PDA

Bekijk de volledige versie : Помогите с настройкой Virtual Server



Pages : 1 [2]

kro12
09-02-2011, 20:44
Нет я хочу поиграть в игру у нее диапазон портов такой вот.
Как вообще пробросить можно. И где проверить проброшен ли порт.

FilimoniC
09-02-2011, 20:52
Нет я хочу поиграть в игру у нее диапазон портов такой вот.
Как вообще пробросить можно. И где проверить проброшен ли порт.

1. можно узнать что за игра такая?
2. если реальный ип и порт TCP то тут http://www.utorrent.com/intl/ru/testport?port=22 (порт указываем)
3. Если нереальный то просим соседа по локалке и telnet my.home.router.ip myPort

kro12
10-02-2011, 13:19
Игра Age of Empires 3(там диапазон меньше, но когда последний раз смотрел на каком порту висит игра порт был не в диапазоне котырый в доках указан.)

Сделал как на скринах результат вы видите.
Дело точно в роутере подключал напрямую кабель в комп все норм работает. Подскажите в чем моя ошибка ?

FilimoniC
10-02-2011, 15:45
Игра Age of Empires 3(там диапазон меньше, но когда последний раз смотрел на каком порту висит игра порт был не в диапазоне котырый в доках указан.)

Сделал как на скринах результат вы видите.
Дело точно в роутере подключал напрямую кабель в комп все норм работает. Подскажите в чем моя ошибка ?

Проброс портов лучше проверять не игрой. Попробуйте вкрутить какой нибудь win-http-сервер из категории tiny на этот порт и проверить потом.

Принцип работы этих "Чекеров" - Они пытаются залезть на тот IP с которого пришел запрос, на указанный в URL порт. Если соединение прошло удачно, то порт открыт. Если нет, то порт закрыт. То есть, если у вас в этот момент никого за портом нет (игры, сервера), то он закрыт, так как Connection timeout


Порт вхождений возраст Empires III
Использование брандмауэра Windows можно открыть порты, используемые игры при настройке сети.

, Чтобы убедиться в том, что эти порты открыты или открыть эти порты, обратитесь к администратору сети или поставщика услуг Интернета (ISP). Если вы являетесь администратором сети, обратитесь к документации, поставляемой вместе с используемому сетевому программному обеспечению, чтобы определить, каким образом открыть эти порты.

Следующий список описывает спецификации конфигурации порта для игры:
Переадресации портов должен быть включен на TCP-порт 80.
Переадресации портов должен быть включен на TCP-порт 2300.
Переадресация портов должен быть включен на UDP-порты, которые находятся в диапазоне от 2300 до 2310 от маршрутизатора на компьютере, где установлен игры.

http://support.microsoft.com/kb/907880

epsik
18-02-2011, 12:45
Приветствую всех!
Помогите плиз кто знает как настроить роутер,суть проблему заключается в этом:если небольшой офис с доменом и т.д.Все устройства подключены на свитч а от свитча идёт витуха на wl-500gp и соответственно он раздаёт инет всем им.Какие настройки мне вбить на роутере чтобы допустим из дома я мог подрубиться к своему компу на работе?щас я не могу этого сделать т.к. firewall на роутере on
Заранее благодарю

FilimoniC
18-02-2011, 12:54
Приветствую всех!
Помогите плиз кто знает как настроить роутер,суть проблему заключается в этом:если небольшой офис с доменом и т.д.Все устройства подключены на свитч а от свитча идёт витуха на wl-500gp и соответственно он раздаёт инет всем им.Какие настройки мне вбить на роутере чтобы допустим из дома я мог подрубиться к своему компу на работе?щас я не могу этого сделать т.к. firewall на роутере on
Заранее благодарю

Вам нужно Virtual Server.
Сказать что "Входящие TCP\UDP\BOTH извне на порт XXXX перекидывать внутрь на адрес IPIPIP порт YYYY". Соединяться на "внешнийIPроутера:портXXXX". У роутера само собой должен быть реальный IP-адрес или вы должны быть в одной сети.
Если на работе "Семерка", то могут потребоваться танцы с бубном вокруг фаерволла на ней. (Вам либо надо добавить ваш IP в доверенные, либо порт в "пропускаемые"). Для проверки "работает ли вообще удаленный доступ", попробуйте подключиться удаленно с соседнего компа из офисной локалки к своему (IPIPIP) на порт YYYY - это будет верный признак того что к компу все таки можно подключиться (большинство всегда упирается в то, что проблема подключения на самом деле оказывается тем, что компьютер выключен или служба не запущена)

Админы в маленьких конторах такие админы :-)

epsik
18-02-2011, 13:59
Вам нужно Virtual Server.
Сказать что "Входящие TCP\UDP\BOTH извне на порт XXXX перекидывать внутрь на адрес IPIPIP порт YYYY". Соединяться на "внешнийIPроутера:портXXXX". У роутера само собой должен быть реальный IP-адрес или вы должны быть в одной сети.
Если на работе "Семерка", то могут потребоваться танцы с бубном вокруг фаерволла на ней. (Вам либо надо добавить ваш IP в доверенные, либо порт в "пропускаемые"). Для проверки "работает ли вообще удаленный доступ", попробуйте подключиться удаленно с соседнего компа из офисной локалки к своему (IPIPIP) на порт YYYY - это будет верный признак того что к компу все таки можно подключиться (большинство всегда упирается в то, что проблема подключения на самом деле оказывается тем, что компьютер выключен или служба не запущена)

Админы в маленьких конторах такие админы :-)
=))
не,на работе к счастью не семёрка=)
можете пожалуйста какой-либо скрин отправить или объяснить по-шагово если не трудно.Просто если честно не совсем понял,так как именно с этим сталкиваюсь вообще впервые...(

FilimoniC
18-02-2011, 17:43
=))
не,на работе к счастью не семёрка=)
можете пожалуйста какой-либо скрин отправить или объяснить по-шагово если не трудно.Просто если честно не совсем понял,так как именно с этим сталкиваюсь вообще впервые...(

http://s1.ipicture.ru/uploads/20110218/ZQBFEcnC.png (http://s1.ipicture.ru/Gallery/Viewfull/3622977.html)
Идем NAT -> Virtual Server, Говорим Enable, вбиваем
Port range - порт куда будете цепляться снаружи сети
Local IP - IP компа, к которому нужен доступ
Local port - порт на компе, к которому нужен доступ
Protocol - Протокол (TCP\UDP\Оба(Both))
Protocol No - не интересует
Description - описание, чтобы через месяц не орать "Кто это сделал? меня сломали!!!"
Жмем Add, проверяем еще раз галку Enabled, Finish.

По скрину: Я говорю роутеру, что все входящие снаружи соединения на порт 2010 нужно отправлять внутрь сети на комп 172.20.3.110, на порт 3389. Также там присутствуют записи о том что
входящие соединения на порт 3724 надо отправлять на 172.20.3.135 на порт 3724
входящие соединения на порт 119 надо отправлять на 172.20.3.135 на порт 1119
итд.

Внешний IP вашего роутера можно посмотреть на Status & log -> Status, в поле IP Address. Если этот формата 10.х.х.х, 192.168.х.х, 172.16.х.х, 172.17.х.х ... 172.31.х.х, то у вас ничего не получится 99%

Советы:
Port range лучше не ставить таким же как и Local port для систем удаленного доступа. Так как все эти порты известны, вас либо будут ломать, либо подбирать пароль.
Если у вас в сети DHCP, лучше привязать целевой комп "намертво" к одному адресу в Ip config -> DHCP server -> Manually Assigned IP List

epsik
21-02-2011, 10:42
FilimoniC спасибо огромное за такую инструкцию!!!!Очень вам благодарен и признателен!:)
Буду по ней пытаться делать!

mozgs
13-04-2011, 14:12
Здравствуйте! Имеется роутер D-Link DIR-320, прошит 1.9.2.7-d-r2624. Работает в режиме PPTP, адрес статический. Настроена маршрутизация для сети провайдера и проброс портов.

Пробрасываются 19383, 3389, 1723, и 21. Первые 3 работают без проблем. 21 - не хочет никак. Слушатель Serv-u. Пробовал пробрасывать разные порты (естественно менял в serv-u порт для прослушки) - никак.

Особо хочу подчеркнуть что 3389 пробрасывается нормально, и я без проблем цепляюсь к терминал-серверу (одна и та-же машина что и ftp) как из локальной сети (вида 172.x.x.x) так и из мира (вида 195.x.x.x). А вот к фтп - никак.

A1ex
13-04-2011, 14:56
Проблема с пробросом порта. Мистика с прошивкой от Олега.Думаю , что прошивка от Олега тут не причем. Для работы фтп как минимум нужно еще и 20 порт пробросить.

mozgs
13-04-2011, 15:10
Думаю , что прошивка от Олега тут не причем. Для работы фтп как минимум нужно еще и 20 порт пробросить.

пробрасываю 20 на 20, 21 на 21. оба TCP - результат нулевой.

ftp сервер в прошивке выключен. Firewall - выключен.

результат iptables -L -vn && iptables -L -vnt nat



Chain INPUT (policy ACCEPT 63 packets, 7011 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
3527 1934K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 state NEW
384 114K ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0 state NEW

Chain FORWARD (policy ACCEPT 125 packets, 6814 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- br0 br0 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
230 10984 TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
19095 6225K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
15 950 DROP all -- !br0 ppp0 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- !br0 vlan1 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate DNAT

Chain OUTPUT (policy ACCEPT 2904 packets, 809K bytes)
pkts bytes target prot opt in out source destination

Chain BRUTE (0 references)
pkts bytes target prot opt in out source destination

Chain MACS (0 references)
pkts bytes target prot opt in out source destination

Chain SECURITY (0 references)
pkts bytes target prot opt in out source destination
0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02 limit: avg 1/sec burst 5
0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x04 limit: avg 1/sec burst 5
0 0 RETURN udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5
0 0 RETURN icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain logaccept (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW LOG flags 7 level 4 prefix `ACCEPT '
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0

Chain logdrop (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW LOG flags 7 level 4 prefix `DROP '
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain PREROUTING (policy ACCEPT 327 packets, 25155 bytes)
pkts bytes target prot opt in out source destination
45 3692 VSERVER all -- * * 0.0.0.0/0 195.20.194.198
3 144 VSERVER all -- * * 0.0.0.0/0 172.23.19.43
0 0 autofw tcp -- br0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 autofw tcp dpt:21 to:21

Chain POSTROUTING (policy ACCEPT 69 packets, 10473 bytes)
pkts bytes target prot opt in out source destination
111 5320 MASQUERADE all -- * ppp0 !195.20.194.198 0.0.0.0/0
0 0 MASQUERADE all -- * vlan1 !172.23.19.43 0.0.0.0/0
6 1680 MASQUERADE all -- * br0 192.168.0.0/24 192.168.0.0/24

Chain OUTPUT (policy ACCEPT 75 packets, 12153 bytes)
pkts bytes target prot opt in out source destination

Chain VSERVER (2 references)
pkts bytes target prot opt in out source destination
3 144 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 to:192.168.1.185:21
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 to:192.168.1.185:80
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:45000 to:192.168.1.185:45000
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:45001 to:192.168.1.185:45001
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:45002 to:192.168.1.185:45002
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:45003 to:192.168.1.185:45003
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:45004 to:192.168.1.185:45004
6 288 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:19383 to:192.168.1.185:19383
6 518 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:19383 to:192.168.1.185:19383
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:19383 to:192.168.0.2:19383
0 0 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:19383 to:192.168.0.2:19383
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3389 to:192.168.0.2:3389
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1723 to:192.168.0.2:1723
0 0 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:1723 to:192.168.0.2:1723
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 to:192.168.0.2:21
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:20 to:192.168.0.2:20



и еще вопрос. в status&log в PortForwanding есть дубли всех моих маршрутов на адрес 192.168.1.185. У меня-же используется только 192.168.0.x подсеть. Это нормально?




Destination Proto. Port range Redirect to Local port
ALL TCP 20 192.168.0.2 20
ALL TCP 21 192.168.0.2 21
ALL UDP 1723 192.168.0.2 1723
ALL TCP 1723 192.168.0.2 1723
ALL TCP 3389 192.168.0.2 3389
ALL UDP 19383 192.168.0.2 19383
ALL TCP 19383 192.168.0.2 19383
ALL UDP 19383 192.168.1.185 19383
ALL TCP 19383 192.168.1.185 19383
ALL TCP 45004 192.168.1.185 45004
ALL TCP 45003 192.168.1.185 45003
ALL TCP 45002 192.168.1.185 45002
ALL TCP 45001 192.168.1.185 45001
ALL TCP 45000 192.168.1.185 45000
ALL TCP 80 192.168.1.185 80
ALL TCP 21 192.168.1.185 21

A1ex
13-04-2011, 17:51
ну так все три пакета и ушли на этот 1.185
3 144 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 to:192.168.1.185:21он же первый в цепочке.

mozgs
13-04-2011, 17:55
ну так все три пакета и ушли на этот 1.185он же первый в цепочке.

так что-же такое 1.185? (у меня подсеть 0.x и другой никогда не было). и как это исправить?

Еще. DMZ на 192.168.0.2 (ftp-сервер) не помогает. PFPortChecker подтверждает что порт 1723 открыт, а 21 закрыт, хотя прописаны в Virtual Server они оба.

A1ex
13-04-2011, 18:38
и как это исправить?
как обычно. Сброс в дефаулт, настойка ручками. Если конечно кто-то не собрал эту прошивку конкретно для себя ... тогда виновата "прошивка для Олега" а не "прошивка от Олега" ;)

mozgs
14-04-2011, 05:10
как обычно. Сброс в дефаулт, настойка ручками. Если конечно кто-то не собрал эту прошивку конкретно для себя ... тогда виновата "прошивка для Олега" а не "прошивка от Олега" ;)

Что, прямо вот так вот? Чуть-что сразу в дефаулт? Наверняка можно просто потереть записи связанные с 192.168.1.185 и проблема решится. Подскажите где и как это сделать?

al37919
14-04-2011, 07:13
Наверняка можно просто потереть записи связанные с 192.168.1.185 и проблема решится. Подскажите где и как это сделать?

nvram show | grep "192.168.1.185"
далее по каждой найденной переменной

nvram unset имя переменной
в конце

nvram commit

mozgs
14-04-2011, 08:24
nvram show | grep "192.168.1.185"
далее по каждой найденной переменной

nvram unset имя переменной
в конце

nvram commit

выполнил. Выло 8 переменных, все удалил. Работает!

Всем кто помогал - огромное спасибо!

HD Gluk
14-04-2011, 15:16
У меня есть роутер Asus 500gP v.2, и последняя прошивка Олега от энтузиастов, на нём поднят интернет через pptp, провайдер мне предоставляет статический белый ip в интернете.
Я решил создать сервер игры Minecraft, в настройках роутера в Virtual Server прописал нужные порты, вот:
http://imglink.ru/pictures/14-04-11/91e6a0d1db7b4554f69a0923f875e4c2.jpg
Но когда создаю сервер, в логах сервера написано что порт закрыт.
Если я вставляю кабель напрямую(минуя роутер) то сервер создаётся и порт открыт.
Тоже самое с сервером cs, да и с любым, везде пишет что порт закрыт.
Я уже и фаервол на компе и в роутере отключал, даже в Virtual DMZ прописывал ip компа который ему ротуер даёт, не помогает ничего.(

Проверял порты прогой PFPortCheker, вот какие результаты она показывает когда я подключён к роутеру:
http://imglink.ru/pictures/14-04-11/180b4e46324a445ba639bb918a729726.jpg

А вот результаты когда я подключаю интернет напрямую к компу(минуя роутер):

http://imglink.ru/pictures/14-04-11/31abe8bb08b12d0f892f3c283d591170.jpg

Что TCP, что UDP, результат одинаковый.

Что делать? Помогите пожалуйста.:(

FilimoniC
14-04-2011, 16:14
1. Вешаем на компе что-то тупое (типа вебсервера) на порт 30000
2. Проверяем с себя (браузером),
3. Проверяем с роутера (wget),
4. Проверяем черет uTorrent port checker

Если нет, то
5. Отключаем службу Брандмауэр Windows\ Windows Firewall, пробуем снова.

У вас ось какая?

HD Gluk
14-04-2011, 17:16
1. Вешаем на компе что-то тупое (типа вебсервера) на порт 30000
2. Проверяем с себя (браузером),
3. Проверяем с роутера (wget),
4. Проверяем черет uTorrent port checker

Если нет, то
5. Отключаем службу Брандмауэр Windows\ Windows Firewall, пробуем снова.

У вас ось какая?

У меня Windows 7, вот например utorrent работает нормально, при проверке порта показывает что порт открыт и в dc++ тоже всё норм. А вот если я хочу создать сервер, то во всех логах пишет что порт закрыт и на сайте uTorrent port checker пишет что порт закрыт. А если подключаю кабель напрямую без роутера, тогда сервер создаётся и порт на нём открывается.

tempik
14-04-2011, 17:25
У меня Windows 7, вот например utorrent работает нормально, при проверке порта показывает что порт открыт и в dc++ тоже всё норм. А вот если я хочу создать сервер, то во всех логах пишет что порт закрыт и на сайте uTorrent port checker пишет что порт закрыт. А если подключаю кабель напрямую без роутера, тогда сервер создаётся и порт на нём открывается.
Вам уже FilimoniC сказал отключите ПОЛНОСТЬЮ все файрволы (встроенный, в антивире, и.т.д ...) Там получается что сеть прова может стоять в доверенных, а которую роутер дает нет ...

HD Gluk
14-04-2011, 17:28
Вам уже FilimoniC сказал отключите ПОЛНОСТЬЮ все файрволы (встроенный, в антивире, и.т.д ...) Там получается что сеть прова может стоять в доверенных, а которую роутер дает нет ...

Отключал всё, и в роутере и на компе, а антивируса у меня нет, тоже самое: без роутера создаёт сервак, с роутером нет

tempik
14-04-2011, 17:36
Отключал всё, и в роутере и на компе, а антивируса у меня нет, тоже самое: без роутера создаёт сервак, с роутером нет
Качаем http://smallsrv.com/ ставим ему порт 30000 и пробуем зайти извне ... (могу я попробовать ... адрес пиши в ЛС) ... если зайдем то все в норме и будем рыть на предмет требований сервера ... если нет будем роутер ковырять ...

max2007
14-04-2011, 17:50
Качаем http://smallsrv.com/
Не плохой сайт , вирусняк прёт напролом , нод вообще его блокирует напроч

tempik
14-04-2011, 17:56
Не плохой сайт , вирусняк прёт напролом , нод вообще его блокирует напроч
Не знаю как нод, а каспер молчит и я подозрительного не увидел (а опыта у меня хватает...) ... и прогу эту я знаю даже не 2-4 года, гораздо больше ...

tempik
14-04-2011, 18:11
В общем в привате выяснили, что стандартный проброс порта работает (то есть HTTP и по 80 и по 30000 порту работает) дальше будем ковырять сам игровой сервер.... О результате автор надеюсь отпишется ...

HD Gluk
14-04-2011, 20:35
Да http сервер создаётся и работает на любом порту, а вот другие сервера, например Minecraft'а или CS не в какую не хотят. А вот если напрямую подключить то всё ок. Может роутер какие нибудь пакеты не пропускает?

v1p3r
28-04-2011, 04:47
Доброго времени суток господа. В общем имеется внешняя локалка приходит на wan роутера (asus wl-500gpv2) адрес 10.15.1.9 например, далее, во внутренней локалке стоит ящик с адресом 192.168.1.10 в нем вирт машина (debian на virtualbox) 192.168.1.100. На дебиане запустил веб сервер с сайтом (на wordpress движке). Итак подошли к проблеме - если с внутренних адресов 192,168,1,х заходить на 192,168,1,100 (он же вирт тачко) то сайт чудно открывается, а если с внешки, из wan то сайт долго думает и грузит тупо сбитый текст без оформления и форматирования (и без картиног). На роутере в вкладке вирт сервер установлен проброс портов с 80 на 80 и 81 на 81 (веб сервак поднят связкой nginx + apache т.е. на 80 приходит и заруливает на 81). Внимание вопрос....как сделать так чтобы сайт был виден из внешки

nETPOBu4
28-04-2011, 09:16
Добрый день!

Роутер wl500gpv2 с прошивкой 1.9.2.7-10 подключен к интернету через
L2TP. С помощью NAT - Virtual Server с роутера на сервер в LAN проброшены
порты ssh и ftp. Firewall на роутере включен, "Enable DoS protection?"
отключен.

Снаружи по ssh/ftp не закачиваются (от клиента на сервер) большие
(>2112KB) файлы.
Клиенты начинают закачку, затем на 2МБ закачка повисает.
Скачиваются файлы любого размера.

Возможно, проблема с NAT, т.к. если порт пробросить с помощью ssh, то
закачиваются файлы нормально.

Сталкивался кто-нибудь с таким?

XalID
25-05-2011, 07:03
Столкнулся со следующим ограничением при конфигурации: в Virtual Server можно создать только 24 записи, а мне надо около 40 сделать. Через консоль можно сделать больше 24 записей, но не получается все это дело сохранить, для сохранения даю команду:

flashfs save && flashfs commit && flashfs enable && reboot

Можно ли как то снять ограничение на количество записей в Virtual Server?

VicSer
25-05-2011, 08:34
Можно ли как то снять ограничение на количество записей в Virtual Server?

Варианты:
1. Написать патч к прошивке;
2. Добавлять правила через post-firewall (http://wiki.vectormm.net/index.php/%D0%9F%D0%BE%D0%BB%D1%8C%D0%B7%D0%BE%D0%B2%D0%B0%D 1%82%D0%B5%D0%BB%D1%8C%D1%81%D0%BA%D0%B8%D0%B5_%D1 %81%D0%BA%D1%80%D0%B8%D0%BF%D1%82%D1%8B).

XalID
25-05-2011, 09:03
Варианты:
1. Написать патч к прошивке;
2. Добавлять правила через post-firewall (http://wiki.vectormm.net/index.php/%D0%9F%D0%BE%D0%BB%D1%8C%D0%B7%D0%BE%D0%B2%D0%B0%D 1%82%D0%B5%D0%BB%D1%8C%D1%81%D0%BA%D0%B8%D0%B5_%D1 %81%D0%BA%D1%80%D0%B8%D0%BF%D1%82%D1%8B).

Спасибо за советы, мне помог второй вариант, только я добавил правила через post-boot.

DemonGloom
25-05-2011, 10:27
Спасибо за советы, мне помог второй вариант, только я добавил правила через post-boot.

Зря.. Ибо теперь в случае переподключения к интернету вы можете лишиться правил.. Лучше их делать именно в post-firewall

XalID
25-05-2011, 10:41
Зря.. Ибо теперь в случае переподключения к интернету вы можете лишиться правил.. Лучше их делать именно в post-firewall

Понял, переделаю...

DEF29
03-06-2011, 09:10
Патчик добавляет возможность указывать source address для правил в Virtual Server

У меня перестал работать RDP. Поясните, что указывать в графе Source IP

FilimoniC
03-06-2011, 09:38
У меня перестал работать RDP. Поясните, что указывать в графе Source IP
Source - откуда

Если отовсюду, то source оставить пустым

DEF29
03-06-2011, 10:07
Source - откуда

Если отовсюду, то source оставить пустым
При попытке оставить Souce IP пустым вылезает сообщение Fields can't be blank!!!

Не понял как, но в какой-то момент времени это сообщение пропало и удалось оставить поле Source IP пустым. Спасибо за помощь.

bagira
24-06-2011, 04:24
Люди помогите пожалуйста.

Целый день опять убила на тесты ни как не получается, может что то упустила..

Имеет роутер ему присвоен ип

192.168.1.129 WAN (192.168.1.1\24 я в этой сети)
внутри роутера сеть LAN 192.168.3.1\24

имеется устройство на ип 192.168.3.3
вот ни как не могу извне зайти на это устройство.

Что я делала

1. Enable Web Access from WAN? yes
2 Respond Ping Request from WAN? yes
3 WAN to LAN Filter. NO
4. Enable Virtual Server? yes
Protocol tcp
Port Range 80
Local IP 192.168.3.3
Local Port 80

Может что то забыла или что не правильно сделала, но устройство 3.3 не пингается и не заходит совершенно. (внутри сети все отлично)



Еще цель сделать так что бы роутер заработал как ХАБ-маршрутизатор от другого роутера , но не через воздух , а по кабелю, не могу понять это вообще возможно ?

vectorm
24-06-2011, 09:51
Имеет роутер ему присвоен ип

192.168.1.129 WAN (192.168.1.1\24 я в этой сети)
внутри роутера сеть LAN 192.168.3.1\24

Во-первых, уточним - откуда извне пытаетесь попасть?
Из Интернета?
Адрес 192.168.1.x ничем не смущает? ;)
Как попасть на роутер с "серым" IP (через NAT провайдера)? (http://wl500g.info/showthread.php?t=21474)

Если же нужно попасть из локалки провайдера, то нужно смотреть логи на клиенте, откуда пробуете.

bagira
24-06-2011, 15:32
Во-первых, уточним - откуда извне пытаетесь попасть?
Из Интернета?
Адрес 192.168.1.x ничем не смущает? ;)
Как попасть на роутер с "серым" IP (через NAT провайдера)? (http://wl500g.info/showthread.php?t=21474)

Если же нужно попасть из локалки провайдера, то нужно смотреть логи на клиенте, откуда пробуете.

У меня как бы два роутера, хаб жалко покупать лишние 600 минимум рублей, за то есть роутер второй, я его поставила как продолжение по сетке, расстояние очень далекое, примерно 500 метров кабеля, поэтому как бридж не делала по воздуху , просто не реально подцепить. Не знаю как сделать хотя бы по линии кабеля, но какие есть мысли на перед и пробую, моя цель залезть на устройство которое есть на втором роутере., пока не получается :-( , приходиться ходить с ноутбуком к роутеру и там уже лазить к устройству.

tempik
24-06-2011, 17:26
У меня как бы два роутера, хаб жалко покупать лишние 600 минимум рублей, за то есть роутер второй, я его поставила как продолжение по сетке, расстояние очень далекое, примерно 500 метров кабеля, поэтому как бридж не делала по воздуху , просто не реально подцепить. Не знаю как сделать хотя бы по линии кабеля, но какие есть мысли на перед и пробую, моя цель залезть на устройство которое есть на втором роутере., пока не получается :-( , приходиться ходить с ноутбуком к роутеру и там уже лазить к устройству.
500 метров провода без "повторителя" не айс .... 100 метров потолок нормальной работы 100 мбит/с ... В вебморде "System Setup -> Operation Mode -> Access Point" .... будет одна локальная сеть со вторым роутером, но длина провода не даст нормально работать (слишком много будет колизий и ошибок)... ИМХО

bagira
24-06-2011, 18:51
500 метров провода без "повторителя" не айс .... 100 метров потолок нормальной работы 100 мбит/с ... В вебморде "System Setup -> Operation Mode -> Access Point" .... будет одна локальная сеть со вторым роутером, но длина провода не даст нормально работать (слишком много будет колизий и ошибок)... ИМХО



поняла, спасибо буду пробовать, выбора нет только кабель , по воздуху вообще нереально, все остальное только деньги, а тратить не хочется.
Спасибо еще раз, как приеду домой буду пробовать.

MrGalaxy
04-08-2011, 21:32
В прошивке -rtn на вкладке Virtual server появились дополнительные поля:
Source IP и Protokol No.
Как их заполнить правильно?

pilers
04-08-2011, 22:39
В прошивке -rtn на вкладке Virtual server появились дополнительные поля:
Source IP и Protokol No.
Как их заполнить правильно?

Предполагаю, что "Source IP" - IP адрес "внешнего" источника, если это поле не заполнять, то будут переправляться пакеты с указанного порта любого "внешнего" IP.
А "Protokol No" возможно назначенные номера Интернет-протоколов в соответствии с документом RFC 1700:
TCP 6
UDP 17
ICMP 1 и так далее. У меня эти поля не заполнены, трансляция работает.
У меня на этой вкладке (прошивка RT-N16-1.9.2.7-rtn-r3121) почему-то сдвинуты записи настроек относительно полей, самые правые записи обрезаны (см. мкриншот). Это и в Опере и в IE.
Как вопрос оказался в этой теме?

MrGalaxy
05-08-2011, 09:25
У меня эти поля не заполнены, трансляция работает.Спасибо за ответ, интуитивно и я оставил их пустыми. Была ещё мысль ip записать 0.0.0.0, но раз и так работает, то не буду.


У меня на этой вкладке (прошивка RT-N16-1.9.2.7-rtn-r3121) почему-то сдвинуты записи настроек относительно полей, самые правые записи обрезаны (см. мкриншот). Это и в Опере и в IE.Аналогично.


Как вопрос оказался в этой теме?Перенёс кто-то. Я еле отыскал. На фига перенесли, хоть бы ссылку оставили. Народ же не настроит трансмишшен.:eek:

gorban
06-08-2011, 15:11
Пытаюсь настроить проброс портов из внешней сети во внутреннюю. Ничего не получается.

Устройство ASUS RT-N16, прошивка 1.9.2.7-rtn-r3121
Внешний IP роутера 80.68.x.x, внутрений 192.168.0.4, нужно пробросить порт роутера 1234 на 80й порт 192.168.0.20.



[admin@RT-BCAEC5C3918B root]$ iptables -L -vxn -t nat
Chain PREROUTING (policy ACCEPT 2221 packets, 196536 bytes)
pkts bytes target prot opt in out source destination
38 3052 VSERVER all -- * * 0.0.0.0/0 80.68.x.x
0 0 NETMAP udp -- * * 0.0.0.0/0 80.68.x.x udp spt:6112 192.168.0.0/24

Chain POSTROUTING (policy ACCEPT 35 packets, 2777 bytes)
pkts bytes target prot opt in out source destination
0 0 NETMAP udp -- * * 192.168.0.0/24 0.0.0.0/0 udp dpt:6112 80.68.x.x/32
1683 130288 MASQUERADE all -- * vlan2 !80.68.x.x 0.0.0.0/0
1 60 MASQUERADE all -- * br0 192.168.0.0/24 192.168.0.0/24

Chain OUTPUT (policy ACCEPT 34 packets, 2717 bytes)
pkts bytes target prot opt in out source destination

Chain UPNP (0 references)
pkts bytes target prot opt in out source destination

Chain VSERVER (1 references)
pkts bytes target prot opt in out source destination
2 120 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1234 to:192.168.0.20:80
0 0 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:1234 to:192.168.0.20:80




[admin@RT-BCAEC5C3918B root]$ iptables -vxn -L
Chain INPUT (policy ACCEPT 133 packets, 8715 bytes)
pkts bytes target prot opt in out source destination
13 1128 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID
3793 301285 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
16 2838 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 ctstate NEW
525 73244 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0 ctstate NEW
0 0 ACCEPT 2 -- * * 0.0.0.0/0 224.0.0.0/4
0 0 ACCEPT udp -- * * 0.0.0.0/0 224.0.0.0/4 udp dpt:!1900

Chain FORWARD (policy ACCEPT 1869 packets, 151689 bytes)
pkts bytes target prot opt in out source destination
1 60 ACCEPT all -- br0 br0 0.0.0.0/0 0.0.0.0/0
93 4674 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID
0 0 ACCEPT udp -- * * 0.0.0.0/0 224.0.0.0/4
54 7106 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
0 0 DROP all -- !br0 vlan2 0.0.0.0/0 0.0.0.0/0
3 180 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate DNAT
0 0 ACCEPT all -- * br0 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 4439 packets, 2871058 bytes)
pkts bytes target prot opt in out source destination

Chain BRUTE (0 references)
pkts bytes target prot opt in out source destination

Chain MACS (0 references)
pkts bytes target prot opt in out source destination

Chain SECURITY (0 references)
pkts bytes target prot opt in out source destination
0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02 limit: avg 1/sec burst 5
0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x04 limit: avg 1/sec burst 5
0 0 RETURN udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5
0 0 RETURN icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain UPNP (0 references)
pkts bytes target prot opt in out source destination

Chain logaccept (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate NEW LOG flags 39 level 4 prefix `ACCEPT '
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0

Chain logdrop (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate NEW LOG flags 39 level 4 prefix `DROP '
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0


Пытался и через Web UI и через iptables, но все глухо. Из внутренней сети проброс работает, из внешней - нет. Поскажите, пожалуйста, в какой файл или в какой форме, что мне нужно написать, чтобы проброс заработал.

Спасибо.

ZooY
08-08-2011, 09:54
Есть маршрутизатор WL-500W с прошивкой 1.9.2.7-10.7 от Олега.
На маршрутизаторе следующие настройки:
Enable UPnP: Yes, report WAN address
Enable Port Trigger: No
Enable Virtual Server: Yes

Virtual Server List
80 192.168.1.3 80 TCP
443 192.168.1.3 443 TCP
4125 192.168.1.3 4125 TCP
Enable Firewall: No

Провайдер - Корбина (Билайн).
Защита от атак из Интернета (настройка на сайте провайдера) - отключена.

Есть сервер с установленным Windows Home Server 2011.
На сервере пытаюсь настроить удаленный веб-доступ. Запускаю мастер настройки и он мне выдает следующие ошибки:

Переадресация портов на маршрутизаторе настроена неправильно

Не удается найти параметры переадресации портов маршрутизатора. Маршрутизатор был недавно заменен или перезагружен; возможно также, что другое устройство или приложение пытаеться переадресовать те же порты, что и сервер. Эта проблема будет устранена автоматически.

Что у меня настроена неправильно?

SANteaFIk
04-09-2011, 14:33
имеется прошитый dir320 (прошивка 1.9.2.7-d-r2624M ) + широкополосный интернет (100 мегабит) с выделенным IP.

проблема: при входе на мой IP я попадаю в вэб морду т.е. на 192.168.1.1
,а безумно хочется на 192.168.1.ХХХ

вопрос: КАК?

Sergey1223
04-09-2011, 14:41
имеется прошитый dir320 (прошивка 1.9.2.7-d-r2624M ) + широкополосный интернет (100 мегабит) с выделенным IP.

проблема: при входе на мой IP я попадаю в вэб морду т.е. на 192.168.1.1
,а безумно хочется на 192.168.1.ХХХ

вопрос: КАК?

Virtual Server курите. Порты там пробрасываете - и чтобы попасть на XXX нужно будет вбивать что-то типа IP:PORT - и то с внешней сети. И не забудьте на роутере в Internet Firewall для входящих пакетов поставить ACCEPT по умолчанию. Ну и порты открыть для приложений на машине, которая сервер.

SANteaFIk
04-09-2011, 14:51
Virtual Server курите. Порты там пробрасываете - и чтобы попасть на XXX нужно будет вбивать что-то типа IP:PORT - и то с внешней сети. И не забудьте на роутере в Internet Firewall для входящих пакетов поставить ACCEPT по умолчанию. Ну и порты открыть для приложений на машине, которая сервер.

а можно поточнее?
что куда вписать для того что-бы при входе на 93.170.ххх.ххх попасть 192.168.1.ххх порт 80 (для http сервера)

или как изменить порт входа в веб морду (80й на любой другой)?

или как отрубить вход в вэб интерфейс кроме как с 192.168.1.1?

Sergey1223
04-09-2011, 14:54
Port Range - 80, Local IP - 192.168.1.XXX, Local Port - XXX, Description - Server. И Add все это.

SANteaFIk
04-09-2011, 15:13
Port Range - 80, Local IP - 192.168.1.XXX, Local Port - XXX, Description - Server. И Add все это.

а что значит local port?

00daniil
17-09-2011, 17:34
Хочу открыть порт 28960 на роутере asus wl500gpv2
1.9.2.7-rtn-r3121, но не получается никак. Раньше с помощью Virtual Server все отлично делалось, сейчас что-то не получается. Вот запись из Status & Log - Port Forwarding


Destination Proto. Port range Redirect to Local port
ALL TCP 28960 192.168.1.3 ALL
ALL TCP 8080 192.168.1.1 8080

Что не так, не подскажите?

ASxaker
24-09-2011, 15:35
Всем привет, имеется беспроводная китайская ip камера, как правильно настроить роутер WL500W для подключения из интернета к ней? У меня роутер имеет адрес 192.168.1.1:8080, я уже пробовал в Virtual Server вбивал адрес камеры 192.168.1.6 и порт её 2323, но не могу попасть на неё по адресу роутер:2323, срочно нужна помощь. Заранее спасибо

Я попробовал сделать перенаправление с порта 8080 на 2323 но ничего не получилось

poisons
25-09-2011, 10:03
Исходные данные
1.9.2.7-rtn-r3335 rt-n16 свежепрошитый
Честно признаюсь сброс не делал, ибо лениво заново настраивать. До этого была прошивка 1.9.2.7-rtn-r31хх
Пытаюсь пробросить порт для трансмишена за роутером на netgear stora.
Внутри сети порт точно открыт на сторе(пробовал telnet ip_stora port)
Пытаюсь постучаться снаружи - закрыт.
Destination Proto. Port range Redirect to Local port
ALL UDP 50000 192.168.1.148 50000
ALL TCP 50000 192.168.1.148 50000
В Status & Log - Port Forwarding
0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.148 tcp dpt:50000
В Chain UPNP (судя по всему клиент по upnp пытается себе порт пробросить)
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:50000 to:192.168.1.148:50000
241K 17M DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:50000 to:192.168.1.148:50000
В Chain VSERVER
Но порты нифига не пробрасыватся..
Так понимаю
1) сбросить роутер, настроить заного, попробовать?
2) если не поможет то ковырять netgear stora
P.s ну очень не хочется сбрасывать, есть ряд причин почему я не хочу сбрасывать роутер

vectorm
27-09-2011, 13:41
Всем привет, имеется беспроводная китайская ip камера, как правильно настроить роутер WL500W для подключения из интернета к ней? У меня роутер имеет адрес 192.168.1.1:8080, я уже пробовал в Virtual Server вбивал адрес камеры 192.168.1.6 и порт её 2323, но не могу попасть на неё по адресу роутер:2323, срочно нужна помощь. Заранее спасибо

Я попробовал сделать перенаправление с порта 8080 на 2323 но ничего не получилось
Естественно.
Читаем тему про Virtual Server. делаем, как там неоднократно, даже в картинках показано. И проверяем, как там сказано.
Что за порт 8080, и какое он имеет отношение к камере???

ASxaker
27-09-2011, 14:13
8080 - это порт на котором у меня сидит роутер.

vectorm
27-09-2011, 14:19
8080 - это порт на котором у меня сидит роутер.
Я понимаю. А что на нем забыл проброс на камеру?
повторюсь - читайте про Virtual Server не через строчку.

ASxaker
27-09-2011, 14:57
Уважаемый vectorm, не могли бы вы меня ткнуть куда нибудь почитать об этом? А то я ни как не разберусь, уже второй месяц мучаюсь , не могу настроить

vectorm
27-09-2011, 15:08
Уважаемый vectorm, не могли бы вы меня ткнуть куда нибудь почитать об этом? А то я ни как не разберусь, уже второй месяц мучаюсь , не могу настроить
Enable Virtual Server? yes
Protocol tcp
Port Range 2323
Local IP 192.168.1.6
Local Port 2323

И проверять СНАРУЖИ.
Остальное искать по теме.

ASxaker
27-09-2011, 15:55
Супееер всё получилось!!! Спасибо большое вам vectorm!

pollitra
15-10-2011, 15:46
Итак: Роутер wl500gpv2 c прошивкой 1.9.2.7-rtn-r3300. За роутером есть комп с windows7 x64 ultimate, со статическим ip 192.168.1.10, к которому нужно настроить доступ по rdp из интернета. Есть 2 ноута(оба на win7), с ip, выдаваемым роутером. ВСЕ трое по wi-fi. С ноутов, внутри моей сети я захожу на нужный комп, проблем нет. Использую стандартный rdp, встроенный в windows7. Но из инета зайти стандартными средствами не могу. Dyndns есть, IP обновляется. В роутере настроил. Настройки роутера:
Enable Port Trigger-да 3389 TCP 3389 TCP.
Enable Virtual Server-Да Virtual Server List-нет ничего.
Internet Firewall-вкл. Enable Web Access from WAN-Да, Port of Web Access from WAN:8080.
Проверяю порты 3389 и 443 на http://speed-tester.info/check_port.php с указанием там мойхост.dyndns.org. Порты закрыты. порт 8080 на моём хосте открыт. мойхост.dyndns.org при проверке через 3G модем не пингуется, 100% потерь. А внутри сети мойхост.dyndns.org пингуется без проблем.
Где копать?

HOMEZ
15-10-2011, 16:22
Enable Virtual Server-Да Virtual Server List-нет ничего.


я всегда в Virtual Server прописывал если нужен был доступ из нета

pollitra
15-10-2011, 16:29
я всегда в Virtual Server прописывал если нужен был доступ из нета

А что прописывал? А на самом компе, к которому нужно подключаться, ничего дополнительно делать не надо?
И что там за Source IP?

biohazard
15-10-2011, 16:35
мб так?! -)
iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to-destination 192.168.1.10:3389

стоит наверное еще там написать внешний интерфейс, на котором это слушать.... ну да черт бы с ним. я сейчас проверил у себя пробросом 80 порта ноута на 8088 роутера. все открылось из интернета без лишней Е.

pollitra
15-10-2011, 16:53
Вставляю в System Command в веб морде: iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to-destination 192.168.1.10:3389 , энтер, далее через 3ж модем пробую зайти-ничего . В логах роутера тоже пусто.

pollitra
15-10-2011, 17:06
Status & Log - Port Forwarding:
Destination Proto. Port range Redirect to Local port
ALL TCP 8080 192.168.1.1 80
ALL UDP 57454 192.168.1.138 57454
А вот что в Trigger Port List
4111 TCP 4111 TCP
3389 TCP 3389 TCP
443 TCP 443 TCP

biohazard
15-10-2011, 17:27
А зачем у Вас 443 порт используется, если не секрет, конечно?



iptables -t nat -A VSERVER -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.10:3389

pollitra
15-10-2011, 17:43
А зачем у Вас 443 порт используется, если не секрет, конечно?



iptables -t nat -A VSERVER -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.10:3389
Нигде, удалили уже. Вот что сделал:
Status & Log - Port Forwarding:
Destination Proto. Port range Redirect to Local port
ALL TCP 3389 192.168.1.10 3389
ALL TCP 8080 192.168.1.1 80
Я так понимаю, рорт 3389 открыт. Проверяю на сайтах- закрыт. Я в тупике.
Кстати про порт 443-прописан то он прописан, но соответствующие сайты говорят что он закрыт. Открыт только 8080. Различные варианты перепробовал-не открываются порты вообще........

vectorm
15-10-2011, 18:31
Нигде, удалили уже. Вот что сделал:
Status & Log - Port Forwarding:
Destination Proto. Port range Redirect to Local port
ALL TCP 3389 192.168.1.10 3389
ALL TCP 8080 192.168.1.1 80
Я так понимаю, рорт 3389 открыт. Проверяю на сайтах- закрыт. Я в тупике.
Кстати про порт 443-прописан то он прописан, но соответствующие сайты говорят что он закрыт. Открыт только 8080. Различные варианты перепробовал-не открываются порты вообще........
1. Писать в несколько тем один и тот же вопрос - только напрашиваться на бан.
2. Где логи? Где детализации?
Может у Вас провайдер стандартные порты блокирует, может Вы в DMZ роутера что-то прописали, может через post-firewall что-нибудь прописываете.

theMIROn
15-10-2011, 18:35
Status & Log - Port Forwarding:
Destination Proto. Port range Redirect to Local port
ALL TCP 3389 192.168.1.10 3389

это всего лишь значит, что внешний 3389 порт прокинут на 192.168.1.10:3389
открыт или закрыт целиком и полностью зависит от наличия 192.168.1.10 и открытости там 3389 порта для подключений из-вне, а так же от провайдера, возможно блокируюегощего входящие подключения на 3389 порт, но - врядли

pollitra
15-10-2011, 18:46
это всего лишь значит, что внешний 3389 порт прокинут на 192.168.1.10:3389
открыт или закрыт целиком и полностью зависит от наличия 192.168.1.10 и открытости там 3389 порта для подключений из-вне, а так же от провайдера, возможно блокируюегощего входящие подключения на 3389 порт, но - врядли

В своей сети за роутером я захожу на 192.168.1.10 стандартным подключением к удалённому рабочему столу. А из инета никак. Сообщите тогда как правильно открыть порт 3389, а в понедельник позвоню провайдеру. Хотя, я звонил ранее и мне сказали, что порты не закрывают.

vectorm
15-10-2011, 18:58
В своей сети за роутером я захожу на 192.168.1.10 стандартным подключением к удалённому рабочему столу. А из инета никак. Сообщите тогда как правильно открыть порт 3389, а в понедельник позвоню провайдеру. Хотя, я звонил ранее и мне сказали, что порты не закрывают.
Русским языком сказал же - покажите подробности. Вот такие (http://wl500g.info/showpost.php?p=235592&postcount=280) например.
Проблему решить нужно ВАМ. Соответственно, из Вас никто ничего вытягивать не будет.

Вспомнилось тут чье-то:
"Я не попадаю вопросами в ваши ответы ..."

theMIROn
15-10-2011, 19:03
из локальной сети адреса принадлежат диапазону локальной сети, из интернета - нет, port trigger не то же самое, что virtual server.
для проверки - подключитесь по внешему адресу из локальной сети, сработает - значит роброс работает, разбирайтесь с файрволами на пк и провайдером.

pollitra
15-10-2011, 19:16
Status & Log - Port Forwarding:

Destination Proto. Port range Redirect to Local port
ALL UDP 3389 192.168.1.10 3389
ALL TCP 3389 192.168.1.10 3389
ALL TCP 8080 192.168.1.1 80
ALL UDP 63351 192.168.1.199 63351
Я так понимаю, все входящие на порт 3389 роутера перенаправляются на порт 3389 192.168.1.10? Это именно тот комп, на который я хочу зайти. Отключил его брандмауэр, проверил порт через спец сайты-закрыт. Проверяю так: на сайте забиваю порт 3389 и забиваю мойхост.dyndns.org.

theMIROn
15-10-2011, 19:23
ну, чтож, без ответов на вопросы выше, могу сказать что в прошивке проблем нет, проброс работает и умываю руки

pollitra
15-10-2011, 19:30
DMZ роутера-нет ничего, пост файрвол-нет его, какие логи нужны?

theMIROn
15-10-2011, 19:46
Русским языком сказал же - покажите подробности. Вот такие (http://wl500g.info/showpost.php?p=235592&postcount=280) например.
Проблему решить нужно ВАМ. Соответственно, из Вас никто ничего вытягивать не будет.

Вспомнилось тут чье-то:
"Я не попадаю вопросами в ваши ответы ..."

^^^^^^^^^^ эти

pollitra
15-10-2011, 19:56
[pollitra@WL500 root]$ iptables -L -vxn -t nat
Chain PREROUTING (policy ACCEPT 736 packets, 58858 bytes)
pkts bytes target prot opt in out source dest ination
43 3162 VSERVER all -- * * 0.0.0.0/0 109.11 1.92.80

Chain POSTROUTING (policy ACCEPT 222 packets, 20113 bytes)
pkts bytes target prot opt in out source dest ination
275 14849 MASQUERADE all -- * ppp0 !109.111.92.80 0.0.0 .0/0
92 8381 MASQUERADE all -- * br0 192.168.1.0/24 192.1 68.1.0/24

Chain OUTPUT (policy ACCEPT 308 packets, 28150 bytes)
pkts bytes target prot opt in out source dest ination

Chain UPNP (1 references)
pkts bytes target prot opt in out source dest ination
0 0 DNAT udp -- * * 0.0.0.0/0 0.0.0. 0/0 udp dpt:63351 to:192.168.1.199:63351
0 0 DNAT udp -- * * 0.0.0.0/0 0.0.0. 0/0 udp dpt:49601 to:192.168.1.138:49601

Chain VSERVER (1 references)
pkts bytes target prot opt in out source dest ination
43 3162 UPNP all -- * * 0.0.0.0/0 0.0.0. 0/0
6 344 DNAT tcp -- * * 0.0.0.0/0 0.0.0. 0/0 tcp dpt:3389 to:192.168.1.10:3389
0 0 DNAT udp -- * * 0.0.0.0/0 0.0.0. 0/0 udp dpt:3389 to:192.168.1.10:3389
[pollitra@WL500 root]$



[pollitra@WL500 root]$ iptables -vxn -L
Chain INPUT (policy ACCEPT 49 packets, 3611 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID
1883 293141 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
3 543 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 ctstate NEW
944 249610 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0 ctstate NEW

Chain FORWARD (policy ACCEPT 364 packets, 19419 bytes)
pkts bytes target prot opt in out source destination
6 304 ACCEPT all -- br0 br0 0.0.0.0/0 0.0.0.0/0
8 320 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID
347 18088 TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
0 0 DROP all -- !br0 ppp0 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- !br0 vlan1 0.0.0.0/0 0.0.0.0/0
6 360 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate DNAT

Chain OUTPUT (policy ACCEPT 2622 packets, 478487 bytes)
pkts bytes target prot opt in out source destination

Chain BRUTE (0 references)
pkts bytes target prot opt in out source destination

Chain MACS (0 references)
pkts bytes target prot opt in out source destination

Chain SECURITY (0 references)
pkts bytes target prot opt in out source destination
0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02 limit: avg 1/sec burst 5
0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x04 limit: avg 1/sec burst 5
0 0 RETURN udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5
0 0 RETURN icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain UPNP (0 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT udp -- * * 0.0.0.0/0 192.168.1.138 udp dpt:49601
0 0 ACCEPT udp -- * * 0.0.0.0/0 192.168.1.199 udp dpt:63351

Chain logaccept (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate NEW LOG flags 39 level 4 prefix `ACCEPT '
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0

Chain logdrop (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate NEW LOG flags 39 level 4 prefix `DROP '
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
[pollitra@WL500 root]$

theMIROn
15-10-2011, 20:03
Тут все ок, даже 6 rdp пакетов отправлены.
На 1.10 ставим wideshark и наблюдаем что происходит на интересующем порту

pollitra
15-10-2011, 20:09
pollitra@WL500 root]$ iptables -L -vxn
Chain INPUT (policy ACCEPT 62 packets, 4553 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID
2446 396615 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
6 1086 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 ctstate NEW
1304 337387 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0 ctstate NEW

Chain FORWARD (policy ACCEPT 492 packets, 26075 bytes)
pkts bytes target prot opt in out source destination
6 304 ACCEPT all -- br0 br0 0.0.0.0/0 0.0.0.0/0
8 320 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID
475 24744 TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
0 0 DROP all -- !br0 ppp0 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- !br0 vlan1 0.0.0.0/0 0.0.0.0/0
6 360 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate DNAT

Chain OUTPUT (policy ACCEPT 3402 packets, 605712 bytes)
pkts bytes target prot opt in out source destination

Chain BRUTE (0 references)
pkts bytes target prot opt in out source destination

Chain MACS (0 references)
pkts bytes target prot opt in out source destination

Chain SECURITY (0 references)
pkts bytes target prot opt in out source destination
0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02 limit: avg 1/sec burst 5
0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x04 limit: avg 1/sec burst 5
0 0 RETURN udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5
0 0 RETURN icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain UPNP (0 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT udp -- * * 0.0.0.0/0 192.168.1.138 udp dpt:49601
0 0 ACCEPT udp -- * * 0.0.0.0/0 192.168.1.199 udp dpt:63351

Chain logaccept (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate NEW LOG flags 39 level 4 prefix `ACCEPT '
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0

Chain logdrop (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate NEW LOG flags 39 level 4 prefix `DROP '
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
[pollitra@WL500 root]$
Файрвол отключен. На всякий случай.

theMIROn
15-10-2011, 20:16
Тут все ок, даже 6 rdp пакетов отправлены.
На 1.10 ставим wireshark и наблюдаем что происходит на интересующем порту

Any news? Строка фильтра итам будет или rdp или tcp.port == 3389

pollitra
15-10-2011, 21:05
Вайршарк запустил на 1.10, tcp.port=3389. Попытался зайти на него из инета по rdp, где и что смотреть в этой программе?

theMIROn
15-10-2011, 23:23
Wireshark захватывает пакеты и отображает их графически в соответствии с фильром.т.е в этом случае, как минимум должны быть входящие, а вообще интересно что именно там получается

pollitra
16-10-2011, 08:08
Пытаюсь зайти через 3Ж мегафон стандартным RDP windows (указываю мойхост.dyndns.org:3389 или мойхост.dyndns.org и с именем и без ), шарк запущен на 1.10, ничего не происходит. Или я не там смотрю?Тогда где?

vectorm
16-10-2011, 11:26
Пытаюсь зайти через 3Ж мегафон стандартным RDP windows (указываю мойхост.dyndns.org:3389 или мойхост.dyndns.org и с именем и без ), шарк запущен на 1.10, ничего не происходит. Или я не там смотрю?Тогда где?
1. Для начала запустите захват пакетов на нужном интерфейсе - Start capture.
2. Проверьте наконец, как Мирон сказал - типа
telnet мойхост.dyndns.org 3389 изнутри локалки
Что скажет?
3. Где гарантия того, что мобильный оператор не режет стандартные порты?
Билайн например 25 порт режет наглухо.

pollitra
18-10-2011, 12:28
Я тут испарился ненадолго. Причина неработоспособности оказалась банальной-на компе был указан не тот IP. 192.168.1.107, а надо было .....1.10. Как он там оказался-тайна, я руками сам вбивал адрес, сохранял. Видимо руки были кривые. Спасибо за поддержку и советы.:)

AsusMan99
25-10-2011, 08:10
А кто может просветить, комментарий на странице Virtual Server составляет 4 символа, это так и задумано? Или только у меня такое.
Прошивка 34xx/35xx

mid_e34
26-10-2011, 11:23
Обыскался, но не нашел, что вводить при настройке Virtual Server через веб-морду в поле "Source IP"? В найденных инструкциях это поле отсутствует

bocxod
26-10-2011, 11:36
Обыскался, но не нашел, что вводить при настройке Virtual Server через веб-морду в поле "Source IP"? В найденных инструкциях это поле отсутствует

Отсутствует потому что заполнять его НЕ НУЖНО!

Его нужно вводить тогда и только тогда, когда переадресация идет с известного нам заранее (скорее всего статического) IP.
Т.е. если хотите что бы вас пускало только с работы, то вбейте туда адрес шлюза что у вас на работе.
В вашем случае будет так
соурс пусто
порт райндж 9091 (или другой любой) ВАЖНО С ВЕНШКИ ОБРАЩЕНИЕ БУДЕТ ИДТИ НА НЕГО!
локал ип тут вбить адрес где у вас "транс" стоит
Локал порт 9091
Протокот оба (BOTH)
Дескрипшн по желанию

mid_e34
26-10-2011, 12:56
Отсутствует потому что заполнять его НЕ НУЖНО!



Спасибо - у меня глюк, почему-то показалось, что было сообщение, что это поле не может быть пустым. А сейчас все ОК

zert88
13-11-2011, 03:34
врооде почитал тут ненмого инфы, на деле не очень понимаю как все это работает порты, раньше настраивал на проброску, но вот в rt-n16 с прошивкой от олега не очень понимаю, что делать, отключил upnp вбил порты в virtual server, только не понимаю там надо вводить два айпи, я перебрал всевозможные варианты, соур айпи и локал айпи

tempik
13-11-2011, 08:42
врооде почитал тут ненмого инфы, на деле не очень понимаю как все это работает порты, раньше настраивал на проброску, но вот в rt-n16 с прошивкой от олега не очень понимаю, что делать, отключил upnp вбил порты в virtual server, только не понимаю там надо вводить два айпи, я перебрал всевозможные варианты, соур айпи и локал айпи
А что там непонятного??? номер порта который пробрасываем, адрес локальный и порт на который пробрасываем, протокол и все ...

zert88
13-11-2011, 12:48
А что там непонятного??? номер порта который пробрасываем, адрес локальный и порт на который пробрасываем, протокол и все ...
ага былоб так просто, было бы круто. Я по всякому пробую локальный айпи у меня 192.168.1.23, гэтвэй 192.168.1.1, есть еще тот айпи что выдает провайдер начинается со 172. Просит ввести два айпи, хз что и как , на скринах в фотках яндекса видел как должна быть сетка с проброской портов, я явно вижу различия со своей фоткой.

http://dl.dropbox.com/u/13021016/%D0%A1%D0%BD%D0%B8%D0%BC%D0%BE%D0%BA-2011-11-13%2023%3A54%3A20.png

timonych
13-11-2011, 13:05
ага былоб так просто, было бы круто. Я по всякому пробую локальный айпи у меня 192.168.1.23, гэтвэй 192.168.1.1, есть еще тот айпи что выдает провайдер начинается со 172. Просит ввести два айпи, хз что и как , на скринах в фотках яндекса видел как должна быть сетка с проброской портов, я явно вижу различия со своей фоткой.

Source IP должен быть пустой,а Local Ip - комп, по которому к роутеру привязан.

zert88
14-11-2011, 03:18
Source IP должен быть пустой,а Local Ip - комп, по которому к роутеру привязан.

спасибо, все как всегда проще, чем казалось, а я уже в iptables полез... прочел ниже, ответ уже был дан, а я дурень не то в запрос вбивал и сразу не прочел всю ветку

Dexter_ams
14-11-2011, 10:09
Приветствую!
Стоит прошивка от Олега. Сделал веб сервер, из домашней сети по внешнему адресу страницы грузятся, из интернета нет. файрвол отключал - все равно не грзутся.
Virtual Server - добавил
Port Range – 80
Local IP – ип на котором стоит сервер
Local Port – 80
Protocol – TCP
Protocol No. – HTTP
Description – http server (80)
Может быть проблема в роутере или однозначно сервер?

vectorm
14-11-2011, 10:14
Приветствую!
Стоит прошивка от Олега. Сделал веб сервер, из домашней сети по внешнему адресу страницы грузятся, из интернета нет.
iptables-save что говорит?
Лог роутера?
Внешний IP куплен? (у Вашего провайдера заказывается отдельно).

Dexter_ams
14-11-2011, 11:23
iptables-save что говорит?
Лог роутера?
Внешний IP куплен? (у Вашего провайдера заказывается отдельно).

iptables-save

# Generated by iptables-save v1.3.8 on Mon Nov 14 11:25:11 2011
*nat
:PREROUTING ACCEPT [35770:2536346]
:POSTROUTING ACCEPT [1767:174638]
:OUTPUT ACCEPT [1780:179170]
:VSERVER - [0:0]
-A PREROUTING -d 195.158.232.48 -j VSERVER
-A PREROUTING -i br0 -p tcp -m tcp --dport 80 -j autofw --related-proto tcp --related-dport 80-80 --related-to 80-80
-A POSTROUTING -s ! 195.158.232.48 -o vlan1 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -d 192.168.1.0/255.255.255.0 -o br0 -j MASQUERADE
-A VSERVER -p tcp -m tcp --dport 15024 -j DNAT --to-destination 192.168.1.182:15024
-A VSERVER -p udp -m udp --dport 64600 -j DNAT --to-destination 192.168.1.167:64600
-A VSERVER -p udp -m udp --dport 15024 -j DNAT --to-destination 192.168.1.182:15024
-A VSERVER -p udp -m udp --dport 59025 -j DNAT --to-destination 192.168.1.167:59025
-A VSERVER -p udp -m udp --dport 62820 -j DNAT --to-destination 192.168.1.182:62820
-A VSERVER -p udp -m udp --dport 36692 -j DNAT --to-destination 192.168.1.182:36692
-A VSERVER -p udp -m udp --dport 61386 -j DNAT --to-destination 192.168.1.167:61386
-A VSERVER -p udp -m udp --dport 62112 -j DNAT --to-destination 192.168.1.182:62112
-A VSERVER -p udp -m udp --dport 56509 -j DNAT --to-destination 192.168.1.167:56509
-A VSERVER -p udp -m udp --dport 58661 -j DNAT --to-destination 192.168.1.182:58661
-A VSERVER -p udp -m udp --dport 55943 -j DNAT --to-destination 192.168.1.182:55943
-A VSERVER -p udp -m udp --dport 55011 -j DNAT --to-destination 192.168.1.167:55011
-A VSERVER -p tcp -m tcp --dport 11111 -j DNAT --to-destination 192.168.1.182:11111
-A VSERVER -p tcp -m tcp --dport 20:21 -j DNAT --to-destination 192.168.1.119:21
-A VSERVER -p tcp -m tcp --dport 20:21 -j DNAT --to-destination 192.168.1.119:20
-A VSERVER -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.119:80
COMMIT
# Completed on Mon Nov 14 11:25:11 2011
# Generated by iptables-save v1.3.8 on Mon Nov 14 11:25:11 2011
*mangle
:PREROUTING ACCEPT [10462598:10022423212]
:INPUT ACCEPT [11577:1890908]
:FORWARD ACCEPT [10449850:10020465233]
:OUTPUT ACCEPT [13665:9919917]
:POSTROUTING ACCEPT [10466298:10031296266]
COMMIT
# Completed on Mon Nov 14 11:25:11 2011
# Generated by iptables-save v1.3.8 on Mon Nov 14 11:25:11 2011
*filter
:INPUT ACCEPT [788:62014]
:FORWARD ACCEPT [55052:3654097]
:OUTPUT ACCEPT [13409:9891346]
:BRUTE - [0:0]
:MACS - [0:0]
:SECURITY - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i br0 -m state --state NEW -j ACCEPT
-A INPUT -d 224.0.0.0/240.0.0.0 -p igmp -j ACCEPT
-A INPUT -d 224.0.0.0/240.0.0.0 -p udp -m udp ! --dport 1900 -j ACCEPT
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -d 224.0.0.0/240.0.0.0 -p udp -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ! br0 -o vlan1 -j DROP
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -o br0 -j DROP
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j DROP
-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logaccept -j ACCEPT
-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logdrop -j DROP
COMMIT
# Completed on Mon Nov 14 11:25:11 2011

System Log



Nov 14 08:47:42 ntp client: Synchronizing time with time.nist.gov ...
Nov 14 08:53:36 dnsmasq-dhcp[70]: DHCPINFORM(br0) 192.168.1.119 00:1d:09:3e:2d:ce
Nov 14 08:53:36 dnsmasq-dhcp[70]: DHCPACK(br0) 192.168.1.119 00:1d:09:3e:2d:ce WIN-FPGOHH6I78A
Nov 14 09:25:45 dnsmasq-dhcp[70]: DHCPREQUEST(br0) 192.168.1.119 00:1d:09:3e:2d:ce
Nov 14 09:25:45 dnsmasq-dhcp[70]: DHCPACK(br0) 192.168.1.119 00:1d:09:3e:2d:ce WIN-FPGOHH6I78A
Nov 14 09:26:01 dnsmasq-dhcp[70]: DHCPINFORM(br0) 192.168.1.119 00:1d:09:3e:2d:ce
Nov 14 09:26:01 dnsmasq-dhcp[70]: DHCPACK(br0) 192.168.1.119 00:1d:09:3e:2d:ce WIN-FPGOHH6I78A
Nov 14 09:28:05 dnsmasq-dhcp[70]: DHCPINFORM(br0) 192.168.1.119 00:1d:09:3e:2d:ce
Nov 14 09:28:05 dnsmasq-dhcp[70]: DHCPACK(br0) 192.168.1.119 00:1d:09:3e:2d:ce WIN-FPGOHH6I78A
Nov 14 09:44:43 dnsmasq-dhcp[70]: DHCPINFORM(br0) 192.168.1.119 00:1d:09:3e:2d:ce
Nov 14 09:44:43 dnsmasq-dhcp[70]: DHCPACK(br0) 192.168.1.119 00:1d:09:3e:2d:ce WIN-FPGOHH6I78A
Nov 14 10:47:42 ntp client: Synchronizing time with time.nist.gov ...
Nov 14 11:13:12 dnsmasq-dhcp[70]: DHCPREQUEST(br0) 192.168.1.119 00:1d:09:3e:2d:ce
Nov 14 11:13:12 dnsmasq-dhcp[70]: DHCPACK(br0) 192.168.1.119 00:1d:09:3e:2d:ce WIN-FPGOHH6I78A
Nov 14 11:13:17 dnsmasq-dhcp[70]: DHCPREQUEST(br0) 192.168.1.119 00:1d:09:3e:2d:ce
Nov 14 11:13:17 dnsmasq-dhcp[70]: DHCPACK(br0) 192.168.1.119 00:1d:09:3e:2d:ce WIN-FPGOHH6I78A
Nov 14 11:13:24 dnsmasq-dhcp[70]: DHCPREQUEST(br0) 192.168.1.119 00:1d:09:3e:2d:ce
Nov 14 11:13:24 dnsmasq-dhcp[70]: DHCPACK(br0) 192.168.1.119 00:1d:09:3e:2d:ce WIN-FPGOHH6I78A
Nov 14 11:13:28 dnsmasq-dhcp[70]: DHCPINFORM(br0) 192.168.1.119 00:1d:09:3e:2d:ce
Nov 14 11:13:28 dnsmasq-dhcp[70]: DHCPACK(br0) 192.168.1.119 00:1d:09:3e:2d:ce WIN-FPGOHH6I78A
Nov 14 11:24:28 dnsmasq-dhcp[70]: DHCPREQUEST(br0) 192.168.1.119 00:1d:09:3e:2d:ce
Nov 14 11:24:28 dnsmasq-dhcp[70]: DHCPACK(br0) 192.168.1.119 00:1d:09:3e:2d:ce WIN-FPGOHH6I78A
Nov 14 11:24:31 dnsmasq-dhcp[70]: DHCPREQUEST(br0) 192.168.1.119 00:1d:09:3e:2d:ce
Nov 14 11:24:31 dnsmasq-dhcp[70]: DHCPACK(br0) 192.168.1.119 00:1d:09:3e:2d:ce WIN-FPGOHH6I78A
Nov 14 11:24:40 dnsmasq-dhcp[70]: DHCPREQUEST(br0) 192.168.1.119 00:1d:09:3e:2d:ce
Nov 14 11:24:40 dnsmasq-dhcp[70]: DHCPACK(br0) 192.168.1.119 00:1d:09:3e:2d:ce WIN-FPGOHH6I78A
Nov 14 11:24:43 dnsmasq-dhcp[70]: DHCPINFORM(br0) 192.168.1.119 00:1d:09:3e:2d:ce
Nov 14 11:24:43 dnsmasq-dhcp[70]: DHCPACK(br0) 192.168.1.119 00:1d:09:3e:2d:ce WIN-FPGOHH6I78A


Да, внешний ип куплен. Провайдер порты не блокирует

vectorm
14-11-2011, 12:13
iptables-save


-A PREROUTING -i br0 -p tcp -m tcp --dport 80 -j autofw --related-proto tcp --related-dport 80-80 --related-to 80-80
-A VSERVER -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.119:80

Скорее всего эти правила пересекаются, т.е. 80 порт роутером для себя забирается. Перенесите веб морду роутера на другой порт (в FAQ есть).


System Log

Мда, очень подробный. Зачем было обрезать начало??? Указанные строчки - вообще ни о чем в контексте вопроса. Только 1 странность - обновление слишком частое.

Dexter_ams
14-11-2011, 12:34
Скорее всего эти правила пересекаются, т.е. 80 порт роутером для себя забирается. Перенесите веб морду роутера на другой порт (в FAQ есть).

Мда, очень подробный. Зачем было обрезать начало??? Указанные строчки - вообще ни о чем в контексте вопроса. Только 1 странность - обновление слишком частое.

web морду перенес

System Log

Jan 1 00:00:02 syslogd started: BusyBox v1.17.2
Jan 1 00:00:02 kernel: Memory: 29960k/32768k available (1960k kernel code, 2808k reserved, 140k data, 92k init, 0k highmem)
Jan 1 00:00:02 kernel: Dentry cache hash table entries: 4096 (order: 3, 32768 bytes)
Jan 1 00:00:02 kernel: Inode cache hash table entries: 2048 (order: 2, 16384 bytes)
Jan 1 00:00:02 kernel: Mount cache hash table entries: 512 (order: 0, 4096 bytes)
Jan 1 00:00:02 kernel: Buffer cache hash table entries: 1024 (order: 0, 4096 bytes)
Jan 1 00:00:02 kernel: Page-cache hash table entries: 8192 (order: 3, 32768 bytes)
Jan 1 00:00:02 kernel: Checking for 'wait' instruction... unavailable.
Jan 1 00:00:02 kernel: POSIX conformance testing by UNIFIX
Jan 1 00:00:02 kernel: PCI: no core
Jan 1 00:00:02 kernel: PCI: Fixing up bus 0
Jan 1 00:00:02 dnsmasq[70]: started, version 2.55 cachesize 512
Jan 1 00:00:02 dnsmasq[70]: compile time options: IPv6 GNU-getopt no-RTC no-DBus no-I18N DHCP no-scripts no-TFTP
Jan 1 00:00:02 dnsmasq-dhcp[70]: DHCP, IP range 192.168.1.101 -- 192.168.1.254, lease time 1d
Jan 1 00:00:02 dnsmasq[70]: read /etc/hosts - 2 addresses
Jan 1 00:00:02 kernel: usb.c: registered new driver usbdevfs
Jan 1 00:00:02 kernel: usb.c: registered new driver hub
Jan 1 00:00:03 kernel: usb-ohci.c: USB OHCI at membase 0xb8003000, IRQ 6
Jan 1 00:00:03 kernel: usb-ohci.c: usb-00:03.0, PCI device 14e4:471a
Jan 1 00:00:03 kernel: usb.c: new USB bus registered, assigned bus number 1
Jan 1 00:00:03 kernel: hub.c: USB hub found
Jan 1 00:00:03 kernel: hub.c: 2 ports detected
Jan 1 00:00:03 kernel: ehci_hcd 00:03.1: PCI device 14e4:471a
Jan 1 00:00:03 kernel: ehci_hcd 00:03.1: irq 6, pci mem b8003800
Jan 1 00:00:03 kernel: usb.c: new USB bus registered, assigned bus number 2
Jan 1 00:00:03 kernel: ehci_hcd 00:03.1: USB 0.0 enabled, EHCI 1.00, driver 10 Dec 2004/2.4
Jan 1 00:00:03 kernel: hub.c: USB hub found
Jan 1 00:00:03 kernel: hub.c: 2 ports detected
Jan 1 00:00:03 kernel: usb.c: registered new driver usblp
Jan 1 00:00:03 kernel: printer.c: v0.13: USB Printer Device Class driver
Jan 1 00:00:04 kernel: Linux video capture interface: v1.00
Jan 1 00:00:04 kernel: SCSI subsystem driver Revision: 1.00
Jan 1 00:00:04 kernel: Initializing USB Mass Storage driver...
Jan 1 00:00:04 kernel: usb.c: registered new driver usb-storage
Jan 1 00:00:04 kernel: USB Mass Storage support registered.
Jan 1 00:00:04 kernel: vlan1: Setting MAC address to 1c bd b9 96 62 55.
Jan 1 00:00:05 dnsmasq[70]: read /etc/hosts - 2 addresses
Jan 1 00:00:05 dhcp client: deconfig: lease is lost
Jan 1 00:00:05 dnsmasq[70]: read /etc/hosts - 2 addresses
Jan 1 00:00:05 dnsmasq[70]: using nameserver 94.228.204.34#53
Jan 1 00:00:05 dnsmasq[70]: using nameserver 91.195.61.2#53
Jan 1 00:00:05 dnsmasq[70]: using nameserver 193.232.245.125#53
Jan 1 00:00:05 dnsmasq[70]: using nameserver 212.152.38.186#53
Jan 1 00:00:05 dhcp client: bound IP : 195.158.232.48 from 195.158.232.33
Jan 1 00:00:05 dnsmasq-dhcp[70]: DHCPREQUEST(br0) 192.168.1.167 78:dd:08:cc:7e:f0
Jan 1 00:00:05 dnsmasq-dhcp[70]: DHCPACK(br0) 192.168.1.167 78:dd:08:cc:7e:f0
Nov 14 12:38:23 login[115]: root login on 'pts/0'
Nov 14 12:39:19 ntp client: Synchronizing time with time.nist.gov ...

Xenon007
17-11-2011, 09:25
Имеется сеть с WL500gp v2 и 4 компа.
На точке стоит lighttpd на 80 порту.
На компьютерах тоже стоят HTTP сервера.
Подскажите, как открыть доступ до портов компьютеров сетки, например:
asus:81 -> 192.168.1.2:80
asus:82 -> 192.168.1.3:80
asus:83 -> 192.168.1.4:80
asus:84 -> 192.168.1.5:80
Желательно через консоль.

Спасибо

PS
Прошивка 1.9.2.7-d/-rtn:)

SLP
08-12-2011, 11:55
Не знаю в тему или нет но программы поддерживающие UpNp замечательно пробрасывают порты через роутер. А вот с виртуал сервер через веб-морду к роутеру я так и не разобрался - пробовал открывать конкретные порты, проверка портов все равно показывает что они закрыты

Dimonakapirat
19-12-2011, 11:57
Поменял роутер на rt-n16. Настроил аналогично, пробросил порты, пробую цепляться - не отвечает. Судя по diagnostic info всё ок порты проброшены, неотвечает поплясал с бубном, полистал форум, имперически выяснил что win 7 блочит подключения из вне, всё решилось переключением типа сети с "общественное место" на "домашняя сеть", обратите на это внимание те у кого "всё вроде ок но неработает"

eska
22-12-2011, 17:26
Привет всем!
wl500gPv2, прошивка от Олега.
Есть задачи перебрасывать внешние запросы по определенному порту на определенный адрес:порт, достижимо ли такое?
Т.е. грубо говоря, стучится кто-то на внешний адрес роутера по порту 80, а его перебрасывает на XXX.XXX.XXX.XXX:80.
Добавил такое правило в Nat Setting -> Virtual Server, изнутри сети работает, а снаружи нет.
Что можно сделать и можно ли что-то сделать?
Если нужно лезть "внутрь", то желательно пальцем показать в каком файле что нужно дописать.
Спасибо!

TReX
22-12-2011, 17:39
Привет всем!
wl500gPv2, прошивка от Олега.
Есть задачи перебрасывать внешние запросы по определенному порту на определенный адрес:порт, достижимо ли такое?
Т.е. грубо говоря, стучится кто-то на внешний адрес роутера по порту 80, а его перебрасывает на XXX.XXX.XXX.XXX:80.
Добавил такое правило в Nat Setting -> Virtual Server, изнутри сети работает, а снаружи нет.
Что можно сделать и можно ли что-то сделать?
Если нужно лезть "внутрь", то желательно пальцем показать в каком файле что нужно дописать.
Спасибо!

Пальцем обычно другое показывают, а вам нужно пробросить порты, но кроме тех что уже используются роутером, в частности 80 )

tempik
22-12-2011, 17:42
Привет всем!
wl500gPv2, прошивка от Олега.
Есть задачи перебрасывать внешние запросы по определенному порту на определенный адрес:порт, достижимо ли такое?
Т.е. грубо говоря, стучится кто-то на внешний адрес роутера по порту 80, а его перебрасывает на XXX.XXX.XXX.XXX:80.
Добавил такое правило в Nat Setting -> Virtual Server, изнутри сети работает, а снаружи нет.
Что можно сделать и можно ли что-то сделать?
Если нужно лезть "внутрь", то желательно пальцем показать в каком файле что нужно дописать.
Спасибо!
Вывод

iptables-save
приведите ...

eska
22-12-2011, 18:22
Вот:



# Generated by iptables-save v1.2.7a on Thu Dec 22 21:26:11 2011
*nat
:PREROUTING ACCEPT [343:44980]
:POSTROUTING ACCEPT [21:1285]
:OUTPUT ACCEPT [21:1285]
:VSERVER - [0:0]
-A PREROUTING -d внешнийIP -j VSERVER
-A POSTROUTING -s ! внешнийIP -o vlan1 -j MASQUERADE
-A POSTROUTING -s 192.168.172.0/255.255.255.0 -d 192.168.172.0/255.255.255.0 -o br0 -j MASQUERADE
-A VSERVER -p udp -m udp --dport 2456 -j DNAT --to-destination 192.168.172.4:2456
-A VSERVER -p tcp -m tcp --dport 1501 -j DNAT --to-destination 192.168.172.4:1501
-A VSERVER -p tcp -m tcp --dport 7711 -j DNAT --to-destination 192.168.172.4:7711
-A VSERVER -p udp -m udp --dport 7711 -j DNAT --to-destination 192.168.172.4:7711
-A VSERVER -p tcp -m tcp --dport 80 -j DNAT --to-destination переброснаэтотIP:80
COMMIT
# Completed on Thu Dec 22 21:26:11 2011
# Generated by iptables-save v1.2.7a on Thu Dec 22 21:26:11 2011
*mangle
:PREROUTING ACCEPT [6670:4941815]
:INPUT ACCEPT [880:81839]
:FORWARD ACCEPT [5690:4833262]
:OUTPUT ACCEPT [1012:627279]
:POSTROUTING ACCEPT [6702:5460541]
COMMIT
# Completed on Thu Dec 22 21:26:11 2011
# Generated by iptables-save v1.2.7a on Thu Dec 22 21:26:11 2011
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [158:9747]
:OUTPUT ACCEPT [1004:625302]
:MACS - [0:0]
:SECURITY - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i br0 -m state --state NEW -j ACCEPT
-A INPUT -i vlan1 -m state --state NEW -j SECURITY
-A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -j DROP
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ! br0 -o vlan1 -j DROP
-A FORWARD -i ! br0 -m state --state NEW -j SECURITY
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -o br0 -j DROP
-A SECURITY -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j DROP
-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logaccept -j ACCEPT
-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logdrop -j DROP
COMMIT
# Completed on Thu Dec 22 21:26:11 2011

tempik
22-12-2011, 19:37
Ну переадресация вроде нормально встала, а вот разрешения на доступ к 80 порту снаружи нет. Нужно явно разрешить (хотя вебморда должна была сделать) доступ извне на порт 80 ...
что-то типа:

iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
у вас этого нет ...

dns
02-03-2012, 19:32
Доброго дня!
Проблема, видимо, простая, но я не понимаю как её решить :(
Из компьютера в LAN программа обращается к компьютеру в WAN по адресу x.x.x.x на порт pppp
Но компьютер в WAN слушает на порту dddd
Как сделать, чтобы роутер исходящие соединения на адрес x.x.x.x : pppp преобразовывал в x.x.x.x : dddd ? Причём только именно для этого IP

volde
04-03-2012, 23:13
Есть в наличии dir-320 с прошивкой от Олега, необходимо подключатся к офисной VPN.

Через Виртуальный сервер пробросил порт 1723 и VPN коннектиться, но данные не получает, как я понял, для этого нужно пробросить GRE протокол.

Добавление проброса протокола №47 через виртуальные сервер никакого эффекта не дает. :(

По обрывкам сообщений вычитал что на ядре 2.3 была прошивка, которая работала с GRE.
Я ее себе и скачал, но вот дальше застрял...

Подскажите кто в теме как пробросить GRE через роутер?

Demontager
17-01-2013, 11:09
Чтобы не создавать отдельную тему, спрошу здесь. Может кто сталкивался на RT-N16, на прошивке 1.9.2.7-rtn-r4667 в разделе NAT Settings - Virtual Server, не получается добавить более 24 позиций, выскакивает -

this table only allow 24 items!!!

Как можно обойти это ограничение и зачем оно вообще стоит ?

soldat
24-01-2013, 13:06
Добрый день. Есть ASUS WL-500gP V2 с прошивкой 1.9.2.7-10.7. +HDD.
Интернет по PPoE, статический IP + DDNS.
Фаервол включен, создаю фильтры отключены (лан-ван, ван-лан).

В Virtual Server
Port Range Local IP Local Port Protocol Protocol No. Description
22 192.168.1.1 22 tcp ssh
192.168.1.1 - роутер
применить, рестарт, но порт закрыт.
единственный порт открытый наружу 8080


$iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere state NEW
ACCEPT all -- anywhere anywhere state NEW
ACCEPT udp -- anywhere anywhere udp spt:bootps dpt:bootpc
ACCEPT tcp -- anywhere asusw500gpv2 tcp dpt:www
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT icmp -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:printer
ACCEPT tcp -- anywhere anywhere tcp dpt:laserjet
ACCEPT tcp -- anywhere anywhere tcp dpt:3838
DROP all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
DROP all -- anywhere anywhere state INVALID
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN TCPMSS clamp to PMTU
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
DROP all -- anywhere anywhere
DROP all -- anywhere anywhere
ACCEPT all -- anywhere anywhere ctstate DNAT

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain MACS (0 references)
target prot opt source destination

Chain SECURITY (0 references)
target prot opt source destination
RETURN tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN limit: avg 1/sec burst 5
RETURN tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5
RETURN udp -- anywhere anywhere limit: avg 5/sec burst 5
RETURN icmp -- anywhere anywhere limit: avg 5/sec burst 5
DROP all -- anywhere anywhere

Chain logaccept (0 references)
target prot opt source destination
LOG all -- anywhere anywhere state NEW LOG level warning tcp-sequence tcp-options ip-options prefix `ACCEPT '
ACCEPT all -- anywhere anywhere

Chain logdrop (0 references)
target prot opt source destination
LOG all -- anywhere anywhere state NEW LOG level warning tcp-sequence tcp-options ip-options prefix `DROP '
DROP all -- anywhere anywhere

$iptables-save
# Generated by iptables-save v1.2.7a on Fri Jan 25 00:03:09 2013
*nat
:PREROUTING ACCEPT [12098:732571]
:POSTROUTING ACCEPT [158:9498]
:OUTPUT ACCEPT [159:9892]
:VSERVER - [0:0]
-A PREROUTING -d 188.168.171.1 -j VSERVER
-A POSTROUTING -s ! 188.168.171.1 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -d 192.168.1.0/255.255.255.0 -o br0 -j MASQUERADE
-A VSERVER -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.1.1:80
-A VSERVER -p udp -m udp --dport 38951 -j DNAT --to-destination 192.168.1.2:38951
-A VSERVER -p tcp -m tcp --dport 38951 -j DNAT --to-destination 192.168.1.2:38951
-A VSERVER -p udp -m udp --dport 64987 -j DNAT --to-destination 192.168.1.2:64987
-A VSERVER -p udp -m udp --dport 19012 -j DNAT --to-destination 192.168.1.2:19012
-A VSERVER -p udp -m udp --dport 53 -j DNAT --to-destination 192.168.1.1:53
-A VSERVER -p tcp -m tcp --dport 23 -j DNAT --to-destination 192.168.1.1:23
COMMIT
# Completed on Fri Jan 25 00:03:09 2013
# Generated by iptables-save v1.2.7a on Fri Jan 25 00:03:09 2013
*mangle
:PREROUTING ACCEPT [18956:2068847]
:INPUT ACCEPT [17277:1429287]
:FORWARD ACCEPT [1652:638189]
:OUTPUT ACCEPT [6116:2866906]
:POSTROUTING ACCEPT [8604:3814580]
COMMIT
# Completed on Fri Jan 25 00:03:09 2013
# Generated by iptables-save v1.2.7a on Fri Jan 25 00:03:09 2013
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [89:4272]
:OUTPUT ACCEPT [6048:2841636]
:MACS - [0:0]
:SECURITY - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i br0 -m state --state NEW -j ACCEPT
-A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A INPUT -d 192.168.1.1 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m tcp --dport 515 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 9100 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3838 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ! br0 -o ppp0 -j DROP
-A FORWARD -i ! br0 -o vlan1 -j DROP
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A SECURITY -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j DROP
-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logaccept -j ACCEPT
-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logdrop -j DROP
COMMIT
# Completed on Fri Jan 25 00:03:10 2013

$ ifconfig -a
br0 Link encap:Ethernet HWaddr BC:AE:C5:C5:12:01
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3805 errors:0 dropped:0 overruns:0 frame:0
TX packets:5367 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:453329 (442.7 Kb) TX bytes:3280892 (3.1 Mb)

eth0 Link encap:Ethernet HWaddr BC:AE:C5:C5:12:01
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:13606 errors:0 dropped:0 overruns:0 frame:0
TX packets:2515 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:1623787 (1.5 Mb) TX bytes:760243 (742.4 Kb)
Interrupt:4 Base address:0x1000

eth1 Link encap:Ethernet HWaddr BC:AE:C5:C5:12:01
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3800 errors:0 dropped:0 overruns:0 frame:197
TX packets:5490 errors:36 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:506049 (494.1 Kb) TX bytes:3351162 (3.1 Mb)
Interrupt:13 Base address:0x5000

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MULTICAST MTU:16436 Metric:1
RX packets:1854 errors:0 dropped:0 overruns:0 frame:0
TX packets:1854 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:158400 (154.6 Kb) TX bytes:158400 (154.6 Kb)

ppp0 Link encap:Point-to-Point Protocol
inet addr:188.168.171.1 P-t-P:188.168.168.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING MULTICAST MTU:1492 Metric:1
RX packets:13120 errors:0 dropped:0 overruns:0 frame:0
TX packets:861 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:1197137 (1.1 Mb) TX bytes:189539 (185.0 Kb)

sit0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
NOARP MTU:1480 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)

vlan0 Link encap:Ethernet HWaddr BC:AE:C5:C5:12:01
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:1062 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 b) TX bytes:378339 (369.4 Kb)

vlan1 Link encap:Ethernet HWaddr BC:AE:C5:C5:12:01
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:13606 errors:0 dropped:0 overruns:0 frame:0
TX packets:1449 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1378879 (1.3 Mb) TX bytes:381616 (372.6 Kb)

Подскажите, что не так?

soldat
24-01-2013, 21:54
Вот, что в логе, при попытке достучаться до порта 22

Jan 25 08:47:14 kernel: DROP IN=ppp0 OUT= MAC= SRC=109.205.249.97 DST=188.244.162.214 LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=9042 DF PROTO=TCP SPT=1495 DPT=40836 SEQ=373391054 ACK=0 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Jan 25 08:47:17 kernel: DROP IN=ppp0 OUT= MAC= SRC=81.176.236.211 DST=188.244.162.214 LEN=60 TOS=0x00 PREC=0x00 TTL=56 ID=10131 DF PROTO=TCP SPT=43458 DPT=22 SEQ=332475682 ACK=0 WINDOW=5840 RES=0x00 SYN URGP=0 OPT (020405B40402080A692E0AB10000000001030
Jan 25 08:47:17 kernel: DROP IN=ppp0 OUT= MAC= SRC=37.54.158.210 DST=188.244.162.214 LEN=93 TOS=0x00 PREC=0x00 TTL=117 ID=46165 PROTO=UDP SPT=46990 DPT=26295 LEN=73
Jan 25 08:47:20 kernel: DROP IN=ppp0 OUT= MAC= SRC=81.176.236.211 DST=188.244.162.214 LEN=60 TOS=0x00 PREC=0x00 TTL=56 ID=10132 DF PROTO=TCP SPT=43458 DPT=22 SEQ=332475682 ACK=0 WINDOW=5840 RES=0x00 SYN URGP=0 OPT (020405B40402080A692E0D9F0000000001030


9440

9441

9442

soldat
24-01-2013, 23:37
Omega; прошивку обновляем на -rtn r4772 ;)

Поставил WL500gpv2-1.9.2.7-rtn-r4772.trx

теперь
[root@WL-BCAEC5C51201 /]$ ipkg.sh install ipkg-opt
ipkg_get_install: ERROR: Cannot find package ipkg-opt in /opt/lib/ipkg/lists
ipkg_get_install: Check the spelling and maybe run `ipkg update'.

MercuryV
03-02-2013, 13:07
Поставил WL500gpv2-1.9.2.7-rtn-r4772.trx

теперь
[root@WL-BCAEC5C51201 /]$ ipkg.sh install ipkg-opt
ipkg_get_install: ERROR: Cannot find package ipkg-opt in /opt/lib/ipkg/lists
ipkg_get_install: Check the spelling and maybe run `ipkg update'.


Начиная с r3727 (https://code.google.com/p/wl500g/source/detail?r=3727) используется репозиторий Entware

ykk
01-03-2013, 16:14
Подскажите, пожалуйста, сколько записей virtual server поддерживает WL-500gp, например, с прошивкой Олега 1.9.2.7-10.7? Использую в небольшом офисе Trendnet в качестве основного роутера. И наткнулся на ограничение в 30 virtual servers. Вопрос смогу ли избавиться от этого ограничения, заменив роутер на WL-500gpv1?

bocman
26-03-2013, 05:57
Всем добрый день!
Давно пользуюсь WL500G Premium
Давно стоит прошивка от энтузиастов.
И давно роутер пробрасывает трафик на внутренний сервер (вход по какому-нибудь 8081, а локальный сервер на 80).
Но вот, однажды, решил я поднять сервер с https веб-интерфейсом на стандартном 443 порту и по образу и подобию на роутере в post-firewall прописал:



iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.3:443
iptables -I FORWARD -i ppp0 -p tcp -m tcp -d 192.168.1.3 --dport 443 -j ACCEPT
iptables -I FORWARD -o ppp0 -p tcp -m tcp -s 192.168.1.3 --sport 443 -j ACCEPT
iptables -t nat -A POSTROUTING -p tcp -o ppp0 -s 192.168.1.3 --sport 443 -j SNAT --to-source <внешний IP>


т.е. из вне я хочу заходить по https по порту 8080, а попадать на локальный сервер (192.168.1.3) по 443.

Так вот - ничего не получается.
И при этом абсолютно не понятно почему.


Может быть кто-нибудь сталкивался с подобной ситуацией или есть идеи как ее можно разрешить?

Hohmach
27-03-2013, 12:01
А так работает?

iptables -t nat -A PREROUTING -p tcp -d $2 --dport 8080 -j DNAT --to-destination 192.168.1.3:443
iptables -A FORWARD -i $1 -o $3 -p tcp --dport 443 -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT

bocman
28-03-2013, 06:32
я так понимаю ,что $1, $2, $3 - это переменные
Какие они должны принимать значения?

RTFM (http://wl500g.info/showthread.php?2391-FAQ-%D7%E0%F1%F2%EE-%E7%E0%E4%E0%E2%E0%E5%EC%FB%E5-%E2%EE%EF%F0%EE%F1%FB&p=187272#post187272)

bocman
28-03-2013, 18:08
Сорри, просто не подумал что эти переменные могут быть системными, а не пользовательскими
что интересно:
перенастроил веб-сервер с https(443) на http(80)
и написал все тот же код в post-firewall, только вместо 443 написал 80:

iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.3:80
iptables -I FORWARD -i ppp0 -p tcp -m tcp -d 192.168.1.3 --dport 80 -j ACCEPT
iptables -I FORWARD -o ppp0 -p tcp -m tcp -s 192.168.1.3 --sport 80 -j ACCEPT
iptables -t nat -A POSTROUTING -p tcp -o ppp0 -s 192.168.1.3 --sport 80 -j SNAT --to-source <внешний IP>
и все заработало
вернул обратно на https и 443 в post-farewall - не работает

mbg
26-09-2013, 13:04
Т.к. скорость впн на роутере оставляет желать лучшего, внутри сети поднял микротик с пптп сервером. Внутри локалки к нему цепляется без проблем. А вот с внешки не хочет.
На внутренний айпи сервера перенаправлены порты 1723 и 47. Через пункт Virtual Server. Может я что-то упускаю? Надо ли прописывать в ipfw что-нить?

don-pedro
26-09-2013, 13:19
внутри сети поднял микротик с пптп сервером. Внутри локалки к нему цепляется без проблем. А вот с внешки не хочет.
На внутренний айпи сервера перенаправлены порты 1723 и 47. Через пункт Virtual Server. Может я что-то упускаю? Надо ли прописывать в ipfw что-нить?
Надо пробросить tcp 1723 и в цепочке FORWARD разрешить прохождение протокола tcp с портом назначения 1723 и протокола gre. На "взрослом" линуксе у меня так работает.

P.S. ipfw?? :)

mbg
26-09-2013, 13:53
Надо пробросить tcp 1723 и в цепочке FORWARD разрешить прохождение протокола tcp с портом назначения 1723 и протокола gre. На "взрослом" линуксе у меня так работает.

P.S. ipfw?? :)

Ну в iptables :)

Разрешить в цепочке форвард это про такое? -


/usr/sbin/iptables -t nat -I PREROUTING -p tcp --dport 1723 -j ACCEPT
/usr/sbin/iptables -I INPUT -p tcp --dport 1723 -j ACCEPT
/usr/sbin/iptables -I OUTPUT -p tcp --dport 1723 -j ACCEPT
/usr/sbin/iptables -I INPUT -p 47 -j ACCEPT
/usr/sbin/iptables -I OUTPUT -p 47 -j ACCEPT

Digitex
05-01-2016, 20:57
Здравстуйте может кто поможет сутки мучаюсь!
wl500gp/v1 прошивка 1.9.2.7-rtn-r7347M-gbb03890
IP белый выделенный
мучаюсь с пробросом портов
как не пробовал хоть порт и открыт а доступа нет.
за НАТом сервак ubuntu 14.04 c x2go сервером
клиент x2go на win 10
в локалке с коннектом всё ок а с инета никак-"access denied"
10186
смущает первый пункт там ip роутера -что должно быть не знаю фаервол вырублен
кто знает плиз скажите что надо вписать чтоб роутер пропустил меня на сервак из сети или мож в других настройках что поменять:confused:
порт открыт
10187

Digitex
07-01-2016, 19:14
Спасибо с фаерволом позже разберёмся сёйчас главное доступ к серваку настроить -пробовал я писать так как вы сказали в результате

10190

ecdsa-sha2-nistp256 / ecdsa-sha2-nistp384 / ecdsa-sha2-nistp521

Digitex
07-01-2016, 19:29
в локалке проблем нет настройки клиента на скрине -тип соеденения WAN
10191
З.Ы. PuTTY подключился значит всётаки настройки клиент-сервера огромное спасибо буду разбираться дальше!:p
З.Ы. всё ок!проблема была в том что я пытался из локалки соедениться через внешний адрес как только покинул локалку клиент сразу соеденился-всем спасибо!

kolyuchy
19-02-2016, 17:36
Здравствуйте,

Есть вебсервер в локальной сети за роутером (rt-n16), на котором настроен apache для домена test.domen.ru (пример).
На роутере настроен проброс портов
10202

На других машинах в локалке в файле hosts я сразу прописал локальный ip сервера. При попытке зайти на сайт - всё ОК.
При попытке доступа из вне - доступа нет.
Пробовал включать/отключать firewall на роутере - результат тот же.

Попробовал включить dmz - всё заработало.

WEB Access fro WAN включен по отличному от 80го порту.

Вывод iptables-save:
# Generated by iptables-save v1.4.3.2 on Sat Feb 20 12:34:04 2016
*nat
:PREROUTING ACCEPT [179717:22810474]
:POSTROUTING ACCEPT [35614:3775460]
:OUTPUT ACCEPT [5922:1115186]
:UPNP - [0:0]
:VSERVER - [0:0]

-A POSTROUTING -s 192.168.1.0/24 -d 192.168.1.0/24 -o br0 -j MASQUERADE
-A UPNP -p udp -m udp --dport 49176 -j DNAT --to-destination 192.168.1.121:49176
-A UPNP -p udp -m udp --dport 9308 -j DNAT --to-destination 192.168.1.118:9308
-A UPNP -p udp -m udp --dport 5009 -j DNAT --to-destination 192.168.1.118:5009
-A VSERVER -p tcp -m tcp --dport 1488 -j DNAT --to-destination 192.168.1.1:81
-A VSERVER -j UPNP
-A VSERVER -p tcp -m tcp --dport 44500:44510 -j DNAT --to-destination 192.168.1.176:44505
-A VSERVER -p udp -m udp --dport 44500:44510 -j DNAT --to-destination 192.168.1.176:44505
-A VSERVER -p tcp -m tcp --dport 9876 -j DNAT --to-destination 192.168.1.176:9876
-A VSERVER -p udp -m udp --dport 9876 -j DNAT --to-destination 192.168.1.176:9876
-A VSERVER -p tcp -m tcp --dport 1120 -j DNAT --to-destination 192.168.1.176:1120
-A VSERVER -p tcp -m tcp --dport 1119 -j DNAT --to-destination 192.168.1.176:1119
-A VSERVER -p udp -m udp --dport 1119 -j DNAT --to-destination 192.168.1.176:1119
-A VSERVER -p tcp -m tcp --dport 6112:6114 -j DNAT --to-destination 192.168.1.176:6113
-A VSERVER -p udp -m udp --dport 6112:6114 -j DNAT --to-destination 192.168.1.176:6113
-A VSERVER -p tcp -m tcp --dport 44 -j DNAT --to-destination 192.168.1.176:44
-A VSERVER -p tcp -m tcp --dport 22 -j DNAT --to-destination 192.168.1.188:22
-A VSERVER -p udp -m udp --dport 22 -j DNAT --to-destination 192.168.1.188:22
-A VSERVER -p tcp -m tcp --dport 20:21 -j DNAT --to-destination 192.168.1.188
-A VSERVER -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.1.188:8080
-A VSERVER -p tcp -m tcp --dport 79:85 -j DNAT --to-destination 192.168.1.188:80
COMMIT
# Completed on Sat Feb 20 12:34:04 2016
# Generated by iptables-save v1.4.3.2 on Sat Feb 20 12:34:04 2016
*mangle
:PREROUTING ACCEPT [9097875:2968843272]
:INPUT ACCEPT [8697049:2932867987]
:FORWARD ACCEPT [364117:23289031]
:OUTPUT ACCEPT [12698896:15597720574]
:POSTROUTING ACCEPT [13055693:15620550023]
COMMIT
# Completed on Sat Feb 20 12:34:04 2016
# Generated by iptables-save v1.4.3.2 on Sat Feb 20 12:34:04 2016
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [294701:17748389]
:OUTPUT ACCEPT [12698011:15597486209]
:BRUTE - [0:0]
:MACS - [0:0]
:SECURITY - [0:0]
:UPNP - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -m conntrack --ctstate INVALID -j logdrop
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i br0 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -d 224.0.0.0/4 -p igmp -j ACCEPT
-A INPUT -d 224.0.0.0/4 -p udp -m udp ! --dport 1900 -j ACCEPT
-A INPUT -i ppp0 -m conntrack --ctstate NEW -j SECURITY
-A INPUT -i vlan2 -m conntrack --ctstate NEW -j SECURITY
-A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -j BRUTE
-A INPUT -p tcp -m tcp --dport 21 --tcp-flags FIN,SYN,RST,ACK SYN -j BRUTE
-A INPUT -d 192.168.1.1/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -d 192.168.1.1/32 -p tcp -m tcp --dport 81 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 7776 -j ACCEPT
-A INPUT -j logdrop
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m conntrack --ctstate INVALID -j logdrop
-A FORWARD -d 224.0.0.0/4 -p udp -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD ! -i br0 -o ppp0 -j logdrop
-A FORWARD ! -i br0 -o vlan2 -j logdrop
-A FORWARD ! -i br0 -m conntrack --ctstate NEW -j SECURITY
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -o br0 -j logdrop
-A BRUTE -m recent --update --seconds 600 --hitcount 3 --name BRUTE --rsource -j logdrop
-A BRUTE -m recent --set --name BRUTE --rsource -j ACCEPT
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j logdrop
-A UPNP -d 192.168.1.121/32 -p udp -m udp --dport 49176 -j ACCEPT
-A UPNP -d 192.168.1.118/32 -p udp -m udp --dport 9308 -j ACCEPT
-A UPNP -d 192.168.1.118/32 -p udp -m udp --dport 5009 -j ACCEPT
-A logaccept -m conntrack --ctstate NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options --log-macdecode
-A logaccept -j ACCEPT
-A logdrop -m conntrack --ctstate NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options --log-macdecode
-A logdrop -j DROP
COMMIT
# Completed on Sat Feb 20 12:34:04 2016

В чем может быть проблема с пробросом портов?
Заранее спасибо

vectorm
28-02-2016, 16:39
Здравствуйте,

Есть вебсервер в локальной сети за роутером (rt-n16), на котором настроен apache для домена test.domen.ru (пример).
На роутере настроен проброс портов
10202
Заранее спасибо
Вам нужно порт Web морды на роутере перенести на альтернативный, например 88:

nvram set http_lanport=88 && nvram commit