Bekijk de volledige versie : Удаленный доступ
Собственно столкнулся с тем, что не могу получить доступ к консоли роутера через WAN порт. Ситуация следующая, есть сеть организации в которой я работаю с роутером на фрюхе, к этой сети подрублена небольшая сеть соседней организации через wl500gp, в настройках роутера стоит режим работы Home Gateway и соответственно прописан как шлюз фрюшный роутер. Все работает отлично, асус успешно раздает инет, администрируется из маленькой сетки и т.п.
Но при этом не дает подключиться к нему из большой сети. Подозреваю что ответ надо искать в iptables, но сам никогда с этим делом не работал, читаю мены, но думаю это займет некоторое время.
В общем вопрос - как открыть доступ к консоли из вне?
Вчитался в тему описания первой установки, плюс поискал по форуму, и в результате попробовал сделать следующее:
создал файл /usr/local/sbin/post-firewall
#!/bin/sh
iptables -D INPUT -j DROP
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -j DROP
сделал его исполняемым
chmod -x /usr/local/sbin/post-firewall
и записал изменения во флэшь
flashfs save
flashfs commit
flashfs enable
reboot
Ничего не изменилось, в чем может быть ошибка?
А post-boot можно посмотреть?
Ничего не изменилось, в чем может быть ошибка?
chmod -x /usr/local/sbin/post-firewall
Здесь надо было "chmod +x /usr/local/sbin/post-firewall".
А вообще ssh сервер (например dropbear) на нем запущен?
imdex:
Там только старт dropbear, больше ничего пока не прописывал.
Mam(O)n:
Угу, действительно не сделал файл исполняемым. Но тем не менее, всеравно не могу достучаться до роутера из вне.
SSH конечно запущен, ведь изнутри я именно по нему и работал.
Еще немного в догонку, просканировал порты роутеру, открыты только 8080, 515, 9100. 22го как не было, так и нет.
KRandall
16-05-2007, 07:38
Вот это должно помочь (http://wl500g.info/showthread.php?t=9337&highlight=dropbear)
KRandall: пока тот пост не помог, его смотрел в первую очередь.
нужно добавить правило
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
причём желательно указать адреса источника и места назначения, типа
iptables -A INPUT -s ip_source -d ip_dest -p tcp --dport 22 -j ACCEPT
нужно добавить правило
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
причём желательно указать адреса источника и места назначения, типа
iptables -A INPUT -s ip_source -d ip_dest -p tcp --dport 22 -j ACCEPT
Это правило вместо того что у меня было или в добавок?
вместо. А у меня это правило прописано вот так:
iptables -A INPUT -p tcp --syn --dport 22 -j ACCEPT
кроме того, имеет смысл посмотреть как выглядит список правил: iptables -L
и, наконец, можно проверить выполняются ли файлы post-boot, post-firewall при запуске вручную --- может там просто символы конца строки неправильные...
Вот кусок таблицы
[root@(none) sbin]$ iptables -t filter -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
logdrop all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
logaccept all -- anywhere anywhere state NEW
logaccept all -- anywhere anywhere state NEW
logaccept tcp -- anywhere my.router tcp dpt:www
logaccept tcp -- anywhere anywhere tcp dpt:ftp
logaccept icmp -- anywhere anywhere
logaccept tcp -- anywhere anywhere tcp dpt:printer
logaccept tcp -- anywhere anywhere tcp dpt:laserjet
logaccept tcp -- anywhere anywhere tcp dpt:3838
logdrop all -- anywhere anywhere
ACCEPT tcp -- 192.168.0.50 192.168.0.240 tcp dpt:ssh
Вроде должен пропускать? Или я что-то не так понимаю?
Судя по тому что в конце отрывка таблице появилась запись по SSH файлы работают. post-boot точно работает ибо dropbear запускается.
однако перед этим выполняется :
logdrop all -- anywhere anywhere
и дальше этого правила мы никуда не попадаем
Вопрос --- нужно ли слать в системный лог все сообщения? уж тем более logaccept --- это вообще ужасно.
На мой взгляд надо в web интерфейсе выключить логи файрвола, тогда все заработает прямо так как написано выше, либо поменять правило
iptables -D INPUT -j DROP на iptables -D INPUT -j logdrop
А еще лучше отключив логи оставить следующее:
# set default policy
iptables -P INPUT DROP
# remove last default rule
iptables -D INPUT -j DROP
после этого пишем то что надо разрешать и в конце iptables -A INPUT -j DROP добавлять не надо.
однако перед этим выполняется :
logdrop all -- anywhere anywhere
и дальше этого правила мы никуда не попадаем
Спасибо за наводку, я думал над этой строкой, но видимо неправильно истолковал маны что читал на тему iptables. Думалось, что только после направления на RETURN цепочка не анализируется.
На данный момент, для windows, самым простым оказалось поднять на роутере SSH, разрешить заход снаружи и запустить на клиентской машине SSH клиент отсюда - http://www.bitvise.com/tunnelier
Этот клиент замечателен тем, что, помимо статического проброса портов (как и у любого другого SSH клиента), он умеет изображать на localhost SOCKS4-прокси, который понимается очень многими софтинами.
Кто скажет - линуксячий SSH умеет так? Если да, то опишите как и прицепим к "настройке с нуля".
что было сделано:
1) зарегался на DynDNS
2)"мой компьютер" - "свойства" - стоит галка о возможности удаленного подключения
3) администрирование - пользователи - выбран пользователь, которому разрешено подключение
4) в роутере в закладке virtual server проброшен порт 3389 на внутренний ip компа,
т.е. получается что-то вроде:
ip: 192.168.1.2, порт 3389, TCP+UDP,порт 3389
и...и, короче, не работает =(делаю nslookup себя как регался на динднс, старт-стандартные-связь - подключение к удаленному столу,ввожу свой айпишник.... и комп не отвечает. =((((
где порылась собака?
PS прошивка 1.9.2.7-7g
1. telnet 192.168.1.2 3389 с роутера работает?
2. Что пишет iptables -L -nv -t nat
1. telnet 192.168.1.2 3389 с роутера работает?
2. Что пишет iptables -L -nv -t nat
не пробовал. попробую теперь только в воскресенье (уезжаю на выхи)
но еще непонятно вот что: пинги не проходят =(
галка allow ping from WAN стоит, DDNS настроил на роутере,
nslookup меня "видит", айпи корбиновский выдает,пинга нет =(
вчера еще разрпешил web acсess , но зайти на роутер не могу. "не видится" и все. такое впечатление, что роутер зарубает на корню все попытки сделать что-то "из вне": пропинговать, зайти, ит.п.
простите, что пишу в вашу тему, но у меня именно такая проблема имеется))) пробросил порт, а связи нет.
и ещё одна: для игры в Lineage2 на официальном сервере необходимо обеспечить связь программы GameGuard с сервером, то есть пробросить порты: 80, 2106, 2009, 7777, 53. Порты пробрасывал. Ставил ип в ДМЗ. Ручками черз иптейблс вводил (по очереди всё пробывал). Коннекта не происходит!!! Что делать - не знаю. Подскажите, пожалуйста!!!
з.ы. я не играю))
прошивка 1.9.2.7-7g
А в самом брандмауэре, в виндовсе, галка на "удаленный рабочий стол" стоит?
и проверь настройки в Virtual Server, по умолчанию он вроде выключен..
у мну все заработало без проблем сразу.
Port Range: 3389
Local Ip: внутренний IP компа
Local Port: 3389
Protocol: TCP
Protocol No: пусто
Description: Remote Desktop
Прошу помочь с настройками для удаленного доступа к рабочему столу Vista Ult через Wl 500gp. До установки роутера все работало, после установки не могу попасть на раб.стол., видимо в силу того , что заблокирован доступ из вне...
P.S. А с настройками uttorent мне наверно никто так и не поможет... :( Напомню, что была проблема с частыми дисконнектами каждые 2 -5 минут при скачивании файлов через utorrent. При отдаче вроде все ok.
usmailer™
10-01-2008, 20:11
Прошу помочь с настройками для удаленного доступа к рабочему столу Vista Ult через Wl 500gp. До установки роутера все работало, после установки не могу попасть на раб.стол., видимо в силу того , что заблокирован доступ из вне...
P.S. А с настройками uttorent мне наверно никто так и не поможет... :( Напомню, что была проблема с частыми дисконнектами каждые 2 -5 минут при скачивании файлов через utorrent. При отдаче вроде все ok.
http://www.wl500g.info/showthread.php?t=9109&highlight=%EF%F0%EE%E1%F0%EE%F1
и не забудь про фаер винды.. его надо либо настроить на пропуск по назначенным портам, либо отрубить;)
для доступа к ресурсам локальной сети лучше не просто открывать порты наружу, а использовать ssh туннель (на мой взгляд оно и проще, т.к. нужно открыть один единственный ssh порт)
Последовательность действий:
1) запустить dropbear и добиться доступа к нему из wan (путем манипуляций с post-firewall)
2) если файрвол на роутере настроен, то файрволы на внутренних компах можно отрубить или пробросить требуемые порты или приложения
3) создать соединение с роутером в putty и прописать в нем туннель до компа в lan
Все эти вопросы уже не раз обсуждались, так что поищите.
В результате для создания туннеля (установления соединения) надо запустить putty и авторизоваться. После этого можно запускать то приложение, которое собственно нужно.
В итоге имеем довольно безопасное соединение, причем добавление доступа к другим сервисам lan (например веб-интерфейс роутера, торрента, адос, почтовым сервисам, remote desktop, X и т.д.) производится путем добавления еще одного туннеля в настройках putty
Прошу помочь с настройками для удаленного доступа к рабочему столу Vista Ult через Wl 500gp. До установки роутера все работало, после установки не могу попасть на раб.стол., видимо в силу того , что заблокирован доступ из вне...
P.S. А с настройками uttorent мне наверно никто так и не поможет... :( Напомню, что была проблема с частыми дисконнектами каждые 2 -5 минут при скачивании файлов через utorrent. При отдаче вроде все ok.
Для открытия доступа к удаленному рабочему столу RDP, необходимо пробросить порт 3389, на компьютер к которому Вы хотите подключиться:
NAT Setting => Virtual Server, При этом Enable Virtual Server - должен быть в YES
http://wl500g.info/attachment.php?attachmentid=2242&stc=1&d=1200039246
Насчет uTorrent - попробуйте как у меня сделано, если порт у Вас другой, то переправте на свой.
FilimoniC
12-01-2008, 09:36
Только после этого могут хакнуть. SSH-туннель надежнее, хотя и чуток сложнее
Только после этого могут хакнуть. SSH-туннель надежнее, хотя и чуток сложнее
Все это конечно хорошо, когда есть SSH клиент под рукой, а когда нужно срочно зайти с чужой машины или коммуникатора на котором кроми RDP клиента ничего нет, тогда и получится, что хотели как лучше, а получилось как всегда, в конце концов порт можно и другой назначить для большей секюрности.
FilimoniC
12-01-2008, 10:51
Все это конечно хорошо, когда есть SSH клиент под рукой, а когда нужно срочно зайти с чужой машины или коммуникатора на котором кроми RDP клиента ничего нет, тогда и получится, что хотели как лучше, а получилось как всегда, в конце концов порт можно и другой назначить для большей секюрности.
Да тот же PUTTY весит полметра, если память не изменяет.
Кстати, если совсем заморочиться - смотрите еще в сторону knockd. Правда я не знаю, насколько хорошо он работает
Не могу настроить доступ к роутеру и компам в lan с работы. Официально мой комп на работе не подключен к инету. Но запуская браузер от имени другого пользователя и его паролем на своей машине - я в сети. Инет через http-прокси на 8080 порту. Nmap-online дает следующее:
PORT STATE SERVICE
21/tcp open ftp
25/tcp open smtp
184/tcp open ocserver
187/tcp open aci
234/tcp open unknown
235/tcp open unknown
1723/tcp open pptp
Доступ к настройкам роутера, transmission, ADOS, ftp из WAN работает.
Подскажите что делать: устанавливать на роутере openvpn?, на каком портe?, запускать pytty от имени такого же пользователя от имени которого я выхожу в инет?, какой порт открыть на роутере (сейчас dropbear на 1222)?
http://wl500g.info/showthread.php?t=12833
В конторе стоит WL-500gp раздаёт инет и имеет реальный Ip Адрес. на одном из внутренних компов висит 1с база как можно к ней подключатся из инета. Я так понял надо добратся до расшариненной папки.
Просто нет идей подскажите что нить.
привет
ну к папке конечно можно, но я тебе не рекомендую, сильно, - при проблеме со связью (а такое случается) 1с вылетит, пара-тройка вылетов - и в один прекрасный момент 1сБаза повредится...
- Лучший вариант для 1с - использование сервера терминалов
клиент подключается по интернету к серверу, и работает с 1с базой с любой точки, но 1c.exe запускается на машине которая и служит оным сервером.
программа клиент ставиться даже в стандартной установке XP - mstsc.exe
а сервером может служить Server2003, XP Prof и по-моему даже XP Home
схожие по сути темы
http://wl500g.info/showthread.php?t=11896
http://wl500g.info/showthread.php?t=14779
http://wl500g.info/showthread.php?t=14870
Выкладывать базу на шару роутера не выход. Да и стрёмно как то.
С сервером терминалом тоже облом так как компов всего 3 да и то дохлые и ставить на них 2003 не выход. А в ХР можно работать только одним пользователем. Тут надо либо как то настроить что бы шара одного из компов транслировалась на внешний ИП или сделать на роутере Внешний VPN что бы он пускал ещё 1 комп во внутреннию сеть.
Sagitarius
23-06-2008, 05:57
А в ХР можно работать только одним пользователем.
Неправда ваша.
Вариант патчик поставить и тогда ХП можно будет юзать под терминалом, смотри линк:
http://uran238.nnm.ru/windows_xp_pro_kak_polnocennyj_server_terminalov
не терминал не выход компы слабоваты что то лучшее покупать не будут тут либо впн либо как то порты комутировать
Sagitarius
23-06-2008, 16:57
В конторе стоит WL-500gp раздаёт инет и имеет реальный Ip Адрес. на одном из внутренних компов висит 1с база как можно к ней подключатся из инета. Я так понял надо добратся до расшариненной папки.
Просто нет идей подскажите что нить.
Можно попробовать Hamachi (будут локально и диски и принтеры), правда это и есть аля ВПН.
что есть Hamachi пожалуйста поподробнее
что есть Hamachi пожалуйста поподробнее
Программа ставится на оба компа и делается ВПН ее плюс в том, что особо заморачиваться не надо
Программа ставится на оба компа и делается ВПН ее плюс в том, что особо заморачиваться не надо
плохо что платная.
плохо что платная.
там премиум версия платная, но тебе и бесплатный вариант подойдет.
Но канал должен быть хорошим, на мегабитном канале у меня ничего путного из этого не получилось
Вообще посмотри в сторону УРБД.
На сайте www.mista.ru много чего есть интересного по-моему Ромикс там что-то для урбд писал.
Пропал доступ из офиса к моему WL500GP.
Putty грязно ругается: Connection reset by peer
Понимаю что само не могло, но тем не менее.
Помогите кто чем может
Вот лог:
Aug 19 18:36:33 dropbear[203]: Child connection from ::ffff:192.168.1.2:4858
Aug 19 18:36:38 dropbear[203]: password auth succeeded for 'root' from ::ffff:192.168.1.2:4858
Aug 19 18:39:56 dropbear[208]: Child connection from ::ffff:212.45.3.118:20390
Aug 19 18:39:56 dropbear[208]: exit before auth: error writing
Aug 19 18:42:08 nmbd[192]: [2008/08/19 18:42:08, 0] nmbd/nmbd_become_lmb.c:become_local_master_stage2(405)
Aug 19 18:42:08 nmbd[192]: *****
Aug 19 18:42:08 nmbd[192]:
Aug 19 18:42:08 nmbd[192]: Samba name server WL500GP is now a local master browser for workgroup WORKGROUP on subnet 192.168.1.1
Aug 19 18:42:08 nmbd[192]:
Aug 19 18:42:08 nmbd[192]: *****
iptables -L INPUT -vn
Chain INPUT (policy DROP 1353 packets, 111K bytes)
pkts bytes target prot opt in out source destination
35 2600 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
142K 12M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
145 8700 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 state NEW
128 10796 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0 state NEW
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68
2 96 ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.1 tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3000
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
1 48 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:24800 flags:0x16/0x02
iptables -L -vnt nat
Chain PREROUTING (policy ACCEPT 1140 packets, 117K bytes)
pkts bytes target prot opt in out source destination
1357 83252 VSERVER all -- * * 0.0.0.0/0 78.106.6.56
0 0 VSERVER all -- * * 0.0.0.0/0 10.27.7.254
0 0 NETMAP udp -- * * 0.0.0.0/0 78.106.6.56 udp spt:6112 192.168.1.0/24
Chain POSTROUTING (policy ACCEPT 2987 packets, 179K bytes)
pkts bytes target prot opt in out source destination
0 0 NETMAP udp -- * * 192.168.1.0/24 0.0.0.0/0 udp dpt:6112 78.106.6.56/32
26 1248 MASQUERADE all -- * ppp0 !78.106.6.56 0.0.0.0/0
0 0 MASQUERADE all -- * vlan1 !10.27.7.254 0.0.0.0/0
11 2108 MASQUERADE all -- * br0 192.168.1.0/24 192.168.1.0/24
Chain OUTPUT (policy ACCEPT 2998 packets, 181K bytes)
pkts bytes target prot opt in out source destination
Chain VSERVER (2 references)
pkts bytes target prot opt in out source destination
72 3456 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8383 to:192.168.1.1:80
935 46504 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:65555 to:192.168.1.1:65212
210 19950 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:65555 to:192.168.1.1:65212
65555 - rTorrent
24800 - SSH
Доступ по HTTP, FTP прекрасно работает снаружи и изнутри
SSH только изнутри
Все перерыл. Кучу комбинаций испробовал.
Пропал доступ из офиса к моему WL500GP.
Putty грязно ругается: Connection reset by peer
Понимаю что само не могло, но тем не менее.
Помогите кто чем может
iptables -L INPUT -vn
Chain INPUT (policy DROP 1353 packets, 111K bytes)
pkts bytes target prot opt in out source destination
35 2600 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
142K 12M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
145 8700 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 state NEW
128 10796 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0 state NEW
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68
2 96 ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.1 tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3000
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
1 48 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:24800 flags:0x16/0x02С одной стороны, где Вы тут видете разрешающее правило для подсоединения к SSH со стороны WAN? Процетируйте ту строчку, которая разрешает (по Вашему мнению) пакеты ssh-серверу роутера.
Вот лог:
Aug 19 18:36:33 dropbear[203]: Child connection from ::ffff:192.168.1.2:4858
Aug 19 18:36:38 dropbear[203]: password auth succeeded for 'root' from ::ffff:192.168.1.2:4858
Aug 19 18:39:56 dropbear[208]: Child connection from ::ffff:212.45.3.118:20390
Aug 19 18:39:56 dropbear[208]: exit before auth: error writingС другой стороны, в логе запись, что пытаетесь залогиниться по именем "root", а такого логина в роутере нет. Есть логин "Admin"
С одной стороны, где Вы тут видете разрешающее правило для подсоединения к SSH со стороны WAN? Процетируйте ту строчку, которая разрешает (по Вашему мнению) пакеты ssh-серверу роутера.
С другой стороны, в логе запись, что пытаетесь залогиниться по именем "root", а такого логина в роутере нет. Есть логин "Admin"
Я знаю что я где то накосячил, но поскольку я новичок не знаю где
Ну позориться так позориться
Вот:
1 48 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:24800 flags:0x16/0x02
SSH запущен с этим ключом
dropbear -p 24800
Admin в root переименовал с самого начала
Что нужно сделать чтобы правило было правильным
Вот содержимое post-firewall
#!/bin/sh
# set default policy
iptables -P INPUT DROP
# remove last default rule
iptables -D INPUT -j DROP
iptables -A INPUT -p tcp --syn --dport 24800 -j ACCEPT
SSH запущен с этим ключом
dropbear -p 24800
Admin в root переименовал с самого начала
Вот содержимое post-firewall
#!/bin/sh
# set default policy
iptables -P INPUT DROP
# remove last default rule
iptables -D INPUT -j DROP
iptables -A INPUT -p tcp --syn --dport 24800 -j ACCEPT
Я ещё бы указал интерфейс:
iptables -A INPUT -i vlan1 -p tcp --syn --dport 24800 -j ACCEPT
или
iptables -A INPUT -i ppp0 -p tcp --syn --dport 24800 -j ACCEPT
Новая информация
Подключиться не могу только с работы
Друг без проблем от себя подключаетсяГмм.. Может админ на работе прикрыл все левые порты? А если попробовать достучаться из интернет-кафе?
Я ещё бы указал интерфейс:
iptables -A INPUT -i vlan1 -p tcp --syn --dport 24800 -j ACCEPT
или
iptables -A INPUT -i ppp0 -p tcp --syn --dport 24800 -j ACCEPT
Гмм.. Может админ на работе прикрыл все левые порты? А если попробовать достучаться из интернет-кафе?
Получается и из интернет кафе
Судя по логам меня сам роутер отшибает
Получается и из интернет кафе
Судя по логам меня сам роутер отшибает
ИМХО админ все таки шалит....
Получается и из интернет кафе
Судя по логам меня сам роутер отшибает
Есть еще вариант, что с работы обратный резолв адреса не совпадает с прямым. По крайней мере у "большого" sshd такая настройка включена по умолчанию. Насчет дропбира, правда, не уверен.
bornnewyear
11-10-2008, 23:16
Всем добрый вечер! Не могу сам сделать! Извените за глупуй вопрос, но я не могу!
Недавно приобрел роутер Asus WL-500g Premium и диск на 2 терабайта. Так вот в чем задача. Мне нужно создать тунель SSH, чтобы я мог обращаться к своему диску через инет! У диска есть интерфейс Ethernet. Т.е. я могу к нему обращаться даже при выключенном компе.
На форуме прочитал, что можно на роутере Asus WL-500g Premium поднять SSH сервер и создав тунель обращаться к этому диску по защищенному каналу.
Здесь же на форуме нашел вот такую инструкцию, чтобы поднять SSH сервер:
mkdir -p /usr/local/etc/dropbear
dropbearkey -t dss -f /usr/local/etc/dropbear/dropbear_dss_host_key
dropbearkey -t rsa -f /usr/local/etc/dropbear/dropbear_rsa_host_key
mkdir -p /usr/local/sbin/
echo "#!/bin/sh" >> /usr/local/sbin/post-boot
cp /usr/local/sbin/post-boot /usr/local/sbin/post-firewall
cp /usr/local/sbin/post-boot /usr/local/sbin/post-mount
cp /usr/local/sbin/post-boot /usr/local/sbin/pre-shutdown
chmod +x /usr/local/sbin/p*
echo "dropbear > /dev/null 2>&1" >> /usr/local/sbin/post-boot
dropbear > /dev/null 2>&1
flashfs save
flashfs commit
flashfs enable
Сделал как в этой инструкции и незнаю, что мне делать дальше. Мне нужно чтобы я мог обращаться к своему диску удаленно как к сетевому диску.
Я скачал в инете прогу: SSH Tunel, но не могу подконектиться к SSH серверу и просматривать свой диск!
ПОМОГИТЕ ПОЖАЛУЙСТО! НЕЗНАЮ УЖЕ ЧТО ДЕЛАТЬ!
Заранее спасибо!
Такая ситуация....
У меня на работе закрыты все порты кроме www
а хочется заходить на роутер по телнету с работы
цель - давать роутеру ссылки для скачки,
чтобы пока я на работе работаю, он
бы мне файло качал.
какие могут быть варианты ?
я вот тут нарыл на тему "телнет через ввв"
следующее:
http://anyterm.org/compared.html
посоветуете, какой из описаных способов проще ?
хотелось бы такой способ, при котором че-то
ставить надо только на сервер (т.е. роутер)
а на клиенте - ничего кроме браузера
если я правильно понимаю, то тебе нужно копать в сторону virtual server, или просто перенаправить запросы с порта WWW №80 роутера на порт телнета №23.
А при подключении с работы указывать порт 80 в телнете.
Пуск -> Выполнить -> cmd -> OK, в появившемся окне ввести "telnet ваш Ip"
angel_il
30-11-2008, 00:29
nec-dnk, RAGE
Что это вы такое странное советуете? :)
если у человека все прикрыто а 80 порт через прокси то телнет естественно не сможет работать в такой ситуации.
nxx,
самое простое это использовать webshell реализаций много в "интернетах" :)
DemonGloom
30-11-2008, 07:41
цель - давать роутеру ссылки для скачки,
чтобы пока я на работе работаю, он
бы мне файло качал.
Поищите тему про ADOS - это качалка с веб-интерфейсом.
хотелось бы такой способ, при котором че-то
ставить надо только на сервер (т.е. роутер)
а на клиенте - ничего кроме браузера
Решение:
1. lighttpd + SSL.
2. ADOS.
3. rtorrent.
4. Web-морда к rtorrent.
Просто и безопасно.
Поищите тему про ADOS - это качалка с веб-интерфейсом.
спасибо, поищу
только как это прикручивать к роутеру ?
так чтоб и это было и стандартная страница настроек осталась бы
dimokrat
30-11-2008, 12:19
http://mgeisler.net/php-shell/
сабж, собственно прошивки версий 3.х.х.х
при попытки приконектится через putty (telnet) или обычным виндовым telnet пришет что удаленный хост сбрасывает соединение...
а в веб интерфейсе отсутсвует командная строка шелла...
как собственно зайти то в шелл тогда
DemonGloom
13-12-2008, 17:45
никак. никто еще его не нашел в этой прошивке.
NotebookKiller
16-12-2008, 11:28
А компортовая консоль у него есть?
http://mgeisler.net/php-shell/
поставил phpshell...
такая проблема
из локалки работает нормально,
а вот из инета http://*.*.*.*:8080/phpshell/phpshell.php
выдает страницу 404
Port of Web Access from WAN: 8080
thttpd.conf тоже
port=8080
не пойму где грабли
есть. разъем внутри. нужна схема преобразования уровня сигналов для подключения к писюшному кому. на форуме пробегала.
а вот из инета http://*.*.*.*:8080/phpshell/phpshell.php
выдает страницу 404
Port of Web Access from WAN: 8080
thttpd.conf тоже
port=8080
не пойму где грабли
Т.е. Вы обращаетесь на порт 8080, чотя ранее писали, что у Вас на работе закрыты все кроме 80. По логике вещей Вам стандартную вебморду Asus нужно перевесить на другой порт, а на 80-й навесить phpshell. Ищите httpd, было описалово на форуме как перевешивать веб-морду.
посоветуете, какой из описаных способов проще ?
Не знаю как описанных, но работает такой вариант:
iptables -N VSERVER
iptables -I PREROUTING -d внешний_ip -j VSERVER
-A VSERVER -p tcp -m tcp --dport номер_порта -j DNAT --to-destination внутренний_адрес_типа_192.168.0.1:22
Теперь можно заходить на роутер через ssh как на порт 22 (стандартный ssh), так и на ваш_порт. В Windows - используя Putty, в Linux - просто указав параметр для ssh: 'ssh -p ваш_порт admin@ваш_внешний_ip'
Pasha_01
06-01-2009, 19:51
Господа знатоки здраствуйте!
есть соединение от провайдера по динамическом IP
как можно пользоватся удаленной сетью не выписывая каждый раз IP -адрес???
Pasha_01
06-01-2009, 20:11
Судя по англицкому описанию пошоже это решается через DDNS Setting
www.dyndns.org. Если да то как это настраевается:confused:
Кто знает опишите пожалуста настройку по пунктам,
Заренее благадарю всех ответивших.
Делаете эккаунт на www.dyndns.org, выбираете себе доменное имя, параметры (имя, домен, пароль) вбиваете в страничку настройки на роутере. телемаркет.
mikypich
06-01-2009, 23:27
если роутер стоит за NATом то ничего не выйдет с dyndns
ибо будет приходить внутренний адрес типа 192.168.1.2 и привед :(
Play-Boy
18-02-2009, 18:27
я тоже не разобрался, как SSH наружу открыть... а тут мануалы вообще на эту тему есть?.. хочу еще rtorrent наружу открыть, что-б подправить что-нибудь можно было, но это в дальней перспективе :)
StaREViL
18-02-2009, 18:34
я тоже не разобрался, как SSH наружу открыть... а тут мануалы вообще на эту тему есть?.. хочу еще rtorrent наружу открыть, что-б подправить что-нибудь можно было, но это в дальней перспективе :)
Так открыт ssh
iptables -I INPUT -p tcp --dport 22 -j ACCEPT
Так - торрент
iptables -I INPUT -p tcp --dport 51777 -j ACCEPT
может мой опыт чем то поможет
у меня тоже периодически пропадает ssh снаружи
разобрался в чем дело быстро
почему то слетает правило iptables, которое разрешает 22 порт снаружи
оно есть в постбуте и поэтому после ребута системы ssh начинает работать, но ненадолго
на шарманке у меня крутится rtorrent и параллельно по собственноручно
сваянному скрипту последовательно качает wget кучу файла
своп используется метров до 30, свободной оперативы болтается от 500 до 800к, и как я понимаю, на 2.4 ядре это никак не регулируется
понятно, что надо паять 128 метров оперативы, но пока не хочется вскрывать гарантийную машинку
да и наверна буду на отдельную машинку помощнее перевешивать все это
ато бедный а-суслик скоро лопнет от такого напряга
пока выкручиваюсь скриптом по крону запускаемым раз в час, который восстанавливает это злополучное правило
в общем, теперь, если у меня ssh начинает не пускать, просто жду полчасика - и опять все пускается
почему то слетает правило iptables, которое разрешает 22 порт снаружи
оно есть в постбуте и поэтому после ребута системы ssh начинает работать, но ненадолго
В пост-буте?! А у вас подключение, случаем, не динамическое? Потому что при каждом переподключении роутер сбрасывает правила iptables и загружает свои, исходные. А потом выполняет скрипт post-firewall.
да
в постбуте
и подключение именно динамическое
сначала роутер по дхцп берет ip на wan
а потом по пппое получает внешник
только я не предполагал, что каждый час wan и ppp0 переактивируются
короче, перенести правило для ssh в пост firewall и оператива тут ни причем?
попробую, спасиб
Play-Boy
19-02-2009, 09:36
Спасибо, заработало :)
Доброго времени суток, проблема в следующем имеется внешняя локальная сеть с выходом в инет, к ней подрублен роутер за роутером 2 компа на одном из них куча ресурсов , как сделать чтобы люди из внешней локалки могли свободно видеть ресурсы одного из компов за роутером, пробывал уже проброс портов 137-139 и 445 делать не помогает :(
StaREViL
23-02-2009, 08:49
А ты уверен что у тех, кто пробывал зайти на твою шару netbios открыт?
А ты уверен что у тех, кто пробывал зайти на твою шару netbios открыт?
Уверен на все 100 процентов :)
Может все таки кто нить обьяснит как сделать так чтобы ко мне народ заходил по netbios
StaREViL
23-02-2009, 10:14
Тогда кидай логи, иптейбол...
я путаю или нетбай это не маршрутизируемый протокол?
Тогда кидай логи, иптейбол...
Откуда их взять?
Лог проброса портов вот:
Destination Proto. Port Range Redirect to
all TCP 139 10.20.1.197
StaREViL
23-02-2009, 11:20
я путаю или нетбай это не маршрутизируемый протокол?
Хм, судя по гуглу, так оно и есть. Netbios не роутится.
Хм, судя по гуглу, так оно и есть. Netbios не роутится.
Тут же не роутинг получается, тут просто форвардинг должен быть...
попрробуйте настроить здесь: NAT Setting - Virtual DMZ
просто не понятно ни что за девайс ни какая прошивка используется.
и доступ будет, если не настраивать lmhost на клиентах, только по IP по именам Вы через роутер не увидите
попрробуйте настроить здесь: NAT Setting - Virtual DMZ
просто не понятно ни что за девайс ни какая прошивка используется.
и доступ будет, если не настраивать lmhost на клиентах, только по IP по именам Вы через роутер не увидите
Я и не пытаюсь по имени зайти, только по айпишнику ;)
Настройки там и делаю, а именно в пункте "Virtual Server":
в "Port Range" поставил 137 "Local IP" (соответсвенно комп за роутером ) 10.20.1.197 "Local Port" соответсвенно 137 протокол "TCP"
И аналогично для 138 и 139 портов
По поводу машинки: WL-500GP v2 прошивка от олега 1.9.2.7-10
theMIROn
23-02-2009, 12:52
для нетбиоса нужно открыть udp порты 137,138, tcp порт 139 и tcp/udp 445
для нетбиоса нужно открыть udp порты 137,138, tcp порт 139 и tcp/udp 445
Добавил и udp порты - не выходит каменный цветок :(
Но все равно роутер что то режет по ходу
Так я и не догоняю что происходит, доступ получается есть, но он почему то гостевой у мя, хотя когда отключаю роутер и включаю комп напрямую в сетку то все шары прекрасно видно
Что может резать роутер по правам доступа?
Все получилось через демилитаризованную зону добавил свой айпишник и заработало :rolleyes:
Задача простая, но справиться самостоятельно не удалось + нет поиска по форуму:(
Как же получить доступ к админскому веб-интерсейсу wl-500g...
Имеется реальный IP, но из сети внешней до него не проходят даже пинги. Подскажи, пож-та, что надо "подкрутить"
Спасибо!
нет поиска по форуму:(
Садитесь! Два балла!
Поиск по роутеру отсутствует - спору нет!
Но число страниц ограничено - найти возможно!
Internet Firewall - Basic Config
Enable Web Access from WAN? Yes
Port of Web Access from WAN: 8080
falselight
20-03-2009, 12:46
в веб морде я сделал пользователя и через него заходил в ssh и web морду девайся, теперь возникла потребность зайти в root, и тут я остановился я не знаю, пароль и не сталкивался с возможностью создавать на девайте root... как тут быть ?
в веб морде я сделал пользователя и через него заходил в ssh и web морду девайся, теперь возникла потребность зайти в root, и тут я остановился я не знаю, пароль и не сталкивался с возможностью создавать на девайте root... как тут быть ?
? Созданный Вами в веб-морде пользователь наделен правами "суперпользователя", т.е. он и есть root. Здесь (http://wl500g.info/showpost.php?p=15317&postcount=5) написано как создаются пользователи (если интересно)
Я не нашёл в Олеговой вебморде удобной такой "галочки", типа как в длинках - "разрешить административный доступ снаружи с такого-то IP по такому-то порту"
Как организовать?
Также интересует SSH.
Консоль только осваиваю по DURAK edition (
iptables -A PREROUTING -i eth1 -p tcp -m tcp --dport $YOUR_PORT -j DNAT --to-destination 192.168.1.1:22
Спасибо за быстрый ответ. Есть дурацкие вопросы:
Эквивалентна ли эта команда настройке Virtual Server-а через вебморду?
После ее выполнения, если мне когда-то впоследстви захочется поменять через вебморду LAN-адресацию, корректно ли отработает?
Я не нашёл в Олеговой вебморде удобной такой "галочки", типа как в длинках - "разрешить административный доступ снаружи с такого-то IP по такому-то порту"
Как организовать?
Также интересует SSH.
Консоль только осваиваю по DURAK edition (
На морде есть такая галочка точно (!) и порт можно выбрать 8080...
1) в каком хоть разделе она есть?
2) так будут ли ручные изменения iptables отражаться в настройках виртуалсервера и наоборот - или надо выбрать строго один вариант администрирования и его придерживаться?
Галку так и не могу найти
попробовал для начала отнатить 22 порт снаружи (10.10.11.254) на внутренний айпишник роутера (10.10.10.2) средствами вебморды
не работает, и в консоли не видно:
[myself@usb-router root]$ iptables -t nat -nvL POSTROUTING
Chain POSTROUTING (policy ACCEPT 21 packets, 1262 bytes)
pkts bytes target prot opt in out source destination
0 0 SNAT all -- * vlan1 !10.10.11.254 0.0.0.0/0 to:10.10.11.254
0 0 SNAT all -- * br0 10.10.10.0/24 10.10.10.0/24 to:10.10.10.2
[myself@usb-router root]$ iptables -t nat -nvL PREROUTING
Chain PREROUTING (policy ACCEPT 113 packets, 12734 bytes)
pkts bytes target prot opt in out source destination
6 312 VSERVER all -- * * 0.0.0.0/0 10.10.11.254
Что скажут доктора, это нормально?
[myself@usb-router root]$ iptables -A PREROUTING -i eth1 -p tcp -m tcp --dport 23 -j DNAT --to-destination 10.10.10.2:23
iptables: No chain/target/match by that name
Галку так и не могу найти
Что скажут доктора, это нормально?
Да вот же она
Ага, спасибо, веб-акцес (8080) заработал
Но теперь уже актуален вопрос про SSH и прочий доступ из WAN к самому роутеру. После сделанного у меня ни 22 ни 23 порты не откликаются. 22 пытался включить через вебморду, а 23 из консоли (см. выше)
[myself@usb-router root]$ iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere state NEW
ACCEPT all -- anywhere anywhere state NEW
ACCEPT tcp -- anywhere usb-router tcp dpt:www
ACCEPT icmp -- anywhere anywhere
DROP all -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
DROP all -- anywhere anywhere
ACCEPT all -- anywhere anywhere ctstate DNAT
DROP all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain MACS (0 references)
target prot opt source destination
Chain SECURITY (0 references)
target prot opt source destination
RETURN tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN limit: avg 1/sec burst 5
RETURN tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5
RETURN udp -- anywhere anywhere limit: avg 5/sec burst 5
RETURN icmp -- anywhere anywhere limit: avg 5/sec burst 5
DROP all -- anywhere anywhere
Chain logaccept (0 references)
target prot opt source destination
LOG all -- anywhere anywhere state NEW LOG level warning tcp-sequence tcp-options ip-options prefix `ACCEPT '
ACCEPT all -- anywhere anywhere
Chain logdrop (0 references)
target prot opt source destination
LOG all -- anywhere anywhere state NEW LOG level warning tcp-sequence tcp-options ip-options prefix `DROP '
DROP all -- anywhere anywhere
[myself@usb-router root]$ iptables -A PREROUTING -i eth1 -p tcp -m tcp --dport 23 -j DNAT --to-destination 10.10.10.2:23 -v
DNAT tcp opt -- in eth1 out * 0.0.0.0/0 -> 0.0.0.0/0 tcp dpt:23 to:10.10.10.2:23
iptables: No chain/target/match by that name
[myself@usb-router root]$
Что у меня не так?
ssh надо добавлять в цепочку INPUT примерно так
iptables -I INPUT 5 -p tcp -m tcp -dport 22 --syn -j ACCEPT
а вебморду наружу закройте и научитесь пользоваться туннелями
http://wl500g.info/showthread.php?t=12833
Спасибо... только у меня почему-то изменения не сохранились после ребута.
(антифлейм: flashfs бла-бла-бла сделал)
[myself@usb-router root]$ cat /usr/local/sbin/post-firewall
#!/bin/sh
iptables -t nat -nvL POSTROUTING | grep MASQUERADE | awk '{
"ifconfig "$7" | grep Mask" | getline ip;
split(ip,ip,":"); split(ip[2],ip," ");
split($8,src,"!");
if (src[1]=="") {src="! -s "src[2]} else {src="-s "src[1]};
if ($9=="0.0.0.0/0") {dst=""} else {dst="-d "$9};
system("iptables -t nat -A POSTROUTING -o "$7" "src" "dst" -j SNAT --to-source "ip[1]);
system("iptables -t nat -D POSTROUTING -o "$7" "src" "dst" -j MASQUERADE");
}'
Что исправить?
ssh надо добавлять в цепочку INPUT примерно так
iptables -I INPUT 5 -p tcp -m tcp -dport 22 --syn -j ACCEPT
а вебморду наружу закройте и научитесь пользоваться туннелями
http://wl500g.info/showthread.php?t=12833
И SSH на стандартном порту наружу лучше не открывать. Почему - неоднократно писАлось, в том числе и на форуме.
Это всё теория, мне небезызвестная
(процесс подбора паролей к руту регулярно наблюдаю в логах 871 циски)
Но сейчас я прошу помощи в сурово практическом вопросе по теме форума.
Почему NAT - точнее если по-цискиному PAT, а по пингвиньи DNAT, что ли?? - с внутреннего на внешний интерфейсы асуса (Virtual Server) не включается ни из вебморды, ни известными мне средствами линукса (которых известно мне маловато, что было продемонстрировано выше).
Почему результат iptables -I INPUT 5 -p tcp -m tcp -dport 22 --syn -j ACCEPT не сохраняется после ребута?
В каком конф. файле и что именно надо прописать, чтобы сохранился?
Есть ли риск, что сделанные здесь изменения отразятся на дальнейшей управляемости рутера из морды - и, если он есть, то как с этим риском посоветуете управиться?
Почему результат iptables -I INPUT 5 -p tcp -m tcp -dport 22 --syn -j ACCEPT не сохраняется после ребута?
В каком конф. файле и что именно надо прописать, чтобы сохранился?
А Вы не хотите почитать инструкции с начала? Или "голопом по Европам"? Так что тогда спрашиваете?
Ваш случай - не уникальный, хотя, возможно, Вам кажется иначе.
Но объяснять каждому _персонально_ одно и то же никто не будет.
Это всё теория, мне небезызвестная
(процесс подбора паролей к руту регулярно наблюдаю в логах 871 циски)
Но сейчас я прошу помощи в сурово практическом вопросе по теме форума.
Почему NAT - точнее если по-цискиному PAT, а по пингвиньи DNAT, что ли?? - с внутреннего на внешний интерфейсы асуса (Virtual Server) не включается ни из вебморды, ни известными мне средствами линукса (которых известно мне маловато, что было продемонстрировано выше).
Почему результат iptables -I INPUT 5 -p tcp -m tcp -dport 22 --syn -j ACCEPT не сохраняется после ребута?
В каком конф. файле и что именно надо прописать, чтобы сохранился?
Есть ли риск, что сделанные здесь изменения отразятся на дальнейшей управляемости рутера из морды - и, если он есть, то как с этим риском посоветуете управиться?
1.Это не тиория а риалии жызни, и брутом паролей занимаются не только Ваш сосед 10-летний школьник Федя, а порою целые БОТ-неты.
Remote ssh access (http://wl500g.info/showthread.php?t=11436&page=1) одна из многих тем форума.
2. Не путайте х... дерево с полем.
NAT (network address translation) - он и в африке NAT (DNAT SNAT) и пингвины тут нипричём.
PAT (Port Address Translation)
Уточните что Вам надо то от NAT?
3. В файле /usr/local/sbin/post-firewall Скрипты в /usr/local/sbin (http://wl500g.info/showpost.php?p=23521&postcount=12)
также необходимо после изменений файла сохранить "образ" флеша
flashfs save && flashfs commit && flashfs enable
4. Какие изменения, что вы подразумиваете под риском?
2. Не путайте х... дерево с полем.
NAT (network address translation) - он и в африке NAT (DNAT SNAT) и пингвины тут нипричём.
PAT (Port Address Translation)
Уточните что Вам надо то от NAT?
Мне выше, во первом же ответе темы, посоветовали решить проблему управления из WAN через трансляцию WAN трафика к некоторому порту tcp на LAN:22
Идею я понял, попытался её реализовать пошагово как умею, зайдя со всех известных мне сторон, и обломался. Роутер мне надо отправить в свободное плавание через несколько часов, и советы "читать маны" в данной ситуации меня категорически не устраивают.
Насчет flashfs бла-бла-бла я специально сделал антифлейм-оговорку http://wl500g.info/showpost.php?p=140507&postcount=11
В post-firewall у меня уже есть скрипт http://wl500g.info/showpost.php?p=140513&postcount=12.
Выше него или ниже следует дописать трансляцию ssh?
4. Какие изменения, что вы подразумиваете под риском?
1) Если я сейчас наворочу из консоли ручных правил iptables - а потом что-то поменяю в настройках NAT и-или фаервола на скорую руку из вебморды, какого совокупного эффекта ждать?
2) Почему у меня не сработало тупое включение Virtual Server WAN:22 -> LAN:22 из вебморды? Правило такое там отрисовывается, но PAT не работает.
Не связано ли это с ручными изменениями внесенными из консоли, с тем же скриптом в post-firewall?
...Сам я не местный, а из виндузятников, для меня термины PAT DNAT SNAT и прочий маскарад покамест чужды. Любопытно ознакомиться с их применением, но общение с людьми, которые подразумевают в собеседниках по дефолту высокий уровень орнитологического образования, для меня бесполезно. Тем более те, кто ДЕМОНСТРАТИВНО отказывается помочь - пускай сразу проходят мимо, не затрудняя себя флеймом в эту тему.
А Вы не хотите почитать инструкции с начала? Или "голопом по Европам"? Так что тогда спрашиваете?
Ваш случай - не уникальный, хотя, возможно, Вам кажется иначе.
Но объяснять каждому _персонально_ одно и то же никто не будет.
Если Вы не упомянутого сорта - то дайте правильную ссылку на пункт FAQ или How-to, именно для "моего случая" (а точнее для типичной задачи, не решив которую невозможно полноценное удаленное использование роутера).
Антифлейм: роутер будет не в другом часовом поясе, а просто не под боком - и ни Вас лично, ни всех вместе гурулинуксоидов никто не собирается беспокоить лишний раз, если своими руками отрубит себе доступ.
Komandir
07-04-2009, 09:48
И у меня вопрос по данной теме ...
У меня на руотере поднят интерент через YOTA и интерфейс зовётся wimax0. И через WAN не пускает конфигурить ... Надо перенаправлять что ли ?
Ссылку я Вам дал в моем посте Remote ssh access (http://wl500g.info/showthread.php?t=11436&page=1)
Конкретно тут (http://wl500g.info/showpost.php?p=68635&postcount=7)
Ваш пост "Что исправить?"
Я даже незнаю что делает тот кусок скрипта в который Вы привели, потому рекомендация будет такова ставте строку после Вашего кода (в конец файла).
#!/bin/sh
iptables -t nat -nvL POSTROUTING | grep MASQUERADE | awk '{
"ifconfig "$7" | grep Mask" | getline ip;
split(ip,ip,":"); split(ip[2],ip," ");
split($8,src,"!");
if (src[1]=="") {src="! -s "src[2]} else {src="-s "src[1]};
if ($9=="0.0.0.0/0") {dst=""} else {dst="-d "$9};
system("iptables -t nat -A POSTROUTING -o "$7" "src" "dst" -j SNAT --to-source "ip[1]);
system("iptables -t nat -D POSTROUTING -o "$7" "src" "dst" -j MASQUERADE");
}'
iptables -I INPUT 5 -p tcp -m tcp -dport 22 --syn -j ACCEPT
Поповоду косяков через WEB-морду - ответ таков каков вопрос, не извесно что вы там поминять захотите и какови последствия для Вас соответственно...
Накосячить всегда можно без каких либо усилий.
И у меня вопрос по данной теме ...
У меня на руотере поднят интерент через YOTA и интерфейс зовётся wimax0. И через WAN не пускает конфигурить ... Надо перенаправлять что ли ?
Что именно не пускает, Web-интерфейс, или SSH?
Я - Да конфигурить надо!
Вы - Как?
Я - А что конкретно?
Если Вы не упомянутого сорта - то дайте правильную ссылку на пункт FAQ или How-to, именно для "моего случая" (а точнее для типичной задачи, не решив которую невозможно полноценное удаленное использование роутера).
Опять "дайте" "конкретно". А поискать самому? Почему кто-то за Вас еще раз должен что-то делать?! Вы особенный?
Все темы по настройки закреплены вверху списка.
Там все сказано - в какие файлы что писАть, и когда что выполняется.
Komandir
07-04-2009, 10:03
Less
Пока с вебом бьюсь ...
Less
Спасибо! Кусок скрипта исправляет маскарадинг на cнат, взят он из из прикреплённой сверху "DURAK edition".
И все-таки интересно, почему у меня уже сейчас не сработало тупое включение Virtual Server WAN:22 -> LAN:22 из вебморды?
Либо вебморда Олеговой прошивки и консоль два равно пригодных к употреблению инструмента (глюки возможны, но редки). Либо вебморда это и здесь такая специальная танцулька с бубном (типа SDM в цисках), применение которой нереально без глубоких знаний семантики консольных команд. А в связи с тем, что у Олега ресурсов поменьше чем у циски - ещё и плохо согласованная с консольными настройками...
Какой вариант из двух имеет место быть?
Опять "дайте" "конкретно". А поискать самому? Почему кто-то за Вас еще раз должен что-то делать?! Вы особенный?
Все темы по настройки закреплены вверху списка.
Там все сказано - в какие файлы что писАть, и когда что выполняется.
> /dev/null
почему, читайте выше
Если Вы не упомянутого сорта - то дайте правильную ссылку на пункт FAQ или How-to, именно для "моего случая"
Less
Спасибо! Кусок скрипта исправляет маскарадинг на cнат, взят он из из прикреплённой сверху "DURAK edition".
И все-таки интересно, почему у меня уже сейчас не сработало тупое включение Virtual Server WAN:22 -> LAN:22 из вебморды?
Либо вебморда Олеговой прошивки и консоль два равно пригодных к употреблению инструмента (глюки возможны, но редки). Либо вебморда это и здесь такая специальная танцулька с бубном (типа SDM в цисках), применение которой нереально без глубоких знаний семантики консольных команд. А в связи с тем, что у Олега ресурсов поменьше чем у циски - ещё и плохо согласованная с консольными настройками...
Какой вариант из двух имеет место быть?
А после того как создать правила (Add) в VSERVER Вы перегружали роутер?
Для применения правил он должен перегрузится (сохранить настройки и применить при загрузке).
По сути оба инструмента ровноправны, но консоль даёт так сказать риал-тайм возможности мониторить и тд. (с морды тоже можно делать...).
перезагружал, и неоднократно
C:\Documents and Settings\Administrator>telnet 10.10.11.254 22
Connecting To 10.10.11.254...Could not open connection to the host, on port 22: Connect failed
вывод iptables -L я выше давал. Скриншот вебморды давать поленюсь, но поверьте там правило есть.
По сути оба инструмента ровноправны, но консоль даёт так сказать риал-тайм возможности мониторить и тд. (с морды тоже можно делать...).
ну равноправными они быть не могут: консоль по-любому мощнее.
важно, чтобы вебморда интерпретировала текущие сохранённые консолью настройки правильно, без глюков. Или, на худой конец чтобы глюки были известными и существовали бест практисы обращения с ними. И чтобы настройки сделанные в ней применялись точно в (таких-то обстоятельствах) и точно не применялись (в таких-то обстоятельствах).
И наоборот...
Допускаю и единственный "бест практис": "не пей ванечка из лужицы, не юзай вебморду, коззлёночком станешь". Точно ли это не тот случай?
перезагружал, и неоднократно
C:\Documents and Settings\Administrator>telnet 10.10.11.254 22
Connecting To 10.10.11.254...Could not open connection to the host, on port 22: Connect failed
вывод iptables -L я выше давал. Скриншот вебморды давать поленюсь, но поверьте там правило есть.
А Вы ИЗНУТРИ сети роутера пытаетесь проверить коннекты снаружи?
post-firewall отрабатывает ПОСЛЕ применения правил встроенного файерволла, и если в post-firewall прописать правило очистки правил (сорри за тавтологию), то будет работать только то, что в файле. Если этого правила нет, то все правила будут справедливы.
А Вы ИЗНУТРИ сети роутера пытаетесь проверить коннекты снаружи?
post-firewall отрабатывает ПОСЛЕ применения правил встроенного файерволла, и если в post-firewall прописать правило очистки правил (сорри за тавтологию), то будет работать только то, что в файле. Если этого правила нет, то все правила будут справедливы.
честно говоря я совсем не понимаю того, что здесь написано
1) Как изнутри сети роутера проверить коннекты снаружи к роутеру типа WAN:22 -> LAN:22?
2) содержимое post-firewall я выкладывал тут http://wl500g.info/showpost.php?p=140513&postcount=12
и боюсь покамест дальше его редактировать и полагаться на эту правку - пока не достиг ясности с её влиянием на поведение вебморды, и наоборот...
По прежнему жду помощи. Для начала надо понять:
- почему не работает снаружи telnet WAN 22 при наличии в вебморде созданного оттуда же правила?
- почему отображаемое в вебморде правило не сказывается на выводе iptables -L? http://wl500g.info/showpost.php?p=140491&postcount=9
честно говоря я совсем не понимаю того, что здесь написано
1) Как изнутри сети роутера проверить коннекты снаружи к роутеру типа WAN:22 -> LAN:22?
2) содержимое post-firewall я выкладывал тут http://wl500g.info/showpost.php?p=140513&postcount=12
и боюсь покамест дальше его редактировать и полагаться на эту правку - пока не достиг ясности с её влиянием на поведение вебморды, и наоборот...
По прежнему жду помощи. Для начала надо понять:
- почему не работает снаружи telnet WAN 22 при наличии в вебморде созданного оттуда же правила?
- почему отображаемое в вебморде правило не сказывается на выводе iptables -L? http://wl500g.info/showpost.php?p=140491&postcount=9
1. При наличии инета есть очень много сервисов проверки. Либо просто подключится к WAN порту напрямую и затестить (дать стат. адрес...).
2. Там только замена маскарада на SNAT (сами же это и говорили!).
На веб морду оно ни как не влияет.
Ответ: дайте вывод всех правил с помощью команд
iptables -L -nvt nat
iptables -L -nv
и сможете увидить что к чему, какие правила созданы каких нету (iptables-save).
Для справики Руководство по iptables (Iptables Tutorial 1.1.19) (http://www.opennet.ru/docs/RUS/iptables/)
1. При наличии инета есть очень много сервисов проверки. Либо просто подключится к WAN порту напрямую и затестить (дать стат. адрес...).
Роутер пока остаётся у меня под боком. Мне показалось, что двумя сообщениями выше мне посоветовали изнутри LAN проверить [не?]срабатывание заданного в вебморде правила.
Результат telnet WAN 22 был приведён - из WAN, т.е снаружи
2. Там только замена маскарада на SNAT (сами же это и говорили!).
На веб морду оно ни как не влияет.
Ответ: дайте вывод всех правил с помощью команд
[myself@usb-router root]$ iptables -L -nvt nat
Chain PREROUTING (policy ACCEPT 22750 packets, 2881K bytes)
pkts bytes target prot opt in out source destination
32 1536 VSERVER all -- * * 0.0.0.0/0 10.10.11.254
Chain POSTROUTING (policy ACCEPT 13171 packets, 789K bytes)
pkts bytes target prot opt in out source destination
2 104 SNAT all -- * vlan1 !10.10.11.254 0.0.0.0/0 to:10.10.11.254
9 2211 SNAT all -- * br0 10.10.10.0/24 10.10.10.0/24 to:10.10.10.2
Chain OUTPUT (policy ACCEPT 13180 packets, 792K bytes)
pkts bytes target prot opt in out source destination
Chain VSERVER (1 references)
pkts bytes target prot opt in out source destination
29 1392 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080 to:10.10.10.2:80
3 144 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 to:10.10.10.2:22
0 0 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:18830 to:10.10.11.129:18830
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:18830 to:10.10.11.129:18830
таким образом, ответ на второй вопрос получен.
Остаётся первый вопрос: почему нет ответа из WAN на telnet WAN 22 ?
потому что для того, чтобы открыть порт на роутере надо его прописывать не в PREROUTING, а в INPUT. За прошедшие два дня с начала обсуждения вполне можно было уже ответ найти, если захотеть, конечно. Навример здесь http://wl500g.info/showthread.php?t=10307
то есть понятно, почему ответа нет - потому что в иптаблес не прописано разрешения
iptables -I INPUT 5 -p tcp -m tcp -dport 22 --syn -j ACCEPT
А вот почему оно не прописалось при добавлении правила из вебморды?
Так бывает всегда? Иногда? Мне "посчастливилось" словить редкостный глюк?
потому что для того, чтобы открыть порт на роутере надо его прописывать не в PREROUTING, а в INPUT. За прошедшие два дня с начала обсуждения вполне можно было уже ответ найти, если захотеть, конечно. Навример здесь http://wl500g.info/showthread.php?t=10307
Я вообще-то добавлял правило Virtual Server из вебморды. Так поступать нельзя? Нельзя в принципе никогда, или это из-за глюков конкретной прошивки? Чьих-то ещё?
потому что виртуальный сервер предназначен для проброса портов на ПК за роутером. Почитайте документацию асуса. Для обслуживание ВСЕХ серверов, которые вы самостоятельно пожелаете установить на роутере вы должны прописывать правила самостоятельно, т.к. это не входит в стандартный функционал предоставляемый веб мордой.
Спасибо: ответ исчерпывающий и удовлетворительный. Не очень понятно, почему после 400+ заглядываний в тему его дали только сейчас...
Ещё позволю себе поворчать по поводу обычной для юниксоидизма кривой юзабилити: там где разработчик-виндузятник правит интерфейс (вебморду), не допуская неверных шагов пользователя - юниксоид отсылает к "чтению документации"...
Ещё позволю себе поворчать по поводу обычной для юниксоидизма кривой юзабилити: там где разработчик-виндузятник правит интерфейс (вебморду), не допуская неверных шагов пользователя - юниксоид отсылает к "чтению документации"...
Ну пожалуйтесь в АСУС что-ли, для разнообразия. :D
А я бы перевернул фразу - там где виндузятник говорит, что это невозможно сделать, так как в GUI это не предусмотрено (и не будет реализовано никогда, ибо менеджер решил, что это нерентабельно), юниксоид пишет скрипт и всё работает.
По-прежнему из WAN не работает 22 порт на роутере. После перезагрузки:
[myself@usb-router root]$ cat /tmp/local/sbin/post-firewall
#!/bin/sh
iptables -t nat -nvL POSTROUTING | grep MASQUERADE | awk '{
"ifconfig "$7" | grep Mask" | getline ip;
split(ip,ip,":"); split(ip[2],ip," ");
split($8,src,"!");
if (src[1]=="") {src="! -s "src[2]} else {src="-s "src[1]};
if ($9=="0.0.0.0/0") {dst=""} else {dst="-d "$9};
system("iptables -t nat -A POSTROUTING -o "$7" "src" "dst" -j SNAT --to-source "ip[1]);
system("iptables -t nat -D POSTROUTING -o "$7" "src" "dst" -j MASQUERADE");
}'
iptables -I INPUT 5 -p tcp -m tcp -dport 22 --syn -j ACCEPT
[myself@usb-router root]$ iptables -L -nv
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
281 23543 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
16 960 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 state NEW
125 44653 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0 state NEW
0 0 ACCEPT tcp -- * * 0.0.0.0/0 10.10.10.2 tcp dpt:80
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- br0 br0 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 DROP all -- !br0 vlan1 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate DNAT
0 0 DROP all -- * br0 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT 406 packets, 69734 bytes)
pkts bytes target prot opt in out source destination
Chain MACS (0 references)
pkts bytes target prot opt in out source destination
Chain SECURITY (0 references)
pkts bytes target prot opt in out source destination
0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x16/0x02 limit: avg 1/sec burst 5
0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x04 limit: avg 1/sec burst 5
0 0 RETURN udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5
0 0 RETURN icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain logaccept (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW LOG flags 7 level 4 prefix `ACCEPT '
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0
Chain logdrop (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW LOG flags 7 level 4 prefix `DROP '
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
[invoker@usb-router root]$ iptables -L -nvt nat
Chain PREROUTING (policy ACCEPT 2 packets, 285 bytes)
pkts bytes target prot opt in out source destination
0 0 VSERVER all -- * * 0.0.0.0/0 10.10.11.254
Chain POSTROUTING (policy ACCEPT 40 packets, 2352 bytes)
pkts bytes target prot opt in out source destination
0 0 SNAT all -- * vlan1 !10.10.11.254 0.0.0.0/0 to:10.10.11.254
0 0 SNAT all -- * br0 10.10.10.0/24 10.10.10.0/24 to:10.10.10.2
Chain OUTPUT (policy ACCEPT 40 packets, 2352 bytes)
pkts bytes target prot opt in out source destination
Chain VSERVER (1 references)
pkts bytes target prot opt in out source destination
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080 to:10.10.10.2:80
0 0 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:18830 to:10.10.11.129:18830
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:18830 to:10.10.11.129:18830
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 to:10.10.10.2:22
Другой вопрос: откуда берутся выделенные жирным строки (внизу в последнем абзаце)? В вебморде они сейчас не отображаются. Когда-то, когда роутер был в другой сети, я прописывал туда что-то подобное именно через вебморду...
По-прежнему из WAN не работает 22 порт на роутере. После перезагрузки:
...
Хорошее правило: перед прописыванием в скриптах проверьте, что команда работает. В данном случае, у опции dport должно быть 2 дефиса:
iptables -I INPUT 5 -p tcp -m tcp --dport 22 --syn -j ACCEPT
Другой вопрос: откуда берутся выделенные жирным строки (внизу в последнем абзаце)? В вебморде они сейчас не отображаются. Когда-то, когда роутер был в другой сети, я прописывал туда что-то подобное именно через вебморду...
Возможно, осталось от UPnP.
Возможно, осталось от UPnP.
и сохраняется после многих перезагрузок и изменений сетевых адресов через вебморду?
Откуда хоть оно берётся-то каждый раз?
За вторую дэш большое спасибо, заработало наконец.
Ну пожалуйтесь в АСУС что-ли, для разнообразия. :D
А я бы перевернул фразу - там где виндузятник говорит, что это невозможно сделать, так как в GUI это не предусмотрено (и не будет реализовано никогда, ибо менеджер решил, что это нерентабельно), юниксоид пишет скрипт и всё работает.
В винде давно уже можно работать и в юниксоидном стиле, скриптами. При желании и настойчивости - гораздо меньшей, чем необходима для юникса.
А вот от юникса, видимо, в этой жизни уже не дождаться юзабельности.
Имхо, причины этому вовсе не экономические, а психологические и даже... патопсихологические. Почему-то юникс формирует психику адептов в определённом направлении...
Вот например безумный, отвратительно документированный синтаксис iptables... В винде есть netsh: он выдает внятную подсказку на каждый чих, по образу и подобию Cisco IOS. Защита линуксового синтаксиса, по моему опыту, строго коррелирует с квазирелигиозным мировоззрением адептов какого-то человеконенавистнического тоталитарного культа. Можно изучить неприятный инструмент, можно успешно его использовать... но любить его - это все равно что любить плётку или что-то похуже...
Проблема решена, "Патопсихологический" флейм продолжать не вижу смысла. Тема закрыта.