Log in

Bekijk de volledige versie : Internet Firewall:помогите настроить


diman0.7
17-09-2008, 21:04
нужен доступ к интернету только двум машинам из сети,расскажите как настроить LAN to WAN Filter ,и расскажите для чего WAN to LAN Filter

если можно,подробно про настройки.

и еще...если ввессти блокировку по МАС то получается интернет через WAN будут получать лиш обладатели соответсвующего МАСа?
diman0.7
20-09-2008, 11:29
столкнулся с проблемой,что когда авторизация по МАС адресу,то остальным нет доступа к USB диску.
пожалуста,помогите настроить...что в таком случае лутше использовать?
LAN to WAN Filter ?
diman0.7
20-09-2008, 16:48
ну е мае подскажите,туда я ввожу эти 2айпи што на рисунке или нет?нада штоб только они получали интернет через WAN а флешка должна должна быдь доступна по сети...когда блочу по МАС-адресу,это надежно,но на флешку остальных не пускает...

ну блин,достал я вас,ну подскажите на этом рисунке кто знает
serji
22-09-2008, 03:47
+1
как заблокировать VPN интернет компу, чтобы локальная сеть осталась???


прочитал ветку


http://wl500g.info/showthread.php?p=77077#post77077


сделал как велено...
имею два файла :
/etc/ethers c маками DHCP
/usr/local/etc/ethers ручками ввел мак и ип блокируемых машин

инет работает...
дак где указываются маки для блока???
EugeenB
22-09-2008, 12:55
Блокирование осуществляется правилом
iptables -I FORWARD 1 -m mac --mac-source XX:XX:XX:XX:XX:XX -o ppp0 -j DROP
serji
28-09-2008, 19:42
Блокирование осуществляется правилом
iptables -I FORWARD 1 -m mac --mac-source XX:XX:XX:XX:XX:XX -o ppp0 -j DROP

вписал правило в пост фаирвол.... неработает 8(
у меня статик IP...
я понимаю что гугля рулит но подскажите пожалуйста что есть WAN, WLAN, PPP0, ppp1 & etc

у меня есть строчка

Jan 1 01:00:08 kernel: vlan1: Setting MAC address to 00
мне блокировать надо не PPP0 а vlan1 ????
Спасибо за ответы!
serji
01-10-2008, 14:56
ребутнулся, обновился, внес строку
iptables -I FORWARD 1 -m mac --mac-source 00:11:22:33:44:55 -o ppp0 -j DROP
в пост-фаирвол... интернет отключен!... ВПН заблокирован


Цитата:
Сообщение от rtzra
Названия интерфейсов можно найти пошарив по форуму или тут: http://brj.pp.ru/wiki/hardware/network/router/asus-wl500gp#understanding_network_interfaces
serji
15-10-2008, 13:19
получается, что ррр0 =vlan1+ небольшой процент... правильно???

как заблокировать одного, по маку, я понял (DROP)...
как разрешить одному, по маку, я догадался (ENABLE)...
а как запретить ВСЕМ?? просто не указывать мак????
типа :


iptables -I FORWARD 1 -m -o ppp0 -j DROP


????????
EugeenB
15-10-2008, 16:05
получается, что ррр0 =vlan1+ небольшой процент... правильно???Нет. Неправильно. Вообще не понятно, что Вы спрашиваете.


как заблокировать одного, по маку, я понял (DROP)...
как разрешить одному, по маку, я догадался (ENABLE)...
И опять неправильно. Не то ключевое слово.

а как запретить ВСЕМ?? просто не указывать мак????
типа :
iptables -I FORWARD 1 -m -o ppp0 -j DROP
"-m" - лишнее. Потом, не забудте разрешить доступ хоть кому то. Иначе зачем подключаться к Интернену вообще?
serji
17-10-2008, 13:34
Нет. Неправильно. Вообще не понятно, что Вы спрашиваете.

У меня объём трафика РРРоЕ растет одновременно с трафиком WANa
но на 1-2% РРРоЕ больше чам WAN


И опять неправильно. Не то ключевое слово.

FORVARD??


"-m" - лишнее. Потом, не забудте разрешить доступ хоть кому то. Иначе зачем подключаться к Интернену вообще?
Спасибо, постараюсь незабыть... 6)
EugeenB
18-10-2008, 16:38
У меня объём трафика РРРоЕ растет одновременно с трафиком WANa
но на 1-2% РРРоЕ больше чам WAN
PPPoE - это протокол соединения двух хост..э.. компютеров, внутри уже установленного Ethernet соединения. Тоесть, сначала устанавливается соединение vlan1, которое начинает пересылать пакеты нового соединения PPPoE. Кроме обслуживания PPPoE, через vlan1 можно пересылать другую информацию, для локальных ресурсов провайдера. Т.о.
Трафик через vlan1 = Трафик через ppp0 + Трафик другой (служебный)

FORVARD??И опять мимо. :) Правильное слово начинается на букву "A". ;)
Для того, чтоб все это осознать, Вам НЕОБХОДИМО прочесть http://www.opennet.ru/docs/RUS/iptables/
TOYan
19-02-2009, 18:03
Ну я тоже начинающий, но рискну ответить на вопрос из этой викторины вместо выбывшего участника :):
Правильное слово "ACCEPT"
А у меня другой вопрос: если я открыл порты, а приложение, скажем, rtorrent не запустил, то это будет дырка в безопасности? И если так, то не уместнее ли открывать порты из скрипта запуска этого приложения, и закрывать потом при отработке команды Sxx* stop, а не из post-firewall?
vectorm
19-02-2009, 19:23
Ну я тоже начинающий, но рискну ответить на вопрос из этой викторины вместо выбывшего участника :):
Правильное слово "ACCEPT"
А у меня другой вопрос: если я открыл порты, а приложение, скажем, rtorrent не запустил, то это будет дырка в безопасности? И если так, то не уместнее ли открывать порты из скрипта запуска этого приложения, и закрывать потом при отработке команды Sxx* stop, а не из post-firewall?
Что будет делать пакет, придя на открытый порт, где его никто не ждет? ;)
правильно, пойдет лесом.
Порт считается открытым до тех пор, пока на нем кто-то слушает, нет слушателя - отвечать на порту некому.
TOYan
19-02-2009, 20:21
Я был близок к тому, чтобы самому об этом догадаться, когда обратил внимание на то, что тест доступности порта от utorrent показывает его доступность только тогда, когда сам utorrent на компе запущен.
А не смог догадаться, потому что тогда непонятно, почему бы их, порты, все разом не открыть, т.е. зачем вообще их держать закрытыми?