PDA

Bekijk de volledige versie : Удаленный доступ



26dx
15-05-2007, 12:39
Собственно столкнулся с тем, что не могу получить доступ к консоли роутера через WAN порт. Ситуация следующая, есть сеть организации в которой я работаю с роутером на фрюхе, к этой сети подрублена небольшая сеть соседней организации через wl500gp, в настройках роутера стоит режим работы Home Gateway и соответственно прописан как шлюз фрюшный роутер. Все работает отлично, асус успешно раздает инет, администрируется из маленькой сетки и т.п.
Но при этом не дает подключиться к нему из большой сети. Подозреваю что ответ надо искать в iptables, но сам никогда с этим делом не работал, читаю мены, но думаю это займет некоторое время.
В общем вопрос - как открыть доступ к консоли из вне?

26dx
15-05-2007, 15:59
Вчитался в тему описания первой установки, плюс поискал по форуму, и в результате попробовал сделать следующее:

создал файл /usr/local/sbin/post-firewall
#!/bin/sh
iptables -D INPUT -j DROP
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -j DROP

сделал его исполняемым
chmod -x /usr/local/sbin/post-firewall

и записал изменения во флэшь
flashfs save
flashfs commit
flashfs enable
reboot

Ничего не изменилось, в чем может быть ошибка?

imdex
15-05-2007, 16:17
А post-boot можно посмотреть?

Mam(O)n
15-05-2007, 16:18
Ничего не изменилось, в чем может быть ошибка?


chmod -x /usr/local/sbin/post-firewall

Здесь надо было "chmod +x /usr/local/sbin/post-firewall".

А вообще ssh сервер (например dropbear) на нем запущен?

26dx
16-05-2007, 07:26
imdex:
Там только старт dropbear, больше ничего пока не прописывал.

Mam(O)n:
Угу, действительно не сделал файл исполняемым. Но тем не менее, всеравно не могу достучаться до роутера из вне.
SSH конечно запущен, ведь изнутри я именно по нему и работал.

Еще немного в догонку, просканировал порты роутеру, открыты только 8080, 515, 9100. 22го как не было, так и нет.

KRandall
16-05-2007, 08:38
Вот это должно помочь (http://wl500g.info/showthread.php?t=9337&highlight=dropbear)

26dx
16-05-2007, 11:30
KRandall: пока тот пост не помог, его смотрел в первую очередь.

Venik
16-05-2007, 13:31
нужно добавить правило
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

причём желательно указать адреса источника и места назначения, типа
iptables -A INPUT -s ip_source -d ip_dest -p tcp --dport 22 -j ACCEPT

26dx
16-05-2007, 13:33
нужно добавить правило
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

причём желательно указать адреса источника и места назначения, типа
iptables -A INPUT -s ip_source -d ip_dest -p tcp --dport 22 -j ACCEPT

Это правило вместо того что у меня было или в добавок?

al37919
16-05-2007, 14:05
вместо. А у меня это правило прописано вот так:
iptables -A INPUT -p tcp --syn --dport 22 -j ACCEPT

кроме того, имеет смысл посмотреть как выглядит список правил: iptables -L

и, наконец, можно проверить выполняются ли файлы post-boot, post-firewall при запуске вручную --- может там просто символы конца строки неправильные...

26dx
16-05-2007, 14:29
Вот кусок таблицы
[root@(none) sbin]$ iptables -t filter -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
logdrop all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
logaccept all -- anywhere anywhere state NEW
logaccept all -- anywhere anywhere state NEW
logaccept tcp -- anywhere my.router tcp dpt:www
logaccept tcp -- anywhere anywhere tcp dpt:ftp
logaccept icmp -- anywhere anywhere
logaccept tcp -- anywhere anywhere tcp dpt:printer
logaccept tcp -- anywhere anywhere tcp dpt:laserjet
logaccept tcp -- anywhere anywhere tcp dpt:3838
logdrop all -- anywhere anywhere
ACCEPT tcp -- 192.168.0.50 192.168.0.240 tcp dpt:ssh

Вроде должен пропускать? Или я что-то не так понимаю?

26dx
16-05-2007, 14:31
Судя по тому что в конце отрывка таблице появилась запись по SSH файлы работают. post-boot точно работает ибо dropbear запускается.

al37919
16-05-2007, 14:41
однако перед этим выполняется :
logdrop all -- anywhere anywhere
и дальше этого правила мы никуда не попадаем

Вопрос --- нужно ли слать в системный лог все сообщения? уж тем более logaccept --- это вообще ужасно.

На мой взгляд надо в web интерфейсе выключить логи файрвола, тогда все заработает прямо так как написано выше, либо поменять правило
iptables -D INPUT -j DROP на iptables -D INPUT -j logdrop

А еще лучше отключив логи оставить следующее:
# set default policy
iptables -P INPUT DROP
# remove last default rule
iptables -D INPUT -j DROP

после этого пишем то что надо разрешать и в конце iptables -A INPUT -j DROP добавлять не надо.

26dx
16-05-2007, 15:08
однако перед этим выполняется :
logdrop all -- anywhere anywhere
и дальше этого правила мы никуда не попадаем

Спасибо за наводку, я думал над этой строкой, но видимо неправильно истолковал маны что читал на тему iptables. Думалось, что только после направления на RETURN цепочка не анализируется.

aik
24-07-2007, 09:47
На данный момент, для windows, самым простым оказалось поднять на роутере SSH, разрешить заход снаружи и запустить на клиентской машине SSH клиент отсюда - http://www.bitvise.com/tunnelier
Этот клиент замечателен тем, что, помимо статического проброса портов (как и у любого другого SSH клиента), он умеет изображать на localhost SOCKS4-прокси, который понимается очень многими софтинами.

Кто скажет - линуксячий SSH умеет так? Если да, то опишите как и прицепим к "настройке с нуля".

gcat
08-11-2007, 14:10
что было сделано:
1) зарегался на DynDNS
2)"мой компьютер" - "свойства" - стоит галка о возможности удаленного подключения
3) администрирование - пользователи - выбран пользователь, которому разрешено подключение
4) в роутере в закладке virtual server проброшен порт 3389 на внутренний ip компа,
т.е. получается что-то вроде:
ip: 192.168.1.2, порт 3389, TCP+UDP,порт 3389

и...и, короче, не работает =(делаю nslookup себя как регался на динднс, старт-стандартные-связь - подключение к удаленному столу,ввожу свой айпишник.... и комп не отвечает. =((((
где порылась собака?
PS прошивка 1.9.2.7-7g

djet
09-11-2007, 09:28
1. telnet 192.168.1.2 3389 с роутера работает?
2. Что пишет iptables -L -nv -t nat

gcat
09-11-2007, 12:12
1. telnet 192.168.1.2 3389 с роутера работает?
2. Что пишет iptables -L -nv -t nat
не пробовал. попробую теперь только в воскресенье (уезжаю на выхи)
но еще непонятно вот что: пинги не проходят =(
галка allow ping from WAN стоит, DDNS настроил на роутере,
nslookup меня "видит", айпи корбиновский выдает,пинга нет =(
вчера еще разрпешил web acсess , но зайти на роутер не могу. "не видится" и все. такое впечатление, что роутер зарубает на корню все попытки сделать что-то "из вне": пропинговать, зайти, ит.п.

Vaml7uP
10-11-2007, 15:53
простите, что пишу в вашу тему, но у меня именно такая проблема имеется))) пробросил порт, а связи нет.
и ещё одна: для игры в Lineage2 на официальном сервере необходимо обеспечить связь программы GameGuard с сервером, то есть пробросить порты: 80, 2106, 2009, 7777, 53. Порты пробрасывал. Ставил ип в ДМЗ. Ручками черз иптейблс вводил (по очереди всё пробывал). Коннекта не происходит!!! Что делать - не знаю. Подскажите, пожалуйста!!!
з.ы. я не играю))
прошивка 1.9.2.7-7g

Multik
13-11-2007, 12:44
А в самом брандмауэре, в виндовсе, галка на "удаленный рабочий стол" стоит?

и проверь настройки в Virtual Server, по умолчанию он вроде выключен..

у мну все заработало без проблем сразу.
Port Range: 3389
Local Ip: внутренний IP компа
Local Port: 3389
Protocol: TCP
Protocol No: пусто
Description: Remote Desktop

MIB
10-01-2008, 19:59
Прошу помочь с настройками для удаленного доступа к рабочему столу Vista Ult через Wl 500gp. До установки роутера все работало, после установки не могу попасть на раб.стол., видимо в силу того , что заблокирован доступ из вне...


P.S. А с настройками uttorent мне наверно никто так и не поможет... :( Напомню, что была проблема с частыми дисконнектами каждые 2 -5 минут при скачивании файлов через utorrent. При отдаче вроде все ok.

usmailer™
10-01-2008, 21:11
Прошу помочь с настройками для удаленного доступа к рабочему столу Vista Ult через Wl 500gp. До установки роутера все работало, после установки не могу попасть на раб.стол., видимо в силу того , что заблокирован доступ из вне...


P.S. А с настройками uttorent мне наверно никто так и не поможет... :( Напомню, что была проблема с частыми дисконнектами каждые 2 -5 минут при скачивании файлов через utorrent. При отдаче вроде все ok.

http://www.wl500g.info/showthread.php?t=9109&highlight=%EF%F0%EE%E1%F0%EE%F1
и не забудь про фаер винды.. его надо либо настроить на пропуск по назначенным портам, либо отрубить;)

al37919
11-01-2008, 08:17
для доступа к ресурсам локальной сети лучше не просто открывать порты наружу, а использовать ssh туннель (на мой взгляд оно и проще, т.к. нужно открыть один единственный ssh порт)

Последовательность действий:

1) запустить dropbear и добиться доступа к нему из wan (путем манипуляций с post-firewall)
2) если файрвол на роутере настроен, то файрволы на внутренних компах можно отрубить или пробросить требуемые порты или приложения
3) создать соединение с роутером в putty и прописать в нем туннель до компа в lan

Все эти вопросы уже не раз обсуждались, так что поищите.

В результате для создания туннеля (установления соединения) надо запустить putty и авторизоваться. После этого можно запускать то приложение, которое собственно нужно.

В итоге имеем довольно безопасное соединение, причем добавление доступа к другим сервисам lan (например веб-интерфейс роутера, торрента, адос, почтовым сервисам, remote desktop, X и т.д.) производится путем добавления еще одного туннеля в настройках putty

DJey
11-01-2008, 09:14
Прошу помочь с настройками для удаленного доступа к рабочему столу Vista Ult через Wl 500gp. До установки роутера все работало, после установки не могу попасть на раб.стол., видимо в силу того , что заблокирован доступ из вне...


P.S. А с настройками uttorent мне наверно никто так и не поможет... :( Напомню, что была проблема с частыми дисконнектами каждые 2 -5 минут при скачивании файлов через utorrent. При отдаче вроде все ok.


Для открытия доступа к удаленному рабочему столу RDP, необходимо пробросить порт 3389, на компьютер к которому Вы хотите подключиться:
NAT Setting => Virtual Server, При этом Enable Virtual Server - должен быть в YES

http://wl500g.info/attachment.php?attachmentid=2242&stc=1&d=1200039246

Насчет uTorrent - попробуйте как у меня сделано, если порт у Вас другой, то переправте на свой.

FilimoniC
12-01-2008, 10:36
Только после этого могут хакнуть. SSH-туннель надежнее, хотя и чуток сложнее

DJey
12-01-2008, 10:56
Только после этого могут хакнуть. SSH-туннель надежнее, хотя и чуток сложнее

Все это конечно хорошо, когда есть SSH клиент под рукой, а когда нужно срочно зайти с чужой машины или коммуникатора на котором кроми RDP клиента ничего нет, тогда и получится, что хотели как лучше, а получилось как всегда, в конце концов порт можно и другой назначить для большей секюрности.

FilimoniC
12-01-2008, 11:51
Все это конечно хорошо, когда есть SSH клиент под рукой, а когда нужно срочно зайти с чужой машины или коммуникатора на котором кроми RDP клиента ничего нет, тогда и получится, что хотели как лучше, а получилось как всегда, в конце концов порт можно и другой назначить для большей секюрности.

Да тот же PUTTY весит полметра, если память не изменяет.
Кстати, если совсем заморочиться - смотрите еще в сторону knockd. Правда я не знаю, насколько хорошо он работает

sda
08-02-2008, 09:31
Не могу настроить доступ к роутеру и компам в lan с работы. Официально мой комп на работе не подключен к инету. Но запуская браузер от имени другого пользователя и его паролем на своей машине - я в сети. Инет через http-прокси на 8080 порту. Nmap-online дает следующее:

PORT STATE SERVICE
21/tcp open ftp
25/tcp open smtp
184/tcp open ocserver
187/tcp open aci
234/tcp open unknown
235/tcp open unknown
1723/tcp open pptp
Доступ к настройкам роутера, transmission, ADOS, ftp из WAN работает.
Подскажите что делать: устанавливать на роутере openvpn?, на каком портe?, запускать pytty от имени такого же пользователя от имени которого я выхожу в инет?, какой порт открыть на роутере (сейчас dropbear на 1222)?

al37919
08-02-2008, 09:54
http://wl500g.info/showthread.php?t=12833

louso
22-06-2008, 23:01
В конторе стоит WL-500gp раздаёт инет и имеет реальный Ip Адрес. на одном из внутренних компов висит 1с база как можно к ней подключатся из инета. Я так понял надо добратся до расшариненной папки.
Просто нет идей подскажите что нить.

vs12345
22-06-2008, 23:24
привет
ну к папке конечно можно, но я тебе не рекомендую, сильно, - при проблеме со связью (а такое случается) 1с вылетит, пара-тройка вылетов - и в один прекрасный момент 1сБаза повредится...

- Лучший вариант для 1с - использование сервера терминалов
клиент подключается по интернету к серверу, и работает с 1с базой с любой точки, но 1c.exe запускается на машине которая и служит оным сервером.
программа клиент ставиться даже в стандартной установке XP - mstsc.exe
а сервером может служить Server2003, XP Prof и по-моему даже XP Home

схожие по сути темы
http://wl500g.info/showthread.php?t=11896
http://wl500g.info/showthread.php?t=14779
http://wl500g.info/showthread.php?t=14870

louso
23-06-2008, 05:29
Выкладывать базу на шару роутера не выход. Да и стрёмно как то.
С сервером терминалом тоже облом так как компов всего 3 да и то дохлые и ставить на них 2003 не выход. А в ХР можно работать только одним пользователем. Тут надо либо как то настроить что бы шара одного из компов транслировалась на внешний ИП или сделать на роутере Внешний VPN что бы он пускал ещё 1 комп во внутреннию сеть.

Sagitarius
23-06-2008, 06:57
А в ХР можно работать только одним пользователем.

Неправда ваша.

dinn
23-06-2008, 15:25
Вариант патчик поставить и тогда ХП можно будет юзать под терминалом, смотри линк:
http://uran238.nnm.ru/windows_xp_pro_kak_polnocennyj_server_terminalov

louso
23-06-2008, 16:18
не терминал не выход компы слабоваты что то лучшее покупать не будут тут либо впн либо как то порты комутировать

Sagitarius
23-06-2008, 17:57
В конторе стоит WL-500gp раздаёт инет и имеет реальный Ip Адрес. на одном из внутренних компов висит 1с база как можно к ней подключатся из инета. Я так понял надо добратся до расшариненной папки.
Просто нет идей подскажите что нить.
Можно попробовать Hamachi (будут локально и диски и принтеры), правда это и есть аля ВПН.

louso
24-06-2008, 05:27
что есть Hamachi пожалуйста поподробнее

kir-g
24-06-2008, 08:05
что есть Hamachi пожалуйста поподробнее
Программа ставится на оба компа и делается ВПН ее плюс в том, что особо заморачиваться не надо

louso
24-06-2008, 08:36
Программа ставится на оба компа и делается ВПН ее плюс в том, что особо заморачиваться не надо

плохо что платная.

kir-g
24-06-2008, 08:45
плохо что платная.

там премиум версия платная, но тебе и бесплатный вариант подойдет.
Но канал должен быть хорошим, на мегабитном канале у меня ничего путного из этого не получилось
Вообще посмотри в сторону УРБД.
На сайте www.mista.ru много чего есть интересного по-моему Ромикс там что-то для урбд писал.

icexxx
19-08-2008, 17:13
Пропал доступ из офиса к моему WL500GP.
Putty грязно ругается: Connection reset by peer
Понимаю что само не могло, но тем не менее.
Помогите кто чем может


Вот лог:
Aug 19 18:36:33 dropbear[203]: Child connection from ::ffff:192.168.1.2:4858
Aug 19 18:36:38 dropbear[203]: password auth succeeded for 'root' from ::ffff:192.168.1.2:4858
Aug 19 18:39:56 dropbear[208]: Child connection from ::ffff:212.45.3.118:20390
Aug 19 18:39:56 dropbear[208]: exit before auth: error writing
Aug 19 18:42:08 nmbd[192]: [2008/08/19 18:42:08, 0] nmbd/nmbd_become_lmb.c:become_local_master_stage2(405)
Aug 19 18:42:08 nmbd[192]: *****
Aug 19 18:42:08 nmbd[192]:
Aug 19 18:42:08 nmbd[192]: Samba name server WL500GP is now a local master browser for workgroup WORKGROUP on subnet 192.168.1.1
Aug 19 18:42:08 nmbd[192]:
Aug 19 18:42:08 nmbd[192]: *****





iptables -L INPUT -vn

Chain INPUT (policy DROP 1353 packets, 111K bytes)
pkts bytes target prot opt in out source destination
35 2600 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
142K 12M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
145 8700 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 state NEW
128 10796 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0 state NEW
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68
2 96 ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.1 tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3000
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
1 48 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:24800 flags:0x16/0x02





iptables -L -vnt nat

Chain PREROUTING (policy ACCEPT 1140 packets, 117K bytes)
pkts bytes target prot opt in out source destination
1357 83252 VSERVER all -- * * 0.0.0.0/0 78.106.6.56
0 0 VSERVER all -- * * 0.0.0.0/0 10.27.7.254
0 0 NETMAP udp -- * * 0.0.0.0/0 78.106.6.56 udp spt:6112 192.168.1.0/24

Chain POSTROUTING (policy ACCEPT 2987 packets, 179K bytes)
pkts bytes target prot opt in out source destination
0 0 NETMAP udp -- * * 192.168.1.0/24 0.0.0.0/0 udp dpt:6112 78.106.6.56/32
26 1248 MASQUERADE all -- * ppp0 !78.106.6.56 0.0.0.0/0
0 0 MASQUERADE all -- * vlan1 !10.27.7.254 0.0.0.0/0
11 2108 MASQUERADE all -- * br0 192.168.1.0/24 192.168.1.0/24

Chain OUTPUT (policy ACCEPT 2998 packets, 181K bytes)
pkts bytes target prot opt in out source destination

Chain VSERVER (2 references)
pkts bytes target prot opt in out source destination
72 3456 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8383 to:192.168.1.1:80
935 46504 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:65555 to:192.168.1.1:65212
210 19950 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:65555 to:192.168.1.1:65212



65555 - rTorrent
24800 - SSH

Доступ по HTTP, FTP прекрасно работает снаружи и изнутри
SSH только изнутри
Все перерыл. Кучу комбинаций испробовал.

EugeenB
20-08-2008, 14:01
Пропал доступ из офиса к моему WL500GP.
Putty грязно ругается: Connection reset by peer
Понимаю что само не могло, но тем не менее.
Помогите кто чем может

iptables -L INPUT -vn

Chain INPUT (policy DROP 1353 packets, 111K bytes)
pkts bytes target prot opt in out source destination
35 2600 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
142K 12M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
145 8700 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 state NEW
128 10796 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0 state NEW
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68
2 96 ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.1 tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3000
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
1 48 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:24800 flags:0x16/0x02С одной стороны, где Вы тут видете разрешающее правило для подсоединения к SSH со стороны WAN? Процетируйте ту строчку, которая разрешает (по Вашему мнению) пакеты ssh-серверу роутера.




Вот лог:
Aug 19 18:36:33 dropbear[203]: Child connection from ::ffff:192.168.1.2:4858
Aug 19 18:36:38 dropbear[203]: password auth succeeded for 'root' from ::ffff:192.168.1.2:4858
Aug 19 18:39:56 dropbear[208]: Child connection from ::ffff:212.45.3.118:20390
Aug 19 18:39:56 dropbear[208]: exit before auth: error writingС другой стороны, в логе запись, что пытаетесь залогиниться по именем "root", а такого логина в роутере нет. Есть логин "Admin"

icexxx
20-08-2008, 16:59
С одной стороны, где Вы тут видете разрешающее правило для подсоединения к SSH со стороны WAN? Процетируйте ту строчку, которая разрешает (по Вашему мнению) пакеты ssh-серверу роутера.

С другой стороны, в логе запись, что пытаетесь залогиниться по именем "root", а такого логина в роутере нет. Есть логин "Admin"

Я знаю что я где то накосячил, но поскольку я новичок не знаю где
Ну позориться так позориться

Вот:
1 48 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:24800 flags:0x16/0x02

SSH запущен с этим ключом
dropbear -p 24800

Admin в root переименовал с самого начала

Что нужно сделать чтобы правило было правильным

Вот содержимое post-firewall


#!/bin/sh
# set default policy
iptables -P INPUT DROP
# remove last default rule
iptables -D INPUT -j DROP
iptables -A INPUT -p tcp --syn --dport 24800 -j ACCEPT

EugeenB
21-08-2008, 17:38
SSH запущен с этим ключом
dropbear -p 24800

Admin в root переименовал с самого начала

Вот содержимое post-firewall


#!/bin/sh
# set default policy
iptables -P INPUT DROP
# remove last default rule
iptables -D INPUT -j DROP
iptables -A INPUT -p tcp --syn --dport 24800 -j ACCEPT

Я ещё бы указал интерфейс:
iptables -A INPUT -i vlan1 -p tcp --syn --dport 24800 -j ACCEPT
или
iptables -A INPUT -i ppp0 -p tcp --syn --dport 24800 -j ACCEPT

Новая информация
Подключиться не могу только с работы
Друг без проблем от себя подключаетсяГмм.. Может админ на работе прикрыл все левые порты? А если попробовать достучаться из интернет-кафе?

icexxx
21-08-2008, 20:44
Я ещё бы указал интерфейс:
iptables -A INPUT -i vlan1 -p tcp --syn --dport 24800 -j ACCEPT
или
iptables -A INPUT -i ppp0 -p tcp --syn --dport 24800 -j ACCEPT
Гмм.. Может админ на работе прикрыл все левые порты? А если попробовать достучаться из интернет-кафе?

Получается и из интернет кафе
Судя по логам меня сам роутер отшибает

kir-g
21-08-2008, 21:19
Получается и из интернет кафе
Судя по логам меня сам роутер отшибает
ИМХО админ все таки шалит....

6opoga
22-08-2008, 15:01
Получается и из интернет кафе
Судя по логам меня сам роутер отшибает

Есть еще вариант, что с работы обратный резолв адреса не совпадает с прямым. По крайней мере у "большого" sshd такая настройка включена по умолчанию. Насчет дропбира, правда, не уверен.

bornnewyear
12-10-2008, 00:16
Всем добрый вечер! Не могу сам сделать! Извените за глупуй вопрос, но я не могу!
Недавно приобрел роутер Asus WL-500g Premium и диск на 2 терабайта. Так вот в чем задача. Мне нужно создать тунель SSH, чтобы я мог обращаться к своему диску через инет! У диска есть интерфейс Ethernet. Т.е. я могу к нему обращаться даже при выключенном компе.
На форуме прочитал, что можно на роутере Asus WL-500g Premium поднять SSH сервер и создав тунель обращаться к этому диску по защищенному каналу.
Здесь же на форуме нашел вот такую инструкцию, чтобы поднять SSH сервер:

mkdir -p /usr/local/etc/dropbear
dropbearkey -t dss -f /usr/local/etc/dropbear/dropbear_dss_host_key
dropbearkey -t rsa -f /usr/local/etc/dropbear/dropbear_rsa_host_key
mkdir -p /usr/local/sbin/
echo "#!/bin/sh" >> /usr/local/sbin/post-boot
cp /usr/local/sbin/post-boot /usr/local/sbin/post-firewall
cp /usr/local/sbin/post-boot /usr/local/sbin/post-mount
cp /usr/local/sbin/post-boot /usr/local/sbin/pre-shutdown
chmod +x /usr/local/sbin/p*
echo "dropbear > /dev/null 2>&1" >> /usr/local/sbin/post-boot
dropbear > /dev/null 2>&1
flashfs save
flashfs commit
flashfs enable

Сделал как в этой инструкции и незнаю, что мне делать дальше. Мне нужно чтобы я мог обращаться к своему диску удаленно как к сетевому диску.

Я скачал в инете прогу: SSH Tunel, но не могу подконектиться к SSH серверу и просматривать свой диск!

ПОМОГИТЕ ПОЖАЛУЙСТО! НЕЗНАЮ УЖЕ ЧТО ДЕЛАТЬ!
Заранее спасибо!

nxx
29-11-2008, 21:36
Такая ситуация....
У меня на работе закрыты все порты кроме www
а хочется заходить на роутер по телнету с работы
цель - давать роутеру ссылки для скачки,
чтобы пока я на работе работаю, он
бы мне файло качал.

какие могут быть варианты ?
я вот тут нарыл на тему "телнет через ввв"
следующее:
http://anyterm.org/compared.html

посоветуете, какой из описаных способов проще ?
хотелось бы такой способ, при котором че-то
ставить надо только на сервер (т.е. роутер)
а на клиенте - ничего кроме браузера

nec-dnk
29-11-2008, 22:23
если я правильно понимаю, то тебе нужно копать в сторону virtual server, или просто перенаправить запросы с порта WWW №80 роутера на порт телнета №23.
А при подключении с работы указывать порт 80 в телнете.

RAGE
30-11-2008, 01:22
Пуск -> Выполнить -> cmd -> OK, в появившемся окне ввести "telnet ваш Ip"

angel_il
30-11-2008, 01:29
nec-dnk, RAGE
Что это вы такое странное советуете? :)
если у человека все прикрыто а 80 порт через прокси то телнет естественно не сможет работать в такой ситуации.

nxx,
самое простое это использовать webshell реализаций много в "интернетах" :)

DemonGloom
30-11-2008, 08:41
цель - давать роутеру ссылки для скачки,
чтобы пока я на работе работаю, он
бы мне файло качал.


Поищите тему про ADOS - это качалка с веб-интерфейсом.

bbsc
30-11-2008, 09:29
хотелось бы такой способ, при котором че-то
ставить надо только на сервер (т.е. роутер)
а на клиенте - ничего кроме браузера
Решение:
1. lighttpd + SSL.
2. ADOS.
3. rtorrent.
4. Web-морда к rtorrent.
Просто и безопасно.

nxx
30-11-2008, 13:17
Поищите тему про ADOS - это качалка с веб-интерфейсом.

спасибо, поищу
только как это прикручивать к роутеру ?
так чтоб и это было и стандартная страница настроек осталась бы

dimokrat
30-11-2008, 13:19
http://mgeisler.net/php-shell/

rutony
13-12-2008, 18:13
сабж, собственно прошивки версий 3.х.х.х

при попытки приконектится через putty (telnet) или обычным виндовым telnet пришет что удаленный хост сбрасывает соединение...

а в веб интерфейсе отсутсвует командная строка шелла...

как собственно зайти то в шелл тогда

DemonGloom
13-12-2008, 18:45
никак. никто еще его не нашел в этой прошивке.

NotebookKiller
16-12-2008, 12:28
А компортовая консоль у него есть?

nxx
16-12-2008, 19:33
http://mgeisler.net/php-shell/

поставил phpshell...
такая проблема

из локалки работает нормально,
а вот из инета http://*.*.*.*:8080/phpshell/phpshell.php
выдает страницу 404

Port of Web Access from WAN: 8080
thttpd.conf тоже
port=8080

не пойму где грабли

DfDf
16-12-2008, 22:09
есть. разъем внутри. нужна схема преобразования уровня сигналов для подключения к писюшному кому. на форуме пробегала.

Cd_spb
17-12-2008, 09:27
а вот из инета http://*.*.*.*:8080/phpshell/phpshell.php
выдает страницу 404

Port of Web Access from WAN: 8080
thttpd.conf тоже
port=8080

не пойму где грабли

Т.е. Вы обращаетесь на порт 8080, чотя ранее писали, что у Вас на работе закрыты все кроме 80. По логике вещей Вам стандартную вебморду Asus нужно перевесить на другой порт, а на 80-й навесить phpshell. Ищите httpd, было описалово на форуме как перевешивать веб-морду.

ABATAPA
17-12-2008, 20:37
посоветуете, какой из описаных способов проще ?



Не знаю как описанных, но работает такой вариант:

iptables -N VSERVER
iptables -I PREROUTING -d внешний_ip -j VSERVER
-A VSERVER -p tcp -m tcp --dport номер_порта -j DNAT --to-destination внутренний_адрес_типа_192.168.0.1:22


Теперь можно заходить на роутер через ssh как на порт 22 (стандартный ssh), так и на ваш_порт. В Windows - используя Putty, в Linux - просто указав параметр для ssh: 'ssh -p ваш_порт admin@ваш_внешний_ip'

Pasha_01
06-01-2009, 20:51
Господа знатоки здраствуйте!
есть соединение от провайдера по динамическом IP
как можно пользоватся удаленной сетью не выписывая каждый раз IP -адрес???

Pasha_01
06-01-2009, 21:11
Судя по англицкому описанию пошоже это решается через DDNS Setting
www.dyndns.org. Если да то как это настраевается:confused:
Кто знает опишите пожалуста настройку по пунктам,
Заренее благадарю всех ответивших.

DfDf
06-01-2009, 23:31
Делаете эккаунт на www.dyndns.org, выбираете себе доменное имя, параметры (имя, домен, пароль) вбиваете в страничку настройки на роутере. телемаркет.

mikypich
07-01-2009, 00:27
если роутер стоит за NATом то ничего не выйдет с dyndns
ибо будет приходить внутренний адрес типа 192.168.1.2 и привед :(

Play-Boy
18-02-2009, 19:27
я тоже не разобрался, как SSH наружу открыть... а тут мануалы вообще на эту тему есть?.. хочу еще rtorrent наружу открыть, что-б подправить что-нибудь можно было, но это в дальней перспективе :)

StaREViL
18-02-2009, 19:34
я тоже не разобрался, как SSH наружу открыть... а тут мануалы вообще на эту тему есть?.. хочу еще rtorrent наружу открыть, что-б подправить что-нибудь можно было, но это в дальней перспективе :)

Так открыт ssh
iptables -I INPUT -p tcp --dport 22 -j ACCEPT
Так - торрент

iptables -I INPUT -p tcp --dport 51777 -j ACCEPT

littre
18-02-2009, 21:28
может мой опыт чем то поможет
у меня тоже периодически пропадает ssh снаружи
разобрался в чем дело быстро
почему то слетает правило iptables, которое разрешает 22 порт снаружи
оно есть в постбуте и поэтому после ребута системы ssh начинает работать, но ненадолго

на шарманке у меня крутится rtorrent и параллельно по собственноручно
сваянному скрипту последовательно качает wget кучу файла
своп используется метров до 30, свободной оперативы болтается от 500 до 800к, и как я понимаю, на 2.4 ядре это никак не регулируется

понятно, что надо паять 128 метров оперативы, но пока не хочется вскрывать гарантийную машинку
да и наверна буду на отдельную машинку помощнее перевешивать все это
ато бедный а-суслик скоро лопнет от такого напряга

пока выкручиваюсь скриптом по крону запускаемым раз в час, который восстанавливает это злополучное правило
в общем, теперь, если у меня ssh начинает не пускать, просто жду полчасика - и опять все пускается

Power
19-02-2009, 00:27
почему то слетает правило iptables, которое разрешает 22 порт снаружи
оно есть в постбуте и поэтому после ребута системы ssh начинает работать, но ненадолго


В пост-буте?! А у вас подключение, случаем, не динамическое? Потому что при каждом переподключении роутер сбрасывает правила iptables и загружает свои, исходные. А потом выполняет скрипт post-firewall.

littre
19-02-2009, 10:19
да
в постбуте
и подключение именно динамическое
сначала роутер по дхцп берет ip на wan
а потом по пппое получает внешник

только я не предполагал, что каждый час wan и ppp0 переактивируются

короче, перенести правило для ssh в пост firewall и оператива тут ни причем?
попробую, спасиб

Play-Boy
19-02-2009, 10:36
Спасибо, заработало :)

peps
23-02-2009, 08:29
Доброго времени суток, проблема в следующем имеется внешняя локальная сеть с выходом в инет, к ней подрублен роутер за роутером 2 компа на одном из них куча ресурсов , как сделать чтобы люди из внешней локалки могли свободно видеть ресурсы одного из компов за роутером, пробывал уже проброс портов 137-139 и 445 делать не помогает :(

StaREViL
23-02-2009, 09:49
А ты уверен что у тех, кто пробывал зайти на твою шару netbios открыт?

peps
23-02-2009, 11:02
А ты уверен что у тех, кто пробывал зайти на твою шару netbios открыт?
Уверен на все 100 процентов :)
Может все таки кто нить обьяснит как сделать так чтобы ко мне народ заходил по netbios

StaREViL
23-02-2009, 11:14
Тогда кидай логи, иптейбол...

alek_j
23-02-2009, 11:20
я путаю или нетбай это не маршрутизируемый протокол?

peps
23-02-2009, 12:04
Тогда кидай логи, иптейбол...
Откуда их взять?
Лог проброса портов вот:

Destination Proto. Port Range Redirect to
all TCP 139 10.20.1.197

StaREViL
23-02-2009, 12:20
я путаю или нетбай это не маршрутизируемый протокол?

Хм, судя по гуглу, так оно и есть. Netbios не роутится.

peps
23-02-2009, 12:28
Хм, судя по гуглу, так оно и есть. Netbios не роутится.
Тут же не роутинг получается, тут просто форвардинг должен быть...

alek_j
23-02-2009, 13:03
попрробуйте настроить здесь: NAT Setting - Virtual DMZ
просто не понятно ни что за девайс ни какая прошивка используется.
и доступ будет, если не настраивать lmhost на клиентах, только по IP по именам Вы через роутер не увидите

peps
23-02-2009, 13:51
попрробуйте настроить здесь: NAT Setting - Virtual DMZ
просто не понятно ни что за девайс ни какая прошивка используется.
и доступ будет, если не настраивать lmhost на клиентах, только по IP по именам Вы через роутер не увидите

Я и не пытаюсь по имени зайти, только по айпишнику ;)

Настройки там и делаю, а именно в пункте "Virtual Server":

в "Port Range" поставил 137 "Local IP" (соответсвенно комп за роутером ) 10.20.1.197 "Local Port" соответсвенно 137 протокол "TCP"
И аналогично для 138 и 139 портов

По поводу машинки: WL-500GP v2 прошивка от олега 1.9.2.7-10

theMIROn
23-02-2009, 13:52
для нетбиоса нужно открыть udp порты 137,138, tcp порт 139 и tcp/udp 445

peps
23-02-2009, 14:05
для нетбиоса нужно открыть udp порты 137,138, tcp порт 139 и tcp/udp 445

Добавил и udp порты - не выходит каменный цветок :(

Но все равно роутер что то режет по ходу

Так я и не догоняю что происходит, доступ получается есть, но он почему то гостевой у мя, хотя когда отключаю роутер и включаю комп напрямую в сетку то все шары прекрасно видно
Что может резать роутер по правам доступа?

Все получилось через демилитаризованную зону добавил свой айпишник и заработало :rolleyes:

lokolok
03-03-2009, 22:09
Задача простая, но справиться самостоятельно не удалось + нет поиска по форуму:(

Как же получить доступ к админскому веб-интерсейсу wl-500g...

Имеется реальный IP, но из сети внешней до него не проходят даже пинги. Подскажи, пож-та, что надо "подкрутить"

Спасибо!

avk
03-03-2009, 22:22
нет поиска по форуму:(

Садитесь! Два балла!

Поиск по роутеру отсутствует - спору нет!
Но число страниц ограничено - найти возможно!

Internet Firewall - Basic Config
Enable Web Access from WAN? Yes
Port of Web Access from WAN: 8080

falselight
20-03-2009, 13:46
в веб морде я сделал пользователя и через него заходил в ssh и web морду девайся, теперь возникла потребность зайти в root, и тут я остановился я не знаю, пароль и не сталкивался с возможностью создавать на девайте root... как тут быть ?

jan_h
20-03-2009, 13:57
в веб морде я сделал пользователя и через него заходил в ssh и web морду девайся, теперь возникла потребность зайти в root, и тут я остановился я не знаю, пароль и не сталкивался с возможностью создавать на девайте root... как тут быть ?

? Созданный Вами в веб-морде пользователь наделен правами "суперпользователя", т.е. он и есть root. Здесь (http://wl500g.info/showpost.php?p=15317&postcount=5) написано как создаются пользователи (если интересно)

LevT
06-04-2009, 16:08
Я не нашёл в Олеговой вебморде удобной такой "галочки", типа как в длинках - "разрешить административный доступ снаружи с такого-то IP по такому-то порту"

Как организовать?
Также интересует SSH.

Консоль только осваиваю по DURAK edition (

ivlis
06-04-2009, 16:16
iptables -A PREROUTING -i eth1 -p tcp -m tcp --dport $YOUR_PORT -j DNAT --to-destination 192.168.1.1:22

LevT
06-04-2009, 16:35
Спасибо за быстрый ответ. Есть дурацкие вопросы:

Эквивалентна ли эта команда настройке Virtual Server-а через вебморду?
После ее выполнения, если мне когда-то впоследстви захочется поменять через вебморду LAN-адресацию, корректно ли отработает?

Less
06-04-2009, 16:54
Я не нашёл в Олеговой вебморде удобной такой "галочки", типа как в длинках - "разрешить административный доступ снаружи с такого-то IP по такому-то порту"

Как организовать?
Также интересует SSH.

Консоль только осваиваю по DURAK edition (

На морде есть такая галочка точно (!) и порт можно выбрать 8080...

LevT
06-04-2009, 17:09
1) в каком хоть разделе она есть?

2) так будут ли ручные изменения iptables отражаться в настройках виртуалсервера и наоборот - или надо выбрать строго один вариант администрирования и его придерживаться?

LevT
06-04-2009, 21:33
Галку так и не могу найти

попробовал для начала отнатить 22 порт снаружи (10.10.11.254) на внутренний айпишник роутера (10.10.10.2) средствами вебморды

не работает, и в консоли не видно:


[myself@usb-router root]$ iptables -t nat -nvL POSTROUTING
Chain POSTROUTING (policy ACCEPT 21 packets, 1262 bytes)
pkts bytes target prot opt in out source destination
0 0 SNAT all -- * vlan1 !10.10.11.254 0.0.0.0/0 to:10.10.11.254
0 0 SNAT all -- * br0 10.10.10.0/24 10.10.10.0/24 to:10.10.10.2
[myself@usb-router root]$ iptables -t nat -nvL PREROUTING
Chain PREROUTING (policy ACCEPT 113 packets, 12734 bytes)
pkts bytes target prot opt in out source destination
6 312 VSERVER all -- * * 0.0.0.0/0 10.10.11.254


Что скажут доктора, это нормально?

LevT
06-04-2009, 21:38
[myself@usb-router root]$ iptables -A PREROUTING -i eth1 -p tcp -m tcp --dport 23 -j DNAT --to-destination 10.10.10.2:23
iptables: No chain/target/match by that name

Less
06-04-2009, 21:50
Галку так и не могу найти

Что скажут доктора, это нормально?

Да вот же она

LevT
06-04-2009, 22:12
Ага, спасибо, веб-акцес (8080) заработал

Но теперь уже актуален вопрос про SSH и прочий доступ из WAN к самому роутеру. После сделанного у меня ни 22 ни 23 порты не откликаются. 22 пытался включить через вебморду, а 23 из консоли (см. выше)



[myself@usb-router root]$ iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere state NEW
ACCEPT all -- anywhere anywhere state NEW
ACCEPT tcp -- anywhere usb-router tcp dpt:www
ACCEPT icmp -- anywhere anywhere
DROP all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
DROP all -- anywhere anywhere
ACCEPT all -- anywhere anywhere ctstate DNAT
DROP all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain MACS (0 references)
target prot opt source destination

Chain SECURITY (0 references)
target prot opt source destination
RETURN tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN limit: avg 1/sec burst 5
RETURN tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5
RETURN udp -- anywhere anywhere limit: avg 5/sec burst 5
RETURN icmp -- anywhere anywhere limit: avg 5/sec burst 5
DROP all -- anywhere anywhere

Chain logaccept (0 references)
target prot opt source destination
LOG all -- anywhere anywhere state NEW LOG level warning tcp-sequence tcp-options ip-options prefix `ACCEPT '
ACCEPT all -- anywhere anywhere

Chain logdrop (0 references)
target prot opt source destination
LOG all -- anywhere anywhere state NEW LOG level warning tcp-sequence tcp-options ip-options prefix `DROP '
DROP all -- anywhere anywhere
[myself@usb-router root]$ iptables -A PREROUTING -i eth1 -p tcp -m tcp --dport 23 -j DNAT --to-destination 10.10.10.2:23 -v
DNAT tcp opt -- in eth1 out * 0.0.0.0/0 -> 0.0.0.0/0 tcp dpt:23 to:10.10.10.2:23
iptables: No chain/target/match by that name
[myself@usb-router root]$

Что у меня не так?

al37919
06-04-2009, 23:50
ssh надо добавлять в цепочку INPUT примерно так
iptables -I INPUT 5 -p tcp -m tcp -dport 22 --syn -j ACCEPT
а вебморду наружу закройте и научитесь пользоваться туннелями
http://wl500g.info/showthread.php?t=12833

LevT
07-04-2009, 00:07
Спасибо... только у меня почему-то изменения не сохранились после ребута.
(антифлейм: flashfs бла-бла-бла сделал)

LevT
07-04-2009, 00:20
[myself@usb-router root]$ cat /usr/local/sbin/post-firewall
#!/bin/sh
iptables -t nat -nvL POSTROUTING | grep MASQUERADE | awk '{
"ifconfig "$7" | grep Mask" | getline ip;
split(ip,ip,":"); split(ip[2],ip," ");
split($8,src,"!");
if (src[1]=="") {src="! -s "src[2]} else {src="-s "src[1]};
if ($9=="0.0.0.0/0") {dst=""} else {dst="-d "$9};
system("iptables -t nat -A POSTROUTING -o "$7" "src" "dst" -j SNAT --to-source "ip[1]);
system("iptables -t nat -D POSTROUTING -o "$7" "src" "dst" -j MASQUERADE");
}'

Что исправить?

ABATAPA
07-04-2009, 06:25
ssh надо добавлять в цепочку INPUT примерно так
iptables -I INPUT 5 -p tcp -m tcp -dport 22 --syn -j ACCEPT
а вебморду наружу закройте и научитесь пользоваться туннелями
http://wl500g.info/showthread.php?t=12833

И SSH на стандартном порту наружу лучше не открывать. Почему - неоднократно писАлось, в том числе и на форуме.

LevT
07-04-2009, 07:12
Это всё теория, мне небезызвестная
(процесс подбора паролей к руту регулярно наблюдаю в логах 871 циски)

Но сейчас я прошу помощи в сурово практическом вопросе по теме форума.


Почему NAT - точнее если по-цискиному PAT, а по пингвиньи DNAT, что ли?? - с внутреннего на внешний интерфейсы асуса (Virtual Server) не включается ни из вебморды, ни известными мне средствами линукса (которых известно мне маловато, что было продемонстрировано выше).

Почему результат iptables -I INPUT 5 -p tcp -m tcp -dport 22 --syn -j ACCEPT не сохраняется после ребута?
В каком конф. файле и что именно надо прописать, чтобы сохранился?
Есть ли риск, что сделанные здесь изменения отразятся на дальнейшей управляемости рутера из морды - и, если он есть, то как с этим риском посоветуете управиться?

ABATAPA
07-04-2009, 09:17
Почему результат iptables -I INPUT 5 -p tcp -m tcp -dport 22 --syn -j ACCEPT не сохраняется после ребута?
В каком конф. файле и что именно надо прописать, чтобы сохранился?


А Вы не хотите почитать инструкции с начала? Или "голопом по Европам"? Так что тогда спрашиваете?
Ваш случай - не уникальный, хотя, возможно, Вам кажется иначе.
Но объяснять каждому _персонально_ одно и то же никто не будет.

Less
07-04-2009, 09:20
Это всё теория, мне небезызвестная
(процесс подбора паролей к руту регулярно наблюдаю в логах 871 циски)

Но сейчас я прошу помощи в сурово практическом вопросе по теме форума.


Почему NAT - точнее если по-цискиному PAT, а по пингвиньи DNAT, что ли?? - с внутреннего на внешний интерфейсы асуса (Virtual Server) не включается ни из вебморды, ни известными мне средствами линукса (которых известно мне маловато, что было продемонстрировано выше).

Почему результат iptables -I INPUT 5 -p tcp -m tcp -dport 22 --syn -j ACCEPT не сохраняется после ребута?
В каком конф. файле и что именно надо прописать, чтобы сохранился?
Есть ли риск, что сделанные здесь изменения отразятся на дальнейшей управляемости рутера из морды - и, если он есть, то как с этим риском посоветуете управиться?

1.Это не тиория а риалии жызни, и брутом паролей занимаются не только Ваш сосед 10-летний школьник Федя, а порою целые БОТ-неты.

Remote ssh access (http://wl500g.info/showthread.php?t=11436&page=1) одна из многих тем форума.

2. Не путайте х... дерево с полем.
NAT (network address translation) - он и в африке NAT (DNAT SNAT) и пингвины тут нипричём.
PAT (Port Address Translation)
Уточните что Вам надо то от NAT?

3. В файле /usr/local/sbin/post-firewall Скрипты в /usr/local/sbin (http://wl500g.info/showpost.php?p=23521&postcount=12)
также необходимо после изменений файла сохранить "образ" флеша

flashfs save && flashfs commit && flashfs enable

4. Какие изменения, что вы подразумиваете под риском?

LevT
07-04-2009, 09:47
2. Не путайте х... дерево с полем.
NAT (network address translation) - он и в африке NAT (DNAT SNAT) и пингвины тут нипричём.
PAT (Port Address Translation)
Уточните что Вам надо то от NAT?

Мне выше, во первом же ответе темы, посоветовали решить проблему управления из WAN через трансляцию WAN трафика к некоторому порту tcp на LAN:22

Идею я понял, попытался её реализовать пошагово как умею, зайдя со всех известных мне сторон, и обломался. Роутер мне надо отправить в свободное плавание через несколько часов, и советы "читать маны" в данной ситуации меня категорически не устраивают.

Насчет flashfs бла-бла-бла я специально сделал антифлейм-оговорку http://wl500g.info/showpost.php?p=140507&postcount=11
В post-firewall у меня уже есть скрипт http://wl500g.info/showpost.php?p=140513&postcount=12.
Выше него или ниже следует дописать трансляцию ssh?

LevT
07-04-2009, 09:58
4. Какие изменения, что вы подразумиваете под риском?

1) Если я сейчас наворочу из консоли ручных правил iptables - а потом что-то поменяю в настройках NAT и-или фаервола на скорую руку из вебморды, какого совокупного эффекта ждать?

2) Почему у меня не сработало тупое включение Virtual Server WAN:22 -> LAN:22 из вебморды? Правило такое там отрисовывается, но PAT не работает.
Не связано ли это с ручными изменениями внесенными из консоли, с тем же скриптом в post-firewall?

LevT
07-04-2009, 10:06
...Сам я не местный, а из виндузятников, для меня термины PAT DNAT SNAT и прочий маскарад покамест чужды. Любопытно ознакомиться с их применением, но общение с людьми, которые подразумевают в собеседниках по дефолту высокий уровень орнитологического образования, для меня бесполезно. Тем более те, кто ДЕМОНСТРАТИВНО отказывается помочь - пускай сразу проходят мимо, не затрудняя себя флеймом в эту тему.


А Вы не хотите почитать инструкции с начала? Или "голопом по Европам"? Так что тогда спрашиваете?
Ваш случай - не уникальный, хотя, возможно, Вам кажется иначе.
Но объяснять каждому _персонально_ одно и то же никто не будет.

Если Вы не упомянутого сорта - то дайте правильную ссылку на пункт FAQ или How-to, именно для "моего случая" (а точнее для типичной задачи, не решив которую невозможно полноценное удаленное использование роутера).
Антифлейм: роутер будет не в другом часовом поясе, а просто не под боком - и ни Вас лично, ни всех вместе гурулинуксоидов никто не собирается беспокоить лишний раз, если своими руками отрубит себе доступ.

Komandir
07-04-2009, 10:48
И у меня вопрос по данной теме ...

У меня на руотере поднят интерент через YOTA и интерфейс зовётся wimax0. И через WAN не пускает конфигурить ... Надо перенаправлять что ли ?

Less
07-04-2009, 10:58
Ссылку я Вам дал в моем посте Remote ssh access (http://wl500g.info/showthread.php?t=11436&page=1)

Конкретно тут (http://wl500g.info/showpost.php?p=68635&postcount=7)

Ваш пост "Что исправить?"
Я даже незнаю что делает тот кусок скрипта в который Вы привели, потому рекомендация будет такова ставте строку после Вашего кода (в конец файла).



#!/bin/sh
iptables -t nat -nvL POSTROUTING | grep MASQUERADE | awk '{
"ifconfig "$7" | grep Mask" | getline ip;
split(ip,ip,":"); split(ip[2],ip," ");
split($8,src,"!");
if (src[1]=="") {src="! -s "src[2]} else {src="-s "src[1]};
if ($9=="0.0.0.0/0") {dst=""} else {dst="-d "$9};
system("iptables -t nat -A POSTROUTING -o "$7" "src" "dst" -j SNAT --to-source "ip[1]);
system("iptables -t nat -D POSTROUTING -o "$7" "src" "dst" -j MASQUERADE");
}'

iptables -I INPUT 5 -p tcp -m tcp -dport 22 --syn -j ACCEPT


Поповоду косяков через WEB-морду - ответ таков каков вопрос, не извесно что вы там поминять захотите и какови последствия для Вас соответственно...

Накосячить всегда можно без каких либо усилий.

Less
07-04-2009, 11:01
И у меня вопрос по данной теме ...

У меня на руотере поднят интерент через YOTA и интерфейс зовётся wimax0. И через WAN не пускает конфигурить ... Надо перенаправлять что ли ?

Что именно не пускает, Web-интерфейс, или SSH?


Я - Да конфигурить надо!
Вы - Как?
Я - А что конкретно?

ABATAPA
07-04-2009, 11:03
Если Вы не упомянутого сорта - то дайте правильную ссылку на пункт FAQ или How-to, именно для "моего случая" (а точнее для типичной задачи, не решив которую невозможно полноценное удаленное использование роутера).


Опять "дайте" "конкретно". А поискать самому? Почему кто-то за Вас еще раз должен что-то делать?! Вы особенный?
Все темы по настройки закреплены вверху списка.
Там все сказано - в какие файлы что писАть, и когда что выполняется.

Komandir
07-04-2009, 11:03
Less
Пока с вебом бьюсь ...

LevT
07-04-2009, 11:09
Less

Спасибо! Кусок скрипта исправляет маскарадинг на cнат, взят он из из прикреплённой сверху "DURAK edition".

И все-таки интересно, почему у меня уже сейчас не сработало тупое включение Virtual Server WAN:22 -> LAN:22 из вебморды?

Либо вебморда Олеговой прошивки и консоль два равно пригодных к употреблению инструмента (глюки возможны, но редки). Либо вебморда это и здесь такая специальная танцулька с бубном (типа SDM в цисках), применение которой нереально без глубоких знаний семантики консольных команд. А в связи с тем, что у Олега ресурсов поменьше чем у циски - ещё и плохо согласованная с консольными настройками...

Какой вариант из двух имеет место быть?

LevT
07-04-2009, 11:10
Опять "дайте" "конкретно". А поискать самому? Почему кто-то за Вас еще раз должен что-то делать?! Вы особенный?
Все темы по настройки закреплены вверху списка.
Там все сказано - в какие файлы что писАть, и когда что выполняется.

> /dev/null
почему, читайте выше

Если Вы не упомянутого сорта - то дайте правильную ссылку на пункт FAQ или How-to, именно для "моего случая"

Less
07-04-2009, 11:27
Less

Спасибо! Кусок скрипта исправляет маскарадинг на cнат, взят он из из прикреплённой сверху "DURAK edition".

И все-таки интересно, почему у меня уже сейчас не сработало тупое включение Virtual Server WAN:22 -> LAN:22 из вебморды?

Либо вебморда Олеговой прошивки и консоль два равно пригодных к употреблению инструмента (глюки возможны, но редки). Либо вебморда это и здесь такая специальная танцулька с бубном (типа SDM в цисках), применение которой нереально без глубоких знаний семантики консольных команд. А в связи с тем, что у Олега ресурсов поменьше чем у циски - ещё и плохо согласованная с консольными настройками...

Какой вариант из двух имеет место быть?

А после того как создать правила (Add) в VSERVER Вы перегружали роутер?

Для применения правил он должен перегрузится (сохранить настройки и применить при загрузке).

По сути оба инструмента ровноправны, но консоль даёт так сказать риал-тайм возможности мониторить и тд. (с морды тоже можно делать...).

LevT
07-04-2009, 11:44
перезагружал, и неоднократно

C:\Documents and Settings\Administrator>telnet 10.10.11.254 22
Connecting To 10.10.11.254...Could not open connection to the host, on port 22: Connect failed

вывод iptables -L я выше давал. Скриншот вебморды давать поленюсь, но поверьте там правило есть.

LevT
07-04-2009, 12:09
По сути оба инструмента ровноправны, но консоль даёт так сказать риал-тайм возможности мониторить и тд. (с морды тоже можно делать...).

ну равноправными они быть не могут: консоль по-любому мощнее.
важно, чтобы вебморда интерпретировала текущие сохранённые консолью настройки правильно, без глюков. Или, на худой конец чтобы глюки были известными и существовали бест практисы обращения с ними. И чтобы настройки сделанные в ней применялись точно в (таких-то обстоятельствах) и точно не применялись (в таких-то обстоятельствах).

И наоборот...

Допускаю и единственный "бест практис": "не пей ванечка из лужицы, не юзай вебморду, коззлёночком станешь". Точно ли это не тот случай?

vectorm
07-04-2009, 13:04
перезагружал, и неоднократно

C:\Documents and Settings\Administrator>telnet 10.10.11.254 22
Connecting To 10.10.11.254...Could not open connection to the host, on port 22: Connect failed

вывод iptables -L я выше давал. Скриншот вебморды давать поленюсь, но поверьте там правило есть.
А Вы ИЗНУТРИ сети роутера пытаетесь проверить коннекты снаружи?
post-firewall отрабатывает ПОСЛЕ применения правил встроенного файерволла, и если в post-firewall прописать правило очистки правил (сорри за тавтологию), то будет работать только то, что в файле. Если этого правила нет, то все правила будут справедливы.

LevT
08-04-2009, 12:01
А Вы ИЗНУТРИ сети роутера пытаетесь проверить коннекты снаружи?
post-firewall отрабатывает ПОСЛЕ применения правил встроенного файерволла, и если в post-firewall прописать правило очистки правил (сорри за тавтологию), то будет работать только то, что в файле. Если этого правила нет, то все правила будут справедливы.

честно говоря я совсем не понимаю того, что здесь написано

1) Как изнутри сети роутера проверить коннекты снаружи к роутеру типа WAN:22 -> LAN:22?
2) содержимое post-firewall я выкладывал тут http://wl500g.info/showpost.php?p=140513&postcount=12
и боюсь покамест дальше его редактировать и полагаться на эту правку - пока не достиг ясности с её влиянием на поведение вебморды, и наоборот...

По прежнему жду помощи. Для начала надо понять:

- почему не работает снаружи telnet WAN 22 при наличии в вебморде созданного оттуда же правила?
- почему отображаемое в вебморде правило не сказывается на выводе iptables -L? http://wl500g.info/showpost.php?p=140491&postcount=9

Less
08-04-2009, 12:15
честно говоря я совсем не понимаю того, что здесь написано

1) Как изнутри сети роутера проверить коннекты снаружи к роутеру типа WAN:22 -> LAN:22?
2) содержимое post-firewall я выкладывал тут http://wl500g.info/showpost.php?p=140513&postcount=12
и боюсь покамест дальше его редактировать и полагаться на эту правку - пока не достиг ясности с её влиянием на поведение вебморды, и наоборот...

По прежнему жду помощи. Для начала надо понять:

- почему не работает снаружи telnet WAN 22 при наличии в вебморде созданного оттуда же правила?
- почему отображаемое в вебморде правило не сказывается на выводе iptables -L? http://wl500g.info/showpost.php?p=140491&postcount=9

1. При наличии инета есть очень много сервисов проверки. Либо просто подключится к WAN порту напрямую и затестить (дать стат. адрес...).

2. Там только замена маскарада на SNAT (сами же это и говорили!).
На веб морду оно ни как не влияет.

Ответ: дайте вывод всех правил с помощью команд

iptables -L -nvt nat
iptables -L -nv
и сможете увидить что к чему, какие правила созданы каких нету (iptables-save).
Для справики Руководство по iptables (Iptables Tutorial 1.1.19) (http://www.opennet.ru/docs/RUS/iptables/)

LevT
08-04-2009, 12:33
1. При наличии инета есть очень много сервисов проверки. Либо просто подключится к WAN порту напрямую и затестить (дать стат. адрес...).

Роутер пока остаётся у меня под боком. Мне показалось, что двумя сообщениями выше мне посоветовали изнутри LAN проверить [не?]срабатывание заданного в вебморде правила.

Результат telnet WAN 22 был приведён - из WAN, т.е снаружи


2. Там только замена маскарада на SNAT (сами же это и говорили!).
На веб морду оно ни как не влияет.

Ответ: дайте вывод всех правил с помощью команд



[myself@usb-router root]$ iptables -L -nvt nat
Chain PREROUTING (policy ACCEPT 22750 packets, 2881K bytes)
pkts bytes target prot opt in out source destination
32 1536 VSERVER all -- * * 0.0.0.0/0 10.10.11.254

Chain POSTROUTING (policy ACCEPT 13171 packets, 789K bytes)
pkts bytes target prot opt in out source destination
2 104 SNAT all -- * vlan1 !10.10.11.254 0.0.0.0/0 to:10.10.11.254
9 2211 SNAT all -- * br0 10.10.10.0/24 10.10.10.0/24 to:10.10.10.2

Chain OUTPUT (policy ACCEPT 13180 packets, 792K bytes)
pkts bytes target prot opt in out source destination

Chain VSERVER (1 references)
pkts bytes target prot opt in out source destination
29 1392 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080 to:10.10.10.2:80
3 144 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 to:10.10.10.2:22
0 0 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:18830 to:10.10.11.129:18830
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:18830 to:10.10.11.129:18830


таким образом, ответ на второй вопрос получен.
Остаётся первый вопрос: почему нет ответа из WAN на telnet WAN 22 ?

al37919
08-04-2009, 13:20
потому что для того, чтобы открыть порт на роутере надо его прописывать не в PREROUTING, а в INPUT. За прошедшие два дня с начала обсуждения вполне можно было уже ответ найти, если захотеть, конечно. Навример здесь http://wl500g.info/showthread.php?t=10307

LevT
08-04-2009, 13:28
то есть понятно, почему ответа нет - потому что в иптаблес не прописано разрешения
iptables -I INPUT 5 -p tcp -m tcp -dport 22 --syn -j ACCEPT


А вот почему оно не прописалось при добавлении правила из вебморды?

Так бывает всегда? Иногда? Мне "посчастливилось" словить редкостный глюк?

LevT
08-04-2009, 13:31
потому что для того, чтобы открыть порт на роутере надо его прописывать не в PREROUTING, а в INPUT. За прошедшие два дня с начала обсуждения вполне можно было уже ответ найти, если захотеть, конечно. Навример здесь http://wl500g.info/showthread.php?t=10307

Я вообще-то добавлял правило Virtual Server из вебморды. Так поступать нельзя? Нельзя в принципе никогда, или это из-за глюков конкретной прошивки? Чьих-то ещё?

al37919
08-04-2009, 13:43
потому что виртуальный сервер предназначен для проброса портов на ПК за роутером. Почитайте документацию асуса. Для обслуживание ВСЕХ серверов, которые вы самостоятельно пожелаете установить на роутере вы должны прописывать правила самостоятельно, т.к. это не входит в стандартный функционал предоставляемый веб мордой.

LevT
08-04-2009, 13:57
Спасибо: ответ исчерпывающий и удовлетворительный. Не очень понятно, почему после 400+ заглядываний в тему его дали только сейчас...

Ещё позволю себе поворчать по поводу обычной для юниксоидизма кривой юзабилити: там где разработчик-виндузятник правит интерфейс (вебморду), не допуская неверных шагов пользователя - юниксоид отсылает к "чтению документации"...

lly
08-04-2009, 14:06
Ещё позволю себе поворчать по поводу обычной для юниксоидизма кривой юзабилити: там где разработчик-виндузятник правит интерфейс (вебморду), не допуская неверных шагов пользователя - юниксоид отсылает к "чтению документации"...
Ну пожалуйтесь в АСУС что-ли, для разнообразия. :D

А я бы перевернул фразу - там где виндузятник говорит, что это невозможно сделать, так как в GUI это не предусмотрено (и не будет реализовано никогда, ибо менеджер решил, что это нерентабельно), юниксоид пишет скрипт и всё работает.

LevT
08-04-2009, 14:49
По-прежнему из WAN не работает 22 порт на роутере. После перезагрузки:

[myself@usb-router root]$ cat /tmp/local/sbin/post-firewall
#!/bin/sh
iptables -t nat -nvL POSTROUTING | grep MASQUERADE | awk '{
"ifconfig "$7" | grep Mask" | getline ip;
split(ip,ip,":"); split(ip[2],ip," ");
split($8,src,"!");
if (src[1]=="") {src="! -s "src[2]} else {src="-s "src[1]};
if ($9=="0.0.0.0/0") {dst=""} else {dst="-d "$9};
system("iptables -t nat -A POSTROUTING -o "$7" "src" "dst" -j SNAT --to-source "ip[1]);
system("iptables -t nat -D POSTROUTING -o "$7" "src" "dst" -j MASQUERADE");
}'

iptables -I INPUT 5 -p tcp -m tcp -dport 22 --syn -j ACCEPT

[myself@usb-router root]$ iptables -L -nv
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
281 23543 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
16 960 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 state NEW
125 44653 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0 state NEW
0 0 ACCEPT tcp -- * * 0.0.0.0/0 10.10.10.2 tcp dpt:80
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- br0 br0 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 DROP all -- !br0 vlan1 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate DNAT
0 0 DROP all -- * br0 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 406 packets, 69734 bytes)
pkts bytes target prot opt in out source destination

Chain MACS (0 references)
pkts bytes target prot opt in out source destination

Chain SECURITY (0 references)
pkts bytes target prot opt in out source destination
0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x16/0x02 limit: avg 1/sec burst 5
0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x04 limit: avg 1/sec burst 5
0 0 RETURN udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5
0 0 RETURN icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain logaccept (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW LOG flags 7 level 4 prefix `ACCEPT '
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0

Chain logdrop (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW LOG flags 7 level 4 prefix `DROP '
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
[invoker@usb-router root]$ iptables -L -nvt nat
Chain PREROUTING (policy ACCEPT 2 packets, 285 bytes)
pkts bytes target prot opt in out source destination
0 0 VSERVER all -- * * 0.0.0.0/0 10.10.11.254

Chain POSTROUTING (policy ACCEPT 40 packets, 2352 bytes)
pkts bytes target prot opt in out source destination
0 0 SNAT all -- * vlan1 !10.10.11.254 0.0.0.0/0 to:10.10.11.254
0 0 SNAT all -- * br0 10.10.10.0/24 10.10.10.0/24 to:10.10.10.2

Chain OUTPUT (policy ACCEPT 40 packets, 2352 bytes)
pkts bytes target prot opt in out source destination

Chain VSERVER (1 references)
pkts bytes target prot opt in out source destination
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080 to:10.10.10.2:80
0 0 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:18830 to:10.10.11.129:18830
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:18830 to:10.10.11.129:18830
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 to:10.10.10.2:22

Другой вопрос: откуда берутся выделенные жирным строки (внизу в последнем абзаце)? В вебморде они сейчас не отображаются. Когда-то, когда роутер был в другой сети, я прописывал туда что-то подобное именно через вебморду...

Power
08-04-2009, 19:18
По-прежнему из WAN не работает 22 порт на роутере. После перезагрузки:
...


Хорошее правило: перед прописыванием в скриптах проверьте, что команда работает. В данном случае, у опции dport должно быть 2 дефиса:


iptables -I INPUT 5 -p tcp -m tcp --dport 22 --syn -j ACCEPT





Другой вопрос: откуда берутся выделенные жирным строки (внизу в последнем абзаце)? В вебморде они сейчас не отображаются. Когда-то, когда роутер был в другой сети, я прописывал туда что-то подобное именно через вебморду...
Возможно, осталось от UPnP.

LevT
08-04-2009, 20:11
Возможно, осталось от UPnP.

и сохраняется после многих перезагрузок и изменений сетевых адресов через вебморду?
Откуда хоть оно берётся-то каждый раз?

За вторую дэш большое спасибо, заработало наконец.



Ну пожалуйтесь в АСУС что-ли, для разнообразия. :D

А я бы перевернул фразу - там где виндузятник говорит, что это невозможно сделать, так как в GUI это не предусмотрено (и не будет реализовано никогда, ибо менеджер решил, что это нерентабельно), юниксоид пишет скрипт и всё работает.

В винде давно уже можно работать и в юниксоидном стиле, скриптами. При желании и настойчивости - гораздо меньшей, чем необходима для юникса.
А вот от юникса, видимо, в этой жизни уже не дождаться юзабельности.

Имхо, причины этому вовсе не экономические, а психологические и даже... патопсихологические. Почему-то юникс формирует психику адептов в определённом направлении...
Вот например безумный, отвратительно документированный синтаксис iptables... В винде есть netsh: он выдает внятную подсказку на каждый чих, по образу и подобию Cisco IOS. Защита линуксового синтаксиса, по моему опыту, строго коррелирует с квазирелигиозным мировоззрением адептов какого-то человеконенавистнического тоталитарного культа. Можно изучить неприятный инструмент, можно успешно его использовать... но любить его - это все равно что любить плётку или что-то похуже...

al37919
08-04-2009, 21:09
Проблема решена, "Патопсихологический" флейм продолжать не вижу смысла. Тема закрыта.