не в крон, а в post-firewall.
UPD. Ну вот заработало
Enable Web Access from WAN? ->YES
А теперь следующий параметр на тойже страничке:
Port of Web Access from WAN: 8080
Собственно так и пересадил на другой порт морду роутера.
[admin@Neon root]$ iptables -I INPUT -p tcp --dport 80 -j ACCEPT
Не работает)
Сейчас попробую добавить в крон и перегрузить, но не думаю что что-то измениться.
не в крон, а в post-firewall.
UPD. Ну вот заработало
Last edited by LnrMn; 10-02-2010 at 20:02.
Asus RT-AC66U, Xerox Phaser 3160B, on the shelf RT-N16 (Killed by lightning)
WL-500gPv1 128MB, WL-500W 300MHz/128M, LCD 40x4, DIR-320 8Mb/64MB
WL-700g 128MB, MNV25E2+ and more and more devices. provod.beeline.ru
-------------------------------------------
Computers. Since 1984. First one - "МИР-1"
Добавил. перезагрузил. не помогло
Проверил файл, сохранил ли - да сохранил.
[admin@Neon root]$ cat /usr/local/sbin/post-firewall
#!/bin/sh
grep -q -- '--dport 0\b' /tmp/nat_rules && grep -v -- '--dport 0\b' /tmp/nat_rules | iptables-restore
iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
iptables -I INPUT -p tcp --dport 80 -j ACCEPT
Я тебя вижу. Деревяшку твою
Code:Index of / Name Last Modified Size Type Parent Directory/ - Directory NRNU/ 2010-Feb-10 18:38:06 - Directory image.jpg 2010-Feb-04 21:58:10 0.0K image/jpeg mendeleev.tiff 2010-Feb-08 00:24:46 4.4M application/octet-stream test.pdf 2010-Feb-02 11:24:49 0.0K application/pdf test.xls 2010-Feb-04 21:57:52 0.0K application/octet-stream lighttpd/1.4.26
Asus RT-AC66U, Xerox Phaser 3160B, on the shelf RT-N16 (Killed by lightning)
WL-500gPv1 128MB, WL-500W 300MHz/128M, LCD 40x4, DIR-320 8Mb/64MB
WL-700g 128MB, MNV25E2+ and more and more devices. provod.beeline.ru
-------------------------------------------
Computers. Since 1984. First one - "МИР-1"
М@т! тв0/-0!!!! В virtual servers был сервер на 80ом порте)
Вроде заработало)
Спасибо)
Стоит D-Link D320, переделанный в WL500gpv2 с помощью прошивки Олега 1.9.2.7-10.7. В локалке есть сервер на IIS, он виден из локалки по 80-му порту, и из Интернета - через Virtual Server - по любому порту проброшенному, кроме 80-го. Устанавливаю в Port Forwarding (Virtual Server) проброс 80-го порт - и никак не получается его увидеть. Менял разные настройки, чего только не делал - задача не решается. В чем может быть проблема?
Как вариант блокирует провайдер.
iptables-save и nvram get http_lanport продемонстрируйте пожалуйста.
nvram get http_lanport - результат 80
# Generated by iptables-save v1.2.7a on Tue Mar 16 15:20:28 2010
*nat
:PREROUTING ACCEPT [33237:2376336]
:POSTROUTING ACCEPT [600:59268]
:OUTPUT ACCEPT [167:11914]
:VSERVER - [0:0]
-A PREROUTING -d 95.27.64.8 -j VSERVER
-A PREROUTING -d 10.48.147.144 -j VSERVER
-A POSTROUTING -s ! 95.27.64.8 -o ppp0 -j MASQUERADE
-A POSTROUTING -s ! 10.48.147.144 -o vlan1 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -o br0 -j MASQUERADE
-A VSERVER -p udp -m udp --dport 49291 -j DNAT --to-destination 192.168.0.112:49291
-A VSERVER -p udp -m udp --dport 51849 -j DNAT --to-destination 192.168.0.127:51849
-A VSERVER -p udp -m udp --dport 54146 -j DNAT --to-destination 192.168.0.127:54146
-A VSERVER -p udp -m udp --dport 50135 -j DNAT --to-destination 192.168.0.127:50135
-A VSERVER -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.193:80
-A VSERVER -p udp -m udp --dport 26903 -j DNAT --to-destination 192.168.0.129:26903
-A VSERVER -p tcp -m tcp --dport 443 -j DNAT --to-destination 192.168.0.193:443
-A VSERVER -p udp -m udp --dport 50213 -j DNAT --to-destination 192.168.0.127:50213
-A VSERVER -p tcp -m tcp --dport 26903 -j DNAT --to-destination 192.168.0.129:26903
-A VSERVER -p tcp -m tcp --dport 554 -j DNAT --to-destination 192.168.0.193:554
-A VSERVER -p udp -m udp --dport 5000 -j DNAT --to-destination 192.168.0.193:5000
-A VSERVER -p udp -m udp --dport 5001 -j DNAT --to-destination 192.168.0.193:5001
-A VSERVER -p tcp -m tcp --dport 48769 -j DNAT --to-destination 192.168.0.106:48769
-A VSERVER -p udp -m udp --dport 62558 -j DNAT --to-destination 192.168.0.130:62558
-A VSERVER -p udp -m udp --dport 5002 -j DNAT --to-destination 192.168.0.193:5002
-A VSERVER -p tcp -m tcp --dport 8081 -j DNAT --to-destination 192.168.0.130:80
-A VSERVER -p tcp -m tcp --dport 20:21 -j DNAT --to-destination 192.168.0.130:20
-A VSERVER -p tcp -m tcp --dport 5500:5700 -j DNAT --to-destination 192.168.0.130:5500
-A VSERVER -p udp -m udp --dport 5500:5700 -j DNAT --to-destination 192.168.0.130:5500
-A VSERVER -p tcp -m tcp --dport 82 -j DNAT --to-destination 192.168.0.130:80
COMMIT
# Completed on Tue Mar 16 15:20:28 2010
# Generated by iptables-save v1.2.7a on Tue Mar 16 15:20:28 2010
*mangle
:PREROUTING ACCEPT [207188:117639029]
:INPUT ACCEPT [108919:58070509]
:FORWARD ACCEPT [95091:59375110]
:OUTPUT ACCEPT [61038:15042160]
:POSTROUTING ACCEPT [157040:74718710]
COMMIT
# Completed on Tue Mar 16 15:20:28 2010
# Generated by iptables-save v1.2.7a on Tue Mar 16 15:20:28 2010
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [6328:540418]
:OUTPUT ACCEPT [60261:14564445]
:MACS - [0:0]
:SECURITY - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i br0 -m state --state NEW -j ACCEPT
-A INPUT -d 224.0.0.0/240.0.0.0 -p 2 -j ACCEPT
-A INPUT -d 224.0.0.0/240.0.0.0 -p udp -m udp ! --dport 1900 -j ACCEPT
-A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -j DROP
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -d 224.0.0.0/240.0.0.0 -p udp -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ! br0 -o ppp0 -j DROP
-A FORWARD -i ! br0 -o vlan1 -j DROP
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -o br0 -j ACCEPT
-A SECURITY -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j DROP
-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logaccept -j ACCEPT
-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logdrop -j DROP
COMMIT
# Completed on Tue Mar 16 15:20:28 2010
лично я решил проблему переносом 80 порта внутри своей домашней сетки на 8080 делается это таки открыл доступ извне в post-firewall пишемPHP Code:
nvram set http_lanport=8080
PHP Code:
iptables -I INPUT -p tcp --dport 80 -j ACCEPT
8080 можно открыть для доступа к самому роутеру снаружи.... Может, у него зашит запрет на доступ к 80-му порту? А через меню его никак не обойти? Провайдер мой, кстати, 80-й порт не закрывает. Более того, обнаружил вообще странную вещь в своей сетке: включил web-камеру, у которой есть своя web-страничка по фиксированному адресу 0.193, зашел на свой myserver.dyndns.org снаружи по 80-му порту, и обнаружил, что открывается страница этой самой камеры. Хотя никак ее в роутере не прописывал. Чудеса да и только!
Кстати, FTP (21-й порт), хотя и открыл, снаружи тоже telnet'ом не пробивается
У вас UPnP включен и мешается. Выключите его и всё заработает.
Everybody stand back. I know iptables.
Мой вариант правильного выключения роутера.
Everybody stand back. I know iptables.
Мой вариант правильного выключения роутера.
вот...
Code:# Generated by iptables-save v1.2.7a on Wed Mar 17 18:46:22 2010 *nat :PREROUTING ACCEPT [249532:27720236] :POSTROUTING ACCEPT [3902:384841] :OUTPUT ACCEPT [3393:210059] :VSERVER - [0:0] -A PREROUTING -d 95.27.122.246 -j VSERVER -A PREROUTING -d 10.48.147.144 -j VSERVER -A POSTROUTING -s ! 95.27.122.246 -o ppp0 -j MASQUERADE -A POSTROUTING -s ! 10.48.147.144 -o vlan1 -j MASQUERADE -A POSTROUTING -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -o br0 -j MASQUERADE -A VSERVER -p tcp -m tcp --dport 8081 -j DNAT --to-destination 192.168.0.130:80 -A VSERVER -p tcp -m tcp --dport 20:21 -j DNAT --to-destination 192.168.0.130:20 -A VSERVER -p tcp -m tcp --dport 5500:5700 -j DNAT --to-destination 192.168.0.130:5500 -A VSERVER -p udp -m udp --dport 5500:5700 -j DNAT --to-destination 192.168.0.130:5500 -A VSERVER -p tcp -m tcp --dport 82 -j DNAT --to-destination 192.168.0.130:80 COMMIT # Completed on Wed Mar 17 18:46:22 2010 # Generated by iptables-save v1.2.7a on Wed Mar 17 18:46:22 2010 *mangle :PREROUTING ACCEPT [9574843:11228185415] :INPUT ACCEPT [7825159:9991087272] :FORWARD ACCEPT [8399478:10352387627] :OUTPUT ACCEPT [851452:452435549] :POSTROUTING ACCEPT [9253086:10804890924] COMMIT # Completed on Wed Mar 17 18:46:22 2010 # Generated by iptables-save v1.2.7a on Wed Mar 17 18:46:22 2010 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [53693:5337474] :OUTPUT ACCEPT [851016:452050792] :MACS - [0:0] :SECURITY - [0:0] :logaccept - [0:0] :logdrop - [0:0] -A INPUT -m state --state INVALID -j DROP -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -i lo -m state --state NEW -j ACCEPT -A INPUT -i br0 -m state --state NEW -j ACCEPT -A INPUT -d 224.0.0.0/240.0.0.0 -p 2 -j ACCEPT -A INPUT -d 224.0.0.0/240.0.0.0 -p udp -m udp ! --dport 1900 -j ACCEPT -A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -j DROP -A FORWARD -i br0 -o br0 -j ACCEPT -A FORWARD -m state --state INVALID -j DROP -A FORWARD -d 224.0.0.0/240.0.0.0 -p udp -j ACCEPT -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j TCPMSS --clamp-mss-to-pmtu -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i ! br0 -o ppp0 -j DROP -A FORWARD -i ! br0 -o vlan1 -j DROP -A FORWARD -m conntrack --ctstate DNAT -j ACCEPT -A FORWARD -o br0 -j ACCEPT -A SECURITY -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN -A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN -A SECURITY -p udp -m limit --limit 5/sec -j RETURN -A SECURITY -p icmp -m limit --limit 5/sec -j RETURN -A SECURITY -j DROP -A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options -A logaccept -j ACCEPT -A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options -A logdrop -j DROP COMMIT # Completed on Wed Mar 17 18:46:22 2010
Last edited by vectorm; 17-03-2010 at 19:14.