посмотрите здесь http://www.wl500g.info/showthread.ph...685#post212685
посмотрите здесь http://www.wl500g.info/showthread.ph...685#post212685
Почему iptables может не работать? Аналогично не работает фильтрация по времени. Ни по MAC, ни по IP. Правило прописано без ошибок. Прошивка WL-500gPv2 1.9.2.7-d-r1000.
Не сильно разбираюсь в линухе, буду преблагодарен за помощь.
wl500gp-1.9.2.7-d-r1222 + StoreJet 35 Ultra >>> rtorrent+rutorrent -|- lighhtpd + ssl + auth -|- vnStat + vnStat PHP frontend -|- vsftpd -|- squid + lightsquid...
Вот. Сегодня тестил, - странно, те правила что работают в пределах промежутка времени одних суток (не пересекая 00:00, например с 18:00:00 до 23:00:00) работают нормально, а вот к примеру с 23:00:00 до 07:00:00 - нивкакую... может я чего туплю?
iptables-save
Code:# Generated by iptables-save v1.3.8 on Sat Jan 16 00:14:12 2010 *nat :PREROUTING ACCEPT [292483:59361356] :POSTROUTING ACCEPT [3198:567442] :OUTPUT ACCEPT [3435:607706] :VSERVER - [0:0] -A PREROUTING -d 77.120.89.109 -j VSERVER -A PREROUTING -d 172.16.76.153 -j VSERVER -A POSTROUTING -s ! 77.120.89.109 -o ppp0 -j MASQUERADE -A POSTROUTING -s ! 172.16.76.153 -o vlan1 -j MASQUERADE -A POSTROUTING -s 192.168.1.0/255.255.255.0 -d 192.168.1.0/255.255.255.0 -o br0 -j SNAT --to-source 192.168.1.1 -A VSERVER -p udp -m udp --dport 49891 -j DNAT --to-destination 192.168.1.185:49891 COMMIT # Completed on Sat Jan 16 00:14:12 2010 # Generated by iptables-save v1.3.8 on Sat Jan 16 00:14:12 2010 *mangle :PREROUTING ACCEPT [4573180:3338282908] :INPUT ACCEPT [1061127:690936046] :FORWARD ACCEPT [3363223:2602801096] :OUTPUT ACCEPT [486796:64954148] :POSTROUTING ACCEPT [3863024:2672813763] COMMIT # Completed on Sat Jan 16 00:14:12 2010 # Generated by iptables-save v1.3.8 on Sat Jan 16 00:14:12 2010 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [13398:883786] :OUTPUT ACCEPT [486695:64911682] :BRUTE - [0:0] :MACS - [0:0] :SECURITY - [0:0] :logaccept - [0:0] :logdrop - [0:0] -A INPUT -m state --state INVALID -j DROP -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -i lo -m state --state NEW -j ACCEPT -A INPUT -i br0 -m state --state NEW -j ACCEPT -A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT -A INPUT -p tcp -m tcp --dport 21 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT -A INPUT -j DROP -A FORWARD -s 192.168.1.22 -m time --timestart 23:01:00 --timestop 06:59:00 --days Sun,Mon,Tue,Wed,Thu,Fri,Sat -j DROP -A FORWARD -s 192.168.1.20 -m time --timestart 11:42:00 --timestop 23:00:00 --days Sun,Mon,Tue,Wed,Thu,Fri,Sat -j DROP -A FORWARD -s 192.168.1.20 -m time --timestart 11:35:00 --timestop 11:37:00 --days Sun,Mon,Tue,Wed,Thu,Fri,Sat -j DROP -A FORWARD -i br0 -o br0 -j ACCEPT -A FORWARD -m state --state INVALID -j DROP -A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j TCPMSS --clamp-mss-to-pmtu -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i ! br0 -o ppp0 -j DROP -A FORWARD -i ! br0 -o vlan1 -j DROP -A FORWARD -m conntrack --ctstate DNAT -j ACCEPT -A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN -A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN -A SECURITY -p udp -m limit --limit 5/sec -j RETURN -A SECURITY -p icmp -m limit --limit 5/sec -j RETURN -A SECURITY -j DROP -A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options -A logaccept -j ACCEPT -A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options -A logdrop -j DROP COMMIT # Completed on Sat Jan 16 00:14:12 2010
iptables --list
Code:Chain INPUT (policy ACCEPT) target prot opt source destination DROP all -- anywhere anywhere state INVALID ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT all -- anywhere anywhere state NEW ACCEPT all -- anywhere anywhere state NEW ACCEPT udp -- anywhere anywhere udp spt:bootps dpt:bootpc ACCEPT tcp -- anywhere anywhere tcp dpt:ftp flags:FIN,SYN,RST,ACK/SYN DROP all -- anywhere anywhere Chain FORWARD (policy ACCEPT) target prot opt source destination DROP all -- 192.168.1.22 anywhere TIME from 23:01:00 to 06:59:00 on Sun,Mon,Tue,Wed,Thu,Fri,Sat DROP all -- 192.168.1.20 anywhere TIME from 11:42:00 to 23:00:00 on Sun,Mon,Tue,Wed,Thu,Fri,Sat DROP all -- 192.168.1.20 anywhere TIME from 11:35:00 to 11:37:00 on Sun,Mon,Tue,Wed,Thu,Fri,Sat ACCEPT all -- anywhere anywhere DROP all -- anywhere anywhere state INVALID TCPMSS tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN TCPMSS clamp to PMTU ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED DROP all -- anywhere anywhere DROP all -- anywhere anywhere ACCEPT all -- anywhere anywhere ctstate DNAT Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain BRUTE (0 references) target prot opt source destination Chain MACS (0 references) target prot opt source destination Chain SECURITY (0 references) target prot opt source destination RETURN tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5 RETURN tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5 RETURN udp -- anywhere anywhere limit: avg 5/sec burst 5 RETURN icmp -- anywhere anywhere limit: avg 5/sec burst 5 DROP all -- anywhere anywhere Chain logaccept (0 references) target prot opt source destination LOG all -- anywhere anywhere state NEW LOG level warning tcp-sequence tcp-options ip-options prefix `ACCEPT ' ACCEPT all -- anywhere anywhere Chain logdrop (0 references) target prot opt source destination LOG all -- anywhere anywhere state NEW LOG level warning tcp-sequence tcp-options ip-options prefix `DROP ' DROP all -- anywhere anywhere
И всётаки ничего не работает, даже так как я написал...
Кто подскажет, как скажется команда iptables -F на дальнейшей работе роутера?
Прошивка WL500gpv2-1.9.2.7-d-r1222
основная проблема:
прописываю правила запрета и они не всегда срабатываю в отведенное им время.
правило может работать несколько дней, потом перестает отключать интернет, если перегрузить роутер, то правило опять начинает работать
правила прописываю и в WAN & LAN Filter и напрямую в iptables
вторая проблема, если пытаюсь напрямую выполнить командуCode:Chain FORWARD (policy ACCEPT) num target prot opt source destination 1 DROP all -- 0.0.0.0/0 0.0.0.0/0 TIME from 23:00:00 to 23:59:59 on Sun,Mon,Tue,Wed,Thu,Fri MAC 00:1D:60:7B:81:03 2 DROP all -- 0.0.0.0/0 0.0.0.0/0 TIME from 00:00:00 to 07:30:00 on Sun,Mon,Tue,Wed,Thu,Fri,Sat MAC 00:1D:60:7B:81:03 3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 4 DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID 5 TCPMSS tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02 TCPMSS clamp to PMTU 6 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 7 DROP all -- 0.0.0.0/0 0.0.0.0/0 8 DROP all -- 0.0.0.0/0 0.0.0.0/0 9 DROP tcp -- 192.168.77.4 0.0.0.0/0 TIME from 17:00:00 to 20:00:00 on Sun,Mon,Tue,Wed,Thu,Fri,Sat tcp spts:81:65500 10 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 11 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ctstate DNAT
выдает сообщение:iptables: No chain/target/match by that nameCode:iptables -I FORWARD 3 -p tcp -m multiport --port 80,81 -j DROP
почитав по форумам вроде как нужен xt_tcpudp, но правило № 9 как то работает... и без xt_tcpudp
у кого какие есть мысли и варианты возникновения такой нестабильности
да и ещё есть нюанс: при перезагрузке командой reboot не всегда нормально перегружается, приходится отключать питание и тогда загружается нормально.
Last edited by Mx00; 31-03-2010 at 01:13.
а нельзя по крону?
wan0 up/down
Мне нужно сделать, чтобы один компьютер перестал выходить в интернет, а другие сессии не должны обрываться, тем более по крону, мало ли что у меня там важное в это время происходит :-)
... видимо не правильно написал вопрос, раз ни кто не может ничего посоветовать... или вокруг такие же ламеры как я ;-)
Странно, в ветке RT-N есть очень похожая симптоматика http://code.google.com/p/wl500g/source/detail?r=1426
День добрый всем!
вопрос может быть примитивный в силу слабого владения линукс, но очень актуальный:
Роутер Asus RT-N16 c последней прошивкой от Олега+"энтузиасты"
соединение с интернет по L2TP
необходимо составить расписание ограничивающее доступ в интернет по часам и дням недели.
Как понимаю можно сделать через cron, но к сожалению не владею...
Пошаговую инструкцию с примером для новичка не дадите?
Ребенок явно злоупотребляет, а по форуму поискал вроде не обсуждалось, ну или ткните пальцем если пропустил...
Заранее спасибо
Last edited by lenser; 21-10-2010 at 11:25.
Тут это сделано командой iptables
http://www.wl500g.info/showthread.ph...E1%E5%ED%EE%EA
прочитайте эту тему там как раз ограничение доступа
по времени конкретной машины по МАК адресу!
очень хорошо подходит для ограничения интернета для ребенка
при условии что у ребенка свой компьютер!
если у вас с ребенком одна машина,
нужно искать иной путь ограничения
сами тогда не войдете в интернет вечером - когда надо
[QUOTE=yuraz;214283]Тут это сделано командой iptables
Спасибо за наводку! Это вообще идеальный вариант...
Точка — WL-500G Deluxe, прошивка — 1.9.2.7-d-r1445.
Не работает URL Filter. Вернее работает не правильно.
Настроил чтоб фильтровал odnoklassniki.ru с 10 до 19 кроме субботы и воскресенья. Время 19:57 — одноклассники все еще не работают
Code:269 237K DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 TIME from 10:00:00 to 19:00:00 on Mon,Tue,Wed,Thu,Fri webstr: url games.mail.ru 56 41414 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 TIME from 10:00:00 to 19:00:00 on Mon,Tue,Wed,Thu,Fri webstr: url odnoklassniki.ru 123 72433 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 TIME from 10:00:00 to 19:00:00 on Mon,Tue,Wed,Thu,Fri webstr: url fishki.net 400 223K DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 TIME from 10:00:00 to 19:00:00 on Mon,Tue,Wed,Thu,Fri webstr: url vkontakte.ru 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 TIME from 10:00:00 to 19:00:00 on Mon,Tue,Wed,Thu,Fri webstr: url vk.comCode:[admin@WL-0011D824618E root]$ date Wed Apr 28 19:57:57 MSD 2010
В 20.00 заработали одноклассники...
Но что-то не так... должно было включиться в 19, а включилось в 20. Интересно, во сколько перестанет работать? в 10.00 или в 11.00?
Где найти параметры модуля ipt_webstr?
Помогите разобраться: хочу добавить в URL Filter новый адрес сайта, который загружается в новом окне при открытии страницы с результатом поиска нужного мне сайта. А с ним соответственно и разные банеры и пр.
До этого мне удавалось вбивать одну строку сразу после обновления прошивки до последней версии. И всё! Т.е. следующий раз только после перепрошивки, или в исключительно редких случаях.
Происходит следующее: ввожу в поле адрес, нажимаю "Add", появляется лишь абсолютно чистая страница (сколько не жди она не измениться).
В списке уже есть несколько адресов:Но и они не отфильтровываются, хотя сам фильтр включён на все дни недели. На других модемах/роутерах (оригинальные прошивки DIR-300 и ADSL-2640) подобное вбивание адресов приводит к фильтрации, а здесь совсем беда!Code:bannerbank adskape
С помощю HTTPWatch Pro v7.0.23 определил всё же, что адрес если и вводиться, то командойК сожалению, меняя лишь адрес на конце строки поправить положение не получиться, надо учитывать ещё и время ввода и пр.Code:http://my.router/apply.cgi?current_page=Advanced_URLFilter_Content.asp&next_page=SaveRestart.asp&next_host=my.router&sid_list=FirewallConfig%3B&group_id=UrlList&modified=0&action_mode=+Add+&first_time=&action_script=&url_enable_x=1&url_date_x=1111111&url_date_x_Sun=on&url_date_x_Mon=on&url_date_x_Tue=on&url_date_x_Wed=on&url_date_x_Thu=on&url_date_x_Fri=on&url_date_x_Sat=on&url_time_x=00002359&url_time_x_starthour=00&url_time_x_startmin=00&url_time_x_endhour=23&url_time_x_endmin=59&url_num_x_0=4&UrlList=+Add+&url_keyword_x_0=slylog