PDA

Bekijk de volledige versie : Флешка, ssh доступ из wan, проброс и открытие портов из web интерфейса



bigest
28-11-2007, 10:55
Приветствую!

Есть острое желание залезть на www-интерфейс торрента снаружи. Сидит на порту 8081 и доступ снаружи прикрыт. Крутится dropbear на порту 2222, который открыт для доступа снаружи.

Прочитал про волшебную функцию проброса портов через SSH туннель и попытался сделать это.

Настройки использую следующие:
ssh server: myasus.dyndns.org
ssh port: 2222
localport: 8081
server: 192.168.1.2 <это адрес интерфейса роутера, смотрящего внутрь локалки>
remoteport: 8081

В результате, после авторизации и поднятия туннеля, когда пробую обратится с удаленной машины на ее локальный порт (http://localhost:8081), получаю пустую страничку. Если туннель не поднят - получаю таймаут.

Что я забыл сделать?
Нужно некое специальное правило в iptables, чтобы форвардить траффик выходящий из ssh-туннеля на порт 8081 локального интерфейса?
Адрес какого интерфейса удаленного узла следует использовать при поднятии туннеля (192.168.1.2 или 127.0.0.1)?

Oleg
28-11-2007, 11:25
Что за клиент?

В Putty в разделе Tunnels вбиваете Source Port 8081, в Destination 192.168.1.2:8081 и не забываете жать Add.

bigest
28-11-2007, 11:42
Клиент Pocket Putty. Именно так и вбиваю. Пробовал еще zaTunnel - те же яйца.

Забыл указать: удаленная машина - КПК на Windows Mobile, инет через GPRS от МТС.

bigest
28-11-2007, 12:06
Поставил вместо IE Оперу - стало интересней!
Опера качает 7КБ от общего размера странички и затыкается. В этот момент Pocket Putty падает с ошибкой WSAEnumNetworkEvents(): SOCKET_ERROR и туннель рвется.

Судя по всему, глюк специфичен для Windows Mobile и к роутеру не имеет никакого отношения.

zheka_ppp
28-11-2007, 12:26
IMHO, может проще вместо http поставить https (SSL) и открыть его наружу ? Мне кажется, что по уровню безопасности это не хуже ssh туннеля.
Как настроить lighttpd с SSL на форруме описано подробно.
http://wl500g.info/showpost.php?p=47181&postcount=8
http://wl500g.info/showpost.php?p=47928&postcount=10
Единственно, pocket IE у меня (wm2003se) не поддерживает авторизацию htdigest, пришлось использовать plain/basic. Но это не так критично внутри SSL, наверное.

bigest
30-11-2007, 19:46
Да, выход. Но все же не хотелось бы плодить порты открытые снаружи. :(

agure
12-11-2008, 09:48
Добрый день форумчане, Олег!:)

При выборе перечитал рекомендации на сайте и отзывы от друзей которые уже имеют роутер Asus wl500g Premium.

У меня есть Asus wl500g Premium v.2, с прошивкой от Олега последней (...-10). Настроил DHCP, настроил PPTP, по описаниям на сайте поднял ssh демона. Все как бы работает для работы в интернете хватает. Но сейчас мне нужно открыть доступ к роутеру из интернета по ssh так чтобы можно было клиентом из инета конектится, например, <мой IP>:443, а попадать на <мой IP роутера внутренний>:22, т.е. с пробросом порта во внутрь.
Как это сделать, и, можно ли это сделать через Web интерфейс, до сих пор у меня не получилось это сделать так чтоб работало?
Еще мне требуется открыть с пробросом во внутрь таким же способом через Web интерфейс еще несколько портов для некоторых мне необходимых сервисов, например, ftp (т.е. чтобы они были доступны из интернета, чтоб роутер при коннекте на определенный порт перебрасывал соединение на внутреннего клиента). Если это можно сделать только из под консоли линукса, то прошу написать как? Т.к. на форуме очень много информации смежной с моей задачей, но толком не понятно и линукс достаточно специфичный чтоб с ним работать так как с обычным полноценным.
Еще один момент хотел бы чтобы прояснили для меня, каким образом обнаружить что флешка гиговая которую я воткнул в один из портов в роутер обнаружилась роутером и принципиально ли иметь файловую систему какую либо на этой флешке до начала работы с ней? Если я удалил файловую систему на флешке и сделал ее Free, она ведь все равно должна найтись роутером? После того как роутер обноружил ее где и как посмотреть ее и отформатировать (как отформатировать встречал на форуме но не получилось)? На форуме только про винты видел сообщения и объяснения как с ними работать. У меня в /dev нет каталога /scsi, есть каталог /usb но в нем ничего нет когда подключаешь флешку (флешка простая гиговая Kingston).
Да, и еще один вопрос. У меня есть динамический IP привязан он у провайдера к мак адресу который я настроил. Все бы ничего но при подключении VPN все запросы идут через него, а хочется локальные ресурсы провайдера который мне выдает динамический IP юзать без VPN. Как создать файлик и применить его с сетями провайдера локальными или скрипт которым можно будет стягивать таблицу сетей и применять ее?
Очень хотелось бы чтобы интерфейс Web морды роутера был переработан и дополнен функционалом.
До того как пророшить Олеговской прошивкой прошил асусовской последней доступной там интерфейс гораздо приятнее.

Очень надеюсь что меня не пошлют кудани-будь в поиск (поиском слава богу умеем пользоваться) и ответят точно на мои вопросы по порядку в теме.

С Уважением, Agure

Alexander B.
13-11-2008, 07:00
1. Если нужен SSH на 443 порту, то надо в настройках SSH-сервера этот порт и указать вместо 22, ничего пробрасывать не надо.

2. Чтобы открыть порты на роутере во внешний мир, надо создать файл /usr/local/bin/post-firewall, сделать исполняемым, добавить в него строчку "#!/bin/sh" и для каждого порта, который надо открыть, по строчке вида:
iptables -I INPUT -p tcp --dport <номер_порта> -j ACCEPT
После чего выполнить "flashfs save && flashfs commit && flashfs enable" и перезагрузиться.

3. Если в /dev/ нет каталога scsi, флэшка, скорее всего, не определилась. Отсутствие на ней файловой системы не должно быть проблемой. В чем дело, можно попробовать понять, посмотрев вывод команд "dmesg | grep usb" и "dmesg | grep scsi".

4. Маршрутизация, вроде бы, вполне настраивается и из веб-интерфейса. Если что-то не получается - опишите подробнее, что именно надо и что делали.

5. Веб-интерфейс у прошивки Олега вполне нормальный для того, чтобы сделать первичную настройку, а дальше уже работать с конфигурационными файлами и т.п. напрямую. Если Вам хочется все настраивать через красивый веб-интерфейс - может быть, Вам не нужна прошивка от Олега и хватит стандартной?

agure
13-11-2008, 09:45
Я так понял что,
1. В настройках ssh сервера опять же через telnet с доступом к роутеру надо указывать порт который мне нужен 443 например вместо 22, учитывая пункт 2, будет ли в такой ситуации доступен роутер по telnet <IP адрес моего шлюза который выдает мне провайдер>:22 (или 443)?
2. Чтобы заходить из вне по порту 443 и попадать на 22 роутера надо создать файл /usr/local/bin/post-firewall, сделать исполняемым (как если не сложно напишите)
и добавить строчки в созданном файле
!/bin/sh
iptables -I INPUT -p tcp --dport <443> -j ACCEPT - если нужно открыть 443 порт из вне
iptables -I INPUT -p tcp --dport <22> -j ACCEPT - если нужно открыть 22 порт из вне
iptables -I INPUT -p tcp --dport <80> -j ACCEPT - если нужно открыть 80 порт из вне
потом сделать flashfs save && flashfs commit && flashfs enable
reboot
А можно ли это сделать через веб интерфейс?
Я же хочу чтобы порт из вне был открыт 443, но при коннекте на него роутилось на 22 роутера. Как это сделать?

С роутингом через веб интерфейс не понял вообще как настраивается.
Есть список "сеть\маска\индекс подсети", который я хочу, прописать в роутере и ходить по этим сетям без VPN. Роутер стоит в режиме домашней маршрутиризации.
Если работать без VPN, то сайты в локальной сети открываются несколько медленно, возможно это связано с проблемой скорости download\upload о которой уже писали на форуме (попробую поднастроить чуть позже), но пинги ходят только до шлюза провайдера моего, а сайты открываются и из-за шлюза провайдера. Когда подключаешь VPN, то пинги все идут через VPN, а не по локальной сети. Хочу разделить локальные ресурсу и внешку.

Alexander B.
13-11-2008, 10:34
1. telnet и SSH - разные протоколы. Вам что надо?

2. Вам нужен SSH (или все-таки telnet) на 22 порту или на 443? В чем смысл желания "открыть 443, но попадать на 22"?

3. Про маршрутизацию ничего не понял. Какие сетевые интерфейсы подняты на роутере, какие адреса и шлюзы по умолчанию на каждом из них? К каким сетям через какие шлюзы Вы хотите иметь доступ? Подозреваю, если Вы сами сформулируете ответы на этот вопросы, то дальше ничего объяснять уже не придется.

P.S. Без базовых знаний линукса лучше Вам в консоль не лезть от греха подальше...

agure
13-11-2008, 11:30
ssh по 443 порту с перенаправлением на 22 уже сделал с помощью модератора форума. За что ему огромное спасибо.

По поводу сетей разъясню еще раз подробно.

У меня в городе очень много ресурсов всяких разных и провайдер к которому я подключен только за абон. плату предоставляет доступ к этим ресурсам (без внешнего интернета подключением VPN или еще как). Есть cписок сетей в текстовом формате. Мне нужно прописать в роутере этот список в каком либо виде, например, "сеть/префикс сети" (87.239.8.0/21) или за место префикса маску. А еще лучше написать скрипт который будет в текстовом виде скачивать такой список и применять его на роутере.
Список большой, порядка 100 строк таких из сетей и префиксов\масок будет.

Проблема у меня еще в том что сейчас у меня пинг без включенного VPN не выходит дальше шлюза провайдера, а когда включаешь VPN, то даже по ресурсам нашего города я хожу через VPN и пинг тоже. Скорее всего что нужно именно на роутере прописать сети и явным образом указать настройки сети в роутере (IP, маска, шлюз, DNS).

Теперь еще раз, как это сделать?

PS: Надеюсь теперь я понятно изложил, тьфу-тьфу...иногда отличаюсь сложностью мысли.:)

Alexander B.
13-11-2008, 11:55
Я правильно Вас понял, что Вы:
1) Получаете адрес, шлюз и адреса серверов DNS из сети провайдера по DHCP.
2) Подключаетесь по VPN для доступа к внешним ресурсам.
При этом раньше (до того, как Вы поставили роутер), к внутренним ресурсам после выполнения п. 1 был доступ без выполнения п. 2, а сейчас (когда роутер поставили) такой вариант не работает?

agure
13-11-2008, 13:09
Абсолютно правильно.

Только я могу получать адрес, шлюз и DNS по DHCP от провайдера а могу и сам прописать. Раньше было прописано и я просто делал
route ADD 157.0.0.0 MASK 255.0.0.0 157.55.80.1 METRIC 3 IF 2

но в линухе несколько все подругому.
Надо прописать сети таким же образом на роутере.

Alexander B.
13-11-2008, 13:27
Абсолютно правильно.

Только я могу получать адрес, шлюз и DNS по DHCP от провайдера а могу и сам прописать. Раньше было прописано и я просто делал
route ADD 157.0.0.0 MASK 255.0.0.0 157.55.80.1 METRIC 3 IF 2

но в линухе несколько все подругому.
Надо прописать сети таким же образом на роутере.
Прописать маршруты не проблема. Указанную Вами выше виндовую команду можно повторить для роутера как через веб-интерфейс, так и из командной строки. В последнем случае получится "route add 157.0.0.0 netmask 255.0.0.0 gw 157.55.80.1 metric 3 dev XXX", где XXX - имя WAN-интерфейса (посмотреть можно, вызвав "nvram get wan_ifname").

А вот то, что без VPN внутренние ресурсы недоступны, - это уже отдельная проблема. Ее причина мне, честно говоря, непонятна. Роутер по DHCP точно получает те же настройки, как и Ваш компьютер, на котором все работало?

agure
13-11-2008, 13:47
...Роутер по DHCP точно получает те же настройки, как и Ваш компьютер, на котором все работало?

Да.
Надо не просто прописать, а желательно сделать скрипт который будет скачивать и применять эти сети в роутере.

Alexander B.
13-11-2008, 13:57
Да.
Надо не просто прописать, а желательно сделать скрипт который будет скачивать и применять эти сети в роутере.
Формат комадны route я Вам привел. Откуда надо скачивать маршруты и в каком формате они там лежат, я не знаю, но думаю, что сделать скрипт будет довольно просто. Попробуйте, заодно в процессе научитесь использовать bash, что будет крайне полезно, если есть дальше желание разбираться с железкой, работающей под линуксом...

agure
14-11-2008, 05:35
Простите, вы уже не раз намекали про самообучение, поясню.
По долгу службы я работаю на freebsd и не много на windows. С линухами имею дело крайне редко, а они бывают значительно отличаются от unix (freebsd).
Поэтому и прошу помоч конкретными командами.
Провайдер предоставляет в открытом доступе список этих сетей с возможностью задать явным образом в htp://URL параметры с которыми можно получить этот список с разных видах, будь-то "<сеть><пробел><маска>" или "<сеть><пробел><префикс><пробел><маска>" или "<сеть><пробел><префикс>" и скачать его wget-ом. А вот с парсингом я не силен. Другой вопрос в каком виде это должно писаться в /usr/local/sbin/post-firewall ?

PS: Простите мне мой французский.:p

Alexander B.
14-11-2008, 08:01
Простите, вы уже не раз намекали про самообучение, поясню.
По долгу службы я работаю на freebsd и не много на windows. С линухами имею дело крайне редко, а они бывают значительно отличаются от unix (freebsd).
Поэтому и прошу помоч конкретными командами.
Провайдер предоставляет в открытом доступе список этих сетей с возможностью задать явным образом в htp://URL параметры с которыми можно получить этот список с разных видах, будь-то "<сеть><пробел><маска>" или "<сеть><пробел><префикс><пробел><маска>" или "<сеть><пробел><префикс>" и скачать его wget-ом. А вот с парсингом я не силен. Другой вопрос в каком виде это должно писаться в /usr/local/sbin/post-firewall ?

PS: Простите мне мой французский.:p

В /usr/local/sbin/post-firewall (или в /usr/local/sbin/post-boot) это должно писаться в виде
route add <сеть> netmask <маска> gw <шлюз, который Вам выдает по DHCP>
Готовый скрипт, может выглядеть примерно так (в случае, если провайдер выдает список сетей в формате "<сеть> <маска>"):

#!/bin/sh
NETS_URL="http://provider.ru/nets.php"
GW="111.113.113.114"

wget $NETS_URL -O /tmp/nets
cat /tmp/nets | awk {'print "add " $1 " netmask " $2'} | xargs --replace route {} gw $GW
rm /tmp/nets
Не проверял, работает ли это ;) , но общая идея такая. Чтобы сделать готовое решение - нужно тестировать по месту. И еще надо сначала установить findutils, в состав которого входит xargs.

agure
14-11-2008, 19:13
С маршрутами понятно.
Не понятно с флешкой, сделал dmesg | grep scsi и dmesg | grep usb, в обоих случаях ничего не вывелось. Роутер перед этим перезагружал. Флешка точно живая.

Еще не понятно почему не выполняется ipkg update и ipkg upgrade, в обоих случаях выдает mkdir: Cannot create directory `//opt/tmp/': Read-only file system.
Чтобы это значило? Инет прямой. Хочу поставить mc, а то vi и вправду кривой какой-то.

Alexander B.
14-11-2008, 23:01
Насчет флешки сложно сказать, в чем дело. USB Storage в веб-интерфейсе включено (на вкладке Services)?

А про ipkg - если флешка не распознается, так откуда же взяться доступному для записи /opt? ipkg будет работать только когда флешка или внешний диск подключены и смонтированы в /opt.

agure
15-11-2008, 10:42
С прописанием сетей ничего не выходит. Через веб интерфейс на закладке IP config - Route прописал сеть с маской и гейтом, метрикой =1, на WAN. После сохранения и перезагрузки инет вообще пропал, весь.

Помогайте, запутался. Кто как разделяет внешку (ppptp) от локального трафика?

agure
17-11-2008, 12:34
С сетью разобрался и флешкой тоже.
Поставил mc.
Адреса надо было прописывать на MAN с метрикой 2.
Только вот скорость по локальной сети не устраивает. При пинге шлюза изнутри пинг 16-17мс - это много. А когда пингуешь какой-нибудь сайт то пинги 1-2мс. Как такое может быть?

Сейчас с самого шлюза шлюз по пинговал и пинги 20мс. Подскажите в чем может быть дело?

tempik
15-07-2009, 13:02
Вчера перед отездом в отпуск прикупил WL-500gP V1 в один из филиалов ... все настроил только забыл разрешить вход на SSH (WEB интерфейс доступен из вне) пытаюсь щес прописать нужное правило в post-firewall через System command

echo "iptables -A INPUT -p tcp --syn --dport 1111 -j ACCEPT" >> /tmp/local/sbin/post-firewall
а внем никаких изменений ... и в логе тишина ... что может быть???
Прошивка Олега 1.9.2.7-10
P.S. странно, но просто правило введенное сработало и получив доступ по SSH все нужные изменения в файлы внес .... Проблема решилась, но вопросы остались через WEB по прежнему не работает "echo" либо просто затирает файл либо не вносит изменений ...

vectorm
15-07-2009, 15:45
Вчера перед отездом в отпуск прикупил WL-500gP V1 в один из филиалов ... все настроил только забыл разрешить вход на SSH (WEB интерфейс доступен из вне) пытаюсь щес прописать нужное правило в post-firewall через System command

echo "iptables -A INPUT -p tcp --syn --dport 1111 -j ACCEPT" >> /tmp/local/sbin/post-firewall
а внем никаких изменений ... и в логе тишина ... что может быть???
Прошивка Олега 1.9.2.7-10
P.S. странно, но просто правило введенное сработало и получив доступ по SSH все нужные изменения в файлы внес .... Проблема решилась, но вопросы остались через WEB по прежнему не работает "echo" либо просто затирает файл либо не вносит изменений ...
Все просто - прав на изменение у пользователя, под которым работает веб сервер, не хватает.

Power
15-07-2009, 16:39
Не-не-не. Веб-сервер работает под админом. Просто команда, которая вводится в поле, выполняется в виде


system("%s > /tmp/syscmd.log 2>&1");

// ... что приблизительно эквивалентно

(fork() == 0) && execl("/bin/sh", "/bin/sh", "-c", "%s > /tmp/syscmd.log 2>&1", (char *) NULL);

где %s - это собственно то, что вы ввели. Так что ваше перенаправление ">> /tmp/local/sbin/post-firewall" перекрывается более поздним "> /tmp/syscmd.log". Чтобы избежать этого, можно, например, в конце команды поставить знак # (типа, закомментировать остаток строки).

DaemoniZ
10-08-2009, 22:59
Нужно настроить доступ к компьютеру (пока что по ssh) из внешки.
Так как ip у меня не постоянный, то пользуюсь dyndns.
Прописал настройки dyndns в админке роутера, захожу на dyndns и вижу что ip прописан внутресетевой, а не внешний.
Ладно, решил что настрою ddclient на целевой машинке и проблема решится, а пока вписал в настройках хоста свой внешний адрес.
В VirtualServer, прописал правило для 22 порта, и на всякий случай, в "Internet Firewall" отметил "Enable Web Access from WAN".
Но при коннекте как по имени хоста, так и по внешнему ip, ни web морда, ни ssh не пашет.
Если подключаться по внутресетевому адресу, то все проходит нормально.
Похоже, мой провайдер (unet) режет входящий трафик. Как от этого избавиться?

vectorm
11-08-2009, 08:56
Похоже, мой провайдер (unet) режет входящий трафик. Как от этого избавиться?
Если провайдер режет входящие порты - надо узнать какие, и использовать другие.
Скорее всего режутся стандартные 80, 25, 110, 137, 139, 445 (TCP и UDP)
Может и еще какие.

DaemoniZ
11-08-2009, 10:48
Скорее всего режутся стандартные 80, 25, 110, 137, 139, 445 (TCP и UDP).
В "Port of Web Access from WAN" прописывал 30003, 30103 и 30303. Подключиться ни разу не удалось(
Может я какую то опцию настройки упустил?

vectorm
11-08-2009, 11:07
В "Port of Web Access from WAN" прописывал 30003, 30103 и 30303. Подключиться ни разу не удалось(
Может я какую то опцию настройки упустил?
Сетевые настройки можно увидеть?

kir-g
11-08-2009, 11:18
Нужно настроить доступ к компьютеру (пока что по ssh) из внешки.
Так как ip у меня не постоянный, то пользуюсь dyndns.
Пропис
В VirtualServer, прописал правило для 22 порта,
Интересно, а куда вы хотели порт пробросить???? его открывать надо, а не пробрасывать.

DaemoniZ
11-08-2009, 11:24
Перебросить нужно на другой компьютер в сети за роутером.
Как открыть? В WAN to LAN? Тогда что должно быть в "Source IP"("*" не прописывается), если не знаю источника?

kir-g
11-08-2009, 11:34
Перебросить нужно на другой компьютер в сети за роутером.
Как открыть? В WAN to LAN? Тогда что должно быть в "Source IP"("*" не прописывается), если не знаю источника?
Ой звиняйте не внимательно прочитал ваш пост.
Все правильно.Его надо пробрасывать.

DaemoniZ
11-08-2009, 11:39
Сетевые настройки можно увидеть?

Написал в личку. Думаю, нужно продублировать здесь.
Какие конкретно настройки написать? Или Settings.CFG выложить?

vectorm
11-08-2009, 13:21
Написал в личку. Думаю, нужно продублировать здесь.
Какие конкретно настройки написать? Или Settings.CFG выложить?
Для начала хотя бы ifconfig

DaemoniZ
11-08-2009, 13:55
Для начала хотя бы ifconfig



br0 Link encap:Ethernet HWaddr 00:1E:8C:3E:02:4C
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::21e:8cff:fe3e:24c/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1326035 errors:0 dropped:0 overruns:0 frame:0
TX packets:1789386 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:406681207 (387.8 MiB) TX bytes:2056398947 (1.9 GiB)

eth0 Link encap:Ethernet HWaddr 00:1E:8C:3E:02:4C
inet6 addr: fe80::21e:8cff:fe3e:24c/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1834974 errors:0 dropped:0 overruns:0 frame:0
TX packets:600648 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:2073975396 (1.9 GiB) TX bytes:389558892 (371.5 MiB)
Interrupt:4 Base address:0x1000

eth1 Link encap:Ethernet HWaddr 00:1E:8C:3E:02:4C
inet6 addr: fe80::21e:8cff:fe3e:24c/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1326065 errors:0 dropped:0 overruns:0 frame:87218
TX packets:1801403 errors:64 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:425244504 (405.5 MiB) TX bytes:2086405145 (1.9 GiB)
Interrupt:12 Base address:0x2000

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MULTICAST MTU:16436 Metric:1
RX packets:13404 errors:0 dropped:0 overruns:0 frame:0
TX packets:13404 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1137325 (1.0 MiB) TX bytes:1137325 (1.0 MiB)

vlan0 Link encap:Ethernet HWaddr 00:1E:8C:3E:02:4C
inet6 addr: fe80::21e:8cff:fe3e:24c/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:17864 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:3499669 (3.3 MiB)

vlan1 Link encap:Ethernet HWaddr 00:1E:8C:3E:02:4C
inet addr:10.53.14.24 Bcast:10.53.255.255 Mask:255.255.0.0
inet6 addr: fe80::21e:8cff:fe3e:24c/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1834974 errors:0 dropped:0 overruns:0 frame:0
TX packets:582781 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:2040945864 (1.9 GiB) TX bytes:386059005 (368.1 MiB)

kir-g
11-08-2009, 14:17
br0 Link encap:Ethernet HWaddr 00:1E:8C:3E:02:4C
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::21e:8cff:fe3e:24c/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1326035 errors:0 dropped:0 overruns:0 frame:0
TX packets:1789386 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:406681207 (387.8 MiB) TX bytes:2056398947 (1.9 GiB)

eth0 Link encap:Ethernet HWaddr 00:1E:8C:3E:02:4C
inet6 addr: fe80::21e:8cff:fe3e:24c/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1834974 errors:0 dropped:0 overruns:0 frame:0
TX packets:600648 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:2073975396 (1.9 GiB) TX bytes:389558892 (371.5 MiB)
Interrupt:4 Base address:0x1000

eth1 Link encap:Ethernet HWaddr 00:1E:8C:3E:02:4C
inet6 addr: fe80::21e:8cff:fe3e:24c/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1326065 errors:0 dropped:0 overruns:0 frame:87218
TX packets:1801403 errors:64 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:425244504 (405.5 MiB) TX bytes:2086405145 (1.9 GiB)
Interrupt:12 Base address:0x2000

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MULTICAST MTU:16436 Metric:1
RX packets:13404 errors:0 dropped:0 overruns:0 frame:0
TX packets:13404 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1137325 (1.0 MiB) TX bytes:1137325 (1.0 MiB)

vlan0 Link encap:Ethernet HWaddr 00:1E:8C:3E:02:4C
inet6 addr: fe80::21e:8cff:fe3e:24c/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:17864 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:3499669 (3.3 MiB)

vlan1 Link encap:Ethernet HWaddr 00:1E:8C:3E:02:4C
inet addr:10.53.14.24 Bcast:10.53.255.255 Mask:255.255.0.0
inet6 addr: fe80::21e:8cff:fe3e:24c/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1834974 errors:0 dropped:0 overruns:0 frame:0
TX packets:582781 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:2040945864 (1.9 GiB) TX bytes:386059005 (368.1 MiB)

ну так адрес то у вас далеко не белый 10.53.14.24
вы за NATом сидите

DaemoniZ
11-08-2009, 14:20
ну так адрес то у вас далеко не белый 10.53.14.24
вы за NATом сидите

Так я и говорю внетресетевой)

Когда сидел на авангарде, без белого ip, все получалось.

kir-g
11-08-2009, 14:23
Так я и говорю внетресетевой)

Когда сидел на авангарде, без белого ip, все получалось.
Я что-то слышал о таких провайдерах, но если ты сидишь за натом приготовся к тому что скорее всего из вне заходить не сможешь.

vectorm
11-08-2009, 14:25
Так я и говорю внетресетевой)

Когда сидел на авангарде, без белого ip, все получалось.
А у этого провайдера похоже надо либо белый IP заказывать, либо просить привязать белый IP к Вашему внутреннему адресу (что сложнее).

DaemoniZ
11-08-2009, 14:28
печально.
неужели нет способа обхода?

kir-g
11-08-2009, 14:35
печально.
неужели нет способа обхода?
как вариант что-то типа хамачи (https://secure.logmein.com/products/hamachi/vpn.asp?lang=ru)

Megarem
11-08-2009, 17:40
неужели нет способа обхода?
Тривиальных нет. Я в свое время для доступа домой пробрасывал ssh туннель через внешний сервер.

DaemoniZ
11-08-2009, 20:39
Тривиальных нет. Я в свое время для доступа домой пробрасывал ssh туннель через внешний сервер.

Можете поподробнее?

igor77777
12-08-2009, 10:59
А мне вчера попалась заметка, а вот об этом http://russianproxy.ru/ ресурсе.
Из описания все просто и понятно, но как это работает на самом деле я не полностью понял. Отзывы о нём я не искал, сам не пользовался.
Из минусов. 1. Этот ресурс платный. 2. Описания как ставить на линукс мне не попалось (ну я правда и не искал).

Что касается вашего случая, то клиента можно поставить прямо на ваш компьютер и тогда он будет виден в интернете с белым IP.

Megarem
12-08-2009, 16:44
Можете поподробнее?
Берется сервер в интернете с установленным на нем openssh. Далее на рутере пишется небольшой скрипт, который по ssh коннектится к внешнему серверу и мапит порт внешнего сервера на некоторый локальный порт. Вот и все. Чтобы получить доступ к дому коннектишься на внешний сервер и это соединение пробрасывается на рутер. В общем это так. Могу дать скрипт для рутера, если нужно.

DaemoniZ
14-08-2009, 21:56
Могу дать скрипт для рутера, если нужно.

Буду очень благодарен. Да и думаю, другим может понадобится.

Всем спасибо за ответы.

Megarem
16-08-2009, 13:23
Буду очень благодарен.
n91sshfw:


#!/bin/sh

start() {
echo "Starting ssh..."
touch /tmp/sshloop
/opt/etc/rc.d/sshloop &
}

stop() {
echo "Stopping ssh..."
rm /tmp/sshloop
killall ssh
}

case "$1" in
start)
start
;;
stop)
stop
;;
restart)
stop
sleep 1
start
;;
*)
echo "Usage: $0 (start|stop|restart)"
exit 1
;;
esac
exit 0

sshloop:

#!/bin/sh
while [ -e /tmp/sshloop ]; do
/opt/bin/ssh -N -i /opt/root/VD -R 2222:127.0.0.1:22 root@site.net
done

dr.wolf
17-08-2009, 20:50
Всем привет.
Недавно приобрел Asus wl500gp. Поставил, настроил. После экспериментов по SSH персестали ставиться пакеты, пишет:
[admin@WL-0023547C78B2 root]$ ipkg.sh install ipkg-opt

Downloading http://ipkg.nslu2-linux.org/feeds/optware/oleg/cross/stable/ipkg-opt_0.99.163-10_mipsel.ipk ...
Connecting to ipkg.nslu2-linux.org[140.211.169.169]:80
ipkg-opt_0.99.163-10 100% |*****************************| 75796 00:00 ETA
Done.
Unpacking ipkg-opt...Done.
Configuring ipkg-opt....: Unknown file type; file ignored
Error exit delayed from previous errors
Done.

и так на все пакеты.
Перезалить прошивку сейчас нет возможности, торлько по SSH.
Помогите исправить эту ошибку.

PS: поиск юзал, ничего похожего не нашел.

denervius
18-08-2009, 05:58
А собственно по сабжу: есть желание иметь доступ к роутеру по telnet из сети. Как настроить? Из внутренний сети без проблем, а есть возможность через wan? Заранее спасибо за помощь!

koffy76
18-08-2009, 06:50
telnet хоть и простая, но достаточно уязвимая штука. Все более менее нормальные производители железа уже давно рекомендуют (или создают все условия для перехода) ssh. Достаточно не сложно посмотреть пару-тройку тем по настройке роутера с нуля до (вставить по вкусу) и поставить ssh server (dropbear). Дело 5-ти минут.:)

Capture
18-08-2009, 17:23
поиск по слову PUTTYи dropbear....

denervius
19-08-2009, 02:48
Спасибо! Попробую поискать.

biter
27-10-2009, 22:15
Как изменить пароль для доступа по ssh? Менял пароль в вебморде, но он меняется только на доступ к вебморде. к телнет пароль так и остается admin и к ssh тоже...:confused:

biter
28-10-2009, 10:25
неужели никто не знает?:confused:

OlegaVB
28-10-2009, 12:39
Как изменить пароль для доступа по ssh? Менял пароль в вебморде, но он меняется только на доступ к вебморде. к телнет пароль так и остается admin и к ssh тоже...:confused:


passwd
Ввести новый пароль. Потом сохранить

flashfs save && flashfs commit && flashfs enable

al37919
28-10-2009, 18:36
при этом для сохранения в файле /usr/local/.files должны присутствовать строчки

/etc/passwd
/etc/group

justason
30-10-2009, 11:11
Через SSH могу доступаться к роутеру извне.

В домашней сети по адресу 192.168.1.103 находится PopcornTV, к нему доступ по телнету. Снаружи он не виден.

Подскажите, что и как настроить на роутере, чтобы можно было к "попкорн"-у доступиться извне?

Имею ввиду цепочку типа:
Putty(SSH)->Asus(telnet)->Popcorn

kir-g
30-10-2009, 11:53
Через SSH могу доступаться к роутеру извне.

В домашней сети по адресу 192.168.1.103 находится PopcornTV, к нему доступ по телнету. Снаружи он не виден.

Подскажите, что и как настроить на роутере, чтобы можно было к "попкорн"-у доступиться извне?

Имею ввиду цепочку типа:
Putty(SSH)->Asus(telnet)->Popcorn

все тут (http://wl500g.info/showthread.php?t=12833). удлинитель!

justason
30-10-2009, 14:33
Не совсем то:

Я хочу сделать следующее:

1. Надо получить извне доступ к локальному компьютеру (в домашней сети), у которого есть только telnet(23 порт).

2. Новых портов на роутере, кроме открытого 22, открывать не хочу.

То-есть организовать доступ типа:
my.ststic.ip.addr:22 - ssh на роутер
my.ststic.ip.addr:22/popcorn - ssh на роутер - попкорн

Бред?

kir-g
30-10-2009, 14:44
Не совсем то:

Я хочу сделать следующее:

1. Надо получить извне доступ к локальному компьютеру (в домашней сети), у которого есть только telnet(23 порт).

2. Новых портов на роутере, кроме открытого 22, открывать не хочу.

То-есть организовать доступ типа:
my.ststic.ip.addr:22 - ssh на роутер
my.ststic.ip.addr:22/popcorn - ssh на роутер - попкорн

Бред?

интересно вы вообще внимательно прочитали тему, там можно туннель сделать и ничего кроме 22 порта открывать не надо...

biter
31-10-2009, 18:46
дякую, поміняв...

biter
01-11-2009, 18:52
подскажите как поменять имя админ на другое? Заранее благодарен...

Lupo_Alberto
01-11-2009, 19:15
подскажите как поменять имя админ на другое? Заранее благодарен...
Если совсем по-простому, и неочень правильно, то откройте файл /etc/passwd и поменяйте admin на нужное вам, сохраните с помощью "трёх волшебных команд".
Но, IMHO, это не самое лучшее средство против "хакеров", правильнее настроить подключении к sshd по ключу.

romanchenko
28-03-2010, 14:45
Всем привет. Может уже где-то освещено это, но я не нашел ни здесь, ни в инете вообще.
Жил-был wl500gPv1 с прошивкой Олега 1.9.2.7-10.7. К нему был подключен HDD dj внешнем кузове. Сегодня утром кошка бежала по подоконнику, хвостиком вильнула и грохнула роутер вместе с HDD боксом. Бокс отключил, роутер перезагрузил. HDD сейчас на ББ проверяю, на роутер через вебморду зайти могу, а вот ни через SSH(настроена), ни через Telnet не пускает, putty говорит "Connection closed by remote host" и дальше "Network error: Connection refused"... Хотя давным-давно все это работало... Антивир и виндовый фаервол отключены. Даже 22-23 порты уже через вебморду пробросил...
Не пойму в чем прикол.

al37919
28-03-2010, 16:14
чисто гипотетически могу предположить, что в качестве шела был настроен bash, который был на hdd

В любом случае рекомендую выполнить flashfs disable перед дальныйшими разбирательствами. Можно через вебморду.

sk8er
06-09-2010, 15:53
Друзья, помогите. Есть дома ноут, другие разные вещи, которые подключены к роутеру, но интересует только один момент. К wl 520gu подключен сервер, пока что на нём только крутятся торренты и другие программы, но хотелось бы сделать несколько вещей:
1. открыть внешний доступ к серваку по ssh. На телефоне есть терминал, хочу подключаться :) плюс нужно, что бы была доступна веб-морда программ. к примеру у меня там крутиться торрент качалка, которая доступна по адресу 192.168.1.2:9091, естественно это в локальной сети. А я хочу, что бы я мог подключаться на эту страничку вне локалки (с телефона, с компьютера друга и тд).
2. как сделать небольшой веб-сервер? Вернее как сделать, что бы настроить это всё с роутером, но сам веб-сервер был на серваке, а не на роутере. Основные цели просты: небольшая страничка, плюс доступ к некоторым папкам.

Прошу помощи :)

Забыл упомянуть. Естественно, роутер с прошивкой от Олега. На серваке, если важно, Ubuntu 9.10 десктопная.

Virtuals
06-09-2010, 16:16
NAT Setting - Virtual Server
более ничего :)
напр ваш п1.

внешнийпорт 192.168.1.2 9091 TCP 1 качалка
;)

ваша качалка доступна по адресу
http://белыйип:внешнийпорт

sk8er
12-09-2010, 17:39
начал вписывать поля и немного не понял. Вот скрин небольшой, прошу помочь понять что же вписывать там, где подчеркнул:
http://i.imgur.com/h8BRs.png

nexby
12-09-2010, 21:18
NAT Setting - Virtual Server
более ничего :)
напр ваш п1.

внешнийпорт 192.168.1.2 9091 TCP 1 качалка
;)

ваша качалка доступна по адресу
http://белыйип:внешнийпорт

товарищ sk8er не понял, что вместо внешнийпорт нужно подставить цифры)))

там где треугольничек с выпадающим списком (user defined) жмакни, выбери, например, http, и станет понятно что куда писать.
если не стало понятно, прикрепляю скриншот
http://imglink.ru/thumbnails/12-09-10/c035cf214e412c89a6702462e672a3a4.jpg (http://imglink.ru/show-image.php?id=f67c99a8bdba577a20921c05e8b54711)
правда, в таблице есть косяк. но все равно работает)))

Longmen
09-12-2010, 07:15
Тему про открытие портов через консоль нашел http://wl500g.info/showthread.php?t=16980&highlight=ssh+%E2%ED%E5%F8%EA%F3.
Нужно сделать

2. Чтобы открыть порты на роутере во внешний мир, надо создать файл /usr/local/bin/post-firewall, сделать исполняемым, добавить в него строчку "#!/bin/sh" и для каждого порта, который надо открыть, по строчке вида:
iptables -I INPUT -p tcp --dport <номер_порта> -j ACCEPT
После чего выполнить "flashfs save && flashfs commit && flashfs enable" и перезагрузиться.
Но физического доступа к тому компу и роутеру нет.
В связи с этим вопрос: возможно ли через web интрефейс открыть эти порты для доступа из внешки и если возможно то как это сделать.

Longmen
09-12-2010, 07:59
И почему иногда так тормозит web интерфейс на прошивке vampik 1.9.2.7-d-r2174M

Iguana
09-12-2010, 08:16
И почему иногда так тормозит web интерфейс на прошивке vampik 1.9.2.7-d-r2174M
Это ваш эксплорер тормозит, ищите add-ons который что-то делает, какое-то время, замораживая, при этом, эксплорер. :rolleyes:
Где искать и как искать - это не ко мне :) я Comodo Dragon-ом пользуюсь :D

al37919
09-12-2010, 08:17
проброс портов на ПК за роутером --- раздел Виртуальный сервер в вебморде. Проброс портов на роутер --- только через post-firewall.

Longmen
09-12-2010, 08:17
У меня опера, но все же попробую в других браузерах

Longmen
09-12-2010, 08:18
проброс портов на ПК за роутером --- раздел Виртуальный сервер в вебморде. Проброс портов на роутер --- только через post-firewall.

Всё ясно. значит проброшу когда туда попаду.
А так инструкция по пробросу, данная выше, верна?

Longmen
09-12-2010, 08:23
проброс портов на ПК за роутером --- раздел Виртуальный сервер в вебморде. Проброс портов на роутер --- только через post-firewall.

Забыл уточнить. Локально все нормально, ничего не тормозит. Удаленно (домовая сеть 100 мегабит) бывают частые тормоза.

Сейчас проверил через firefox - тоже тормозит

al37919
09-12-2010, 08:29
А так иструкция попробросу, данная выше, верна?
скажем так --- работать должно

al37919
09-12-2010, 08:38
Забыл уточнить. Локально все нормально, ничего не тормозит. Удаленно (домовая сеть 100 мегабит) бывают частые тормоза.

Сейчас проверил через firefox - тоже тормозит
какой ужас --- вы эту вебморду открываете наружу? Лучше этого вообще не делать.

Longmen
09-12-2010, 08:41
какой ужас --- вы эту вебморду открываете наружу? Лучше этого вообще не делать.

Можно сказать что наружу, но вопрос не в том что этого лучьше не делать, а в том почему тормозит.
Я уже видел одну жалобу на это, предлагали откатиться на более раннюю версию.
Просто на ddwrt и на стандартной прошивке тормозов небыло с такими же условиями.

Longmen
10-12-2010, 07:18
Вчера попробовал сделать доступ из внешки. Неполучилось.
Вот что я делал:
1)создал папку bin командой mkdir bin в директории /usr/local/, так как там её небыло.
2)создал файл post-firewall в папке /usr/local/bin/ командой vi post-firewall
2.1)прописал 4 строки


#!/bin/sh
iptables -I INPUT -p tcp --dport 21 -j ACCEPT
iptables -I INPUT -p tcp --dport 22 -j ACCEPT
iptables -I INPUT -p tcp --dport 23 -j ACCEPT

2.2)сохранил командой :wq Файл потом открывал редактором, все строки на месте.
3)сделал его исполняемым командой chmod +x post-firewall, он стал зеленым в списке файлов.
4)Выполнил команду flashfs save && flashfs commit && flashfs enable, после ней что то много чего на писалось.
5)Перезагурзил роутер.

Что я сделал не так или не там?

al37919
10-12-2010, 07:35
/usr/local/sbin/post-firewall

Longmen
10-12-2010, 08:18
/usr/local/sbin/post-firewall
Не вышло. Что делал:
1)создал папку sbin командой mkdir в /usr/local
2)переместил командой mv файл post-firewall из /usr/local/bin/post-firewall в /usr/local/sbin/post-firewall
3)сделал его исполняемым chmod +x /usr/local/sbin/post-firewall
4)выполнил команду flashfs save && flashfs commit && flashfs enable
5)перезагрузился.

Делла это из web интерфейса роутера, оказывается там есть командная строка.

Похоже пути неверные.
Вот что у меня в директории /usr


drwxr-xr-x 2 admin root 20 Sep 30 20:45 X11R6
drwxr-xr-x 2 admin root 544 Sep 30 20:44 bin
drwxr-xr-x 2 admin root 160 Sep 30 20:44 codepages
drwxr-xr-x 4 admin root 149 Sep 30 20:45 etc
drwxr-xr-x 5 admin root 184 Sep 30 20:45 lib
lrwxrwxrwx 1 admin root 12 Sep 30 20:45 local -> ../tmp/local
drwxr-xr-x 4 admin root 68 Sep 30 20:36 ppp
drwxr-xr-x 2 admin root 867 Sep 30 20:44 sbin
drwxr-xr-x 5 admin root 62 Sep 30 20:40 share
lrwxrwxrwx 1 admin root 6 Sep 30 20:45 tmp -> ../tmp


Может быть нужно /usr/sbin/post-firewall
или /usr/bin/post-firewall

В них не копируется, обе эти директории только для чтения

al37919
10-12-2010, 08:44
путь верный. /usr/local --- симлинк на /tmp/local, который живет в ramfs

доступ из WAN к встроенным ssh и ftp серверам можно открыть через веб интерфейс. А к телнету и вемборде лучше не открывать вообще.

Longmen
10-12-2010, 09:05
путь верный. /usr/local --- симлинк на /tmp/local, который живет в ramfs

доступ из WAN к встроенным ssh и ftp серверам можно открыть через веб интерфейс. А к телнету и вемборде лучше не открывать вообще.

Через веб интерфейс доступоткрыт к ssh ftp и telnet, но незультата нет.
Незнаю в чем проблема.
Может можно как то продиагностировать?

al37919
10-12-2010, 09:08
Через веб интерфейс доступоткрыт к ssh ftp и telnet, но незультата нет.
тогда и post-firewall не поможет

Покажите вывод iptables-save, а также ps

Longmen
10-12-2010, 09:15
Покажите вывод iptables-save, а также ps


# Generated by iptables-save v1.3.8 on Fri Dec 10 11:15:08 2010
*nat
:PREROUTING ACCEPT [3614:234926]
:POSTROUTING ACCEPT [53:5564]
:OUTPUT ACCEPT [25:4238]
:VSERVER - [0:0]
-A PREROUTING -d 10.128.0.58 -j VSERVER
-A PREROUTING -d 10.15.15.1 -j VSERVER
-A POSTROUTING -s ! 10.128.0.58 -o ppp0 -j MASQUERADE
-A POSTROUTING -s ! 10.15.15.1 -o vlan1 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -d 192.168.1.0/255.255.255.0 -o br0 -j MASQUERADE
-A VSERVER -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.1.1:80
-A VSERVER -p udp -m udp --dport 51489 -j DNAT --to-destination 192.168.1.4:51489
-A VSERVER -p udp -m udp --dport 60285 -j DNAT --to-destination 192.168.1.136:60285
-A VSERVER -p udp -m udp --dport 54640 -j DNAT --to-destination 192.168.1.136:54640
-A VSERVER -p tcp -m tcp --dport 1833 -j DNAT --to-destination 192.168.1.136:1833
-A VSERVER -p udp -m udp --dport 1833 -j DNAT --to-destination 192.168.1.136:1833
-A VSERVER -p tcp -m tcp --dport 35322 -j DNAT --to-destination 192.168.1.136:35322
-A VSERVER -p tcp -m tcp --dport 5900 -j DNAT --to-destination 192.168.1.136:5900
-A VSERVER -p udp -m udp --dport 5900 -j DNAT --to-destination 192.168.1.136:5900
-A VSERVER -p tcp -m tcp --dport 3400 -j DNAT --to-destination 192.168.1.136:3400
-A VSERVER -j DNAT --to-destination 192.168.1.136
-A VSERVER -p udp -m udp --dport 55527 -j DNAT --to-destination 192.168.1.136:55527
COMMIT
# Completed on Fri Dec 10 11:15:08 2010
# Generated by iptables-save v1.3.8 on Fri Dec 10 11:15:08 2010
*mangle
:PREROUTING ACCEPT [19136:2524034]
:INPUT ACCEPT [3953:597119]
:FORWARD ACCEPT [15006:1907089]
:OUTPUT ACCEPT [11104:2196370]
:POSTROUTING ACCEPT [26275:4159580]
COMMIT
# Completed on Fri Dec 10 11:15:08 2010
# Generated by iptables-save v1.3.8 on Fri Dec 10 11:15:08 2010
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [7321:421210]
:OUTPUT ACCEPT [11032:2182459]
:BRUTE - [0:0]
:MACS - [0:0]
:SECURITY - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -p tcp -m tcp --dport 23 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i br0 -m state --state NEW -j ACCEPT
-A INPUT -d 224.0.0.0/240.0.0.0 -p igmp -j ACCEPT
-A INPUT -d 224.0.0.0/240.0.0.0 -p udp -m udp ! --dport 1900 -j ACCEPT
-A INPUT -i ppp0 -m state --state NEW -j SECURITY
-A INPUT -i vlan1 -m state --state NEW -j SECURITY
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -d 192.168.1.1 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p udp -m udp --dport 33434:33534 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 515 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 9100 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3838 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -d 192.168.1.136 -p udp -m udp --dport 55527 -j ACCEPT
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -d 224.0.0.0/240.0.0.0 -p udp -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ! br0 -o ppp0 -j DROP
-A FORWARD -i ! br0 -o vlan1 -j DROP
-A FORWARD -i ! br0 -m state --state NEW -j SECURITY
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j DROP
-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logaccept -j ACCEPT
-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logdrop -j DROP
COMMIT
# Completed on Fri Dec 10 11:15:08 2010



PID USER VSZ STAT COMMAND
1 admin 1480 S /sbin/init
2 admin 0 SW [keventd]
3 admin 0 SWN [ksoftirqd_CPU0]
4 admin 0 SW [kswapd]
5 admin 0 SW [bdflush]
6 admin 0 SW [kupdated]
7 admin 0 SW [mtdblockd]
61 admin 1476 S syslogd -m 0 -O /tmp/syslog.log -S -D -l 7 -b 1
65 admin 1472 S klogd
66 admin 1472 S telnetd
69 admin 1088 S dropbear -4
72 admin 1112 S httpd vlan1
77 admin 1080 S nas /tmp/nas.lan.conf /tmp/nas.lan.pid lan
82 nobody 848 S dnsmasq
84 admin 968 S lld2d br0 eth1
85 admin 0 SW [khubd]
103 admin 692 S /usr/sbin/igmpproxy /etc/igmpproxy.conf
105 admin 1304 S pppd file /tmp/ppp/options.wan0
107 admin 1488 S watchdog
111 admin 1304 S pppd file /tmp/ppp/options.wan0
112 admin 0 SW [usb-storage-0]
113 admin 0 SW [scsi_eh_0]
133 admin 1080 S upnp -D -L br0 -W ppp0
140 admin 0 SW [kjournald]
143 admin 940 S /usr/sbin/vsftpd
150 admin 1476 S /bin/sh -c ps
151 admin 1476 R ps

al37919
10-12-2010, 10:27
это успешно добавлено через post-firewall:

-A INPUT -p tcp -m tcp --dport 23 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
это успешно проброшено через веб-морду:

-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -d 192.168.1.1 -p tcp -m tcp --dport 80 -j ACCEPT
демоны запущены, т.е. все функционирует. Проблему следует искать не в роутере а в окружении. Возможно, провайдер блокирует порты.

vectorm
10-12-2010, 19:44
-A POSTROUTING -s ! 10.128.0.58 -o ppp0 -j MASQUERADE

Судя по этому - у Вас "серый" IP на внешнем интерфейсе - если у провайдера не используется прямой NAT, то доступ снаружи - только заказом "белого" IP адреса.