Долго мучал автора скриптов в личке, на тему того что траффик не проходит через роутер ... ни virtual server ни что бы то нибыло ещё, решение было в том что в моём случае не надо было добавлять DDoS предложенный автором для вставки в post-firewall
Code:
# DDoS
#if [ "`nvram get fw_dos_x`" != "0" ]; then
# iptables -A INPUT -i ppp+ -m state --state NEW -j SECURITY
# iptables -A INPUT -i vlan+ -m state --state NEW -j SECURITY
# iptables -D FORWARD -m conntrack --ctstate DNAT -j ACCEPT
# iptables -A FORWARD -i ppp+ -m state --state NEW -j SECURITY
# iptables -A FORWARD -i vlan+ -m state --state NEW -j SECURITY
# iptables -A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
#fi
он у меня весь трафик отрезал, далее закоментировал в init wan что бы родной DDoS работал
Code:
# deconfigure DoS protection
#if [ "`nvram get fw_dos_x`" != "0" ]; then
# iptables -D INPUT -i $def_wan -m state --state NEW -j SECURITY
# iptables -D FORWARD ! -i br0 -m state --state NEW -j SECURITY
#fi
#
#ip route flush exact 0/0
#ip route flush cache
и добавил вот этот кусочек что бы не болталось лишнее правило в INPUT
iptables -D INPUT -i vlan1 -m state --state NEW -j SECURITY
и наступило щастье, всё заработало.
для нужных портов снимаю ограничение в 5 или 1 раз в сек
Code:
iptables -I SECURITY -p udp --dport 25580 -j RETURN
Далее захотелось как то закрепить номер интерфейса ppp за каждым WAN, и можно было бы вести какую то статистику, ну или просто для порядка. Добавил это
Code:
case "$1" in
wan1)
echo "unit 1" >> $ppp_conf
;;
wan2)
echo "unit 2" >> $ppp_conf
;;
wan3)
echo "unit 3" >> $ppp_conf
;;
wan4)
echo "unit 4" >> $ppp_conf
;;
wan5)
echo "unit 5" >> $ppp_conf
;;
esac
в conf-ppp после
Code:
case "$proto" in
pppoe)
echo "nomppe nomppc" >> $ppp_conf
echo "mru $pppoe_mru mtu $pppoe_mtu" >> $ppp_conf
;;
pptp)
в этом же файле заменил строку на Олеговскую
Code:
ppp_opt="sync pty '/usr/sbin/pptp --idle-wait 0 $pptp_server --nolaunchpppd --nobuffer --sync'"
в файле wan dhcp заменил кусок
Code:
iptables -A INPUT -p udp -i $interface --sport 67 --dport 68 -j ACCEPT
на
Code:
iptables -D INPUT -j DROP
iptables -A INPUT -p udp -i $interface --sport 67 --dport 68 -j ACCEPT
iptables -A INPUT -j DROP
что бы в INPUT был порядок)
Ну и далее продолжаю исследования.