Bekijk de volledige versie : Доступ к роутеру из сети. Как это сделать?
Доброго времени!
Есть локалка за WL500g и реальный IP наружу. Хочется иметь доступ извне к машинам в своей локалке с определённого IP по определённому порту, скажем Radmin-ом. И чего-то не понимаю, как что прописать.
Поможете?..))
Сделать виртуальный сервер.
Олег, это-то понятно, но на виртуальном сервере я открою доступ со всех Ip, а хочется - в целях безопасности - только с определённых. Но фильтры строить нельзя, потому что внутри локалки работают Ftp и Iis, к ним как раз могут подключаться с любых Ip.
привет всем!
имею вопрос к многоуважаемой аудитории.
доступ в сеть происходит через ISA Server провайдера при посредстве установленного на моем компе Firewall Client'a.
и вот хочу установить у себя 500gP, подключив к нему и другие свои устройства, как по wi-fi, так и по проволоке.
задаю вопрос службе поддержки:
- могу я использовать роутер?
получаю ответ:
- не можете! встроенный фаервол роутера будет конфликтовать с протоколами, по которым работает Firewall Client, будет "отрубать верхние порты" (и еще что-то подобное). советуем обойтись точкой доступа - тогда проблем не будет.
к сожалению, я не очень большой знакток сетей, но все-таки мне как-то подозрителен такой ответ админов.
народ, подскажите, так ли это на самом деле?
или, может, тут имеет место просто желание провайдеров застраховаться от неудобной им в чем-то конфигурации?
заранее признателен за любые мнения и советы по данному вопросу.
Андрей
ranri@mail.ru
задаю вопрос службе поддержки
Какой вопрос, такой и ответ. Спросил бы лучше какой софт под Linux использовать для подключения. Тут бы они и раскололись :D Хотя врядли, что-то ни разу не слышал, чтобы под линухами через такой изврат в инет ходили... Но надавить не помешает, скажи что винды в гробу видел, и надо непременно в линухах, за что деньги платил и т.п. и т.д., может у них сознательности проснется ;)
Firemover
16-08-2006, 14:53
Немного непонимаю проблемы - в 500gp есть режим роутера, в нём файрволл не работает и проблем не причиняет - у меня таким образом пашет 5 штук премиумов и народ в филиалах спокойно юзает ISA в головном офисе.
Немного непонимаю проблемы - в 500gp есть режим роутера, в нём файрволл не работает и проблем не причиняет - у меня таким образом пашет 5 штук премиумов и народ в филиалах спокойно юзает ISA в головном офисе.
Да в ответе бред полный, но с другой стороны и вопрос не конкретный. В двух словах, у ISA сервера, есть режим, когда клиенты получают настройки файрвола у сервера, если их не получить, то доступа к инету не будет, т.е. по умолчанию запрещено все, а полученные от сервера правила кое что разрешают. Работает это все на базе AD (Active Directory). Другими словами раздать инет, через такой канал можно, подняв роутинг на виндовом клиенте, но как это сделать в полноценном linux-е, не говоря уже о 500gP, не ясно.
Есть:
wl500gP с прошивкой Олега. и 3 компа подключенных по Wi-Fi. IP соответственно 192.168.1.1-4. Внешняя сеть 10.30.*.* и инет по pptp (172.16.0.1)
Нужно:
запретить доступ в инет и во внешнюю сеть для одного из компов (192.168.1.4)
Подскажите как это можно сделать. (в iptables ничего не понимаю)
есть вообще хоть какое-нибудь описание для iptables?
iptables -I FORWARD -s 192.168.1.4 -j REJECT
есть вообще хоть какое-нибудь описание для iptables?
C помощью сложнейшего запроса к GOOGLE (http://www.google.ru/search?hl=ru&q=%D0%BE%D0%BF%D0%B8%D1%81%D0%B0%D0%BD%D0%B8%D0%B5 +iptables&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA+%D0%B2+Google&lr=) можно получить например вот эти результаты:
opennet.ru (http://www.opennet.ru/docs/RUS/iptables/)
ну или вот. (http://inform.p-stone.ru/libr/os/linux/data/public20/)
:rolleyes:
Можно ли организовать с помощью Роутера Wl500GP такой вариант.
Моя локальная сеть богата ресурсами. Часто так хочется подключится и скачать что нибудь.... Возможен ли такой вариант?
Наверное зависит от того, о каких ресурсах идет речь.
Если речь идет о внешнем доступе к роутеру, то оптимально использовать ssh (scp). Надо активировать ssh сервер (dropbear) на роутере, разрешить на файрволе внешний доступ и качать файлы. Лично я для комфорта пользуюсь плагином для far под названием winscp.
Если речь идет о машинах сидящих за роутером, то надо проборосить порты на файрволе (на роутере) и поставить на этих машинах, скажем, тот же ssh сервер (ну или ftp, если очень хочется, или http).
А если речь идет о внешнем доступе к сети м$, сидящей за роутером, то я не знаю :)
Объясню еще раз на пальцах. У меня провайдер (допустим для упрощения -Корбина) В ней множество локальных ресурсов всякие фтп радио...телевидение. Вот Допустим я (находясь вне дома) захотел к какому-то из этих ресурсов подключится. Пусть для простоты будет фтп.
(корбиновский провод то в этом случае стоит в WAN) подключаюсь я из вне тоже по WAN порту. (пк выключен работает только роутер у меня дома) Такое возможно?
ну, например, openvpn поставить можно
FilimoniC
06-04-2007, 11:27
Если надо ресурсы, которые могут работать через сокс-сервер, то:
- ставим дропбеар
- коннектимся Путти на него
- в настройках Путти SSH->Additional делаем сокс-сервера.
- НАстраиваем ослика на этот сокс и радемся :)
П.С, Дропбеар должен быть собран с этой фичей и эта фича должна быть включена => man dropbear
KRandall
27-04-2007, 14:17
Добрый день
Исходные данные в двух словах:
На моей службе наружу открыто всего 4 порта (21, 80, 443, 8080).
На WL-500gP у меня на них соответственно vsftpd, thttpd, dropbear и WEB-морда. Запустил на 8080 порту OpenVPN (для WEB-морды прописал другой порт), всвязи с этим вопрос:
Можно ли не перегружая роутер на определенном порту (8080) либо заходить в WEB-морду либо запускать OpenVPN? :confused:
ssh туннелирование нужно использовать.
Mirage-net
27-04-2007, 14:41
Можно ли не перегружая роутер на определенном порту (8080) либо заходить в WEB-морду либо запускать OpenVPN? :confused:
Можно ... ставим openvpn на 8081 веб морду на 8082 а потом заходя через ssh правилами файрвола перебрасываем 8080 на нужную в данный момент службу...
KRandall
27-04-2007, 15:47
ssh туннелирование нужно использовать.
Тут я совсем не в курсе, поищу :) Если можно в двух словах принцип работы?
Можно ... ставим openvpn на 8081 веб морду на 8082 а потом заходя через ssh правилами файрвола перебрасываем 8080 на нужную в данный момент службу...
Принцип понятен
Спасибо за направление куда копать :)
Тут я совсем не в курсе, поищу :)
Принцип понятен
Спасибо за направление куда копать :)
Всё просто: у putty, например, есть закладка туннели и там Вы прописываете
локальный номер порта (на локальной машине) и адрес+порт, на который сервер должен сам коннектится.
Т.е. если сделать правило:
L4080 192.168.1.2:80
то при активном ssh соединении и обращении к
http://127.0.0.1:4080/ будете попадать на 192.168.1.2:80
KRandall
28-04-2007, 09:19
Да, с ssh-туннелем все оказалось действительно просто :cool:
Настройки PuTTY:
http://s.foto.radikal.ru/0704/9c/76e6ea9660f9t.jpg (http://foto.radikal.ru/f.aspx?i=8d4d956464594a309e3645354eb2f80b)
и результат:
http://s.foto.radikal.ru/0704/cd/e0102db8aa8et.jpg (http://foto.radikal.ru/f.aspx?i=919b0cc5502c49eba0336a74cb69914d)
Спасибо :)
Заранее извеняюсь за ламерские вопросы ) Может ли ктонибудь из сети зайти на мой роутер и выходить через меня в интернет ? если может то как от этого обезопаситсья ?
FilimoniC
04-06-2007, 06:53
Насколько мне известно,этим по-умолчанию страдали прошивки Олега где-то двухмесячной давности,сейчас проблема решена!
В принципе если злоумышленник получит доступ к вашим настройкам,он бЕз труда откроет доступ из вне и будет гонять через вас инет.
Прошивка стандартная, последняя на данный момент.
Произошло следующее: сетевое устройство (внешний диск с eth) было подключено к одному из 4=х портов ЛАН роутера, ip назначены ручками (дхсп отключен, с дхсп вообще не видно было сетевого устройства), комп подключен по вайфаю, если пинговать сетевое устройство результат удовлетворительный, но не замэппить диск, не открыть веб-страничку (на устройстве беи сервер) не удаётся. (Походу только ip поднялся, tcp/ip лежит)
При прямом подключении сетевого устройства к копму всё пашет (диск мэппится, веб сервер работает)
Что это может быть и как побороть?
Спасибо.
Упд: всё заработало с горем пополам. :D
имеем локалку дома и локалку прова.
локалка прова - 172.20.x.x
локалка дома - 192.168.1.х
подключаюсь к админке по ip 192.168.1.1.
также при подключении по своему адресу, который выдает dhcp прова, к примеру 172.20.7.159 - тоже могу логиться.
вопрос как отключить доступ к админке из диапазона локалки провайдера 172.20.x.x?
думаю что то подкрутить в закладке Internet Firewall - WAN & LAN Filter.
просто запретить доступ оп 80 порту, но вот только в каких - LAN to WAN Filter или WAN to LAN Filter?
и как там прописать диапазон адресов?
также хочется закрыть telnet-доступ из диапазона 172.20.x.x.
пока что вообще отключил.
доступ чз web отключен.
заранее спсб.
проверять надо извне, т.е. из WAN, т.к. даже если подключение производится по внешнему адресу, оно происходит все равно внутри LAN, и поэтому разрешено. Блокировка iptables по умолчанию производится на уровне интерфейсов, а не ip адресов
что то не совсем понял.
как сделать то? )
проверять что?
кстати тока что проверил - несмотря на то что запрещен доступ из веба. при заходе на мой внешний ip - все равно диалог авторизации к админке появляется. (
со своей машины это не проверишь. Надо попытаться зайти от кого-то еще извне.
Можно попытаться запустить скан портов извне. Знаю например такой сервис: www.port-scan.de
Хотя на моем роутере он нашел не все открытые порты...
со своей машины это не проверишь. Надо попытаться зайти от кого-то еще извне.
Можно попытаться запустить скан портов извне. Знаю например такой сервис: www.port-scan.de
Хотя на моем роутере он нашел не все открытые порты...
Нафиг сложности, если можно свой комп воткнуть в WAN и проверять? :)))
Подскажите, plz, как запретить доступ в нет для определенного компа?
Прошивка - стандарт. Менять прошивку впадлу.
Заранее спасибо!
Настроить фаервол. Объяснять впадлу. :D
в Virtual Server List
прокинут 80 на 192.168.1.1 lighttpd - доступ из вне есть
а вот FTP сервер: vsftpd 20 и 21 - доступа нет
[admin@WL-500g root]$ iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
VSERVER all -- anywhere 10-2-33-19.users.mns.ru
NETMAP udp -- anywhere 10-2-33-19.users.mns.ruudp spt:6112 192 .168.1.0/24
autofw tcp -- anywhere anywhere tcp dpt:16567 autofw tcp dpt:16567 to:16567
autofw udp -- anywhere anywhere udp dpt:1200 autofw udp dpt:1200 to:1200
autofw tcp -- anywhere anywhere tcp dpt:30001 autofw tcp dpt:30001 to:30001
autofw udp -- anywhere anywhere udp dpt:30002 autofw udp dpt:30002 to:30002
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
NETMAP udp -- 192.168.1.0/24 anywhere udp dpt:6112 10.2.33 .19/32
MASQUERADE all -- !10-2-33-19.users.mns.ru anywhere
MASQUERADE all -- 192.168.1.0/24 192.168.1.0/24
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain VSERVER (1 references)
target prot opt source destination
DNAT tcp -- anywhere anywhere tcp dpt:27016 to:192 .168.1.2:27016
DNAT udp -- anywhere anywhere udp dpt:27016 to:192 .168.1.2:27016
DNAT tcp -- anywhere anywhere tcp dpts:ftp-data:ft p to:192.168.1.1:21
DNAT tcp -- anywhere anywhere tcp dpt:www to:192.1 68.1.1:80
как бороться, что делать...?
поиск юзал, не помогло!
ЗЫ
это
iptables -D INPUT -j DROP
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
тож не помогает.
:(
ЗЗЫ
думаю и ХТТП решение не оч верное
такс, убил все из NAT Setting (дАстал бардак)
в post-firewall вкорячил:
iptables -D INPUT -j DROP
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
а как проверить доступ из вне, никого не прося?
а то ночью фсе спят, а днем меня нет.
ЗЫ
из локалки разумеется все пашет, как собчно и раньше
второй вариант ближе к правильному. Еще надо бы добавить
iptables -P INPUT DROP
и убедиться, что в веб-ИФ Internet Firewall - Basic Config - Logged packets type = NONE
тогда все ОК (если провайдер, конечно, их держит открытыми)
angel_il
26-12-2007, 07:55
а как проверить доступ из вне, никого не прося?
а то ночью фсе спят, а днем меня нет.
я в гугле набрал online ping первая же ссылка.
второй вариант ближе к правильному. Еще надо бы добавить
iptables -P INPUT DROP
и убедиться, что в веб-ИФ Internet Firewall - Basic Config - Logged packets type = NONE
тогда все ОК (если провайдер, конечно, их держит открытыми)
Internet Firewall - Basic Config - Logged packets type = NONE
так и есть
iptables -P INPUT DROP
что дает?
я в гугле набрал online ping первая же ссылка.
21 и 80 port closed
думаю пинг тушится провом, так что не вариант
D_dmitry
26-12-2007, 13:28
пинговалка по умолчанию выключена на роутере
посматрите в установках фаервола
пинговалка по умолчанию выключена на роутере
посматрите в установках фаервола
знаю, у меня и пров пинг рубит
Здравствуйте. Помогите плз. Сеть устроена следующем образом: Роутер wl500gP, к нему приконекчены посредством vlan два десктопа и ноут посредством wifi. ип десктопа 192.168.1.4, ип ноута 192.168.1.2
Ни с ноута, ни с десктопа не могу пропинговать друг друга. Соответственно и доступ на расшаренные папки получить не могу. Подскажите в чем проблема? заранее спасиб.
Nitrogen
21-01-2008, 20:28
w500gp
вобщем на компьютере запущены:
192.168.1.5:2222 - uTorrent WEB-морда
192.168.1.5:3333 - WEB-морда Free Download Manager
зерегистрировано имя в dyndns.org и айпи автоматически обновляется роутером
на работе инет только через прокси и только на 80 или 443 порт
я могу настроить роутер что бы зайдя на http://xyz.dyndns.org:443 я попадал например на 192.168.1.5:2222 или на 192.168.1.5:3333 - без проблем, но тут ключевое слово ИЛИ, а я хочу иметь возможность заходить и туда и сюда
можно как-то так сделать?
как я вижу решение этой проблемы: когда я захожу на :443 я вижу веб-страничку с 2 кнопками - пойди туда, или пойди сюда ну и соотв попадать на нужную веб-морду :)
посоветуйте что нибудь
p.s поднять торрет\даунлодер на роутере не могу потому что сейчас нет винта usb-шного
Запустить на роутере dropbear на 443 порту и настроить ssh-туннели на любые компы/порты в lan
Подскажите в чем проблема? заранее спасиб.
Настраивайте "Совместный доступ к файлам" на компах.
Настраивайте "Совместный доступ к файлам" на компах.
При чем тут пинг?
Может фаервол в windows стоит/плохо настроен? Внешняя сеть имеет какие адреса? Случаем не такие же (192.168.1/24)?
При чем тут пинг?
Вот именно - не при чем. Ибо речь не о нем.
firewall может блокировать ICMP по-умолчанию.
Т.к. речь шла про "доступ на расшаренные папки", то задача сводится НЕ к пингу.
О настройке совместного доступа к файлам
можно почитать тут: http://support.microsoft.com/kb/304040/ru
Вот именно - не при чем. Ибо речь не о нем.
firewall может блокировать ICMP по-умолчанию.
Т.к. речь шла про "доступ на расшаренные папки", то задача сводится НЕ к пингу.
О настройке совместного доступа к файлам
можно почитать тут: http://support.microsoft.com/kb/304040/ru
1) Ссылочка немного неактуальна, тк я юзаю линукс
2) Я умею настраивать совместный доступ к папкам
3) для того чтобы была возможность получить доступ к расшаренным папкам, надо в первую очередь пинговать удаленный компьютер, а у меня как-раз данного пинга между компьютерами и нету. Так что речь в первую очередь как раз о пинге...
neacris
1) Если у тебя линукс, почему не уточнил КАК ты расшариваешь папки - NFS? CIFS? ftp?
3) извините, бред. ICMP никак не связан с возможностью расшаривания ресурсов. Да, так удобно определять жив ли удаленный узел, но не более!
neacris
1) Если у тебя линукс, почему не уточнил КАК ты расшариваешь папки - NFS? CIFS? ftp?
3) извините, бред. ICMP никак не связан с возможностью расшаривания ресурсов. Да, так удобно определять жив ли удаленный узел, но не более!
Расшариваю через самбу как Share. так вот, если комп в локалке торчит, то попасть на него из сети я могу, а вот если комп воткнут в роутер, то я его уже не вижу ни по внутреннему ипу 192.168.1.2 (этот ип выдан роутером) ни по 10.1.21.1 (этот ип выдается провайдером, я так понял что этот ип роутер хапает себе...)
И что вы заладили с шарой, первоначально вопрос стоял - почему компы пингануть не могу, а отсутствие доступа к шаре как следствие... У меня трабла в том, что один комп не видит другой в сети. Нету пинга, удаленного доступа, доступа к папкам... вобщем они не видят друг друга. Где я накасячил с настройками роутера? на компах с настройками все ок, фаерволы тоже настроены нормально...
Расшариваю через самбу как Share. так вот, если комп в локалке торчит, то попасть на него из сети я могу, а вот если комп воткнут в роутер, то я его уже не вижу...
Эта фраза никак не согласуется с архитектурой сети, которую вы описали в первом письме. Что такое в данном случае "локалка"? а "сеть" что такое?
Эта фраза никак не согласуется с архитектурой сети, которую вы описали в первом письме. Что такое в данном случае "локалка"? а "сеть" что такое?
Вобщем если комп воткнуть напрямую в сеть, то доступ на него есть из локальной сети, тоесть с шарой все ок.
Если комп воткнуть в роутер, то доступа на него нету ни с компов, подключенных к этому роутеру, ни с компов из сети (второе в принципе логично)
XameLion
13-03-2008, 23:06
В общем вопрос в subj:)
Как настроить доступ к роутеру, из вне.
1. Есть ли разница доступа из за границы?
2. Что надо набирать в строках браузера?
Заранее, спасибо:)
http://wl500g.info/showthread.php?t=12833
BlackHorse
17-03-2008, 03:50
Есть vsftp на asus wl500 - заколебал ломать один из товарищей далекого забугорья...
есть желание забанить его совсем, но vsftp не умеет такого делать...
а как по другому не пойму...
подскажите, плс!?!
добавить в post-firewall
iptables -P INPUT DROP
iptables -D INPUT -j DROP
iptables -A INPUT -s _IP_TO_BE_BLOCKED_ -j DROP
И проконтролировать полученный порядок правил iptables -L
BlackHorse
17-03-2008, 20:55
Файл post-firewall
===============================
#!/bin/sh
iptables -P DROP
iptabels -D INPUT -j DROP
iptables -A INPUT -s 72.22.64.86 -j DROP
iptables -I INPUT -i ppp0 -p tcp --syn --dport 65534:65534 -j ACCEPT
===============================
Результат
[admin@WL500 root]$ iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:65534 flags:
SYN,RST,ACK/SYN
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere state RELATED,ESTABL
ISHED
ACCEPT all -- anywhere anywhere state NEW
ACCEPT all -- anywhere anywhere state NEW
ACCEPT igmp -- anywhere BASE-ADDRESS.MCAST.NET/4
ACCEPT udp -- anywhere BASE-ADDRESS.MCAST.NET/4
SECURITY all -- anywhere anywhere state NEW
ACCEPT udp -- anywhere anywhere udp spt:bootps dpt:b
ootpc
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT icmp -- anywhere anywhere
DROP all -- anywhere anywhere
DROP all -- dedicated.ipowerweb.com anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
DROP all -- anywhere anywhere state INVALID
ACCEPT udp -- anywhere BASE-ADDRESS.MCAST.NET/4
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST,AC
K/SYN TCPMSS clamp to PMTU
ACCEPT all -- anywhere anywhere state RELATED,ESTABL
ISHED
DROP all -- anywhere anywhere
DROP all -- anywhere anywhere
SECURITY all -- anywhere anywhere state NEW
ACCEPT tcp -- anywhere anywhere tcp spts:ftp-data:ft
p dpts:ftp-data:ftp
ACCEPT all -- anywhere anywhere ctstate DNAT
DROP all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain MACS (0 references)
target prot opt source destination
Chain SECURITY (2 references)
target prot opt source destination
RETURN tcp -- anywhere anywhere tcp flags:SYN,RST,AC
K/SYN limit: avg 1/sec burst 5
RETURN tcp -- anywhere anywhere tcp flags:FIN,SYN,RS
T,ACK/RST limit: avg 1/sec burst 5
RETURN udp -- anywhere anywhere limit: avg 5/sec bur
st 5
RETURN icmp -- anywhere anywhere limit: avg 5/sec bur
st 5
DROP all -- anywhere anywhere
Chain logaccept (0 references)
target prot opt source destination
LOG all -- anywhere anywhere state NEW LOG level
warning tcp-sequence tcp-options ip-options prefix `ACCEPT '
ACCEPT all -- anywhere anywhere
Chain logdrop (0 references)
target prot opt source destination
LOG all -- anywhere anywhere state NEW LOG level
warning tcp-sequence tcp-options ip-options prefix `DROP '
DROP all -- anywhere anywhere
====================
Итог - нулевой... где копать?!
Работа над ошибками:
да, действительно, сходу не сообразил --- для того чтобы запрещать надо добавлять в начало цепочки, т.е.:
iptables -I INPUT -s 72.22.64.86 -j DROP
Остальное не нужно
BlackHorse
18-03-2008, 04:41
Спасибо! Судя по всему забанил... иначе лог vsftp за сутки 30МГб... :(
Собственно вопрос вот в чем. Есть удаленная точка доступа у провайдера. Использыемый протокол PPTP.
Сейчас работает так. Есть отдельное WiFi (D-Link 2100) подключенное к провайдеру по WiFi, к которому по проводу подключен 500gP по WAN интерфесу. К 500gP соответственно подключены компы. Все работает.
Возможно ли используя WiFi в 500gP получить доступ в инет трех компов которые подключаем првовдами к 500gP. т.е. подключение к провадеру по PPTP через WiFi модуль роутера 500gP?
Возможно ли используя WiFi в 500gP получить доступ в инет трех компов которые подключаем првовдами к 500gP. т.е. подключение к провадеру по PPTP через WiFi модуль роутера 500gP?
Да, возможно.
В теме FAQ: Часто задаваемые вопросы описан Клиентский режим (http://wl500g.info/showthread.php?p=41805#post41805).
Всем здрасьте . Народ, помогите с "задачкой".
Есть домашняя сетка , в ней 2 компа : первый - 192.168.10.187 и второй - 192.168.4.10. Суть в том что в сети жутко дорогой и отстойный канал в инет. А у 192.168.4.10 - есть АДСЛ модем с эзернетным разъемом и относительно дешевый анлимный инет, которым он готов поделиться с 192.168.10.187.
Хотелось бы сделать для 192.168.10.187 доступ , но реализовать все это на роутере wl500g premium , ибо комп у чела с модемом на ночь выключается.
Посоветуйте , как лучше сделать ? Люди советуют воткнуть модем в WAN роутера, сеть и комп в LAN , настроить для компа 192.168.4.10 нат , я для 192.168.10.187 поднять openvpn. Тока я в маршрутизации не силен :) Разжуйте, плз :) Заранее спасибо тем , кто откликнется.
что-то ниче не понятно кто где находится и как подключается :rolleyes:
дык подключи как советуют и смотри какие грабли вылезают :)
Простите может вопрос дурацкий, но я ничего не нашел поиском. вопрос в следующием, нужно закрыть доступ определеных IP адресов и/или МАС Адресов из внутрисети к определеным сайтам (IP адресам). А то у меня безлимитка всего на 1 мегабит, а делит ее 5 человек, дак там один умный человек своими торрентами почему то забивает 98% канала, когда качает, аж сайты не грузятся
тут походу шейпер трафика нужен.
где то это уже обсуждалось
по моему можно в вебе ограничить канал для пользователя
У меня безлимит до ресурсов оператора (5 ип адресов) идет со скоростью 10 мегабит, а все остальное это внеха, со скоростью 1 мегабит, так вот внутрисеть (эти 5 ип адресов) я вообще не хочу ограничивать, а вот внеху мне очень надо. Тоесть мне нужно немного усовершенствовать вебовский ограничитель, тоесть урезать канал на внеху 2м ИП адресам внутрисети, килобит так на 300. причем канал это даже не обязательно повышать если никто кроме них не сидит в инете. и вообще очень хочется закрыть сайты с торентами.
поставил вот этот шейпер http://wl500g.info/showthread.php?t=13877 поставил ИП того парня который грузит 95% канал своими торентами, в список с низкими приоритетами, и 80 порт как высокоприоритетный, все равно пока он один качал, все остальные делили остаышиеся от 1000 килобит - 70-100 килобит между собой. пришлось воспользоватся вебом и урезать его по полной
Здравствуйте.
У меня роутер asus wl500g premium с вашей прошивкой (от Олега) - v1.9.2.7, за которую Вам огромное спасибо!
Интернет через vpn (провайдер "матрикс", Санкт-Петербург) и локальная сеть.
Последний месяц получается так, что часто нахожусь вне дома в одном и том же месте и хочется иметь доступ во внутреннюю (локальную) сеть "матрикс" через другого провайдера.
Т.е. вопрос мой в следующем: как настроить роутер, чтобы можно было попасть во внутреннюю(локальную) сеть (матрикс) с определенного внешнего адреса?
Как я понял,почитав немного на форуме, делается это с помощью virtual server, но как конкретно ясности нет....
Тыкните носом, если такая тема уже обсуждалась.
Заранее спасибо!
dimokrat
11-05-2008, 20:21
Здравствуйте.
У меня роутер asus wl500g premium с вашей прошивкой (от Олега) - v1.9.2.7, за которую Вам огромное спасибо!
Интернет через vpn (провайдер "матрикс", Санкт-Петербург) и локальная сеть.
Последний месяц получается так, что часто нахожусь вне дома в одном и том же месте и хочется иметь доступ во внутреннюю (локальную) сеть "матрикс" через другого провайдера.
Т.е. вопрос мой в следующем: как настроить роутер, чтобы можно было попасть во внутреннюю(локальную) сеть (матрикс) с определенного внешнего адреса?
Как я понял,почитав немного на форуме, делается это с помощью virtual server, но как конкретно ясности нет....
Тыкните носом, если такая тема уже обсуждалась.
Заранее спасибо!
Если я не ошибаюсь, кроме собственно Virtual Server (это несложно) Вам нужно еще настроить VPN-соединение между компьютером "снаружи" и локальной сетью Матрикс. Все зависит от того, к каким именно ресурсам локальной сети Вы хотите иметь доступ.
Чесно говоря незнаю как с Virtual Server нормально можно работать. Итак:
установил на компютере Cerberus FTP сервер, роутер через MC по локалке нормально скачивает и выкачивает файлы всё ОК супер пупер.
Прописал я в Virtual Server свой комп и его фтп, захожу с интернета туда на фтп, да заходит логинитса НО Cerberus FTP видит что ему стучитса комп с ИНТЕРНЕТ ІР адреса(я ожыдал что ето будет с локально адреса роутера то есть 192.168.1.1) и происходит ерор. Потому что (так как я считаю) мой комп не может ответить на такой адрес компютеру с интернета, и в ответ тот слышит только тишыну...
Наверное нужно ставить Openvpn, и только так можно етого добитса. Я ещё с етим openvpn не разобрался но думаю что если его настроить то нафиг не будет нужен етот Virtual Server. Вопшем я не знаю как с Virtual Server работать, обьясните популярно и автору поста тоже будет очень интесесно.
dimokrat
12-05-2008, 08:33
Чесно говоря незнаю как с Virtual Server нормально можно работать. Итак:
установил на компютере Cerberus FTP сервер, роутер через MC по локалке нормально скачивает и выкачивает файлы всё ОК супер пупер.
Прописал я в Virtual Server свой комп и его фтп, захожу с интернета туда на фтп, да заходит логинитса НО Cerberus FTP видит что ему стучитса комп с ИНТЕРНЕТ ІР адреса(я ожыдал что ето будет с локально адреса роутера то есть 192.168.1.1) и происходит ерор. Потому что (так как я считаю) мой комп не может ответить на такой адрес компютеру с интернета, и в ответ тот слышит только тишыну...
Наверное нужно ставить Openvpn, и только так можно етого добитса. Я ещё с етим openvpn не разобрался но думаю что если его настроить то нафиг не будет нужен етот Virtual Server. Вопшем я не знаю как с Virtual Server работать, обьясните популярно и автору поста тоже будет очень интесесно.
Суть технологии Virtual Server (она же обзывается "пробросом портов снаружи" заключается в банальном - для всего интернета снаружи роутера по умолчанию не существует ничего за этим роутером. То есть доступ к фтп, ввв и прочим ресурсам они могут получить только, если эти ресурсы расположены на роутере.
Проброс портов позволяет указать, что при обращении на такой-то порт снаружи роутер автоматически перенаправляет пакеты на тот компьютер (и даже возможно подменить номер порта) из внутренней сети, который указан в настройках. Это необходимое условие для открытия многих сервисов изнутри наружу.
Само собой, при обращении по фтп снаружи в логах фтп-сервера будет виден IP адрес внешнего компьютера - поскольку роутер перебрасывает трафик максимально прозрачно.
В Вашем случае, как мне кажется, проблема в том, что фтп-сервер работает только в пассивном режиме. Посмотрите такую настроечку в нем. А также попробуйте подключиться снаружи разными клиентами, и кроме 21-го порта пробросьте еще и 20 (FTP DATA).
А про OpenVPN тема была где-то рядом. Еще можно поднять VPN-сервер не на роутере, а на том компьютере за роутером, на котором стоит фтп-сервер. В Windows XP, например, это делается очень легко встроенными средствами (VPN-сервер есть даже в Home Edition).
Читаем вот эту тему (http://wl500g.info/showthread.php?t=12833&highlight=ssh-%F2%F3%ED%ED%E5%EB%FC)
Читаем вот эту тему (http://wl500g.info/showthread.php?t=12833&highlight=ssh-%F2%F3%ED%ED%E5%EB%FC)
Большое спасибо, теперь буду разбираться :)
Как я понял OpenVPN нечто аналогичное, если не то же самое?
aivanov, извиняюсь, что здесь пишу, не хочется захламлять предложенную Вами тему лишними вопросами...почитав слегка сразу появилсь вопросы:
1) К каждому ресурсу в локальной сети провайдера доступ нужно будет отдельно настраивать или можно сразу ко всем?
2) Придется ли дополнять таблицу роутинга?
(заранее извиняюсь, если вопросы глупые, но есть огромное желание разобраться!)
Самому разбираться - это конечно очень продуктивно, но если кто-то поможет будет намного быстрее :)
Есть 2 провайдера с локальной сетью(будет обозначать сеть1 и сеть2).
В сети1 адреса 192.168.*.*
В сети2 адреса 10.0.*.*.
Как сделать чтобы для некоторых компов из сети1 была видна вся сеть2.
И наоборот некоторых компов сети2 - вся сеть сеть1.
Роутер на обе сети уже настроен и с него они обе видны.
Имею WL-500gP с 10 прошивкой.
AndreyPopov
27-05-2008, 17:51
Есть 2 провайдера с локальной сетью(будет обозначать сеть1 и сеть2).
В сети1 адреса 192.168.*.*
В сети2 адреса 10.0.*.*.
Как сделать чтобы для некоторых компов из сети1 была видна вся сеть2.
И наоборот некоторых компов сети2 - вся сеть сеть1.
Роутер на обе сети уже настроен и с него они обе видны.
Имею WL-500gP с 10 прошивкой.
вам придется договариться с обоими провайдерами, что нереально для немаршрутизируемых адресов.
т.е. у себя на маршрутизаторе вы конечно можете прописать :
192.168.*.*/255.*.*.* 10.0.*.** (адрес вашего wl500 в сети 10.)
10.0.*.*/255.*.*.* 192.168.*.** (адрес вашего wl500 в сети 192.)
но главное, чтобы провайдерЫ сделали у себя тоже самое.
если же хотите без провайдеров, то надо на WL500g поднимать скажем OpenVPN Server и ставить на компах клиентов.
вам придется договариться с обоими провайдерами, что нереально для немаршрутизируемых адресов.
т.е. у себя на маршрутизаторе вы конечно можете прописать :
192.168.*.*/255.*.*.* 10.0.*.** (адрес вашего wl500 в сети 10.)
10.0.*.*/255.*.*.* 192.168.*.** (адрес вашего wl500 в сети 192.)
но главное, чтобы провайдерЫ сделали у себя тоже самое.
если же хотите без провайдеров, то надо на WL500g поднимать скажем OpenVPN Server и ставить на компах клиентов.
Спасибо за совет.
А нельзя скажем на компах прописать маршрут через роутер, а в iptables "замутить" что-нить с маскарадингом в зависимости от того откуда приходит запрос?
Спасибо за совет.
А нельзя скажем на компах прописать маршрут через роутер, а в iptables "замутить" что-нить с маскарадингом в зависимости от того откуда приходит запрос?
Можно попробовать использовать роутер дефолт гейтвеем на компах, но не факт, что компы смогут к нему стучаться если сеть на активном оборудовании.
есть два роутера 500gp, они находятся в одной подсети.
как сделать, чтобы был доступ из одной сети в другую...
на компьютерах windows xp
я писал маршруты, но к результату это ни привело...
если уже обсуждалось, пожалуйста, скажите где читать
нужно перевести роутеры в режим свитчей (нужно тогда будет перенастроит компы на восходящие маршрутизации и DNS-сервера), либо OpenVPN (см. поиск по форуму)
возможно тебе просто нужно пробросить порты... (см. поис по форуму)
Как включить доступ к web-морде из wan из шелла?
nvram set ...
iptables -A INPUT -p tcp --syn --dport 80 -j ACCEPT
кажись так.
для постоянного надо это внедрить в post-firewall
Подобное правило прописано. У меня в web морде убрана галка enable access from wan или как-то так.
Вот как ее обратно поставить не заходя в web-морду?
Если приводить аналогию с телнетом - то он включается/выключается так:
nvram set telnet_enable=1 (ну или 0 в зависимости, что нужно)
Вопрос в чем: админку для доступа открыть можно подобным образом? какой параметр тогда менять?
ммммм у меня тоже оно так стояло, просто я был в румынии а надо было сделать доступ к веб-морде. я его кажись указанной командой делал. и всё работало.
м.. не-а, все равно нету доступа...
слух а если поставитть на нем lynx или links и локально в консольном браузере поправить галку... а вообще надо бы поискать тут, может чтото писали подобное.
Если есть доступ по SSH то кто мешает сделать SSH туннель?
кто-то мешает... не поднимается...
поставитть на нем lynx или links и локально в консольном браузере поправить галку... а вообще надо бы поискать тут, может чтото писали подобное.
Не, там в админке явы много - lynx не покатит...
Поиск курил все утро, прежде чем тему создать, так и не нашел ничего
allagerev
10-10-2008, 21:01
Собственно на входе wl500w за ним два десктопа(по проводу) ноутбук(wi fi) и level one fns-5000b. Я совсем не силен в сетевых технологиях равно как и в линуксе, по-этому меня хватило на настройку интернета iptv и локальной сети внутри (192.168.1.x).Провайдер корбина. Но ИМЕЯ СТАТИЧЕСКИЙ (ИНТЕРНЕТ) IP Я ХОТЕЛ БЫ ИМЕТЬ ДОСТУП ДО FNS-5000B из интернета. А вот тут проблема - ЗНАНИЙ НЕ ХВАТАЕТ.
Прошу, те кто может помочь - скажите какая информация нужна, чтобы представлять то что есть у меня (настройки, логи и пр.)
И ПРОШУ ПОДСКАЗАТЬ И ПОМОЧЬ
СПАСИБО ВСЕМ КТО ОТВЕТИТ !!!
D_dmitry
10-10-2008, 22:40
думаю самый легкий способ
смантировать серевой диск по NFS
типа (http://www.redhat.com/docs/manuals/enterprise/RHEL-4-Manual/sysadmin-guide/s1-nfs-mount.html)
как поднять nfs сервер - можно в инструкции прочитать к сетевому диску
а дальше поднять фтипи на роутере с доступом к той папке куда смантировали диск :) вот и все
allagerev
11-10-2008, 10:04
спасибо за ответ но это как я понимаю не совсем то что мне надо. дело в том что ftp серевер уже есть, как и несколько других, только вот попасть на них из интернета неполучается.
описание устройства
Электроника:
Процессор FreeScale 8241 частотой 266 МГц
128 Мб DRAM
16 Мб флэш-памяти
Операционная система Embedded Linux
Жёсткие диски:
Поддержка двух 3.5" жёстких дисков с интерфейсом S-ATA объёмом до 1 Тб каждый
Возможность установки RAID-массивов уровня 0, 1 и JBOD
Возможность горячей замены винчестеров
Обнаружение выхода из строя HDD
Автоматическое восстановление информации
Файловая система:
Journaling File System
Web File Manager - удалённое управление файлами
Поддержка файлов размерами выше 2 Гб
Поддержка Unicode (русские имена файлов)
Поддержка Microsoft ACL
Возможность настройки квоты пользователей
Настройка резервного копирования
Порты и разъёмы:
1 сетевой RJ45 порт 10/100/1000 Mbps
3 порта USB 2.0
1 гнездо для замка Kensington Lock
Протоколы и сетевые возможности:
Поддержка сетевых протоколов TCP/IP, NetBEUI, Apple Talk
Microsoft Networks (CIFS/SMB)
Поддержка сетей Novell Netware (NCP)
Apple (AFP)
Unix (NFS)
Internet (HTTP)
File Transfer Protocol (FTP)
Статический или динамический IP-адрес
IPX
Поддержка клиентов:
Windows 98SE/2000/2003/XP
MacOS 7.5 и выше
Настройка и конфигурирование
Web-интерфейс для системного администрирования
Мастер быстрой настройки
Возможность записи и восстановления настроек
Возможность аппаратного сброса настроек кнопкой Reset
Оповещение об ошибках с помощью E-Mail или встроенного зуммера
LED-индикация
Встроенные серверы
USB-принтсервер (только для платформы Windows)
Bittorent-клиент
Download-ассистент
iTunes сервер
uPnP сервер
Мультимедиа-сервер: показ фотографий, локальное воспроизведение файлов
Веб-сервер (PHP4, SQLite) Физические параметры:
Металлический корпус размерами 214x175x115 мм
Вес 2.4 Кг без винчестеров и блока питания
Один вентилятор
Внешний блок питания
Три светодиода: Power, Error, Network, HDD
Работа при температурах от 0 до 35 градусов Цельсия
Зачем нам про три светодиода?
Может еще вес влияет?
Читайте про Virtual Server и настройку firewall iptables
furry-cheetah
12-10-2008, 20:33
Ситуация сложилась интересная, после 3х дне раскопок форума, так и не нашел вразумительного ответа, все отрывки, в сумме результат не вышел.
Картина следующая:
Вся сеть разбита на подсети типа:
10.10.1.1-200
10.10.2.1-200
и тп. до
10.20.16.250
Мне досталась подсеть 10.20.16.х
Основной шлюз через который идет доступ ко всем остальным подсетям 10.20.16.1 соответственно.
Инет работает без вопросов, через роутер свободно видятся все компы моей подсети (т.е. адреса которых начинаются на 10.20.16.ххх), а вот достучаться в другие подсети не получается. Если кабель от провайдера переподключить напрямую в сетевую плату, изменить IP и настроить VPN - работает и интернет и доступны все подсети.
Мои настройки
Роутер WL-500G Premium
Прошивка 1.9.2.7-10 от Олега
IP Config - WAN & LAN
WAN Connection Type: PPTP
WAN Connection Speed: Auto negotination
WAN IP Setting
Get IP automatically? No
IP Address: 10.20.16.63
Subnet Mask: 255.255.255.0
Default Gateway: 10.20.16.1
WAN DNS Setting
Get DNS Server automatically? No
DNS Server1: 195.7.162.244
DNS Server2: 195.42.69.18
PPPoE, PPTP or L2TP Account
User Name: логин
Password: ***пасс***
Idle Disconnect Time in seconds(option): 18000
MTU: 1492
MRU: 1492
PPTP Options: None
Enable PPPoE Relay? No
Special Requirement from ISP
Heart-Beat or PPTP/L2TP (VPN) Server: 192.168.100.200
LAN IP Setting
Host Name: Runner-WL-500GP
IP Address: 192.168.0.1
Subnet Mask: 255.255.255.0
Status
WAN Type: PPTP
IP Address: 87.118.224.203
Subnet Mask: 255.255.255.255
Gateway: 87.118.224.2
DNS Servers: 195.42.69.18
Link Status: Connected
Сетевые настройки на компе.
IP-адрес: 192.168.0.5
Маска подсети: 255.255.255.0
IP-адрес: 10.11.96.199
Маска подсети: 255.255.0.0
(это не ошибка, одна карта имеет 2 настроенных IP какраз для доступа в подсеть)
Основной шлюз: 192.168.0.1
DNS-сервер: 192.168.0.1
Первым делом подумал, что необходимо прописать маршрутизацию. Через веб интерфейс делаю следующее:
IP Config - Route
Use DHCP routes? No
Enable multicast routing? Yes
Enable static routes? Yes
Static Route List
Network/Host IP Netmask Gateway Metric Interface
10.0.0.0 255.255.0.0 10.20.16.1 0 MAN
Apply -> Finish-> Restart
Ничего не изменилось, подсети не видны.
Я так понимаю, что у роутера на WAN прописан хардварный IP 10.20.16.63, а VPN - свой виртуальный адрес порта 87.118.224.203.
Из винды делаю tracert nicos.ru (сайт провайдера доступный без инета и скрытый в дебрях сети) и опаньки:
tracert nicos.ru
Трассировка маршрута к nicos.ru [195.7.162.244]
с максимальным числом прыжков 30:
1 <1 мс <1 мс <1 мс Runner-WL-500GP [192.168.0.1]
2 27 ms 16 ms 20 ms 87.118.224.2
3 * * * Превышен интервал ожидания для запроса.
4 1 ms 1 ms 1 ms 195.7.176.17
5 1 ms 1 ms 1 ms beta.tagtech.ru [195.7.162.244]
Трассировка завершена.
Второй узел не физический адрес WAN, а VPN.
Захожу телнетом на роутер и делаю route
[admin@Runner-WL-500GP root]$ route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.100.200 10.20.16.1 255.255.255.255 UGH 1 0 0 vlan1
10.20.16.0 * 255.255.255.0 U 0 0 0 vlan1
192.168.0.0 * 255.255.255.0 U 0 0 0 br0
10.0.0.0 10.20.16.1 255.255.0.0 UG 1 0 0 vlan1
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default 87.118.224.2 0.0.0.0 UG 0 0 0 ppp0
default 10.20.16.1 0.0.0.0 UG 1 0 0 vlan1
Маршрут на месте. Но всеравно не работает.
Настораживает default. Если честно, с линуксом дружу давно, но так копать глубоко еще не приходилось.
Если удалить default
[admin@Runner-WL-500GP root]$ route del default
[admin@Runner-WL-500GP root]$ route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.100.200 10.20.16.1 255.255.255.255 UGH 1 0 0 vlan1
10.20.16.0 * 255.255.255.0 U 0 0 0 vlan1
192.168.0.0 * 255.255.255.0 U 0 0 0 br0
10.0.0.0 10.20.16.1 255.255.0.0 UG 1 0 0 vlan1
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default 10.20.16.1 0.0.0.0 UG 1 0 0 vlan1
то
tracert nicos.ru
Трассировка маршрута к nicos.ru [195.7.162.244]
с максимальным числом прыжков 30:
1 <1 мс <1 мс <1 мс Runner-WL-500GP [192.168.0.1]
2 2 ms 3 ms 2 ms 10.20.16.1
3 3 ms 2 ms 2 ms 195.7.176.17
4 1 ms 1 ms 2 ms beta.tagtech.ru [195.7.162.244]
Трассировка завершена.
То трассировка идет по правильному маршруту, но инет соответственно не работает и адреса в подсетях не пингуются.
Тут же перставляю кабель в сетевуху, не меняя никаких настроек, и о чудо, пинг в подсеть проходит.
Enable Firewall Yes\No Тоже ни на что не повлияло.
У меня сложился вывод, что доступ в подсеть рубится на уровне роутера.
Уважаемый ГУРУ, прошу вашей помощи в решении проблемы. Меня бы это так не волновало, но в подсетях лежит куча вкусностей, например DC++ хабы, сидит куча народа, ftp и пр.
Static Route List
Network/Host IP Netmask Gateway Metric Interface
10.0.0.0 255.255.0.0 10.20.16.1 0 MAN
Если у вас там сети
10.10.1.1-200
10.10.2.1-200
и тп. до
10.20.16.250
то вам нужно задать такую маску, чтоб охватить их все, либо прописать маршруты по отдельности. Т.е. вместо вышеприведённой 10.0.0.0/255.255.0.0 использовать, например, 10.0.0.0/255.0.0.0 (если более узко, то 10.0.0.0/255.224.0.0, это охватит 10.0.*.*-10.31.*.*).
И с компа, естественно, второй IP адрес (10.11.96.199) после этого нужно убрать.
furry-cheetah
13-10-2008, 19:13
Если у вас там сети
10.10.1.1-200
10.10.2.1-200
и тп. до
10.20.16.250
то вам нужно задать такую маску, чтоб охватить их все, либо прописать маршруты по отдельности. Т.е. вместо вышеприведённой 10.0.0.0/255.255.0.0 использовать, например, 10.0.0.0/255.0.0.0 (если более узко, то 10.0.0.0/255.224.0.0, это охватит 10.0.*.*-10.31.*.*).
И с компа, естественно, второй IP адрес (10.11.96.199) после этого нужно убрать.
Спасибо за скорый ответ. Попробовал - фокус не удался :D.
Мои действия:
1)Удаляю второй IP на сетевухе, остался 192.168.0.5
2) Прописываю маршрут
Network/Host IP Netmask Gateway Metric Interface
10.0.0.0 255.0.0.0 10.20.16.1 0 MAN
IP самого роутера 10.20.16.63, подсеть 255.255.255.0
3)Делаю ping 10.20.16.1 , затем ping 10.20.16.61 (чтобы убедиться что шлюз моей подсети и хотябы один комп пингуется) Все ОК.
4)Делаю ping 10.11.85.85 (предварительно убедившись со второго компа, подключенного минуя роутер, что он в сети и пингуется)
ping 10.11.85.85
Обмен пакетами с 10.11.85.85 по 32 байт:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Статистика Ping для 10.11.85.85:
Пакетов: отправлено = 2, получено = 0, потеряно = 2 (100% потерь)
Не пошло.
5) Делаю tracert 10.11.85.85
tracert 10.11.85.85
Трассировка маршрута к 10.11.85.85 с максимальным числом прыжков 30
1 <1 мс <1 мс <1 мс Runner-WL-500GP [192.168.0.1]
2 10.20.16.1 сообщает: Заданная сеть недоступна.
Трассировка завершена.
Уже прогресс! Запрос пошел на шлюз (не в ppp0) но на этом все и заканчивается.
6) На компе cmd -> route -f -> перезагрузка. Все осталось как прежде, как доступа небыло, так и нет.
Еще есть идеи? Спасибо :)
P.S.
iptables -t nat -nL
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
VSERVER all -- 0.0.0.0/0 87.118.224.245
VSERVER all -- 0.0.0.0/0 10.20.16.63
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- !87.118.224.245 0.0.0.0/0
MASQUERADE all -- !10.20.16.63 0.0.0.0/0
MASQUERADE all -- 192.168.0.0/24 192.168.0.0/24
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain VSERVER (2 references)
target prot opt source destination
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21215 to:192.168.0.5:21215
DNAT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:21215 to:192.168.0.5:21215
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:4662 to:192.168.0.2:4662
DNAT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:4672 to:192.168.0.2:4672
Есть одна идея, но прежде вопрос: откуда вы взяли следующие данные? Сами придумали или провайдер сказал?
1)
Основной шлюз через который идет доступ ко всем остальным подсетям 10.20.16.1 соответственно.
2)
IP-адрес: 10.11.96.199
Маска подсети: 255.255.0.0
Просто эти данные противоречивы. Если у вас (точнее, у интерфейса) есть адрес в подсети, то она является "присоединённой" к интерфейсу, то есть все пакеты с адресом назначения из этой подсети отправляются непосредственно в сеть минуя шлюз (т.е. сначала идёт широковещательный arp-запрос, а потом по выясненному MAC-адресу направляется пакет).
Имея адрес, указанный в 2), интерфейс имеет присоединённую сеть 10.11.0.0/255.255.0.0 и все пакеты туда отправляются минуя шлюз, что противоречит 1).
В общем, уточните все данные и признавайтесь.
А на втором компе, который пингуете, обратный маршрут прописывали?
furry-cheetah
13-10-2008, 20:35
Есть одна идея, но прежде вопрос: откуда вы взяли следующие данные? Сами придумали или провайдер сказал?
IP компа 10.20.16.63\255.255.255.0 и шлюз 10.20.16.1 присвоенный по договору провайдером (привязки по маку нет, все адреса статические)
IP-адрес: 10.11.96.199\255.255.0.0 - величина абстрактная, свободный адрес в 10.11.96.*\255.255.0.0 На адресах типа 10.11.*.* находится уйма и официальных и неофициальных адресов взятых без ведома провайдера, а может и по ведому, кто их знает :) Это не наказывается, т.к. официальные адреса имеют вид 10.*.*.180 и меньше.
Ах да еще забыл, зачем такие сложности. Адреса вида 10.11.*.* принадлежат провайдеру1. Все остальные 10.12-50.*.* провайдеру2. Прямой видимости между сетями провайдеров нет, но на самом деле сети соеденены :). Если поытаться подключиться к узлам провайдера1 имея IP провайдера2 - получается какраз
tracert 10.11.85.85
Трассировка маршрута к 10.11.85.85 с максимальным числом прыжков 30
1 <1 мс <1 мс <1 мс Runner-WL-500GP [192.168.0.1]
2 10.20.16.1 сообщает: Заданная сеть недоступна.
Трассировка завершена. Если тутже прописать второй IP или сменить свой единственный на IP из диапазона провайдера1 - то Welcome
tracert 10.11.85.85
Трассировка маршрута к 10.11.85.85 с максимальным числом прыжков 30
1 <1 мс <1 мс <1 мс 10.11.85.85
Трассировка завершена.
Ааааа, я кажется понимаю ход мысли :) В общем смысл такой, чтоб попасть к провайдеру1 и насладиться его вкусностями нужно иметь адрес его диапазона, а чтобы пользоваться инетом - адрес диапазона своего.
Теперь понятно, почему нет доступа к подсетям. Роутер имеет IP провайдера2. Задача стала немного иной. Присвоить WAN порту 2 реальных IP и чтоб запрос сети вида 10.11.*.* шел через адрес подобного вида, на все остальное, через реальный 10.20.16.63 :)
Спасибо за наводку с адресами :) Какие есть предложения?
А на втором компе, который пингуете, обратный маршрут прописывали?
Нет, комп не мой и физического доступа к нему не имею. Он свободно пингуется как и куча ресурсов, если себе присвоить адрес типа 10.11.*.* Похоже это провайдеры договорились резать трафик между собой, но народ просек фишку и нашел лазейку с адресами :)
Вы своим последним сообщением, честно говоря, только больше запутали :) Но это не важно.
Попробуйте просто в настройках WAN IP Setting прописать маску 255.0.0.0, не меняя остальное, и проверить наличие доступа ко всем нужным сетям и инету.
furry-cheetah
13-10-2008, 20:59
Не поможет, это с компа не работает. Сейчас объясню проще. Эксперименты уже ставились :)
Если грубо то:
У меня провайдер1 с сетью с адресами вида 10.20.16.*.
Есть еще некий провайдер2 с сетью с адресами типа 10.11.1.*
сеть1(10.20.16.63)----------х|экран не пускает с моим адресом|х----------сеть2(10.11.1.*)
Сети провайдеров соеденены, но я из сети 1 имея адрес вида 10.20.16.* не могу попасть в сеть 2. Как не пытался, доступ на адреса вида 10.11.1.* рубится неким сетевым экраном.
Народ придумал фишку. Я своей lan карте присваиваю (помимо адреса 10.20.16.63) второй любой не занятый из адресов 10.11.1.* (второй сети) При этом сетевой экран прекрасно меня пропускает из сети 1 в сеть 2, а также остается доступ в моей сети 1.
сеть1(например добавлю себе адрес 10.11.1.220)---->|экран пропускает|<----сеть2(10.11.1.*)
(С.М. скриншот. При таком раскладе я имею доступ в обе сети и пользуюсь интернетом, если оставить только первый адрес - у меня будет только инет и доступ в свою сеть1)
Теперь задача такова - настроить роутер как сетевую карту, т.е присвоить wan порту 2 IP адреса, чтобы он смог беспрепятственно ползать как в моей сети 1 так и в сети 2. :)
Теперь задача такова - настроить роутер как сетевую карту, т.е присвоить wan порту 2 IP адреса, чтобы он смог беспрепятственно ползать как в моей сети 1 так и в сети 2.
Это просто. Добавляете в /usr/local/sbin/post-boot строчку
ifconfig vlan1:0 10.11.96.199 netmask 255.255.0.0
Это есть в инструкции с нуля: http://wl500g.info/showthread.php?t=3171
furry-cheetah
13-10-2008, 21:20
Это просто. Добавляете в /usr/local/sbin/post-boot строчку
ifconfig vlan1:0 10.11.96.199 netmask 255.255.0.0
Это есть в инструкции с нуля: http://wl500g.info/showthread.php?t=3171
Спасибо огромное!!! Все работает на ура!
Появился еще некий интерфейс
vlan1:0 Link encap:Ethernet HWaddr 00:80:48:2A:27:B0
inet addr:10.11.96.199 Bcast:10.255.255.255 Mask:255.255.0.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Пробуем заломиться в другую подсеть:
tracert 10.11.69.237
Трассировка маршрута к 10.11.69.237 с максимальным числом прыжков 30
1 <1 мс <1 мс <1 мс Runner-WL-500GP [192.168.0.1]
2 3 ms 1 ms 1 ms 10.11.69.237
Трассировка завершена.
Ураааааааааааааааааааааааааа!!!
В настройке с нуля видел нечто подобное, но изначально вопрос стоял про маршруты, это уже после логических размышлений и экспериментов натолкнулись на проблему блокирования по IP между подсетями.
Еще раз спасибо большое! Респект! :)
Я тут подумал... Строчка на самом деле должна быть такой:
ifconfig vlan1:0 10.11.96.199 netmask 255.255.0.0 broadcast 10.11.255.255
А то у вас широковещательный (broadcast) адрес будет неправильный.
Lt_Flash
16-10-2008, 13:04
Вы своим последним сообщением, честно говоря, только больше запутали :) Но это не важно.
Попробуйте просто в настройках WAN IP Setting прописать маску 255.0.0.0, не меняя остальное, и проверить наличие доступа ко всем нужным сетям и инету.
Я думаю все проще - шлюз не пускает роутер на основании неправильного мака. То есть в сети провайдера прописано что на этом ипе должен быть мак того компа, с которого все и проверяется и работает. А потом этот же кабель втыкают в роутер с другим маком - вот и перестает пускать. Маски 255.224.0.0 вполне было бы достаточно в других случаях.
furry-cheetah
25-10-2008, 16:43
Я думаю все проще - шлюз не пускает роутер на основании неправильного мака. То есть в сети провайдера прописано что на этом ипе должен быть мак того компа, с которого все и проверяется и работает. А потом этот же кабель втыкают в роутер с другим маком - вот и перестает пускать. Маски 255.224.0.0 вполне было бы достаточно в других случаях.
Привязки по макам в нашей сети нет точно, т.к. пробовал и с роутера и с ноута и с компа с 2мя сетевухами, везде все было ок, кроме роутера. Шлюз рубит по айпишнику с которого пришел пакет. Сечас пакеты пошли, но появилась новая проблема с DC++. http://www.wl500g.info/showpost.php?p=115354&postcount=159
Я тут подумал... Строчка на самом деле должна быть такой: ifconfig vlan1:0 10.11.96.199 netmask 255.255.0.0 broadcast 10.11.255.255
Спасибо, сменил :) Теперь пополз в тему ДиСи.
MrGalaxy
07-11-2008, 20:46
Господа!
Все тут на форуме лихо оперируют с файлами в роутере.
Как к ним получить доступ? Ну хотя бы просмотреть, что там есть. Желательно из командной строки роутера, по телнету и SSH почему-то нет доступа (в прошивке Олега был).
Прошивка dd-wrt24-std, роутер WL500gP-v1.
Мне надо создать пару небольших файлов со скриптами.
AndreyPopov
07-11-2008, 20:55
Господа!
Все тут на форуме лихо оперируют с файлами в роутере.
Как к ним получить доступ? Ну хотя бы просмотреть, что там есть. Желательно из командной строки роутера, по телнету и SSH почему-то нет доступа (в прошивке Олега был).
Прошивка dd-wrt24-std, роутер WL500gP-v1.
Мне надо создать пару небольших файлов со скриптами.
есть и там доступ по telnet - просто имя пользователя или root/root или root/<то что вы задали сразу после прошивки через web интерфейс>
да и скрипт можно сделать и заполнить через Web интерфейс - там же даже кнопочка есть - "Сохранить скрипт"!
Господа!
Все тут на форуме лихо оперируют с файлами в роутере.
Как к ним получить доступ? Ну хотя бы просмотреть, что там есть. Желательно из командной строки роутера, по телнету и SSH почему-то нет доступа (в прошивке Олега был).
Прошивка dd-wrt24-std, роутер WL500gP-v1.
Мне надо создать пару небольших файлов со скриптами.
В Администрировании есть страничка для создания стартовых скриптов.
Точнее не скажу, сейчас под руками нет.
MrGalaxy
07-11-2008, 21:01
есть и там доступ по telnet - просто имя пользователя или root/root или root/<то что вы задали сразу после прошивки через web интерфейс>
Спасибо, нашёл. Вошёл.
да и скрипт можно сделать и заполнить через Web интерфейс - там же даже кнопочка есть - "Сохранить скрипт"!
Да, есть. Но куда он сохранится?
Почитал справку, он сохранится в /tmp/custom.sh, а мне надо сохранить под определённым именем в каталоге jffs
MrGalaxy
09-11-2008, 14:34
Нашёл вожжу. Надо в Администрировании разрешить JFFS2 support.
Grigarash
15-11-2008, 09:03
Люди ХЕЛП ПЛЗ
все сделал, установил и настроил (rTorrent и ADOS) все работает отлично.
создал три папки Video, Music, Photo захожу в них через сетевое окружение и не могу в них ничего положить Пишет нет Доступа и обратитесь к админу. Через ФТП (аноним) все отлично кладется и удаляется. Где что мне надо покрутить желательно в картинках
если прошивка олега, то в разделе Samba поставить на папки режимы r/w
dimmer1988
02-12-2008, 22:45
Есть роутер WL500g.Premium. Интернет настроен через VPN PPTP. Все работает прекрасно. Но нет доступа к Web-старнице настройки роутера (через порт 8080) тем, кто не из моей сети, хотя в настройках Web Acces from WAN включено.
К примеру на адрес 81.94.30.211:8080 можно подключится с сети моего провайдера, а с с других сетей нельзя.
Подскажите, можно ли как-то это исправить???
Прошу извинить за мою необразованность в этих делах :(
попробуй поменять порт 8080, на какой нибудь 3333
Alexander B.
02-12-2008, 22:48
Очень похоже, что провайдер фильтрует входящие соединения. Роутеру-то все равно, пришел пакет из сети провайдера или нет, коль скоро он пришел через WAN-интерфейс...
Хотя... в сеть провайдера доступ тоже через VPN или нет? Если нет - тогда не все равно.
dimmer1988
02-12-2008, 23:20
5.1. При подписании договора выделяется 1 (один) внутренний адрес, при этом доступ к сети Интернет ограничен в объеме достаточном для просмотра информации на WWW-серверах, получения и отправки электронной почты через почтовый сервер ИСПОЛНИТЕЛЯ, работы с другими почтовыми ящиками через WWW-сервера (например, www.mail.ru). При этом все порты и протоколы запрещены кроме следующих открытых портов:
TCP 20, 21, 22, 80, 110, 3128, 8000-8010, 8080-8090; UDP 53.
Значит открыты? Интернет через VPN. Локальная сеть через Static IP. На роутере настроен routing table (как это по русски называется?) чтобы одновременно работали и интернет и локальная сеть.
Alexander B.
02-12-2008, 23:27
При этом все порты и протоколы запрещены кроме следующих открытых портов:
TCP 20, 21, 22, 80, 110, 3128, 8000-8010, 8080-8090; UDP 53.
Значит открыты?
Это у Вас исходящие на эти порты открыты (т.е. Вы можете подключаться к этим портам на других серверах). Если даже исходящие так урезают - значит, скорее всего, входящие запрещены вообще. Бегите Вы от такого провайдера, мой Вам совет...
dimmer1988
02-12-2008, 23:40
Вообще-то всё с чего началось? Всё началось с того, что я захотел сделать игровой сервер. Доступ к серверу осуществляется через 27015 порт UDP протокола. Настроил в роутере Virtual Server на 27015 UDP порт. Всё отлично работало. Потом мне захотелось сделать интернет-страничку к этому серверу. Скачал Apache, настроил, запустил. Опять же настроил на роутере Virtual Server на 80 порт. Всё прекрасно работало, но уже только не с других сетей. Потом я просто решил протестировать, если доступ к роутеру извне, оказалось нет, ни на 80, ни на 8080 порт никто не мог приконнектится с других сетей.
Вывод: остаётся звонить провайдеру и спрашивать открыт ли у меня 80 порт для входящих соединений?
Alexander B.
02-12-2008, 23:57
Вывод: остаётся звонить провайдеру и спрашивать открыт ли у меня 80 порт для входящих соединений?
Именно так.
PowerUser
03-12-2008, 02:22
Вывод: остаётся звонить провайдеру и спрашивать открыт ли у меня 80 порт для входящих соединений?
Я бы честно говоря на вашем месте звонил какому-нибудь другому провайдеру - на предмет заключения договора с ними вместо этого ужастика.А то ваш больно уж фашистский какой-то.Так гайки не любой корпоративный админ затягивает, а для обычного интернет провайдера такие настройки - мягко говоря дикость.Там что, админы настолько не в дружбе с головой?При таком "интернете" половина программ работать не будет.Даже с банальной аськой скорее всего и то придется изгаляться (правда зависит от того какие порты имелись в виду - судя по номерам исходящие, а это мягко говоря жесть...) :eek:
Есть проблемка с доступом к роутеру из WAN
открываю в браузере
http://*.*.*.*:8080/
выдает запрос логин/пароля
ввожу....
после чего получаю
200 Request is rejected
Please log out user, #.#.#.#, first or wait for session timeout(60 seconds).
подскажите, в чем может быть дело ?
На каком то ещё компе, открыта страничка настройки роутера.
У меня проблема, что из вне, не менят настройки, а можно только посмотреть и якобы изменить, хотя на самом деле они не меняются.
На каком то ещё компе, открыта страничка настройки роутера.
У меня проблема, что из вне, не менят настройки, а можно только посмотреть и якобы изменить, хотя на самом деле они не меняются.
а так пробовали? http://wl500g.info/showthread.php?t=12833&highlight=putty
Здравствуйте,
Можно ли сделать так, чтобы страница настройки роутера была доступна только из LAN?
А то при подсоединении извне вываливается диалог с вводом логина/пароля и сообщением названия девайса (wl500gp)..
Заранее спасибо за ответ, Михаил
ЗЫ:смотрел фак, использовал поиск - не нашел... может действительно в фак добавить...
Заходим в веб интерфейс роутера
Вкладка Internet firewall->Basic config
Либо ставим Enable Firewall? в положение No (у меня так стоит, все нужное я в post-mount настраиваю)
Либо если предыдущуя опцию вы хотите оставить в положении Yes то ставим Enable Web Access from WAN? в положение No
P.S. средствами iptables это можно сделать так
iptables -A INPUT -p tcp -m tcp -s ! 192.168.1.0/24 --dport 80 -j DROP
Где 192.168.1.0 ваша LAN (по умолчанию она 192.168.1.0), а 80 порт на котором веб интерфейс (по умолчанию он тоже 80).
Имеется wl500gP с прошивкой восьмой Олега и установленным lighttpd, на котором, на 80ом порту крутится сайт.
Можно ли сделать так, что при открытии сайта с другим доменом (или доменом третьего уровня) открывался сайт, размещенный на веб-сервере, который находится за роутером (в квартирной сетке)?
D_dmitry
25-02-2009, 08:34
апаче это делает
в нем на разные домены можно делать линки
Можно сделать через публикацию серверов (port forwarding), но тогда придется сервер вешать на другой порт.
выглядит так:
domain.ru:80 -> сайт на железке
domain.ru:81 -> перенаправляется на внутренний хост internal.lan:80
Не знаю можно ли сделать через вэб-интерфейс, но через iptables точно можно.
Та же можно извратиться и сделать через xinetd, но тогда его ставить придется, а встанет он на железку или нет я не знаю.
а на lighttpd никак?
и так что бы оба сайта на 80ом порут были...
вопрос так же актуален и применительно к фтп на vsftpd...
а на lighttpd никак?
и так что бы оба сайта на 80ом порут были...
вопрос так же актуален и применительно к фтп на vsftpd...
Используйте микроскоп по назначению, а не вместо молотка.
У меня ощущение что предыдущий оратор ляпнул что-то не вникая в суть треда, если это не так и он покажет пример как это реализовать, то я извинюсь.
А именно он имел ввиду мультидоменность - это когда ИП 1 а доменных имен дофига.
Как лучше реализовать то что вам надо я напсал выше. Если вам влом прописывать альтернативный порт, то можете использовать следующий код, но я его не проверял:
$SERVER["socket"] == "int.domain.ru:80" {
$HTTP["host"] =~ "(.*)" {
url.redirect = ( "^/(.*)" => "int.domain.ru:81" )
}
}
После этого ввода в баузере int.domain.ru будем попадать на 81 порт, а он должен редиректиться на внутренний сервер.
$SERVER["socket"] == "int.domain.ru:80" {
$HTTP["host"] =~ "(.*)" {
url.redirect = ( "^/(.*)" => "int.domain.ru:81" )
}
}
После этого ввода в баузере int.domain.ru будем попадать на 81 порт, а он должен редиректиться на внутренний сервер.
поискал в инете, как раз так и предлагают сделать, правда еще включить mod_redirect.
так и сделал, но теперь вообще веб сервер не работает... говорит -
The page cannot be displayed
Error Code 10061: Connection refused
т.е. это и при доступе и на int.domain.ru и на domain.ru
Я надеюсь вы заменили "domain.ru" на название своего домена?
Конечно:D
и домен третьего уровня зарегистрирован, т.е. прописан на NS сервере
Попробуй так:
$SERVER["socket"] == "domain.ru:80" {
$HTTP["host"] == "domain.ru" {
url.redirect = ( "int.domain.ru" => ( "host" => "внутренний_IP | Имя", "port" => 80 ))
}}
А вообще я был не прав, так как lighttpd можно использовать как прокси. Вот пример (http://www.opennet.ru/tips/info/1955.shtml).
Столкнулся с проблеммой подключения к роутеру через телнет или ssh из внешней сети, имеется статический ip прошивка от Олега (WL500gpv2-1.9.2.7-10.5.trx). В web-интерфейс заходит без проблем. Что я делаю нетак?
Столкнулся с проблеммой подключения к роутеру через телнет или ssh из внешней сети, имеется статический ip прошивка от Олега (WL500gpv2-1.9.2.7-10.5.trx). В web-интерфейс заходит без проблем. Что я делаю нетак?
+1 теже самые яйца! Только и к вебу доступа нет. Хотя в настройках веб-морды он разрешен. Как бороться на знаю:(
Какой IP (пример 108.90.х.х) только два первых октета реальных в студию.
И что за внешняя сеть?
По вопросу доступа по ssh Remote ssh (http://wl500g.info/showthread.php?t=11436&page=1)
после iptables -I INPUT -p tcp --dport 22 -j ACCEPT доступ из вне к телнету появился. Но при перезагрузке рутера пропадает.
Пробывал flashfs save && flashfs commit && flashfs enable && reboot - все одно, после перезагнузки опять доступа нет.
Помогите чайнику:)
theMIROn
26-02-2009, 08:31
прошейте прошивку из моей подписи. там ssh настраивается через web интерфейс
прошейте прошивку из моей подписи. там ssh настраивается через web интерфейс
Она у меня и прошита:)
theMIROn
26-02-2009, 08:39
Она у меня и прошита:)
ну так а зачем еще iptables вертеть. включаете там доступ из ssh - Yes, указываете порт и вуаля.
ну так а зачем еще iptables вертеть. включаете там доступ из ssh - Yes, указываете порт и вуаля.
Yes включено, а где указывать порт? пока вуаля нет - из локалки доступ есть, их ниета нет:(
что кажет
iptables-save | grep INPUT
после iptables -I INPUT -p tcp --dport 22 -j ACCEPT доступ из вне к телнету появился.
вы путаете понятия: ssh --- port 22, telnet --- 23, так что после открытия порта ssh телнет появиться не может.
после iptables -I INPUT -p tcp --dport 22 -j ACCEPT доступ из вне к телнету появился. Но при перезагрузке рутера пропадает.
Пробывал flashfs save && flashfs commit && flashfs enable && reboot - все одно, после перезагнузки опять доступа нет.
Помогите чайнику:)
не удивительно, нужно прописывать в post файлы.
не удивительно, нужно прописывать в post файлы.
А как это сделать? Я честно признался в чайничистве:)
Сказали А говорите и Б...
В данном случае необходимо внести в post-firewall.
и flashfs save && flashfs commit && flashfs enable
reboot не обязательно.
что кажет
iptables-save | grep INPUT
вы путаете понятия: ssh --- port 22, telnet --- 23, так что после открытия порта ssh телнет появиться не может.
iptables-save | grep INPUT
:INPUT ACCEPT [1950:575438]
:INPUT ACCEPT [0:0]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i br0 -m state --state NEW -j ACCEPT
-A INPUT -d 224.0.0.0/240.0.0.0 -p igmp -j ACCEPT
-A INPUT -d 224.0.0.0/240.0.0.0 -p udp -m udp ! --dport 1900 -j ACCEPT
-A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A INPUT -d 192.168.1.1 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m tcp --dport 515 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 9100 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3838 -j ACCEPT
-A INPUT -j DROP
Это после iptables -I INPUT -p tcp --dport 22 -j ACCEPT и перезагрузки..
Конечно был неаккуратен в понятиях. Везде вел речь про SSH
после перезагрузки от правила следов естественно не осталось. Как вышесказано, его либо надо прописывать в /usr/local/sbin/post-firewall , либо обновить прошивку с гуглкода до последней. В ней в разделе system setup -> services можно включить ssh и сделать проброс порта из wan.
после перезагрузки от правила следов естественно не осталось. Как вышесказано, его либо надо прописывать в /usr/local/sbin/post-firewall , либо обновить прошивку с гуглкода до последней. В ней в разделе system setup -> services можно включить ssh и сделать проброс порта из wan.
Я был бы очень признателен, если бы кто-нибудь написал бы по шагам как это седалть:)
который из двух вариантов? :)
который из двух вариантов? :)
Тот который проще реализовать малоподготовленному субъекту:)
тогда второй. Как делать уже описал на три поста выше --- т.е. все через веб интерфейс после заливки свежей прошивки отсюда: http://code.google.com/p/wl500g/downloads/list.
Заодно и работоспособность протестируешь ;)
тогда второй. Как делать уже описал на три поста выше --- т.е. все через веб интерфейс после заливки свежей прошивки отсюда: http://code.google.com/p/wl500g/downloads/list.
Заодно и работоспособность протестируешь ;)
Четая я и правда торможу:))) Надо читать внимательнее:)
После перепрошивки все заработало! Спасибо!!!!
Cgfcb,j!
Взял за пример
и написал во так
$SERVER["socket"] == "subdomain.domain:80" {
proxy.balane = "fair"
proxy.server = ("" => (( "host" => "192.168.0.2", "port" => 80),
("host" => "192.168.0.2", "port" => 80) ))
}
не не работает, ни основной сайт, ни субдомен:(
Помогите, плз, есть WL-500w : как на нем закрыть доступ к сайтам WoW и какие порты и как надо закрыть, чтобы к WoW нельзя было подключится ????
спасиб всем, кто сможет помочь.
К сайтам или к игровым серверам?
Если к сайтам - то прописать их имена в hosts на роутере с адресом 127.0.0.1.
Если к игровым серверам - смотри http://us.blizzard.com/support/article.xml?articleId=21015&rhtml=true?rhtml=y
World of Warcraft & Burning Crusade use TCP port number 3724 to playТо есть по-минимуму нужно запретить исходящие подключения на порт 3724, если я правильно понял.
К сайтам или к игровым серверам?
Если к сайтам - то прописать их имена в hosts на роутере с адресом 127.0.0.1.
Если к игровым серверам - смотри http://us.blizzard.com/support/article.xml?articleId=21015&rhtml=true?rhtml=y
То есть по-минимуму нужно запретить исходящие подключения на порт 3724, если я правильно понял.
просто что б не играть вообще !!! в WoW!!
Есть проблема подключения к WHS из инета. Имеем следующее, WHS использует три порта 80, 443 и 4125, вроде все просто создаем на роутере вируальный сервер с проброской на WHS (адрес в локалке статический), но дальше начальной страницы которая использует 80 порт, т.е. просто доступ по http не идет. При попытке залогинится и, соответственно , переходе на защищенное соединение (https) получаю отлуп, с сообщением, что не обнаружен сервер. Есть ли какаие особенности с переброской портов на роутере или все же провайдер (ах да чуть не забыл Corbina VPN адрес динамичский, использую службу DDNS) блкирует 443 порт? И нужно ли чтото менять в таблице роутинга?
Что касается Corbina, то посмотрите на сервере станистики (https://stat.corbina.net/firewall.pl).
Есть проблема подключения к WHS из инета. Имеем следующее, WHS использует три порта 80, 443 и 4125, вроде все просто создаем на роутере вируальный сервер с проброской на WHS (адрес в локалке статический), но дальше начальной страницы которая использует 80 порт, т.е. просто доступ по http не идет. При попытке залогинится и, соответственно , переходе на защищенное соединение (https) получаю отлуп, с сообщением, что не обнаружен сервер. Есть ли какаие особенности с переброской портов на роутере или все же провайдер (ах да чуть не забыл Corbina VPN адрес динамичский, использую службу DDNS) блкирует 443 порт? И нужно ли что то менять в таблице роутинга?
1) лучше пробросить порты через IPTABLES ручками :)
2) посмотри в форуме как назначить на web интерфейс роутера порт отличный от 80 ( это из-за этого тебя не пускает на WHS) ;)
3) или сделай VPN
AVK
У меня все работает на Корбине по DynDNS
AVK
У меня все работает на Корбине по DynDNS
Думаю, мало сказать, что работает - надо добавить при каком из трех вариантов.
по 80 порту + ходит VPN + ftp
Я думаю достаточно :)
Уточняю: при каком из трех вариантов настройки файрволла все работает?
ЗАЩИТА ИНТЕРНЕТ-СОЕДИНЕНИЯ
Сильная/Средняя/Отключена.
Уточняю: при каком из трех вариантов настройки файрволла все работает?
ЗАЩИТА ИНТЕРНЕТ-СОЕДИНЕНИЯ
Сильная/Средняя/Отключена.
На роутере все включено по максимум. В в Корбине по дефоулту (х.з. что там )
lll123lll
30-03-2009, 08:55
у вас провайдер зарубает порты в своем фаере
сделайте вначале настройку в статистике
ЗАЩИТА ИНТЕРНЕТ-СОЕДИНЕНИЯ -> Отключена
ps настройка может включится не сразу (особенности корбины)
у меня один раз включилась через пару часов
а другой раз ток на следующие сутки...
123
У меня уже 4 месяца корбина, не чего такого не замечал ...
1) лучше пробросить порты через IPTABLES ручками :)
2) посмотри в форуме как назначить на web интерфейс роутера порт отличный от 80 ( это из-за этого тебя не пускает на WHS) ;)
3) или сделай VPN
AVK
У меня все работает на Корбине по DynDNS
1) То что Вы прписали в VSERVER прописывается также с помосчью правил iptables так что пофиг.
2) В этом нету необходимости, так как 80 порт слушается только с внутринего лана (если не делали доступ с WAN порта).
А при настройке VSERVER роутер все пакеты пересылает на нужный IP в сети.
3) Нужно розбираться с настройками, смотреть правила которые рубят пакеты.
1) То что Вы прписали в VSERVER прописывается также с помосчью правил iptables так что пофиг.
3) Нужно розбираться с настройками, смотреть правила которые рубят пакеты.
1) Не факт!!! Добавятся правила FORWARD, а правила INPUT, OUTPUT и PREROUTING могут и нет :)
2) У меня сделано так http://wl500g.info/showthread.php?t=18344&highlight=web+%F1%E5%F0%E2%E5%F0, но на длинках точно надо WEB GUI переводить на другой порт и наче не редеректит :)
3) Полностью согласен !!
Вот понадобилось - раскопал.
Не работало потому, что сервер не запускался из-за ошибки в этих строках.
Заработало у меня в таком виде:
$HTTP["host"] == "субдомен.домен" {
proxy.server = ( "" => ( "" => ( "host" => "192.168.*.*", "port" => *)))
}
Все обращения на "субдомен.домен" по 80 порту и протоколу HTTP пробрасываются на адрес-порт в локальной сети, простыми средствами недостижимый снаружи.
Если нужно спробрасывать не с 80 потра, то уже крутить иначе надо буде...
Интересует следующий вопрос. Можно ли, зная свой статический IP в интернете, попадать набирая его не на роутер (у меня wl-500gp v1), а сайт организованный на NAS (Sanology ds109)?
Если да, то как это можно организовать?
раздел виртуальный сервер в веб интерфейсе
igordata
23-05-2009, 00:26
нужно присвоить постоянный айпишник, и на него нужные порты перенаправлять. в данном случае - 80
айпишник присваивается по мак адресу, его видно по комманде в консоли винды ipconfig /all как 00-A9-65-BC-ну и так далее.
В роутере надо вводить без минусиков.
У меня заработало только так:
$HTTP["host"] == "субдомен.домен" {
proxy.server = ( "" => ( "" => ( "host" => "192.168.*.*", "port" => 80)))
}
и надо не забыть включить "mod_proxy"
Имеется роутер asus wl500gp v1.
По проводу к нему подключен аля сервер (старый комп с подключенными к нему usb дисками).
По WiFi ноутбук.
На сервере стоит Win XP Sambuild, антивирусов нет.
На ноутбуке стоит Win 7, и антивирус Nod ESS.
Нужно иметь возможность беспрепятственно пользоваться дисками всех компьютеров с любого компьютера. Во вкладке IP Config - DHCP Server, каждому компьютеру назначен свой IP с привязкой по маку. С ноутбука команда ping идет на оба компьютера, с сервера команда ping до ноутбука не доходит. С ноутбука, просмотр общей карты сети отображает всю цепочку до сервера, как на win xp сделать подобную карту я не знаю. Все попытки настроить общий доступ по google, ни к чему не привели. Подозреваю что может путать карты роутер. Помогите разобраться.
Ребята, понимаю что для вас эта тема не представляет интереса, но все же прошу откликнутся, я в этом абсолютно не разбираюсь, и понимаю что мог упустить маленький, но важный шаг. Потратьте на меня немного времени :o
Имеется роутер asus wl500gp v1.
На ноутбуке стоит Win 7, и антивирус Nod ESS.
А ESS отключать не пробовали?
Ребята, понимаю что для вас эта тема не представляет интереса, но все же прошу откликнутся, я в этом абсолютно не разбираюсь, и понимаю что мог упустить маленький, но важный шаг. Потратьте на меня немного времени :o
Читаем FAQ, роутер не трогаем, он тут вообще ни при чем.
Читаем FAQ, роутер не трогаем, он тут вообще ни при чем.
ESS выключен. Факи не помогают
Как настроить доступ определенным IP адресам к инету через роутер.
Как настроить доступ определенным IP адресам к инету через роутер.
сам задавался подобным вопросом... вот что получилось http://wl500g.info/showthread.php?t=21617
Добрый день!
Подскажите пожалуйста.
Есть провайдер АКАДО (Москва), из сети в автоматическом режиме берутся акадовские настройки с подключенным статическим IP (на картинке изменен :) ).
Роутер Wl-500g по DHCP в локалке раздает инет на компы (автоматом раздаются ip).
Как настроить удаленный доступ извне в локальную сеть через роутре на компьютер скажем с ip 192.168.1.5 ?
У провайдера все порты для меня открыты.
http://s56.radikal.ru/i153/0912/1c/497734c41dfd.jpg
http://s58.radikal.ru/i160/0912/f1/d6be56f21c20.jpg
на второй картинке оставь 5 и 6 строчки соответствуют пробросу 80 и 8080 на комп 192.168.1.5
Но те же самые порты пробрасываются, на ip 192.168.100.1, которого вообще нет, как я понял. То есть все строчки с этим ip надо бы удалить.
И один и тот же порт не будет пробрасываться на 2 компа одновременно. А про 80 порт вообще не уверен, его наверно маршрутизатор юзает. Так что попробуй оставить только 8080 и потести, а потом уже с 80 посмотришь.
100.1 - это голосовой шлюз - не стал его указывать на схеме - а на скриншоте забыл затереть...в общем он есть и у него жестко прописан этот ip адрес.
По поводу проброса на 80 понял сейчас удалю у 100 ip
D-Link DIR-320 прошивка WL500gpv2-1.9.2.7-d-r893
Подключение DHCP+PPTP вообщем всё работает замечательно.
И все же стопор в том что я никак не пойму как мне всем запретить доступ в интернет по Wi-Fi оставив лишь доступ к сети провайдера.
Ламеру требуется помощь, помогите пожалуйста.
С уважением Владимир "П"
Установить прокси-сервер и сделать авторизацию для инета
Как разрешить доступ к роутеру и инету только определенным IP. Если это делается в LAN to WAN Filter Table то что нужно писать,ставить в Well-Known Applications, Port Range ,Destination IP, Port Range , Protocol ?
Если например 192.168.1.2 нужно все возможности сети, инет,ICQ вообще полноценный доступ к всему. А остальным запрет.
mortemius
31-01-2010, 13:52
Люди всем привет!!!, помогите ломаку плиз. Уже неделю не могу настроить никак.
Имеется Роутер WL500g прошивка я так понял от Олега стоит.
Есть провайдер (воткнут его шнурок в WAN порт, он автоматом выдаёт),я сам воткнут в одну из дырок, адрес выдаёт автоматом, с Вафлей, всё так же всё чётко. у него сеть, интернет через VPN его я настроил инет работает всё четко.
Также есть DC++ его тоже настроил.
Проблема вот в чём в этой сети есть такие сервисы как VLC IPTV, напрямую без роутера он соответственно работают. С роутером ни в какую не видит эти адреса. типа udp://@224.200.2.1 и т.д.
Также не могу через Роутер играть ни в какие игры ни в CS ни в COD4. не видит серверов вообще.
Помогите пожалуйста сделать так чтобы Роутер работал на прямую как бы, пропускал всё по этим портам, ничего не фильтровал.
Как это сделать? Ведь как то можно?
Нужно чтобы комп пинговал все адреса через Роутер также как какбудто его нет, то есть напрямую.
Весь форум облазил, ответа не нашёл, помогите пожалуйста очень прошу.
getikalex
31-01-2010, 15:23
поищи про портфорвардинг.
Про проброс портов на роутерах есть даже спецсайт
http://portforward.com/english/routers/port_forwarding/Asus/WL-500GP/WL-500GPindex.htm
Как правильно разрешить доступ к роутеру из инета?
как минимум хочется ssh, ftp, web
Как при включенном Firewall разрешить доступ только к этим сервисам расположенным на роутере?
PS Как я понял это надо настраивать тут: WAN & LAN Filter
но у меня так ничего и не получилось :(
это надо настраивать тут: WAN & LAN FilterНет. Для всего есть свои настройки, например, FTP в USB Application - FTP Server (http://my.router/Advanced_USBStorage_Content.asp); SSH в System Setup - Services (http://my.router/Advanced_Services_Content.asp). А вот веб требует уточнения, например, если требуется выставить веб-интерфейс роутера наружу (что плохая идея), то вам нужен раздел Internet Firewall - Basic Config (http://my.router/Advanced_BasicFirewall_Content.asp)
с ftp работает.
а на ssh какие настройки?
у меня в веб конфигураторе, нет ничего про ssh
web - доступ не к конфигуратору а к отдельно стоящему серверу.
Поскольку Вы не упоминаете ни версию прошивки, ни модель роутера, то посоветую воспользоваться Поиском и чтением прикрепленных тем.
Железо: WL500gpv2
Версия прошивки: 1.9.2.7-10
Второй день чтения форума привел к некоторому просветлению:
После команды web с наружи заработал:
iptables -I INPUT -p tcp --dport 80 -j ACCEPT
я правильно понимаю концепцию? По аналогии надо открывать и для ssh?
Странный вы человек. Сначала пишете:
web - доступ не к конфигуратору а к отдельно стоящему серверу.
а потом делаете так:
После команды web с наружи заработал:
iptables -I INPUT -p tcp --dport 80 -j ACCEPT
А ведь эта команда открывает доступ к веб-интерфейсу!
я правильно понимаю концепцию? По аналогии надо открывать и для ssh?Да
web интерфейс к роутеру я перенес на другой порт.
Тогда вам не нужно выполнять какие-либо команды, а сразу идти в настройки NAT Settings - Virtual Server и там пробрасывать порты
у меня на роутере крутитсся lighttpd на 80 порту.
мне у нему нужен доступ.
а virtual server задуман как пробрасывание портов на другую машину.
Значит та команда, открывающая 80 порт, верна для вас
bolshakov
18-03-2010, 21:23
В настройках в Internet Firewall установил Enable Web Access from WAN = Yes
Указал порт 8080
Пишу в браузере http://внешний IP:8080 - ноль эмоций, хотя из интернета айпишник пингуется.
Где копать ?
У Вас IP точно внешний, и пингуется?
Судя по скриншоту в роутере ответ на пинг выключен, так что для начала приведите ifconfig с роутера.
bolshakov
19-03-2010, 09:02
У Вас IP точно внешний, и пингуется?
Судя по скриншоту в роутере ответ на пинг выключен, так что для начала приведите ifconfig с роутера.
ifconfig или ipconfig ?
В настройках в Internet Firewall установил Enable Web Access from WAN = Yes
Указал порт 8080
Пишу в браузере http://внешний IP:8080 - ноль эмоций, хотя из интернета айпишник пингуется.
Где копать ?
Проверять нужно из чужой сети (от друга, подключиться через мобилу, на работе), т.к. настройка теперь действует если запрос приходит из WAN т.е. из внешней сети. В LAN т.е. локалке, веб интерфейс остается доступен на 80-м порту (порт по умолчанию, не указывается). Кроме того, например, Corbiba не рекомендует ставить порт 8080, уж очень он модный у всяких хаЦкеров. Придумайте какой-нибудь другой номер порта :) Думаю не нужно напоминать, что нужно придумать достаточно сложный пароль вместо пароля по умолчанию (admin) ;)
Кстати ограничение на длину пароля 17 знаков. (я весь вечер танцевал с бубном, сменив пароль на новый из 20 символов, ну никак не мог зайти с новым паролем) :rolleyes:
ifconfig или ipconfig ?
ifconfig (http://lmgtfy.com/?q=ifconfig)
Подробности - в ссылке.
bolshakov
19-03-2010, 21:46
пробовалснуружи - тоже не пущает.
у меня на dyndsn зареген аккаунт который на динамический айпи прова указывает - bis.homeip.net
кстати странно - в роутере пинг запрещен (как видите на кратинке в первом посте) но почемуто пинг
на bis.homeip.net - проходит.
ifconfig сказал во что:
br0 Link encap:Ethernet HWaddr 00:22:15:0B:64:6F
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::222:15ff:fe0b:646f/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:126444 errors:0 dropped:0 overruns:0 frame:0
TX packets:126487 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:22223676 (21.1 MiB) TX bytes:128163116 (122.2 MiB)
eth0 Link encap:Ethernet HWaddr 00:22:15:0B:64:6F
inet6 addr: fe80::222:15ff:fe0b:646f/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:299418 errors:39 dropped:0 overruns:2 frame:2
TX packets:169834 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:151748853 (144.7 MiB) TX bytes:50742725 (48.3 MiB)
Interrupt:4 Base address:0x1000
eth1 Link encap:Ethernet HWaddr 00:22:15:0B:64:6F
inet6 addr: fe80::222:15ff:fe0b:646f/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:58084 errors:0 dropped:0 overruns:0 frame:2258034
TX packets:88256 errors:224 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:9438827 (9.0 MiB) TX bytes:103814955 (99.0 MiB)
Interrupt:12 Base address:0x2000
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MULTICAST MTU:16436 Metric:1
RX packets:59334 errors:0 dropped:0 overruns:0 frame:0
TX packets:59334 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:5034020 (4.8 MiB) TX bytes:5034020 (4.8 MiB)
vlan0 Link encap:Ethernet HWaddr 00:22:15:0B:64:6F
inet6 addr: fe80::222:15ff:fe0b:646f/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:68449 errors:0 dropped:0 overruns:0 frame:0
TX packets:51427 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:13882223 (13.2 MiB) TX bytes:27768632 (26.4 MiB)
vlan1 Link encap:Ethernet HWaddr 00:17:9A:6B:E9:B8
inet addr:10.101.108.66 Bcast:10.101.108.255 Mask:255.255.255.0
inet6 addr: fe80::217:9aff:fe6b:e9b8/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:230969 errors:0 dropped:0 overruns:0 frame:0
TX packets:118405 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:132477106 (126.3 MiB) TX bytes:22973945 (21.9 MiB)
скриншот DDNS
пробовалснуружи - тоже не пущает.
у меня на dyndsn зареген аккаунт который на динамический айпи прова указывает - bis.homeip.net
кстати странно - в роутере пинг запрещен (как видите на кратинке в первом посте) но почемуто пинг
на bis.homeip.net - проходит.
ifconfig сказал во что:
...
vlan1 Link encap:Ethernet HWaddr 00:17:9A:6B:E9:B8
inet addr:10.101.108.66 Bcast:10.101.108.255 Mask:255.255.255.0
inet6 addr: fe80::217:9aff:fe6b:e9b8/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:230969 errors:0 dropped:0 overruns:0 frame:0
TX packets:118405 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:132477106 (126.3 MiB) TX bytes:22973945 (21.9 MiB)
Чего то не наблюдается у вас, внешнего IP :cool:
bolshakov
20-03-2010, 12:57
Блин не понимаю: если нет внешнего IP то почему когда я захожу на http://2ip.ru/ он мне дает мой IP: 87.255.14.24
?
Товарищи помогите - непонимаю ничего :)
Viper_Rus
20-03-2010, 13:01
Блин не понимаю: если нет внешнего IP то почему когда я захожу на http://2ip.ru/ он мне дает мой IP: 87.255.14.24
?
Товарищи помогите - непонимаю ничего :)
Вопрос только в том, он только ваш или еще чей то)))))
Я так понял у вас этот оператор
http://himki.net/podkljuchenie_i_tarify/internet/
Внешний айпи подключается отдельно + там написано что щас не предоставляется.
bolshakov
20-03-2010, 14:35
то есть я так понимаю что провайдер делит один внешний айпи по нескольким юзерам, и при такой схеме никакой возможности мне юзать роутер снаружи нет ?
DrCrimson
20-03-2010, 14:36
Именно так.
Есть локальная провайдерская сеть класа С (NetBios в ней работает)
Я имею вайфай роутер для получения интернета и уменьшения проблем с кабелями.
Я нахожусь за NATом своего роутера, получать доступ к чужим папкам могу без проблем. Но дать доступ к своему компютеру (по айпи адресу) не получаеться.
Вопрос.
У когото получалось дать доступ к папкам за NATом?
Для верности пробросил 135:139, 445 по TCP и UDP.
Правило для проброса (в таком духе):
iptables -t nat -A PREROUTING -d 10.0.0.88 -p tcp --dport 135:139 -j DNAT --to-destination 192.168.1.3
Vovanchik
03-04-2010, 20:34
я вот так сделал
# Local network Interface Information
LOCAL_IFACE="$5"
# NETBIOS for WAN
iptables -I INPUT -i $LOCAL_IFACE -p tcp --dport 137 -j ACCEPT
iptables -I INPUT -i $LOCAL_IFACE -p tcp --dport 138 -j ACCEPT
iptables -I INPUT -i $LOCAL_IFACE -p tcp --dport 139 -j ACCEPT
iptables -I INPUT -i $LOCAL_IFACE -p tcp --dport 445 -j ACCEPT
iptables -I PREROUTING -t nat -i $LOCAL_IFACE -p tcp --dport 137 -j DNAT --to-destination 192.168.1.100:137
iptables -I PREROUTING -t nat -i $LOCAL_IFACE -p tcp --dport 138 -j DNAT --to-destination 192.168.1.100:138
iptables -I PREROUTING -t nat -i $LOCAL_IFACE -p tcp --dport 139 -j DNAT --to-destination 192.168.1.100:139
iptables -I PREROUTING -t nat -i $LOCAL_IFACE -p tcp --dport 445 -j DNAT --to-destination 192.168.1.100:445
ну и соответственно - обращаться к компу по ip роутера ($LOCAL_IFACE), а не по имени компа за ним
Не помогло.
"Не найден сетевой путь" - ето если с другого компа заходить на айпи роутера.
Попробовал настроить по аналогии с ети мануалом http://wl500g.info/showpost.php?p=105351&postcount=26.
Вот что получилось. Привожу весь post-firewall. Ошибка таже самая, нетбиос не работает.
#!/bin/sh
iptables -t nat -nvL POSTROUTING | grep MASQUERADE | awk '{
"ifconfig "$7" | grep Mask" | getline ip;
split(ip,ip,":"); split(ip[2],ip," ");
split($8,src,"!");
if (src[1]=="") {src="! -s "src[2]} else {src="-s "src[1]};
if ($9=="0.0.0.0/0") {dst=""} else {dst="-d "$9};
system("iptables -t nat -A POSTROUTING -o "$7" "src" "dst" -j SNAT --to-source "ip[1]);
system("iptables -t nat -D POSTROUTING -o "$7" "src" "dst" -j MASQUERADE");
}'
index=`iptables -L FORWARD -nv --line-numbers | grep 'RELATED,ESTABLISHED' | cut -d ' ' -f 1 -s`
iptables -I FORWARD $((index+1)) -s 20.0.0.234/29 -o ppp0 -i eth1 -j ACCEPT
# NETBIOS for WAN
iptables -I PREROUTING -t nat -i eth1 -p tcp --dport 135 -j DNAT --to-destination 192.168.1.3:135
iptables -I PREROUTING -t nat -i eth1 -p tcp --dport 137 -j DNAT --to-destination 192.168.1.3:137
iptables -I PREROUTING -t nat -i eth1 -p tcp --dport 138 -j DNAT --to-destination 192.168.1.3:138
iptables -I PREROUTING -t nat -i eth1 -p tcp --dport 139 -j DNAT --to-destination 192.168.1.3:139
iptables -I PREROUTING -t nat -i eth1 -p tcp --dport 445 -j DNAT --to-destination 192.168.1.3:445
iptables -I PREROUTING -t nat -i eth1 -p udp --dport 135 -j DNAT --to-destination 192.168.1.3:135
iptables -I PREROUTING -t nat -i eth1 -p udp --dport 137 -j DNAT --to-destination 192.168.1.3:137
iptables -I PREROUTING -t nat -i eth1 -p udp --dport 138 -j DNAT --to-destination 192.168.1.3:138
iptables -I PREROUTING -t nat -i eth1 -p udp --dport 139 -j DNAT --to-destination 192.168.1.3:139
iptables -I PREROUTING -t nat -i eth1 -p udp --dport 445 -j DNAT --to-destination 192.168.1.3:445
iptables -I FORWARD -i eth1 -p tcp -m tcp -d 192.168.1.3 --dport 135 -j ACCEPT
iptables -I FORWARD -i eth1 -p tcp -m tcp -d 192.168.1.3 --dport 137 -j ACCEPT
iptables -I FORWARD -i eth1 -p tcp -m tcp -d 192.168.1.3 --dport 138 -j ACCEPT
iptables -I FORWARD -i eth1 -p tcp -m tcp -d 192.168.1.3 --dport 139 -j ACCEPT
iptables -I FORWARD -i eth1 -p tcp -m tcp -d 192.168.1.3 --dport 445 -j ACCEPT
iptables -I FORWARD -i eth1 -p udp -m udp -d 192.168.1.3 --dport 135 -j ACCEPT
iptables -I FORWARD -i eth1 -p udp -m udp -d 192.168.1.3 --dport 137 -j ACCEPT
iptables -I FORWARD -i eth1 -p udp -m udp -d 192.168.1.3 --dport 138 -j ACCEPT
iptables -I FORWARD -i eth1 -p udp -m udp -d 192.168.1.3 --dport 139 -j ACCEPT
iptables -I FORWARD -i eth1 -p udp -m udp -d 192.168.1.3 --dport 445 -j ACCEPT
iptables -I FORWARD -o eth1 -p tcp -m tcp -s 192.168.1.3 --sport 135 -j ACCEPT
iptables -I FORWARD -o eth1 -p tcp -m tcp -s 192.168.1.3 --sport 137 -j ACCEPT
iptables -I FORWARD -o eth1 -p tcp -m tcp -s 192.168.1.3 --sport 138 -j ACCEPT
iptables -I FORWARD -o eth1 -p tcp -m tcp -s 192.168.1.3 --sport 139 -j ACCEPT
iptables -I FORWARD -o eth1 -p tcp -m tcp -s 192.168.1.3 --sport 445 -j ACCEPT
iptables -I FORWARD -o eth1 -p udp -m udp -s 192.168.1.3 --sport 135 -j ACCEPT
iptables -I FORWARD -o eth1 -p udp -m udp -s 192.168.1.3 --sport 137 -j ACCEPT
iptables -I FORWARD -o eth1 -p udp -m udp -s 192.168.1.3 --sport 138 -j ACCEPT
iptables -I FORWARD -o eth1 -p udp -m udp -s 192.168.1.3 --sport 139 -j ACCEPT
iptables -I FORWARD -o eth1 -p udp -m udp -s 192.168.1.3 --sport 445 -j ACCEPT
iptables -t nat -A POSTROUTING -p tcp -o eth1 -s 192.168.1.3 --sport 135 -j SNAT --to-source 20.0.0.88
iptables -t nat -A POSTROUTING -p tcp -o eth1 -s 192.168.1.3 --sport 137 -j SNAT --to-source 20.0.0.88
iptables -t nat -A POSTROUTING -p tcp -o eth1 -s 192.168.1.3 --sport 138 -j SNAT --to-source 20.0.0.88
iptables -t nat -A POSTROUTING -p tcp -o eth1 -s 192.168.1.3 --sport 139 -j SNAT --to-source 20.0.0.88
iptables -t nat -A POSTROUTING -p tcp -o eth1 -s 192.168.1.3 --sport 445 -j SNAT --to-source 20.0.0.88
iptables -t nat -A POSTROUTING -p udp -o eth1 -s 192.168.1.3 --sport 135 -j SNAT --to-source 20.0.0.88
iptables -t nat -A POSTROUTING -p udp -o eth1 -s 192.168.1.3 --sport 137 -j SNAT --to-source 20.0.0.88
iptables -t nat -A POSTROUTING -p udp -o eth1 -s 192.168.1.3 --sport 138 -j SNAT --to-source 20.0.0.88
iptables -t nat -A POSTROUTING -p udp -o eth1 -s 192.168.1.3 --sport 139 -j SNAT --to-source 20.0.0.88
iptables -t nat -A POSTROUTING -p udp -o eth1 -s 192.168.1.3 --sport 445 -j SNAT --to-source 20.0.0.88
На всякий случай взял все возможные порты которые упоминаються при работе NetBios.
Подправте где может быть проблема.
Vovanchik
04-04-2010, 15:11
ето если с другого компа заходить на айпи роутера
я так понимаю заходишь снаружи от роутера?
)))
ну так вот - у тебя если изнутри за натом попробовать на 192.168.1.3 зайти нормально входит?
файрволы на обоих компах выключены?
для чистоты эксперимента притащил бы соседский комп - воткнул во внутреннюю локалку и точно протестировал что на твой комп соседский комп может заходить.
а потом уже в роутере ковырялся.
Все уже проверил. Заходит нормально, если он в одной сети со мной( по вайфай или лан).
Если я за роутером, тогда ко мне зайти не могут, но я могу зайти ко всем кто есть в сети (потомучто у меня есть default route, в качестве шлюза роутера).
Соответсвенно мне надо пробросить порт внутрь на мой комп.
Vovanchik
04-04-2010, 18:04
ifconfig по vlan1 чего дает за ип?
к нему снаружи обращаетесь??
кстати по приведенному последнему скрипту
# eth1 - физический адаптер (беспроводной) Wi-Fi
попробуйте заменить только на то что я дал весь скрипт, сохранить, перегрузить.
У меня WL-500w, он с VLAN не очень дружит. (
br0 192.168.1.100
eth1 20.0.0.88
ppp0 194.44.xx.yy
eth1 - WAN порт
br0 - WiFi + LAN
Счас попробую только твой скрипт. Без замен MASQUERADE на SNAT.
Vovanchik
04-04-2010, 18:33
к этому я так понял обращаешься извне?
\\20.0.0.88
просто у меня как то сразу заработало, даж не вникал. с xp внешнего на семерку внутреннюю точно ходит нормально все. с семерки тоже.
Правильно, обращаюсь к //20.0.0.88/.
Все уже проверил, не работает.
В сети даже WINS поднят, все равно не хочет работать, ко мне доступа нет и все тут.
Vovanchik
04-04-2010, 19:12
может потому что подсети разные? помница проходил это когда то, но именно этот вопрос проспал. так и осталось пробелом у меня это.
как вариант на внешнем интерфейсе поднять vpn или второй ип из того же диапазона.
у меня еще из офиса vpn канал - воще напрямую во внутреннюю сеть на любой комп ходит без проброса портов. просто роуты прописал и все.
powerbbs
04-04-2010, 22:01
Все уже проверил. Заходит нормально, если он в одной сети со мной( по вайфай или лан).
Если я за роутером, тогда ко мне зайти не могут, но я могу зайти ко всем кто есть в сети (потомучто у меня есть default route, в качестве шлюза роутера).
Соответсвенно мне надо пробросить порт внутрь на мой комп.
Объясни плиз - как сделать так, что бы можно было хотябы видеть расшаренные папки у всех в сети через Сетевое окружение?
А то у меня два компа, за роутером WL-500W (с последней от Олега) друг друга внутри видят, а внешнюю сеть совсем не показывает...
Подскажи пожалуйста - как это сделать?
вот нашел какие локальные ИПы http://serv.itcn.ru/localip.txt но как это применить не знаю.
Вот настройки - которые дал провайдер IP Адрес 10.171.29.134 Маска подсети 255.255.252.0 Шлюз 10.171.28.1
Вот что выдает на роутере Status & Log - Routing Table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.171.28.1 * 255.255.255.255 UH 0 0 0 WAN eth1
192.168.1.0 * 255.255.255.0 U 0 0 0 LAN br0
10.171.28.0 * 255.255.252.0 U 0 0 0 WAN eth1
default 10.171.28.1 0.0.0.0 UG 0 0 0 WAN eth1
Если нажать на рабочем столе в Винде Сетевое окружение, то отображаются два компа моей внутренней рабочей группы, потом если нажать слева - вся сеть - то отображается только моя рабочая группа а группа моего провайдера не отображается.
Помогите пожалуйста.
Група твоего провайдера не отобразиться, для того чтоб отобразилась надо чтоб провайдер имел WINS сервер.
Проверь или можешь заходить по IP адресу на другие адреса из сети провайдера.
powerbbs
05-04-2010, 01:37
Група твоего провайдера не отобразиться, для того чтоб отобразилась надо чтоб провайдер имел WINS сервер.
Проверь или можешь заходить по IP адресу на другие адреса из сети провайдера.
По IP адресу заходит или нет проверить не могу - так как не знаю этих ИП-ов в сети провайдера, которые на данный момент разрешили к себе доступ и чего-нибудь шарят.
А WINS нашел вроде бы 172.21.17.6 или 172.21.96.6 - только незнаю где их прописывать (вроде у себя на компе прописал в настройках TCP/IP - ни чего не видать - я тамже и нетбиос пробовал разрешать) ничего пока не выходит. Правда пров вроде когда-то говорил что отключит эти винсы совсем.
powerbbs
05-04-2010, 23:26
UP
Ну может пользователь с имнем Power http://wl500g.info/member.php?u=10093 сможет немного помочь с этим вопросом - только вот отправить ему личное сообщение не получается...
Решение нашлось. )))
http://www.wl500g.info/showpost.php?p=78161&postcount=7
По первому варианту.
Подскажите как реализовать второй вариант.
Интересует как поднять VPN скриптом, у куда етот скрипт засунуть?
Подскажите плиз что именно прописать в иптаблес чтобы можно было зайти на http://myrouter.ru (на котором движок от саванны) с любой точки нашей планеты!
как настроить DDns представляю.
и еще хотелось бы иметь доступ к торренту, rrdtool b прочим программам! тоже извне!
Заранее спасибо
P.S. облазил весь поиск но ничего не нашел а то что находил не работает!(
Pablo Escobar
30-05-2010, 17:04
Подскажите плиз что именно прописать в иптаблес чтобы можно было зайти на http://myrouter.ru (на котором движок от саванны) с любой точки нашей планеты!
как настроить DDns представляю.
и еще хотелось бы иметь доступ к торренту, rrdtool b прочим программам! тоже извне!
Заранее спасибо
P.S. облазил весь поиск но ничего не нашел а то что находил не работает!(
http://tinyurl.com/2wo6olb
начиная с первой ссылки
http://tinyurl.com/2wo6olb
начиная с первой ссылки
пасиба! виноват!
тоже присоединяюсь к вопросу о доступе из вне к приложениям установленным на роутер из этой темы http://wl500g.info/showthread.php?t=21889 "Установка программ для чайника ".
Когда делаешь всевозможные доступы к компьютерам внутри сети с этим все понятно (Virtual server,проброс портов и так далее) . а вот с доступом к этим приложениям которые на роутере не совсем все понятно.
http://tinyurl.com/2wo6olb
начиная с первой ссылки
тут конечно много описано но в основном о доступе внутрь сети , а о приложениях на роутере подсказок нет .
Может это вопрос "первоклашки" и ничего сложного в этом нет но всё таки для некоторых это пройденный материал, а для других только начало "Азбука" ,
Подскажите или укажите прямые ссылки ....
Заранее спасибо .
terrabyte
16-06-2010, 16:27
Я может что не так делаю конечно ткните пожалуйста пальцем. Поиском не нашел. Не могу попасть на роутер из интернет. Попадаю на модем, как попасть на роуьтер минуя модем? Спасибо.
sauron093
16-06-2010, 16:53
Я может что не так делаю конечно ткните пожалуйста пальцем. Поиском не нашел. Не могу попасть на роутер из интернет. Попадаю на модем, как попасть на роуьтер минуя модем? Спасибо.
модем в режиме роутера работает? тогда пробрасывайте порты на роутер в настройках модема
terrabyte
17-06-2010, 08:30
модем в режиме роутера работает? тогда пробрасывайте порты на роутер в настройках модема
Подробнее можно пожалуйста? Мне нужен доступ к фото галерее. Как это реализовать? DDNS на роутере нужно делать или только на модеме? Спасибо
Pablo Escobar
17-06-2010, 10:45
Я может что не так делаю конечно ткните пожалуйста пальцем. Поиском не нашел. Не могу попасть на роутер из интернет. Попадаю на модем, как попасть на роуьтер минуя модем? Спасибо.
Подробнее можно пожалуйста? Мне нужен доступ к фото галерее. Как это реализовать? DDNS на роутере нужно делать или только на модеме? Спасибо
из постановки задачи нифига непонятно - что за модем, что за соединение. пробросьте порты на модеме. идете в гугль и там пишете "пробросить порты модель модема".
terrabyte
17-06-2010, 11:17
из постановки задачи нифига непонятно - что за модем, что за соединение. пробросьте порты на модеме. идете в гугль и там пишете "пробросить порты модель модема".
Извиняюсь. Пробросом портом добился того что увидел страничку роутера на порту 8080. Подскажите фотогалерея на каком порту сидит?
Pablo Escobar
17-06-2010, 12:27
Подскажите фотогалерея на каком порту сидит?
опять неясны условия задачи. лучше спросить там, откуда ставили.
terrabyte
17-06-2010, 13:10
Религия что ли такая не знаю что, но все равно напишу. Неясна задача не отвечаем разве сложно? Я спросил на каком порту доступ к фото галерее Imagevue v.2. Что не понятно? Тема вроде называется Доступ к роутеру извне именно такой вопрос меня и интересует.
Религия что ли такая не знаю что, но все равно напишу. Неясна задача не отвечаем разве сложно? Я спросил на каком порту доступ к фото галерее Imagevue v.2. Что не понятно? Тема вроде называется Доступ к роутеру извне именно такой вопрос меня и интересует.
Похоже религия. Иначе как объяснить наезды на желающего помочь?
Вас устроит ответ на поставленный Вами вопрос?
Тогда так: на том, на который Вы сами и настроили фото галерею (по умолчанию, если порт не переназначен, -- 80й).
terrabyte
17-06-2010, 15:29
Похоже религия. Иначе как объяснить наезды на желающего помочь?
Вас устроит ответ на поставленный Вами вопрос?
Тогда так: на том, на который Вы сами и настроили фото галерею (по умолчанию, если порт не переназначен, -- 80й).
Спасибо. Это я и хотел услышать.
Привет! не поможешь с вопросиком?
Есть модем d-link 2540 настроен роутером к нему подключен dir 320. Так вопрос в том не могу подключиться из интернета к нему попадаю на модем. DDns настроил на модеме. в дире тоже надо настраивать? Проброс портов сделал на модеме. Из локалки стал попадать на дир, а из интернета попадаю только на модем. Может что то еще надо включить на дире
Заранее благодарен.
Pablo Escobar
07-10-2010, 16:54
Привет! не поможешь с вопросиком?
Есть модем d-link 2540 настроен роутером к нему подключен dir 320. Так вопрос в том не могу подключиться из интернета к нему попадаю на модем. DDns настроил на модеме. в дире тоже надо настраивать? Проброс портов сделал на модеме. Из локалки стал попадать на дир, а из интернета попадаю только на модем. Может что то еще надо включить на дире
Заранее благодарен.
как проброс сделан?
попробуйте с нестандартного порта на порт 320-го.
типа 16080->80 (если на 230 именно он)
terrabyte
07-10-2010, 18:30
Привет! не поможешь с вопросиком?
Есть модем d-link 2540 настроен роутером к нему подключен dir 320. Так вопрос в том не могу подключиться из интернета к нему попадаю на модем. DDns настроил на модеме. в дире тоже надо настраивать? Проброс портов сделал на модеме. Из локалки стал попадать на дир, а из интернета попадаю только на модем. Может что то еще надо включить на дире
Заранее благодарен.
неправильно сделан проброс портов на модеме. На роутере ничего не надо делать кроме того что дать доступ из интернета. Либо пробрасываете не те порты либо не открыт доступ на роутер извне либо и первое и второе.
Модем настроил роутером. От модема кабель воткнул в wan интерфей дира,
прописал диру statik ip 192.168.1.50. Lan настройки сделал 192.168.2.1
7167
В Internet Firewall - Basic Config сдела такие настройки:
7168
и в IP Config - Miscellaneous вот такие.
7169
проброс выполнил вот так
7170
Что еще надо сделать???
Pablo Escobar
07-10-2010, 20:52
Что еще надо сделать???
интернет->2450->320
wan 320 в 2450
на 2450 - dyndns и проброс порта с любого на 8080
проверить на 320, работает ли 8080.
собсно, все. еще могут файрволлы мешать, попробуйте отключить для начала
вроде, правильно (только я в длинке не понимаю). если что - файрволл отключи.
так мне чтобы теперь из интерната попасть на дир надо писать вот так
ttt.yyy.uu:8080 и поидеи я должен попасть на дир?
Pablo Escobar
07-10-2010, 20:58
так мне чтобы теперь из интерната попасть на дир надо писать вот так
ttt.yyy.uu:8080 и поидеи я должен попасть на дир?
да, например, твое_имя.homeip.net.
только проверь, виден ли этот адрес снаружи, ping сделай, проверь, видно ли IP.
да, например, твое_имя.homeip.net.
только проверь, виден ли этот адрес снаружи, ping сделай, проверь, видно ли IP.
пинг проходит
пробывал так имя.dyndns.yy
непойму в чем причина на модем попадаю а на дир нет
terrabyte
08-10-2010, 05:47
пинг проходит
пробывал так имя.dyndns.yy
непойму в чем причина на модем попадаю а на дир нет
дк видимо пинг до модема проходит только, и он его на роутер не пробрасывает. что в post-firewall прописано? и модем после изменений ребутнуть надо.