Вопрос снимается, сглупил
Было: WL500gP (fw 1.9.2.7-10-USB-1.71) + Toshiba TravelStar 250Gb 2.5" inside router.
(ADOS + rTorrent WebUI+rtorrent + samba + rrdtool + XMail + QuiXplorer + ClamAV)
> Мои инструкции < Для новичков и ленивых > Wiki переехало сюда < "Ночные" сборки >
Вопрос снимается, сглупил
Здравствуйте все !
Вот возник вопрос у меня. Подключился я на тариф свободный веб, для дачи самый оптимальный вариант .. но есть там свои такие неприятные моменты как скажем,что если что-то будет качать на по 80 порту то будут тогда списываться деньги, а этого как раз хочется избежать.Какбы можно было в роутере asus 520 или dir-320 закрыть порты которые мне не нужны и оставить там порт аськи 80 порт допустим ... Может ктонибудь подсказать возможно это ? или надо ставить оутпост и там ковырять ?
Помогите разобраться: 80 порт не могу пробросить извне. в локалке сайт работает.
редактировал iptables - безуспешно! Что делать? Все темы по этому поводу на форуме пролистал.
#!/bin/sh
iptables -I INPUT -p tcp --dport 80 -j ACCEPT
iptables -t nat -nvL POSTROUTING | grep MASQUERADE | awk '{
"ifconfig "$7" | grep Mask" | getline ip;
split(ip,ip,":"); split(ip[2],ip," ");
split($8,src,"!");
if (src[1]=="") {src="! -s "src[2]} else {src="-s "src[1]};
if ($9=="0.0.0.0/0") {dst=""} else {dst="-d "$9};
system("iptables -t nat -A POSTROUTING -o "$7" "src" "dst" -j SNAT --to-source "ip[1]);
system("iptables -t nat -D POSTROUTING -o "$7" "src" "dst" -j MASQUERADE");
}'
Во-первых где ты прописал iptables? Если в /usr/local/sbin/post-firewall, то ты сделал правильно(надо указывать при описании проблемы). Единственное что правильнее будет выглядеть так:Самый лёгкий(надёжный) способ:PHP Code:
#!/bin/sh
iptables -t nat -nvL POSTROUTING | grep MASQUERADE | awk '{
"ifconfig "$7" | grep Mask" | getline ip;
split(ip,ip,":"); split(ip[2],ip," ");
split($8,src,"!");
if (src[1]=="") {src="! -s "src[2]} else {src="-s "src[1]};
if ($9=="0.0.0.0/0") {dst=""} else {dst="-d "$9};
system("iptables -t nat -A POSTROUTING -o "$7" "src" "dst" -j SNAT --to-source "ip[1]);
system("iptables -t nat -D POSTROUTING -o "$7" "src" "dst" -j MASQUERADE");
}'
iptables -I INPUT -p tcp --dport 80 -j ACCEPT
Переназначить порт для вёб-морды АСУСовской админки (nvram set http_lanport=8080 && nvram commit). Дописать в post-firewall iptables -I INPUT -p tcp --dport 80 -j ACCEPT. И внимательно настроить lighttpd.
Если не поможет давай вывод iptables-save. ЗЫ - и если пытался 80 порт в виртуал сервере в админке указывать-удаляй оттуда!!!!
MfMann, да, прописал там где нужно /usr/local/sbin/post-firewall. Теперь этот файл выглядит так:
#!/bin/sh
iptables -t nat -nvL POSTROUTING | grep MASQUERADE | awk '{
"ifconfig "$7" | grep Mask" | getline ip;
split(ip,ip,":"); split(ip[2],ip," ");
split($8,src,"!");
if (src[1]=="") {src="! -s "src[2]} else {src="-s "src[1]};
if ($9=="0.0.0.0/0") {dst=""} else {dst="-d "$9};
system("iptables -t nat -A POSTROUTING -o "$7" "src" "ds
system("iptables -t nat -D POSTROUTING -o "$7" "src"
}'
iptables -I INPUT -p tcp --dport 80 -j ACCEPT
В виртуал сервере удалил проброс. Ничего не работает. (веб-морда админки у меня на 8080 и из инета она прекрасно работает.
Даю iptables save:
[apolyak@WL-500G root]$ iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:www
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere state RELATED,ESTABL ISHED
ACCEPT all -- anywhere anywhere state NEW
ACCEPT all -- anywhere anywhere state NEW
SECURITY all -- anywhere anywhere state NEW
ACCEPT udp -- anywhere anywhere udp spt:bootps dpt:b ootpc
ACCEPT tcp -- anywhere WL-500G tcp dpt:www
ACCEPT tcp -- anywhere WL-500G tcp dpt:webcache
ACCEPT icmp -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dptrinter
ACCEPT tcp -- anywhere anywhere tcp dpt:laserjet
ACCEPT tcp -- anywhere anywhere tcp dpt:3838
DROP all -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- anywhere A-PC.WLAN udp dpt:56538
ACCEPT all -- anywhere anywhere
DROP all -- anywhere anywhere state INVALID
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST,AC K/SYN TCPMSS clamp to PMTU
ACCEPT all -- anywhere anywhere state RELATED,ESTABL ISHED
DROP all -- anywhere anywhere
DROP all -- anywhere anywhere
SECURITY all -- anywhere anywhere state NEW
ACCEPT all -- anywhere anywhere ctstate DNAT
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain MACS (0 references)
target prot opt source destination
Chain SECURITY (2 references)
target prot opt source destination
RETURN tcp -- anywhere anywhere tcp flags:SYN,RST,AC K/SYN limit: avg 1/sec burst 5
RETURN tcp -- anywhere anywhere tcp flags:FIN,SYN,RS T,ACK/RST limit: avg 1/sec burst 5
RETURN udp -- anywhere anywhere limit: avg 5/sec bur st 5
RETURN icmp -- anywhere anywhere limit: avg 5/sec bur st 5
DROP all -- anywhere anywhere
Chain logaccept (0 references)
target prot opt source destination
LOG all -- anywhere anywhere state NEW LOG level warning tcp-sequence tcp-options ip-options prefix `ACCEPT '
ACCEPT all -- anywhere anywhere
Chain logdrop (0 references)
target prot opt source destination
LOG all -- anywhere anywhere state NEW LOG level warning tcp-sequence tcp-options ip-options prefix `DROP '
DROP all -- anywhere anywhere
[apolyak@WL-500G root]$
Так я понял не помогло? Тот же трабл-тема корбина впн и статический айпи
Ок, тогда я не буду все заново делать ). В веб интерфейсе в Status & Log - Port Forwarding он у меня вот что выдает:
Destination Proto. Port Range Redirect to
all UDP 58822 192.168.1.2
all UDP 20747 192.168.1.2
all UDP 56538 192.168.1.3
all UDP 55179 192.168.1.2
all TCP 59145 192.168.1.16
all UDP 50190 192.168.1.2
all UDP 59145 192.168.1.16
all UDP 63478 192.168.1.2
all UDP 60499 192.168.1.3
all TCP 20746 192.168.1.3
all UDP 63653 192.168.1.3
all UDP 58081 192.168.1.2
all UDP 20746 192.168.1.3
all TCP 80 192.168.1.4
all TCP 8080 192.168.1.15
т.е. он открыл 80 порт для какого-то 192.168.1.4, а не для роутера 192.168.1.15. Что за дела?
Ну отключение UPnP-это не решение проблемы, это её купирование! Хотя с другой стороны всегда можно настроить переброску ручками! Поздравляю с решением проблемы!