.242/32 -j VSERVER
:PREROUTING ACCEPT [147455:14520809]
    на роутере wl-500w с прошивкой dd-wrt заданы точно такие же правила: 82.207.89.70
    и все порты открыты - 80, 8080, 22, 23, 53, 110, 25, 143

    на этом же wl-500gpv2 почему-то оказался открыт только 53-й порт ну и для торрентов 9091, 51413 и т.д.

    поражает разница между выводом по iptables -L на двух роутерах в разделах FORWARD:

    on wl-500gpv2 with 1.9.2.7.4-rtn-4527:
    Code:
    Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
DROP       all  --  anywhere             anywhere            ctstate INVALID 
TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU 
ACCEPT     all  --  anywhere             anywhere            ctstate RELATED,ESTABLISHED 
DROP       all  --  anywhere             anywhere            
DROP       all  --  anywhere             anywhere            
SECURITY   all  --  anywhere             anywhere            ctstate NEW 
ACCEPT     all  --  anywhere             anywhere            ctstate DNAT 
DROP       all  --  anywhere             anywhere
    and on wl-500w with dd-wrt:
    Code:
    Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     gre  --  0-27-subnet.computersystemsltd.com/27  anywhere            
ACCEPT     tcp  --  0-27-subnet.computersystemsltd.com/27  anywhere            tcp dpt:1723 
ACCEPT     0    --  anywhere             anywhere            
TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU 
lan2wan    0    --  anywhere             anywhere            
ACCEPT     0    --  anywhere             anywhere            state RELATED,ESTABLISHED 
ACCEPT     tcp  --  anywhere             cs-internet-app.computersystemsltd.com tcp dpt:domain 
ACCEPT     udp  --  anywhere             cs-internet-app.computersystemsltd.com udp dpt:domain 
ACCEPT     tcp  --  anywhere             exchange.computersystemsltd.com tcp dpt:pop3 
ACCEPT     udp  --  anywhere             exchange.computersystemsltd.com udp dpt:pop3 
ACCEPT     tcp  --  anywhere             exchange.computersystemsltd.com tcp dpt:smtp 
ACCEPT     udp  --  anywhere             exchange.computersystemsltd.com udp dpt:25 
ACCEPT     tcp  --  anywhere             exchange.computersystemsltd.com tcp dpt:imap2 
ACCEPT     udp  --  anywhere             exchange.computersystemsltd.com udp dpt:imap2 
ACCEPT     tcp  --  anywhere             www.csa.dp.ua       tcp dpt:www 
ACCEPT     udp  --  anywhere             www.csa.dp.ua       udp dpt:www 
ACCEPT     tcp  --  anywhere             cs-internet-app.computersystemsltd.com tcp dpt:9091 
ACCEPT     udp  --  anywhere             cs-internet-app.computersystemsltd.com udp dpt:9091 
ACCEPT     tcp  --  anywhere             cs-internet-app.computersystemsltd.com tcp dpt:51413 
ACCEPT     udp  --  anywhere             cs-internet-app.computersystemsltd.com udp dpt:51413 
ACCEPT     tcp  --  anywhere             servernt.computersystemsltd.com tcp dpt:23377 
ACCEPT     udp  --  anywhere             servernt.computersystemsltd.com udp dpt:23377 
ACCEPT     tcp  --  anywhere             cs-internet-app.computersystemsltd.com tcp dpt:2706 
ACCEPT     udp  --  anywhere             cs-internet-app.computersystemsltd.com udp dpt:2706 
ACCEPT     tcp  --  anywhere             office-router.computersystemsltd.com tcp dpt:9140 
ACCEPT     udp  --  anywhere             office-router.computersystemsltd.com udp dpt:9140 
ACCEPT     tcp  --  anywhere             office-router.computersystemsltd.com tcp dpt:9141 
ACCEPT     udp  --  anywhere             office-router.computersystemsltd.com udp dpt:9141 
ACCEPT     tcp  --  anywhere             exchange.computersystemsltd.com tcp dpt:pop3s 
ACCEPT     udp  --  anywhere             exchange.computersystemsltd.com udp dpt:995 
ACCEPT     tcp  --  anywhere             exchange.computersystemsltd.com tcp dpt:imaps 
ACCEPT     udp  --  anywhere             exchange.computersystemsltd.com udp dpt:993 
TRIGGER    0    --  anywhere             anywhere            TRIGGER type:in match:0 relate:0 
trigger_out  0    --  anywhere             anywhere            
ACCEPT     0    --  anywhere             anywhere            state NEW 
DROP       0    --  anywhere             anywhere
    Last edited by AndreyPopov; 09-08-2012 at 18:08.
    Reply With Quote Reply With Quote
  7. 09-08-2012, 18:51 #172
    tempik
    tempik is offline Senior Member
    Join Date
    Jan 2009
    Posts
    456
    Quote Originally Posted by AndreyPopov View Post
    ну вот PREROUTING:
    Code:
    :PREROUTING ACCEPT [25376:3269659]
-A PREROUTING -d 78.25.8.242/32 -j VSERVER
-A PREROUTING -d 78.25.8.242/32 -j VSERVER
:PREROUTING ACCEPT [147455:14520809]
    на роутере wl-500w с прошивкой dd-wrt заданы точно такие же правила: 82.207.89.70
    и все порты открыты - 80, 8080, 22, 23, 53, 110, 25, 143

    на этом же wl-500gpv2 почему-то оказался открыт только 53-й порт ну и для торрентов 9091, 51413 и т.д.
    У вас в правилах много избыточных и задвоенных правил, надо разбираться откуда они берутся ... Но вы продолжаете выдавать информацию кусками (видимо вам не нужно решение проблемы). Правила формируются из настроек nvram (через веб-морду или напрямую), скриптами из /usr/local/sbin/ и другими способами ... Что-бы решить вашу проблему надо понять откуда беруться правила которые не нужны...
    Quote Originally Posted by AndreyPopov View Post
    поражает разница между выводом по iptables -L на двух роутерах в разделах FORWARD:
    Почему поражает???? Как задано так и выводит ....
    tempik aka Mirage-net
    Reply With Quote Reply With Quote
  8. 09-08-2012, 23:20 #173
    AndreyPopov
    AndreyPopov is offline Forum Guru
    Join Date
    Feb 2008
    Posts
    1,163
    правила не задваиваются, для каждого протокола tcp и udp прописаны.

    настройки производятся исключительно через вэб морду. никаких дополнительных правил руками, черезе telnet/ssh или через стартовые скрипты не вводится.

    вот прописанные правила для wl-500gpv2 1.9.7.-rtn
    Name: 1.9.2.7.-rtn.jpg Views: 103 Size: 76.3 KB

    вот правила на wl-500w dd-wrt
    Name: dd-wrt.jpg Views: 96 Size: 90.0 KB


    вот и получается, что прошивка энтузиастов форвардинг не прописывает.
    Last edited by AndreyPopov; 09-08-2012 at 23:24.
    Reply With Quote Reply With Quote
  9. 10-08-2012, 20:49 #174
    tempik
    tempik is offline Senior Member
    Join Date
    Jan 2009
    Posts
    456
    Quote Originally Posted by AndreyPopov View Post
    правила не задваиваются, для каждого протокола tcp и udp прописаны.
    настройки производятся исключительно через вэб морду. никаких дополнительных правил руками,
    черезе telnet/ssh или через стартовые скрипты не вводится.
    вот прописанные правила для wl-500gpv2 1.9.7.-rtn вот правила на wl-500w dd-wrt
    вот и получается, что прошивка энтузиастов форвардинг не прописывает.
    Только щас заметил, у вас что за роутером реальные адреса??? И провайдер их вам выделил?
    В любом случае приведите полный вывод iptables-save и вывод cat /usr/local/sbin/*
    (если там что-то конфиденциальное есть можно в ЛС) и может будет понятно что происходит ...
    В любом случае правила
    Code:
    -A PREROUTING -d 78.25.8.242/32 -j VSERVER
-A PREROUTING -d 78.25.8.242/32 -j VSERVER
    через веб-морду не должны были получиться ...
    Last edited by Omega; 13-08-2012 at 10:59. Reason: fixed
    tempik aka Mirage-net
    Reply With Quote Reply With Quote
  10. 11-08-2012, 01:25 #175
    staticroute
    staticroute is offline linuxnoob
    Join Date
    Feb 2008
    Posts
    398
    Code:
    inetnum:      195.24.153.0 - 195.24.153.255
netname:      CSA
descr:        Computer Systems association
country:      UA
admin-c:      APEX-RIPE
tech-c:       APEX-RIPE
status:       ASSIGNED PA
mnt-by:       AS6702-MNT
source:       RIPE # Filtered
    вполне так себе реальная сеть... если вы получаете эти IP, лучше их вписывать в Source IP, а не в Local IP, в Local должны быть только локальные вида 192.168.0.0/16, 172.16.0.0/12 или 10.0.0.0/8.
    Reply With Quote Reply With Quote
  11. 13-08-2012, 10:50 #176
    AndreyPopov
    AndreyPopov is offline Forum Guru
    Join Date
    Feb 2008
    Posts
    1,163
    Quote Originally Posted by staticroute
    если вы получаете эти IP, лучше их вписывать в Source IP, а не в Local IP, в Local должны быть только локальные вида 192.168.0.0/16, 172.16.0.0/12 или 10.0.0.0/8.
    это кто вам такое сказал? ли вы хотите сказать, что это фишка этой прошивки?

    какие адреса прописаны и где iptables должно быть до одного места! потому как маршрутизацией занимается совсем НЕ iptables!

    а если iptables в этой прошивке может работать только с адресами вида 192.168.0.0/16, 172.16.0.0/12 или 10.0.0.0/8 - то это наверное самой большой баг прошивки!
    Reply With Quote Reply With Quote
  12. 13-08-2012, 11:00 #177
    AndreyPopov
    AndreyPopov is offline Forum Guru
    Join Date
    Feb 2008
    Posts
    1,163
    Quote Originally Posted by tempik
    Только щас заметил, у вас что за роутером реальные адреса??? И провайдер их вам выделил? В любом случае приведите полный вывод iptables-save и вывод cat /usr/local/sbin/* (если там что-то конфиденциальное есть можно в ЛС) и может будет понятно что происходит ... В любом случае правила
    Code:
    -A PREROUTING -d 78.25.8.242/32 -j VSERVER
-A PREROUTING -d 78.25.8.242/32 -j VSERVER
    через веб-морду не должны были получиться ...
    1. ну и что, что реальные. есть провайдер, у которого только 2Мб скорость, с которым больше 10 лет работаем. есть еще два других провайдера.
    2. -A PREROUTING -d 78.25.8.242/32 -j VSERVER - не должны были через вэм-морду получиться????? так еще раз повторю - все настройки исключительно через вэб-морду.

    3. iptables-save все:
    Code:
    # Generated by iptables-save v1.4.3.2 on Mon Aug 13 12:56:36 2012
*nat
:PREROUTING ACCEPT [294063:37153121]
:POSTROUTING ACCEPT [143422:11162424]
:OUTPUT ACCEPT [242:17156]
:UPNP - [0:0]
:VSERVER - [0:0]
-A PREROUTING -d 78.25.8.242/32 -j VSERVER 
-A PREROUTING -d 78.25.8.242/32 -j VSERVER 
-A POSTROUTING ! -s 78.25.8.242/32 -o ppp0 -j MASQUERADE 
-A POSTROUTING ! -s 78.25.8.242/32 -o vlan1 -j MASQUERADE 
-A POSTROUTING -s 195.24.153.48/29 -d 195.24.153.48/29 -o br0 -j MASQUERADE 
-A VSERVER -p tcp -m tcp --dport 8080 -j DNAT --to-destination 195.24.153.49:80 
-A VSERVER -p tcp -m tcp --dport 53 -j DNAT --to-destination 195.24.153.51:53 
-A VSERVER -p udp -m udp --dport 53 -j DNAT --to-destination 195.24.153.51:53 
-A VSERVER -p tcp -m tcp --dport 80 -j DNAT --to-destination 195.24.153.53:80 
-A VSERVER -p udp -m udp --dport 80 -j DNAT --to-destination 195.24.153.53:80 
-A VSERVER -p tcp -m tcp --dport 110 -j DNAT --to-destination 195.24.153.67:110 
-A VSERVER -p udp -m udp --dport 110 -j DNAT --to-destination 195.24.153.67:110 
-A VSERVER -p tcp -m tcp --dport 25 -j DNAT --to-destination 195.24.153.67:25 
-A VSERVER -p udp -m udp --dport 25 -j DNAT --to-destination 195.24.153.67:25 
-A VSERVER -p tcp -m tcp --dport 143 -j DNAT --to-destination 195.24.153.67:143 
-A VSERVER -p udp -m udp --dport 143 -j DNAT --to-destination 195.24.153.67:143 
-A VSERVER -p tcp -m tcp --dport 9091 -j DNAT --to-destination 195.24.153.51:9091 
-A VSERVER -p udp -m udp --dport 9091 -j DNAT --to-destination 195.24.153.51:9091 
-A VSERVER -p tcp -m tcp --dport 51413 -j DNAT --to-destination 195.24.153.51:51413 
-A VSERVER -p udp -m udp --dport 51413 -j DNAT --to-destination 195.24.153.51:51413 
-A VSERVER -p tcp -m tcp --dport 2706 -j DNAT --to-destination 195.24.153.51:2706 
-A VSERVER -p udp -m udp --dport 2706 -j DNAT --to-destination 195.24.153.51:2706 
-A VSERVER -p tcp -m tcp --dport 23377 -j DNAT --to-destination 195.24.153.66:23377 
-A VSERVER -p udp -m udp --dport 23377 -j DNAT --to-destination 195.24.153.66:23377 
-A VSERVER -p tcp -m tcp --dport 9140 -j DNAT --to-destination 195.24.153.5:9140 
-A VSERVER -p udp -m udp --dport 9140 -j DNAT --to-destination 195.24.153.5:9140 
-A VSERVER -p tcp -m tcp --dport 9141 -j DNAT --to-destination 195.24.153.5:9141 
-A VSERVER -p udp -m udp --dport 9141 -j DNAT --to-destination 195.24.153.5:9141 
-A VSERVER -p tcp -m tcp --dport 995 -j DNAT --to-destination 195.24.153.67:995 
-A VSERVER -p udp -m udp --dport 995 -j DNAT --to-destination 195.24.153.67:995 
-A VSERVER -p tcp -m tcp --dport 993 -j DNAT --to-destination 195.24.153.67:993 
-A VSERVER -p udp -m udp --dport 993 -j DNAT --to-destination 195.24.153.67:993 
COMMIT
# Completed on Mon Aug 13 12:56:37 2012
# Generated by iptables-save v1.4.3.2 on Mon Aug 13 12:56:37 2012
*mangle
:PREROUTING ACCEPT [2769245:901816186]
:INPUT ACCEPT [78347:13166505]
:FORWARD ACCEPT [2672130:886647011]
:OUTPUT ACCEPT [52021:32451435]
:POSTROUTING ACCEPT [2670165:916322060]
COMMIT
# Completed on Mon Aug 13 12:56:37 2012
# Generated by iptables-save v1.4.3.2 on Mon Aug 13 12:56:37 2012
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [604693:52644976]
:OUTPUT ACCEPT [52008:32450174]
:BRUTE - [0:0]
:MACS - [0:0]
:SECURITY - [0:0]
:UPNP - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -m conntrack --ctstate INVALID -j DROP 
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT 
-A INPUT -i br0 -m conntrack --ctstate NEW -j ACCEPT 
-A INPUT -i ppp0 -m conntrack --ctstate NEW -j SECURITY 
-A INPUT -i vlan1 -m conntrack --ctstate NEW -j SECURITY 
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -j BRUTE 
-A INPUT -p tcp -m tcp --dport 21 --tcp-flags FIN,SYN,RST,ACK SYN -j BRUTE 
-A INPUT -d 195.24.153.49/32 -p tcp -m tcp --dport 80 -j ACCEPT 
-A INPUT -p icmp -j ACCEPT 
-A INPUT -p udp -m udp --dport 33434:33534 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 515 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 9100 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 3838 -j ACCEPT 
-A INPUT -j DROP 
-A FORWARD -i br0 -o br0 -j ACCEPT 
-A FORWARD -m conntrack --ctstate INVALID -j DROP 
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu 
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD ! -i br0 -o ppp0 -j DROP 
-A FORWARD ! -i br0 -o vlan1 -j DROP 
-A FORWARD ! -i br0 -m conntrack --ctstate NEW -j SECURITY 
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT 
-A FORWARD -o br0 -j DROP 
-A BRUTE -m recent --update --seconds 600 --hitcount 3 --name BRUTE --rsource -j DROP 
-A BRUTE -m recent --set --name BRUTE --rsource -j ACCEPT 
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN 
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN 
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN 
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN 
-A SECURITY -j DROP 
-A logaccept -m conntrack --ctstate NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options --log-macdecode 
-A logaccept -j ACCEPT 
-A logdrop -m conntrack --ctstate NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options --log-macdecode 
-A logdrop -j DROP 
COMMIT
# Completed on Mon Aug 13 12:56:37 2012
    4. cat /usr/local/sbin/*:
    Code:
    #!/bin/sh

# Enter your commands here


#!/bin/sh

# Enter your commands here



#!/bin/sh

chmod 777 /tmp
#dropbear > /dev/null 2>&1
export TERMINFO="/opt/share/terminfo"
export TERM="xterm"
export LANG=en_US.UTF-8


#echo "1" > /proc/sys/net/ipv6/conf/lo/disable_ipv6
#echo "1" > /proc/sys/net/ipv6/conf/eth0/disable_ipv6
#echo "1" > /proc/sys/net/ipv6/conf/eth1/disable_ipv6

ifconfig vlan0 -multicast
ifconfig vlan1 -multicast
ifconfig eth1 -multicast
ifconfig eth0 -multicast
ifconfig br0 -multicast
ifconfig lo -multicast
#insmod scsi_mod
#insmod sd_mod
#insmod usb-storage




#!/bin/sh

ifconfig ppp0 -multicast




#!/bin/sh

/sbin/swapon /dev/discs/disca/part2
/bin/mount -o bind,sync,noatime,rw /tmp/mnt/disca_1/opt /opt

/opt/etc/init.d/S80thttpd start
/opt/etc/init.d/S10cron
#/opt/sbin/start-bluez
insmod /opt/lib/modules/2.6.22.19/kernel/fs/smbfs/smbfs.ko
insmod /opt/lib/modules/2.6.22.19/kernel/fs/cifs/ciffs.ko
insmod /opt/lib/modules/2.6.22.19/kernel/fs/ext2/ext2.ko

/opt/etc/init.d/S08samba




#!/bin/sh

# Enter your commands here





#!/bin/sh

# Enter your commands here




#!/bin/sh

# Enter your commands here




#!/bin/sh
/opt/etc/init.d/S80thttpd stop
sleep 5
sync
sleep 5
/opt/bin/smbumount /tmp/mnt/disca_1/pub
sleep 2
e2fsck -p /dev/discs/disca/part1
swapoff /dev/discs/disca/part2
umount /opt
sleep 2
umount /tmp/mnt/disca_1
sleep 2



#!/bin/sh

# Enter your commands here
    Reply With Quote Reply With Quote
  13. 13-08-2012, 13:09 #178
    staticroute
    staticroute is offline linuxnoob
    Join Date
    Feb 2008
    Posts
    398
    Quote Originally Posted by AndreyPopov View Post
    это кто вам такое сказал? ли вы хотите сказать, что это фишка этой прошивки?

    какие адреса прописаны и где iptables должно быть до одного места! потому как маршрутизацией занимается совсем НЕ iptables!

    а если iptables в этой прошивке может работать только с адресами вида 192.168.0.0/16, 172.16.0.0/12 или 10.0.0.0/8 - то это наверное самой большой баг прошивки!
    Имелось ввиду адреса для машин за роутером, должны иметь адреса из этих подсетей, чтобы не пересекаться с реальными сетями.

    Даже если провайдер выделил вам несколько реальных IP адресов, я думаю, надо действовать по-другому (если хотите все-таки использовать роутер как роутер, а не как банальный свитч).
    Last edited by staticroute; 13-08-2012 at 13:14.
    Reply With Quote Reply With Quote
  14. 13-08-2012, 14:37 #179
    AndreyPopov
    AndreyPopov is offline Forum Guru
    Join Date
    Feb 2008
    Posts
    1,163
    Quote Originally Posted by staticroute
    Имелось ввиду адреса для машин за роутером, должны иметь адреса из этих подсетей, чтобы не пересекаться с реальными сетями.

    Даже если провайдер выделил вам несколько реальных IP адресов, я думаю, надо действовать по-другому (если хотите все-таки использовать роутер как роутер, а не как банальный свитч).
    роутер - это маршрутизатор, который осуществляет маршрутизацию пакетов между подсетями с разными сетевыми адресами.

    так вот как маршрутизатор (роутер) он работает без проблем! и ему глубоко до одного места какие адреса (реальные или нет) у него прописаны. чтобы разобраться с этими адресами у него есть таблица маршрутизации.

    Code:
    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
195.248.176.231 *               255.255.255.255 UH    0      0        0 WAN ppp0
195.24.153.48   *               255.255.255.248 U     0      0        0 LAN br0
195.24.153.0    195.24.153.50   255.255.255.0   UG    1      0        0 LAN br0
default         195.248.176.231 0.0.0.0         UG    0      0        0 WAN ppp0
    а вот надстройка Firewall/NAT(iptables) в данном случае отрабатывает некорректно!
    Reply With Quote Reply With Quote
  15. 13-08-2012, 15:18 #180
    Vampik
    Vampik is offline Forum Guru
    Join Date
    Mar 2009
    Location
    Moscow
    Posts
    864
    Перенаправление портов используется вместе с NAT. Сеть за NAT должна использовать адреса из приватных диапазонов (192.168.x.x и т.п.).
    Если провайдер выделяет несколько внешних IP-адресов, NAT и перенаправления портов вообще не нужны, можно поставить вместо роутера свитч.
    Случаи, когда роутер используется для маршрутизации между различными подсетями, без NAT, не рассматриваем - это удел организаций и интернет-провайдеров, а там не используются ДОМАШНИЕ роутеры.
    D-Link DIR-320 A1/A2, DIR-620 C1, Netgear WNR3500L v1 v2
    Reply With Quote Reply With Quote
Page 12 of 15 FirstFirst ... 21011121314 ... LastLast
« Previous Thread | Next Thread »

Similar Threads

  1. Mini PCI mod: делаем из WL-500gPv1 WL-500W и получаем Wi-Fi N !
    By slava in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 264
    Last Post: 15-05-2013, 17:14
  2. Asus WL-500gP, как проверить WAN-порт?
    By jmur in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 104
    Last Post: 03-04-2013, 12:24
  3. Отправка и получение SMS с роутера
    By reyko in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 29
    Last Post: 04-03-2013, 12:27
  4. Mini PCI mod: второй порт для IDE в WL500gP/W
    By lexen in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 135
    Last Post: 03-12-2010, 17:15
  5. Не подключается USB HDD
    By Romuald in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 66
    Last Post: 02-03-2009, 22:14

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •  

Forum Rules