PDA

Bekijk de volledige versie : Не получается открыть 80 порт



kiryap
08-07-2007, 06:24
:eek:
прошивка пре9
в настройке Enable Web Access from WAN? стоит NO!
набираю в броузере свой внешний айпишник и вылетает запрос логинпароля на доступ к вл500:eek: ввожу и попадаю на него:eek:
как быть???

imdex
08-07-2007, 08:38
Снаружи посмотреть, а не изнутри.

Andromedaland
13-11-2007, 14:00
У кого веб сервер lighttp доступен с WAN на 80 порту? Подскажите решение.

У меня стандартный асусовский http поставлен на 8080 порт:


nvram set http_lanport=8080
nvram set http_wanport=8080


Веб сервер lighttp установлен на 80 порт (в lighttpd.conf):


## bind to port (default: 80)
server.port = 80


В post-boot есть:

insmod ipt_recent

В фаерволе открыты 22, 80 порты и разрешено icmp (ping).
В post-firewall прописано:


iptables -I INPUT -p tcp --dport 22 -j ACCEPT
iptables -I INPUT -p tcp --dport 80 -j ACCEPT


Сервера http и lighttp запускаются, работают и доступны с VAN по портам 80 и 8080 соответственно. Со стороны WAN сервер lighttp недоступен на 80 порту (доступ к серверу http не открывал).

Скан портов (Nmap) с запущенным http и остановленным lighttp:


Interesting ports on al.router (192.168.177.1):
Not shown: 1691 closed ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
23/tcp open telnet
53/tcp open domain
8080/tcp open http-proxy

Nmap finished: 1 IP address (1 host up) scanned in 1.704 seconds


Скан портов (Nmap) - запущены http и lighttp:


Interesting ports on al.router (192.168.177.1):
Not shown: 1691 closed ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
23/tcp open telnet
53/tcp open domain
80/tcp open http
8080/tcp open http-proxy

Nmap finished: 1 IP address (1 host up) scanned in 1.699 seconds


Запущены http и lighttp - netstat показывает:


netstat -l
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 *:61026 *:* LISTEN
tcp 0 0 *:www *:* LISTEN
tcp 0 0 *:webcache *:* LISTEN
tcp 0 0 *:ftp *:* LISTEN
tcp 0 0 *:domain *:* LISTEN
tcp 0 0 *:5431 *:* LISTEN
tcp 0 0 *:ssh *:* LISTEN
tcp 0 0 *:telnet *:* LISTEN
udp 0 0 *:1024 *:*
udp 0 0 localhost.localdo:34954 *:*
udp 0 0 *:domain *:*
udp 0 0 *:bootps *:*
udp 0 0 *:upnp *:*
raw 0 0 *:1 *:* 0
raw 0 0 *:255 *:* 0
Active UNIX domain sockets (only servers)
Proto RefCnt Flags Type State I-Node Path
unix 2 [ ACC ] STREAM LISTENING 1267 /var/run/pptp/255.255.255.255:194.242.53.3


При этом iptables говорит:


iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 recent: UPDATE seconds: 600 hit_count: 3 name: SSH_ATTACKER side: source
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state NEW
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state NEW
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68
ACCEPT tcp -- 0.0.0.0/0 192.168.177.1 tcp dpt:80
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
DROP all -- 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID
TCPMSS tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x16/0x02 TCPMSS clamp to PMTU
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
DROP all -- 0.0.0.0/0 0.0.0.0/0
DROP all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ctstate DNAT
DROP all -- 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain MACS (0 references)
target prot opt source destination

Chain SECURITY (0 references)
target prot opt source destination
RETURN tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x16/0x02 limit: avg 1/sec burst 5
RETURN tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x04 limit: avg 1/sec burst 5
RETURN udp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5
RETURN icmp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5
DROP all -- 0.0.0.0/0 0.0.0.0/0

Chain logaccept (0 references)
target prot opt source destination
LOG all -- 0.0.0.0/0 0.0.0.0/0 state NEW LOG flags 7 level 4 prefix `ACCEPT '
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0

Chain logdrop (0 references)
target prot opt source destination
LOG all -- 0.0.0.0/0 0.0.0.0/0 state NEW LOG flags 7 level 4 prefix `DROP '
DROP all -- 0.0.0.0/0 0.0.0.0/0


Первая выделенная строка - блок по 22 порту прописан в скрипте.
Вторая выделенная строка появляеться автоматически в filter_rules


*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:MACS - [0:0]
:SECURITY - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A SECURITY -p tcp --syn -m limit --limit 1/s -j RETURN
-A SECURITY -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j RETURN
-A SECURITY -p udp -m limit --limit 5/s -j RETURN
-A SECURITY -p icmp -m limit --limit 5/s -j RETURN
-A SECURITY -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i br0 -m state --state NEW -j ACCEPT
-A INPUT -p udp --sport 67 --dport 68 -j ACCEPT
-A INPUT -p tcp -m tcp -d 192.168.177.1 --dport 80 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -j DROP
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -p tcp --syn -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -o ppp0 ! -i br0 -j DROP
-A FORWARD -o vlan1 ! -i br0 -j DROP
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -o br0 -j DROP
-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logaccept -j ACCEPT
-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logdrop -j DROP
COMMIT

после выполения:


nvram set http_lanport=8080
nvram commit
reboot


ЕСЛИ ПРОПИСАТЬ -

В lighttpd.conf:


## bind to port (default: 80)
server.port = (не 80 а любой другой порт, к примеру 82)

В post-firewall прописать:


iptables -I INPUT -p tcp --dport (порт как в lighttpd.conf) -j ACCEPT


ТО ВЕБ СЕРВЕР LIGHTTP БУДЕТ ДОСТУПЕН С WAN!
Как сделать на 80 порту???

Mam(O)n
13-11-2007, 20:34
Скан портов (Nmap) какого интерфейса? Что говорит команда iptables -L -vnt nat?

Andromedaland
13-11-2007, 23:18
Скан портов (Nmap) какого интерфейса? Что говорит команда iptables -L -vnt nat?

Nmap запускаю на роутере по трём IP (указываю текущие на момент последнего тестирования):
1. Статический IP роутера (интерфейс br0) - 192.168.177.1;
2. Динамический IP (основной) получаемый от провайдера (интерфейс vlan1) - 77.123.2.118 (шлюз 77.123.0.1);
3. Динамический IP - VPN на транспорте основного (интерфейс ppp0) - 194.242.53.180 (статический IP VPN сервера 194.242.53.3).

Результат одинаковый для всех 3-х адресов (интерфейсов). Во время проведения теста останавливается/запускается lighttp сервер. Вот логи:


[root@al root]$ sweb
PHP DAEMON - usage start|stop :
Miss...
LIGHTTP DAEMON - usage start|stop|restart|usage : stop
Stopping web server: lighttpd
[root@al root]$
[root@al root]$ nmap 192.168.177.1

Starting Nmap 4.20 ( http://insecure.org ) at 2007-11-13 23:29 EET
Interesting ports on al.router (192.168.177.1):
Not shown: 1692 closed ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
23/tcp open telnet
53/tcp open domain
8080/tcp open http-proxy

Nmap finished: 1 IP address (1 host up) scanned in 1.640 seconds
[root@al root]$ nmap 77.123.2.118

Starting Nmap 4.20 ( http://insecure.org ) at 2007-11-13 23:29 EET
Interesting ports on alarmed-acceder.volia.net (77.123.2.118):
Not shown: 1692 closed ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
23/tcp open telnet
53/tcp open domain
8080/tcp open http-proxy

Nmap finished: 1 IP address (1 host up) scanned in 1.656 seconds
[root@al root]$ nmap 194.242.53.180

Starting Nmap 4.20 ( http://insecure.org ) at 2007-11-13 23:30 EET
Interesting ports on 194-242-53-180.ukrtel.com (194.242.53.180):
Not shown: 1692 closed ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
23/tcp open telnet
53/tcp open domain
8080/tcp open http-proxy

Nmap finished: 1 IP address (1 host up) scanned in 1.661 seconds
[root@al root]$
[root@al root]$ sweb
PHP DAEMON - usage start|stop :
Miss...
LIGHTTP DAEMON - usage start|stop|restart|usage : start
Starting web server: lighttpd
[root@al root]$
[root@al root]$ nmap 192.168.177.1

Starting Nmap 4.20 ( http://insecure.org ) at 2007-11-13 23:33 EET
Interesting ports on al.router (192.168.177.1):
Not shown: 1691 closed ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
23/tcp open telnet
53/tcp open domain
80/tcp open http
8080/tcp open http-proxy

Nmap finished: 1 IP address (1 host up) scanned in 1.644 seconds
[root@al root]$
[root@al root]$ nmap 77.123.2.118

Starting Nmap 4.20 ( http://insecure.org ) at 2007-11-13 23:34 EET
Interesting ports on alarmed-acceder.volia.net (77.123.2.118):
Not shown: 1691 closed ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
23/tcp open telnet
53/tcp open domain
80/tcp open http
8080/tcp open http-proxy

Nmap finished: 1 IP address (1 host up) scanned in 1.659 seconds
[root@al root]$
[root@al root]$ nmap 194.242.53.180

Starting Nmap 4.20 ( http://insecure.org ) at 2007-11-13 23:34 EET
Interesting ports on 194-242-53-180.ukrtel.com (194.242.53.180):
Not shown: 1691 closed ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
23/tcp open telnet
53/tcp open domain
80/tcp open http
8080/tcp open http-proxy

Nmap finished: 1 IP address (1 host up) scanned in 1.657 seconds
[root@al root]$


Наверное правильно было бы просканировать порты из интернета (wan).

Iptables говорит:


[root@al root]$ iptables -L -vnt nat
Chain PREROUTING (policy ACCEPT 57 packets, 9380 bytes)
pkts bytes target prot opt in out source destination
2 120 tcp -- !br0 * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 recent: SET name: SSH_ATTACKER side: source
1 48 VSERVER all -- * * 0.0.0.0/0 194.242.53.180
8 2429 VSERVER all -- * * 0.0.0.0/0 77.123.2.118

Chain POSTROUTING (policy ACCEPT 17124 packets, 756K bytes)
pkts bytes target prot opt in out source destination
27 1296 MASQUERADE all -- * ppp0 !194.242.53.180 0.0.0.0/0
0 0 MASQUERADE all -- * vlan1 !77.123.2.118 0.0.0.0/0
0 0 MASQUERADE all -- * br0 192.168.177.0/24 192.168.177.0/24

Chain OUTPUT (policy ACCEPT 17124 packets, 756K bytes)
pkts bytes target prot opt in out source destination

Chain VSERVER (2 references)
pkts bytes target prot opt in out source destination
[root@al root]$

nightrus
13-11-2007, 23:30
не проще http-роутера перенаправить в веб инерфейсе?
на старничке Internet Firewall - Basic Config, ставишь 8080, афтоматом добавляется все, 80 порт освобождается...в lighttp прописываешь 80, открываешь его и все работает...

Mam(O)n
14-11-2007, 00:09
80 порт освобождается...
Интересно с чего он освободится то? Ведь процесс веб-морды не трогается же, он так и остаётся на 80 порту висеть.




Наверное правильно было бы просканировать порты из интернета (wan).
Ебстественно. http://nmap-online.com/. А пока выложи iptables -L INPUT -vn посмотрим по-подробнее.

upd
Кстати я сейчас замечательно законнектился и получил "Тестовая страница" с хытытыпы://194.242.53.180/

Andromedaland
14-11-2007, 02:17
Ебстественно. http://nmap-online.com/. А пока выложи iptables -L INPUT -vn посмотрим по-подробнее.

upd
Кстати я сейчас замечательно законнектился и получил "Тестовая страница" с хытытыпы://194.242.53.180/

Результаты сканирования из вне (видно что порт открыт):


Nmap Options: -F -T5 -sS 194.242.53.180

Starting Nmap 4.11 ( http://www.insecure.org/nmap ) at 2007-11-14 00:19 Central Europe Standard Time
Interesting ports on 194-242-53-180.ukrtel.com (194.242.53.180):
Not shown: 1237 filtered ports
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http

Nmap finished: 1 IP address (1 host up) scanned in 490.594 seconds


Лог iptables:


[root@al root]$ iptables -L INPUT -vn
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
90 3960 DROP tcp -- !br0 * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 recent: UPDATE seconds: 600 hit_count: 3 name: SSH_ATTACKER side: source
60 4792 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
25 1092 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
45386 5211K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
18122 816K ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 state NEW
6875 2515K ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0 state NEW
51 16824 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68
0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.177.1 tcp dpt:80
4 280 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
5573 301K DROP all -- * * 0.0.0.0/0 0.0.0.0/0
[root@al root]$


Если удалось получить "Тестовая страница" с хттп://194.242.53.180/ то значит работает!? Ломаю голову - что не так. Где... :
1. Провайдеры? - тестирую с букиса. Подключаюсь по DialUp. Попробовал от 4-х разных - наверное не здесь.
2. Сам букис? - Фаерволы поотключал. Таблицы маршрутизации очистил. В интернет ходит нормально - наверное не здесь.
3. Дело в маршрутизации? В списке маршрутов более 2000 сетей. Может ответ уходит не на адрес источника запроса? Как проследить?

Всем кто не входит в зону UA-IX роутер будет виден на IP:194.242.53.180
Всем кто входит в зону UA-IX роутер будет виден на IP:77.123.Х.Х (динамический - может полгода не меняться, а может изменяться по несколку раз в сутки).

Mam(O)n
14-11-2007, 02:26
Также эта пага видна с анонимайзера http://www.hidemyass.com/. Похоже, что тут в маршрутах дело.

Andromedaland
16-11-2007, 14:33
Также эта пага видна с анонимайзера http://www.hidemyass.com/. Похоже, что тут в маршрутах дело.

Да всё дело в маршрутах, за исключен одного момента (о нём позже).

Подключен к провайдеру volia.net по кабельному модему.
Получаем DHCP IP:77.123.x.x (пока шлюз 77.123.0.1).
Устанавливаем VPN содинение (статус):
WAN Type: PPTP
IP Address: 194.242.53.180
Subnet Mask: 255.255.255.255
Gateway: 194.242.53.3
DNS Servers: 194.242.53.3 194.242.53.1

Кратко из ifconfig:


# ifconfig
lo inet addr:127.0.0.1 Mask:255.0.0.0
br0 inet addr:192.168.177.1 Bcast:192.168.177.255 Mask:255.255.255.0
vlan1 inet addr:77.123.2.118 Bcast:77.123.15.255 Mask:255.255.240.0
ppp0 inet addr:194.242.53.180 P-t-P:194.242.53.3 Mask:255.255.255.255


Соответственно таблица марщрутизации (автоматом):


# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
194.242.53.3 77.123.0.1 255.255.255.255 UGH 2 0 0 WAN vlan1
192.168.177.0 * 255.255.255.0 U 0 0 0 LAN br0
77.123.0.0 * 255.255.240.0 U 0 0 0 WAN vlan1
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default 194.242.53.3 0.0.0.0 UG 0 0 0 WAN ppp0
default 77.123.0.1 0.0.0.0 UG 1 0 0 WAN vlan1


С любого IP интернета роутер теперь доступен по адресу ppp0 inet addr:194.242.53.180
Пингуется, работает веб сервер на 80 порту и т.д.
Доступа по vlan1 inet addr:77.123.2.118 - нет.
Т.е. вроде всё правильно и всё работает.

Следующим шагом - добавляются сети в таблицу маршрутизации для разруливания траффика UA-IX (всего > 2100 сетей).

Соответственно таблица марщрутизации кратко выглядит так:


# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
x.x.x.x 77.123.0.1 255.x.x.x UG 0 0 0 WAN vlan1
194.242.53.0 77.123.0.1 255.255.255.0 UG 0 0 0 WAN vlan1
77.123.0.0 77.123.0.1 255.255.0.0 UG 0 0 0 WAN vlan1
x.x.x.0 77.123.0.1 255.x.x.x UG 0 0 0 WAN vlan1
194.242.53.3 77.123.0.1 255.255.255.255 UGH 2 0 0 WAN vlan1
192.168.177.0 * 255.255.255.0 U 0 0 0 LAN br0
77.123.0.0 * 255.255.240.0 U 0 0 0 WAN vlan1
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default 194.242.53.3 0.0.0.0 UG 0 0 0 WAN ppp0
default 77.123.0.1 0.0.0.0 UG 1 0 0 WAN vlan1


Краным цвет выделено то что добавляется. Сети добавляются из списка сетей UA-IX (красный блок с соответсвующими значениями из списка содержит более 2100 записей).

Если доступ к роутеру осуществляется с машины IP которой не принадлежит сети из писка UA-IX (соответственно не прописан в таблице маршрутизации) - то по адресу vlan1 inet addr:77.123.2.118 роутер не доступен, а по адресу ppp0 inet addr:194.242.53.180 роутер доступен - есть пинг, веб на 80 порту, SSH на 22 порту и т.д. Всё работает.

Если доступ к роутеру осуществляется с машины IP которой принадлежит сети из писка UA-IX (соответственно прописан в таблице маршрутизации) - то по адресу ppp0 inet addr:194.242.53.180 роутер не доступен. Пинга нет. А по адресу vlan1 inet addr:77.123.2.118 роутер доступен частично, пинг есть, веба нет на 80 порту - но есть например на 82, есть SSH. Страно, я думаю это связано с тем что не все провайдеры имеют не достаточный пул белых IP адресов и тут вступает в работу NAT, но наверное не по всему диапазоны портов - это думаю очевидно, поэтому так и выходит. Хотя может я ошибаюсь и смотреть надо в роутере?

Как правильно прописать, чтобы маршруты сетей UA-IX проходили через шлюз UA-IX - в данном случае через 77.123.0.1, а НЕ UA-IX через свой шлюз в данном случае через 194.242.53.3 и при этом роутер либо был доступен (по всем портам) либо если находишся в сети UA-IX через IP:77.123.2.118, а если вне сети UA-IX через IP:194.242.53.180 или по одному из эти адресов роутер был бы доступен из любой сети при условии выполнения маршрутизации сетей UA-IX на свой шлюз???

vsu
16-11-2007, 15:56
А по адресу vlan1 inet addr:77.123.2.118 роутер доступен частично, пинг есть, веба нет на 80 порту - но есть например на 82, есть SSH.
Это наводит на мысль, что входящие соединения на порт 80 просто заблокированы провайдером. Во всяком случае, никаких правил, которые бы могли их давить, в настройках iptables не видно, а маршрутизация от номера порта не зависит. Пишут (http://local.com.ua/forum/index.php?act=Print&client=printer&f=6&t=9684), что для открытия порта 80 и некоторых других придётся покупать статический IP.


Как правильно прописать, чтобы маршруты сетей UA-IX проходили через шлюз UA-IX - в данном случае через 77.123.0.1, а НЕ UA-IX через свой шлюз в данном случае через 194.242.53.3 и при этом роутер либо был доступен (по всем портам) либо если находишся в сети UA-IX через IP:77.123.2.118, а если вне сети UA-IX через IP:194.242.53.180 или по одному из эти адресов роутер был бы доступен из любой сети при условии выполнения маршрутизации сетей UA-IX на свой шлюз???
Тут есть грабли - при обращении к "чужому" адресу получается асимметричная маршрутизация (например, кто-то из UA-IX полез на внешний адрес - входящий пакет придёт снаружи через ppp0 (VPN), а ответные пакеты будут маршрутизироваться через vlan1). По умолчанию в ядре такие фокусы запрещены - в /proc/sys/net/ipv4/conf/*/rp_filter стоит 1, при такой настройке пакеты, приходящие с обратным адресом, соответствующим другому интерфейсу, не обрабатываются. Надо записать туда 0 хотя бы для интерфейсов vlan1 и ppp0 (но в случае ppp0 нужно учитывать, что этот интерфейс может пропадать, поэтому придётся либо прописывать это в post-firewall, либо задать такие же настройки и для default).

Впрочем, всё это зависит от того, как провайдер будет при такой маршрутизации считать трафик - возможно, нужно как раз заблокировать такие соединения.

Andromedaland
16-11-2007, 16:47
Это наводит на мысль, что входящие соединения на порт 80 просто заблокированы провайдером.

Это вопрос? По одному IP выход на роутер по 80 порту - да, по другому IP - нет?


Впрочем, всё это зависит от того, как провайдер будет при такой маршрутизации считать трафик - возможно, нужно как раз заблокировать такие соединения.

Вторая таблица (с UA-IX) трафик считает правильно. Противоречие, наверное сделать так не получится.

Andromedaland
17-11-2007, 16:49
Разобрался:
С маршрутизацией всё нормально. Всё правильно работает и трафик разруливается как нужно. Всё дело в провайдере.

Это наводит на мысль, что входящие соединения на порт 80 просто заблокированы провайдером. Во всяком случае, никаких правил, которые бы могли их давить, в настройках iptables не видно, а маршрутизация от номера порта не зависит. Пишут (http://local.com.ua/forum/index.php?act=Print&client=printer&f=6&t=9684), что для открытия порта 80 и некоторых других придётся покупать статический IP.

И правильно наводит. Всё просто - "При подключении Абонента к Услуге Предприятие предоставляет АБОНЕНТУ один реальный (public) IP-адрес по протоколу DHCP", но при этом не афишируя прикрывает часть портов, в том числе и 80-й. А я был уверен - раз дали реальный (public) IP-адрес доступный с любой точки земного шара то всё будет нормально... А нет, хочешь поднять у себя сервис на 80-м порту - покупай статический IP-адрес.

Всем СПАСИБО. Тему наверное можно закрывать.

P.S. Уже не первый раз убеждаюсь что у сложной на первый взляд проблемы оказывается простое решение. А я грешил на маршрутизацию, фаервол.

Vofik
16-02-2008, 15:58
поиск не дал необходимых результатов!:confused::mad:

Serge_K
16-02-2008, 16:01
Тут даже поиск не нужен - непосредственно в веб-морде.

lexass
16-02-2008, 16:12
А сложный?:)

тебе серьезно надо???:)

.
nvram set http_lanport
nvram set http_wanport
.

Vofik
16-02-2008, 16:29
всё правильно, через nvram делать надо............

lexass
16-02-2008, 20:54
Vofik если ты узнал для себя что-то новое, это не значит что другим надо именно это!!!
что ты тут http://wl500g.info/showthread.php?t=13046 людей с толку сбиваешь?
почитай внимательно о чем там вопрос...:mad:


всё правильно, через nvram делать надо............
ага, ты знал, ты знал...:D
спасибо пишется по другому

Rolland
10-04-2009, 08:55
Всем привет:)
У меня такая проблема, не получается открыть 80 порт и пробросить его на внутренний веб-сервер. Пытался и настраивать Virtual Server, и шаманить с отключение файерволла, с wan-lan фильтром. Все бестолку. Роутер wl-500gP V2 с прошивкой 1.9.2.7-10(http://oleg.wl500g.info/1.9.2.7-10/). В локалке сервер виден.

Serge_K
10-04-2009, 09:06
Всем привет:)
У меня такая проблема, не получается открыть 80 порт и пробросить его на внутренний веб-сервер. Пытался и настраивать Virtual Server, и шаманить с отключение файерволла, с wan-lan фильтром. Все бестолку. Роутер wl-500gP V2 с прошивкой 1.9.2.7-10(http://oleg.wl500g.info/1.9.2.7-10/). В локалке сервер виден.

Частенько провайдеры этот порт блокируют. Стрим, например. У Вас не та ситуация?

Rolland
10-04-2009, 09:09
Точно не блокирует.

Serge_K
10-04-2009, 09:12
Точно не блокирует.

А веб-сервер на роутере поднят? Если так, то открывайте доступ по порту в post-firewall.

Rolland
10-04-2009, 09:16
На роутере только веб-интерфейс, сам сервер на сервере в локалке.

ivlis
10-04-2009, 09:21
Так как сервер стоит уже на роутере, ничего пробрасывать не нужно, надо просто открыть его

iptables -I INPUT -p tcp --dport PORT_NUMBER -j ACCEPT

где PORT_NUMBER это номер порта где весит веб сервер.

Если не получилось, надо проверить, слушает ли вебсервер все адреса, или только локальные

netstat -lnt | grep PORT_NUMBER
должно выдать что-то типа
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN

Если всё нормально, надо подкатывать тяжелую артиллерию :)
ipkg install tcpdump

и вывод tcpdump -nnni ppp0 port 80 запостить сюда, или какой там у вас внешний интрефейс.

avk
10-04-2009, 10:31
А ненужно ли сначала перенести веб-интерфейс роутера с 80-го порта, освободив его?
Например, так:

nvram set http_lanport=81
nvram commit && reboot

Rolland
10-04-2009, 14:04
Не помогло прописывание iptables, смена порта и другая прошивка.

Rolland
11-04-2009, 14:38
А родная прошивка с сайта сможет помочь? Или это танцы с бубном?

vectorm
11-04-2009, 18:35
Если ничего не помогает. може стОит уточнить у провайдера - пропускает ли он коннекты извне на 80 порт?
И Вы не удосужились точно написать, какое у Вас подключение - прямое, VPN, какой IP адрес провайдером выдается - "серый" или "белый", как Вы проверяете доступность извне?

Rolland
11-04-2009, 21:10
80 порт не блокируется провом, уточнял. Подключение прямое, статический IP, доступность проверяю с помощью nmap с другого провайдера и на всякий случай еще через он-лайн сканнер whatsmyip.org.

Rolland
13-04-2009, 09:13
Апну тему, а то ничего так и не придумал

vectorm
13-04-2009, 09:21
Апну тему, а то ничего так и не придумал
Повторюсь немного: подключение через VPN или нет?
Через VPN нужны иногда танцы с PREROUTING

Rolland
13-04-2009, 10:45
Вопрос снимается, сглупил:)

evgklg
18-06-2009, 21:26
Здравствуйте все !

Вот возник вопрос у меня. Подключился я на тариф свободный веб, для дачи самый оптимальный вариант .. но есть там свои такие неприятные моменты как скажем,что если что-то будет качать на по 80 порту то будут тогда списываться деньги, а этого как раз хочется избежать.Какбы можно было в роутере asus 520 или dir-320 закрыть порты которые мне не нужны и оставить там порт аськи 80 порт допустим ... Может ктонибудь подсказать возможно это ? или надо ставить оутпост и там ковырять ?

a.polyak
07-12-2009, 14:38
Помогите разобраться: 80 порт не могу пробросить извне. в локалке сайт работает.
редактировал iptables - безуспешно! Что делать? Все темы по этому поводу на форуме пролистал.

#!/bin/sh
iptables -I INPUT -p tcp --dport 80 -j ACCEPT
iptables -t nat -nvL POSTROUTING | grep MASQUERADE | awk '{
"ifconfig "$7" | grep Mask" | getline ip;
split(ip,ip,":"); split(ip[2],ip," ");
split($8,src,"!");
if (src[1]=="") {src="! -s "src[2]} else {src="-s "src[1]};
if ($9=="0.0.0.0/0") {dst=""} else {dst="-d "$9};
system("iptables -t nat -A POSTROUTING -o "$7" "src" "dst" -j SNAT --to-source "ip[1]);
system("iptables -t nat -D POSTROUTING -o "$7" "src" "dst" -j MASQUERADE");
}'

MFMan
07-12-2009, 15:01
Во-первых где ты прописал iptables? Если в /usr/local/sbin/post-firewall, то ты сделал правильно(надо указывать при описании проблемы). Единственное что правильнее будет выглядеть так:
#!/bin/sh
iptables -t nat -nvL POSTROUTING | grep MASQUERADE | awk '{
"ifconfig "$7" | grep Mask" | getline ip;
split(ip,ip,":"); split(ip[2],ip," ");
split($8,src,"!");
if (src[1]=="") {src="! -s "src[2]} else {src="-s "src[1]};
if ($9=="0.0.0.0/0") {dst=""} else {dst="-d "$9};
system("iptables -t nat -A POSTROUTING -o "$7" "src" "dst" -j SNAT --to-source "ip[1]);
system("iptables -t nat -D POSTROUTING -o "$7" "src" "dst" -j MASQUERADE");
}'
iptables -I INPUT -p tcp --dport 80 -j ACCEPT

Самый лёгкий(надёжный) способ:
Переназначить порт для вёб-морды АСУСовской админки (nvram set http_lanport=8080 && nvram commit). Дописать в post-firewall iptables -I INPUT -p tcp --dport 80 -j ACCEPT. И внимательно настроить lighttpd.
Если не поможет давай вывод iptables-save. ЗЫ - и если пытался 80 порт в виртуал сервере в админке указывать-удаляй оттуда!!!!

a.polyak
07-12-2009, 19:32
Во-первых где ты прописал iptables? Если в /usr/local/sbin/post-firewall, то ты сделал правильно(надо указывать при описании проблемы). Единственное что правильнее будет выглядеть так:
#!/bin/sh
iptables -t nat -nvL POSTROUTING | grep MASQUERADE | awk '{
"ifconfig "$7" | grep Mask" | getline ip;
split(ip,ip,":"); split(ip[2],ip," ");
split($8,src,"!");
if (src[1]=="") {src="! -s "src[2]} else {src="-s "src[1]};
if ($9=="0.0.0.0/0") {dst=""} else {dst="-d "$9};
system("iptables -t nat -A POSTROUTING -o "$7" "src" "dst" -j SNAT --to-source "ip[1]);
system("iptables -t nat -D POSTROUTING -o "$7" "src" "dst" -j MASQUERADE");
}'
iptables -I INPUT -p tcp --dport 80 -j ACCEPT

Самый лёгкий(надёжный) способ:
Переназначить порт для вёб-морды АСУСовской админки (nvram set http_lanport=8080 && nvram commit). Дописать в post-firewall iptables -I INPUT -p tcp --dport 80 -j ACCEPT. И внимательно настроить lighttpd.
Если не поможет давай вывод iptables-save. ЗЫ - и если пытался 80 порт в виртуал сервере в админке указывать-удаляй оттуда!!!!

MfMann, да, прописал там где нужно /usr/local/sbin/post-firewall. Теперь этот файл выглядит так:
#!/bin/sh


iptables -t nat -nvL POSTROUTING | grep MASQUERADE | awk '{
"ifconfig "$7" | grep Mask" | getline ip;
split(ip,ip,":"); split(ip[2],ip," ");
split($8,src,"!");
if (src[1]=="") {src="! -s "src[2]} else {src="-s "src[1]};
if ($9=="0.0.0.0/0") {dst=""} else {dst="-d "$9};
system("iptables -t nat -A POSTROUTING -o "$7" "src" "ds
system("iptables -t nat -D POSTROUTING -o "$7" "src"
}'
iptables -I INPUT -p tcp --dport 80 -j ACCEPT

В виртуал сервере удалил проброс. Ничего не работает. (веб-морда админки у меня на 8080 и из инета она прекрасно работает.
Даю iptables save:

[apolyak@WL-500G root]$ iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:www
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere state RELATED,ESTABL ISHED
ACCEPT all -- anywhere anywhere state NEW
ACCEPT all -- anywhere anywhere state NEW
SECURITY all -- anywhere anywhere state NEW
ACCEPT udp -- anywhere anywhere udp spt:bootps dpt:b ootpc
ACCEPT tcp -- anywhere WL-500G tcp dpt:www
ACCEPT tcp -- anywhere WL-500G tcp dpt:webcache
ACCEPT icmp -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:printer
ACCEPT tcp -- anywhere anywhere tcp dpt:laserjet
ACCEPT tcp -- anywhere anywhere tcp dpt:3838
DROP all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- anywhere A-PC.WLAN udp dpt:56538
ACCEPT all -- anywhere anywhere
DROP all -- anywhere anywhere state INVALID
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST,AC K/SYN TCPMSS clamp to PMTU
ACCEPT all -- anywhere anywhere state RELATED,ESTABL ISHED
DROP all -- anywhere anywhere
DROP all -- anywhere anywhere
SECURITY all -- anywhere anywhere state NEW
ACCEPT all -- anywhere anywhere ctstate DNAT

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain MACS (0 references)
target prot opt source destination

Chain SECURITY (2 references)
target prot opt source destination
RETURN tcp -- anywhere anywhere tcp flags:SYN,RST,AC K/SYN limit: avg 1/sec burst 5
RETURN tcp -- anywhere anywhere tcp flags:FIN,SYN,RS T,ACK/RST limit: avg 1/sec burst 5
RETURN udp -- anywhere anywhere limit: avg 5/sec bur st 5
RETURN icmp -- anywhere anywhere limit: avg 5/sec bur st 5
DROP all -- anywhere anywhere

Chain logaccept (0 references)
target prot opt source destination
LOG all -- anywhere anywhere state NEW LOG level warning tcp-sequence tcp-options ip-options prefix `ACCEPT '
ACCEPT all -- anywhere anywhere

Chain logdrop (0 references)
target prot opt source destination
LOG all -- anywhere anywhere state NEW LOG level warning tcp-sequence tcp-options ip-options prefix `DROP '
DROP all -- anywhere anywhere
[apolyak@WL-500G root]$

SurgeON
07-12-2009, 20:02
Так я понял не помогло? Тот же трабл-тема корбина впн и статический айпи

a.polyak
07-12-2009, 20:13
Так я понял не помогло? Тот же трабл-тема корбина впн и статический айпи

Изначально, когда я настраивал роутер по инструкции, я в виртуал сервере пробросил 80 порт, и все заработало! Потом когда я еще что-то настраивал, перестало заходить извне. Вообще не понимаю в чем загвоздка, хоть сбрасывай все и заново настраивай.

SurgeON
07-12-2009, 20:30
Изначально, когда я настраивал роутер по инструкции, я в виртуал сервере пробросил 80 порт, и все заработало! Потом когда я еще что-то настраивал, перестало заходить извне. Вообще не понимаю в чем загвоздка, хоть сбрасывай все и заново настраивай.

Настраивал заново-не помогло. Через морду.Тоже все работало минут 15. Нужны настройки правил маскарада айпитайблс. Кто нибудь бы умный варианты правил для ситуаций таких дал-ведь внешний интерфейс нужен многим-и как их настроить и где

a.polyak
07-12-2009, 21:57
Настраивал заново-не помогло. Через морду.Тоже все работало минут 15. Нужны настройки правил маскарада айпитайблс. Кто нибудь бы умный варианты правил для ситуаций таких дал-ведь внешний интерфейс нужен многим-и как их настроить и где

Ок, тогда я не буду все заново делать ). В веб интерфейсе в Status & Log - Port Forwarding он у меня вот что выдает:

Destination Proto. Port Range Redirect to
all UDP 58822 192.168.1.2
all UDP 20747 192.168.1.2
all UDP 56538 192.168.1.3
all UDP 55179 192.168.1.2
all TCP 59145 192.168.1.16
all UDP 50190 192.168.1.2
all UDP 59145 192.168.1.16
all UDP 63478 192.168.1.2
all UDP 60499 192.168.1.3
all TCP 20746 192.168.1.3
all UDP 63653 192.168.1.3
all UDP 58081 192.168.1.2
all UDP 20746 192.168.1.3
all TCP 80 192.168.1.4
all TCP 8080 192.168.1.15


т.е. он открыл 80 порт для какого-то 192.168.1.4, а не для роутера 192.168.1.15. Что за дела?

SurgeON
07-12-2009, 22:22
. В веб интерфейсе в Status & Log - Port Forwarding он у меня вот что выдает: .....
Тут он врет, не смотри
Закладочку на веб морде смотри файрвола WAN@LAN filter-настрой
потом iptables save смотри, что куда пропускается
И посмотри тему про асус и статический корбиновый адрес-там еще советы есть

a.polyak
07-12-2009, 22:36
Тут он врет, не смотри
Закладочку на веб морде смотри файрвола WAN@LAN filter-настрой
потом iptables save смотри, что куда пропускается
И посмотри тему про асус и статический корбиновый адрес-там еще советы есть

wan lan фильтр у меня был отключен, после включения и акцепта packets not specified ничего не изменилось.
iptables save вызывается командой iptables -L ? я уже разместил это. вроде там www пропускает.

a.polyak
07-12-2009, 22:58
Тут он врет, не смотри
Закладочку на веб морде смотри файрвола WAN@LAN filter-настрой
потом iptables save смотри, что куда пропускается
И посмотри тему про асус и статический корбиновый адрес-там еще советы есть

SurgeON! Все работает! Я отключил UPnP!

в теме про асус и статический корбиновый адрес сказано что в этой прошивке глючит UPnP! я его и отключил ) ВАН ту ЛАН фильтр можешь выключить

MFMan
08-12-2009, 12:00
Ну отключение UPnP-это не решение проблемы, это её купирование! Хотя с другой стороны всегда можно настроить переброску ручками! Поздравляю с решением проблемы!

smi
08-12-2009, 13:23
Ну отключение UPnP-это не решение проблемы, это её купирование! Это как-раз решение проблемы! UPnP - глупая затея, пользы от него ноль, а потенциальных проблем куча!


Хотя с другой стороны всегда можно настроить переброску ручками! Единственно правильное решение, все под контролем и не надо гадать, что, куда и почему! ;)

a.polyak
08-12-2009, 14:41
Подскажите теперь какую команду нужно ввести в /usr/local/sbin/post-firewall чтобы открыть порт для торрента. В веб-интерфейсе в виртуал сервере пробрасываю - не открывает! т.е. в самом уторренте желтый восклицательный знак вместо зеленого значка

MFMan
09-12-2009, 09:06
Использую я transmission и вот какие пробросы у меня:
9091 прокинул для Wan(вёб-интерфейс):


iptables -I INPUT -p tcp --dport 9091 -j ACCEPT

65534 для самого демона:


iptables -A VSERVER -p tcp -m tcp --dport 65534 -j DNAT --to-destination 192.168.1.1:65534

SurgeON
09-12-2009, 17:36
Не работает, настройка iptables-пинги извне проходят по 80 и 21-но машину не видать. Как роутер сделать прозрачным для одной машины всраку совсем?

a.polyak
14-12-2009, 21:34
Использую я transmission и вот какие пробросы у меня:
9091 прокинул для Wan(вёб-интерфейс):


iptables -I INPUT -p tcp --dport 9091 -j ACCEPT

65534 для самого демона:


iptables -A VSERVER -p tcp -m tcp --dport 65534 -j DNAT --to-destination 192.168.1.1:65534


MFMan, у меня торрент на локальной машине! а не на роутере. Какую команду мне нужно дать?

SergeON, после откл UpnP все-равно не работает?

Basile
14-12-2009, 21:36
у меня торрент на локальной машине! а не на роутере. Какую команду мне нужно дать?Вторую, подставив нужный порт и IP-адрес локальной машины вместо приведенных в примере

a.polyak
14-12-2009, 21:41
Вторую, подставив нужный порт и IP-адрес локальной машины вместо приведенных в примере

Спасибо! Я так и думал! ))

rishelie
12-01-2010, 23:04
Имею Wl500gP, внутрення сеть провайдера 10.114..
Интерфейс ppp0 смотрит в инет постоянным ip-адресом 82...
Соответственно, имеется два дефолтных маршрута.
Роутер пробрасывает 80 порт на внутреннюю машину с адресом 192.168.1.2
Теперь проблема: если я иду на адрес 82...:80 из Инета (вне сети провайдера), то сайт открывается. Если с машины 192.168.1.2 - тоже.
А вот если на 82...:80 пытается зайти клиент провайдера из сети 10.114..., он не может открыть сайт :(
Это мой косяк или провайдера?
На форуме провайдера мне посоветовали выключить Dualaccess, но при чем тут он, я не догоняю. Да и как его выключить в wl500gp с прошивкой Олега? Да и не хочу я без доступа в локалку оставаться.

Basile
13-01-2010, 09:50
Это мой косяк или провайдера?
Приведите результат вывода iptables -t nat -vnL

vectorm
13-01-2010, 10:01
Имею Wl500gP, внутрення сеть провайдера 10.114..
Интерфейс ppp0 смотрит в инет постоянным ip-адресом 82...
Соответственно, имеется два дефолтных маршрута.
Роутер пробрасывает 80 порт на внутреннюю машину с адресом 192.168.1.2
Теперь проблема: если я иду на адрес 82...:80 из Инета (вне сети провайдера), то сайт открывается. Если с машины 192.168.1.2 - тоже.
А вот если на 82...:80 пытается зайти клиент провайдера из сети 10.114..., он не может открыть сайт :(
Это мой косяк или провайдера?
На форуме провайдера мне посоветовали выключить Dualaccess, но при чем тут он, я не догоняю. Да и как его выключить в wl500gp с прошивкой Олега? Да и не хочу я без доступа в локалку оставаться.
Так и должно быть.
Надо пробрасывать 80 порт и из локалки провайдера аналогично, как для внутренней.

Basile
13-01-2010, 10:15
Так и должно быть.М-да. Это получается если для DC++ я прокинул порт 12345:
iptables -t nat -vnL VSERVER
Chain VSERVER (2 references)
pkts bytes target prot opt in out source destination
7 336 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:12345 to:192.168.115.2:12345
4 380 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:12345 to:192.168.115.2:12345при такой схеме я буду в пассивном режиме для хаба в локальной сети? Тут где-то указан интрефейс (подсеть), с которого нужно сделать проброс?

rishelie
13-01-2010, 11:10
Так и должно быть.
Надо пробрасывать 80 порт и из локалки провайдера аналогично, как для внутренней.

а разве этого недостаточно? файл nat_rules:



*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:VSERVER - [0:0]
-A PREROUTING -d 82.199.108.15 -j VSERVER
-A PREROUTING -d 10.114.172.228 -j VSERVER
-A VSERVER -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.2:80
-A VSERVER -p udp -m udp --dport 80 -j DNAT --to-destination 192.168.1.2:80
-A POSTROUTING -o ppp0 ! -s 82.199.108.15 -j MASQUERADE
-A POSTROUTING -o vlan1 ! -s 10.114.172.228 -j MASQUERADE
-A POSTROUTING -o br0 -s 192.168.1.0/24 -d 192.168.1.0/24 -j MASQUERADE
COMMIT

rishelie
13-01-2010, 11:18
Приведите результат вывода iptables -t nat -vnL



$ iptables -t nat -vnL
Chain PREROUTING (policy ACCEPT 35284 packets, 1990K bytes)
pkts bytes target prot opt in out source destination
17399 1010K VSERVER all -- * * 0.0.0.0/0 82.199.108.15
67 3472 VSERVER all -- * * 0.0.0.0/0 10.114.172.228

Chain POSTROUTING (policy ACCEPT 19831 packets, 1146K bytes)
pkts bytes target prot opt in out source destination
13003 937K MASQUERADE all -- * ppp0 !82.199.108.15 0.0.0.0/0
446 28583 MASQUERADE all -- * vlan1 !10.114.172.228 0.0.0.0/0
232 25716 MASQUERADE all -- * br0 192.168.1.0/24 192.168.1.0/24

Chain OUTPUT (policy ACCEPT 4671 packets, 292K bytes)
pkts bytes target prot opt in out source destination

Chain VSERVER (2 references)
pkts bytes target prot opt in out source destination
0 0 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:5263 to:192.168.1.3:5263
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5263 to:192.168.1.3:5263
0 0 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:15664 to:192.168.1.141:15664
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:15664 to:192.168.1.141:15664
19 1087 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:5206 to:192.168.1.5:5206
38 1900 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5206 to:192.168.1.5:5206
86 11359 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:43885 to:192.168.1.2:43885
35 1680 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:43885 to:192.168.1.2:43885
0 0 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:39232 to:192.168.1.2:39232
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:39232 to:192.168.1.2:39232
14177 724K DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:27745 to:192.168.1.2:27745
560 30104 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 to:192.168.1.2:80
1 47 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:80 to:192.168.1.2:80
0 0 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:4444 to:192.168.1.2:4444
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3389 to:192.168.1.3:3389
0 0 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:3389 to:192.168.1.3:3389
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5901 to:192.168.1.2:5901
0 0 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:5901 to:192.168.1.2:5901
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:20 to:192.168.1.2:20
0 0 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:20 to:192.168.1.2:20
16 948 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 to:192.168.1.2:21
0 0 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:21 to:192.168.1.2:21
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:27745 to:192.168.1.2:27745
1913 199K DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:27745 to:192.168.1.2:27745

Basile
13-01-2010, 11:34
$ iptables -t nat -vnL
...Все корректно. Проблема в чем-то другом.
Вы можете попросить кого-нибудь из вашего сегмента локальной сети (10.114.172.х) попросить подключиться?

Не, еще проще. У вас есть свитч и ноут (или какой-то еще комп, настройкам которого вы доверяте)? В свитч втыкаете провод от провайдера, роутер и ноут. И роутер и ноут должны получить адреса в локальной сети провайдера. Прямо с ноута проверяете, работает доступ из локальной сети или нет

rishelie
13-01-2010, 11:43
Все корректно. Проблема в чем-то другом.
Вы можете попросить кого-нибудь из вашего сегмента локальной сети (10.114.172.х) попросить подключиться?

пока нет. но проблема пришла от человека, подключенного к тому же провайдеру, только судя по логам у него адрес чуть-чуть другой. из "соседней" сетки, т.е. там что-то типа 10.112...

кроме того, когда я ему дал ссылку 10.114.172.228:80, то сайт открылся
а по ссылке 82.199.108.15:80 не открывается

то есть получается косяк у провайдера? нет маршрута на 82.199.108.15?

Basile
13-01-2010, 12:01
кроме того, когда я ему дал ссылку 10.114.172.228:80, то сайт открылся
а по ссылке 82.199.108.15:80 не открываетсяВы же в первом посте сказали, что клиент не может подключиться из локальной сети, а теперь говорите, что из локальной сети в се ОК, а из интернета не подключается

rishelie
13-01-2010, 12:07
Вы же в первом посте сказали, что клиент не может подключиться из локальной сети, а теперь говорите, что из локальной сети в се ОК, а из интернета не подключается

все правильно. если юзер находится во внешней (относительно провайдера) сети, то у него открывается 82.199.108.15
если юзер находится в локалке роутера (192.168.x.x), то у него открывается и 82.199.108.15, и 10.114.172.228.
если же юзер - клиент провайдера (т.е. находится в сети 10.x.x.x), то у него 82.199.108.15 не открывается, а 10.114.172.228 открывается.

vectorm
13-01-2010, 12:12
пока нет. но проблема пришла от человека, подключенного к тому же провайдеру, только судя по логам у него адрес чуть-чуть другой. из "соседней" сетки, т.е. там что-то типа 10.112...

кроме того, когда я ему дал ссылку 10.114.172.228:80, то сайт открылся
а по ссылке 82.199.108.15:80 не открывается

то есть получается косяк у провайдера? нет маршрута на 82.199.108.15?
Причина вот в этом:
http://wl500g.info/showpost.php?p=178194&postcount=5
Применительно к локалке провайдера - запрос идет на внешний IP, а ответ приходит от внутреннего IP локалки провайдера.

Basile
13-01-2010, 12:22
если же юзер - клиент провайдера (т.е. находится в сети 10.x.x.x), то у него 82.199.108.15 не открывается, а 10.114.172.228 открывается.
А что у такого юзера дает трассировка маршрута до 82.199.108.15 и 10.114.172.228?

rishelie
13-01-2010, 12:28
А что у такого юзера дает трассировка маршрута до 82.199.108.15 и 10.114.172.228?

надеюсь вечером получить ответ. жаль свича нет, только хаб. а то мож и сам бы попробовал проверить

rishelie
18-01-2010, 21:56
так и нет мне пока ответа. но вот что интересно:


nslookup 82.199.108.15 194.226.96.8
Server: 194.226.96.8
Address: 194.226.96.8#53

Non-authoritative answer:
*** Can't find 15.108.199.82.in-addr.arpa.: No answer



nslookup 82.199.108.15
Server: 95.128.224.8
Address: 95.128.224.8#53

Non-authoritative answer:
15.108.199.82.in-addr.arpa name = 82.199.108.15.static.broadband.iskratelecom.ru.

Authoritative answers can be found from:
108.199.82.in-addr.arpa nameserver = ns2.iskratelecom.ru.
108.199.82.in-addr.arpa nameserver = ns.iskratelecom.ru.

может, в этом косяк?

видимо, мне нужно в обратной зоне днс прописаться как-то. только вот я пользуюсь xname.org, а там непонятно как это сделать.

rishelie
23-01-2010, 20:23
вот такая до меня трассировка от клиента провайдера


tracert 82.199.108.15
Трассировка маршрута к 82.199.108.15.static.broadband.iskratelecom.ru [82.199.108.15]
с максимальным числом прыжков 30:
1 2 ms 1 ms 1 ms my.router [192.168.1.1]
2 2 ms 2 ms 2 ms lo.esr.iskratelecom.net [82.199.96.10]
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.
5 * * * Превышен интервал ожидания для запроса.
6 * * * Превышен интервал ожидания для запроса.
7 * * * Превышен интервал ожидания для запроса.
8 * * * Превышен интервал ожидания для запроса.
9 * * * Превышен интервал ожидания для запроса.
10 * * * Превышен интервал ожидания для запроса.
11 * * * Превышен интервал ожидания для запроса.
12 * * * Превышен интервал ожидания для запроса.
13 * * * Превышен интервал ожидания для запроса.
14 * * * Превышен интервал ожидания для запроса.
15 * * * Превышен интервал ожидания для запроса.
16 * * * Превышен интервал ожидания для запроса.
17 * * * Превышен интервал ожидания для запроса.
18 * * * Превышен интервал ожидания для запроса.
19 * * * Превышен интервал ожидания для запроса.
20 * * * Превышен интервал ожидания для запроса.
21 * * * Превышен интервал ожидания для запроса.
22 * * * Превышен интервал ожидания для запроса.
23 * * * Превышен интервал ожидания для запроса.
24 * * * Превышен интервал ожидания для запроса.
25 * * * Превышен интервал ожидания для запроса.
26 * * * Превышен интервал ожидания для запроса.
27 * * * Превышен интервал ожидания для запроса.
28 * * * Превышен интервал ожидания для запроса.
29 * * * Превышен интервал ожидания для запроса.
30 * * * Превышен интервал ожидания для запроса.

tracert 10.114.172.228
Трассировка маршрута к 10.114.172.228 с максимальным числом прыжков 30
1 2 ms 1 ms 2 ms my.router [192.168.1.1]
2 2 ms 3 ms 3 ms lo.esr.iskratelecom.net [82.199.96.10]
3 2 ms 3 ms 3 ms m-core-bb.iskratelecom.net [82.199.96.27]
4 3 ms 3 ms 3 ms tge1-0-1-1102.z-core.iskratelecom.net [82.199.119.70]
5 * * * Превышен интервал ожидания для запроса.
6 * * * Превышен интервал ожидания для запроса.
7 * * * Превышен интервал ожидания для запроса.
8 * * * Превышен интервал ожидания для запроса.
9 * * * Превышен интервал ожидания для запроса.
10 * * * Превышен интервал ожидания для запроса.
11 * * * Превышен интервал ожидания для запроса.
12 * * * Превышен интервал ожидания для запроса.
13 * * * Превышен интервал ожидания для запроса.
14 * * * Превышен интервал ожидания для запроса.
15 * * * Превышен интервал ожидания для запроса.
16 * * * Превышен интервал ожидания для запроса.
17 * * * Превышен интервал ожидания для запроса.
18 * * * Превышен интервал ожидания для запроса.
19 * * * Превышен интервал ожидания для запроса.
20 * * * Превышен интервал ожидания для запроса.
21 * * * Превышен интервал ожидания для запроса.
22 * * * Превышен интервал ожидания для запроса.
23 * * * Превышен интервал ожидания для запроса.
24 * * * Превышен интервал ожидания для запроса.
25 * * * Превышен интервал ожидания для запроса.
26 * * * Превышен интервал ожидания для запроса.
27 * * * Превышен интервал ожидания для запроса.
28 * * * Превышен интервал ожидания для запроса.
29 * * * Превышен интервал ожидания для запроса.
30 * * * Превышен интервал ожидания для запроса.

Basile
23-01-2010, 20:58
Что-то ни одна трассировка не показала, что до вас есть маршрут

rishelie
24-01-2010, 20:12
Что-то ни одна трассировка не показала, что до вас есть маршрут

тем не менее адрес 10... открывается на 80 порту

Basile
24-01-2010, 20:22
А попробуйте вы оттрассировать маршрут до знакомого. Трассировку сделайте и с компьютера и с роутера

rishelie
03-02-2010, 21:57
пробовал - то же самое.. затыкается маршрут на каком-то промежуточном узле. мне на форуме провайдера ссылка (http://forum.iskra-net.ru/viewtopic.php?p=81916&sid=db45ab99aaf6a6456677113b4838629d#p81916) посоветовали выключить rp_filter, мол, это косяк линукса :)))

нашел тему по rp_filter:
на этом форуме (http://wl500g.info/showthread.php?p=76669)

Basile
03-02-2010, 23:03
Может быть вполне такова политика провайдера, чтобы пользователи не создавали свои сервисы. Попробуйте ради интереса изменить порт с 80 на любой больше 10000 (и меньше 65000)

1ntik
10-02-2010, 20:09
У меня роутер WL500gPv2 с последней прошивкой от энтузиастов
Стоит lighttpd. Собственно роутер не виден извне. Не пингуется.

Как исправить? Что прописать в iptables?
p.s. Лайти висит на 80ом порте

LnrMn
10-02-2010, 20:34
Самое простое, в Вашем случае, InternetFirewall-Enable Web Access from WAN?-Yes
И Respond Ping Request from WAN? - Yes

1ntik
10-02-2010, 20:44
InternetFirewall-Enable Web Access from WAN?-Yes
Это настройка видимости панели управления роутером.
Мне же надо lighttpd.

LnrMn
10-02-2010, 20:50
InternetFirewall-Enable Web Access from WAN?-Yes
Это настройка видимости панели управления роутером.
Мне же надо lighttpd.

Ну Вы же пересадили морду на 8080, а на 80 у Вас сидит, как Вы говорите, lighttpd.

добавьте в post-firewall

iptables -I INPUT -p tcp --dport 80 -j ACCEPT

1ntik
10-02-2010, 20:54
Enable Web Access from WAN? ->YES
А теперь следующий параметр на тойже страничке:
Port of Web Access from WAN: 8080

Собственно так и пересадил на другой порт морду роутера.

[admin@Neon root]$ iptables -I INPUT -p tcp --dport 80 -j ACCEPT

Не работает)
Сейчас попробую добавить в крон и перегрузить, но не думаю что что-то измениться.

LnrMn
10-02-2010, 20:56
не в крон, а в post-firewall.

UPD. Ну вот заработало :)

1ntik
10-02-2010, 20:59
Добавил. перезагрузил. не помогло
Проверил файл, сохранил ли - да сохранил.
[admin@Neon root]$ cat /usr/local/sbin/post-firewall
#!/bin/sh
grep -q -- '--dport 0\b' /tmp/nat_rules && grep -v -- '--dport 0\b' /tmp/nat_rules | iptables-restore
iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
iptables -I INPUT -p tcp --dport 80 -j ACCEPT

LnrMn
10-02-2010, 21:03
Я тебя вижу. Деревяшку твою

Index of /
Name Last Modified Size Type
Parent Directory/ - Directory
NRNU/ 2010-Feb-10 18:38:06 - Directory
image.jpg 2010-Feb-04 21:58:10 0.0K image/jpeg
mendeleev.tiff 2010-Feb-08 00:24:46 4.4M application/octet-stream
test.pdf 2010-Feb-02 11:24:49 0.0K application/pdf
test.xls 2010-Feb-04 21:57:52 0.0K application/octet-stream
lighttpd/1.4.26

1ntik
10-02-2010, 21:08
М@т! тв0/-0!!!! В virtual servers был сервер на 80ом порте)
Вроде заработало)

Спасибо)

Sergey1223
16-03-2010, 14:40
Стоит D-Link D320, переделанный в WL500gpv2 с помощью прошивки Олега 1.9.2.7-10.7. В локалке есть сервер на IIS, он виден из локалки по 80-му порту, и из Интернета - через Virtual Server - по любому порту проброшенному, кроме 80-го. Устанавливаю в Port Forwarding (Virtual Server) проброс 80-го порт - и никак не получается его увидеть. Менял разные настройки, чего только не делал - задача не решается. В чем может быть проблема?

MFMan
16-03-2010, 14:43
Как вариант блокирует провайдер.

iptables-save и nvram get http_lanport продемонстрируйте пожалуйста.

Sergey1223
16-03-2010, 14:48
Как вариант блокирует провайдер.

iptables-save и nvram get http_lanport продемонстрируйте пожалуйста.

nvram get http_lanport - результат 80

# Generated by iptables-save v1.2.7a on Tue Mar 16 15:20:28 2010
*nat
:PREROUTING ACCEPT [33237:2376336]
:POSTROUTING ACCEPT [600:59268]
:OUTPUT ACCEPT [167:11914]
:VSERVER - [0:0]
-A PREROUTING -d 95.27.64.8 -j VSERVER
-A PREROUTING -d 10.48.147.144 -j VSERVER
-A POSTROUTING -s ! 95.27.64.8 -o ppp0 -j MASQUERADE
-A POSTROUTING -s ! 10.48.147.144 -o vlan1 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -o br0 -j MASQUERADE
-A VSERVER -p udp -m udp --dport 49291 -j DNAT --to-destination 192.168.0.112:49291
-A VSERVER -p udp -m udp --dport 51849 -j DNAT --to-destination 192.168.0.127:51849
-A VSERVER -p udp -m udp --dport 54146 -j DNAT --to-destination 192.168.0.127:54146
-A VSERVER -p udp -m udp --dport 50135 -j DNAT --to-destination 192.168.0.127:50135
-A VSERVER -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.193:80
-A VSERVER -p udp -m udp --dport 26903 -j DNAT --to-destination 192.168.0.129:26903
-A VSERVER -p tcp -m tcp --dport 443 -j DNAT --to-destination 192.168.0.193:443
-A VSERVER -p udp -m udp --dport 50213 -j DNAT --to-destination 192.168.0.127:50213
-A VSERVER -p tcp -m tcp --dport 26903 -j DNAT --to-destination 192.168.0.129:26903
-A VSERVER -p tcp -m tcp --dport 554 -j DNAT --to-destination 192.168.0.193:554
-A VSERVER -p udp -m udp --dport 5000 -j DNAT --to-destination 192.168.0.193:5000
-A VSERVER -p udp -m udp --dport 5001 -j DNAT --to-destination 192.168.0.193:5001
-A VSERVER -p tcp -m tcp --dport 48769 -j DNAT --to-destination 192.168.0.106:48769
-A VSERVER -p udp -m udp --dport 62558 -j DNAT --to-destination 192.168.0.130:62558
-A VSERVER -p udp -m udp --dport 5002 -j DNAT --to-destination 192.168.0.193:5002
-A VSERVER -p tcp -m tcp --dport 8081 -j DNAT --to-destination 192.168.0.130:80
-A VSERVER -p tcp -m tcp --dport 20:21 -j DNAT --to-destination 192.168.0.130:20
-A VSERVER -p tcp -m tcp --dport 5500:5700 -j DNAT --to-destination 192.168.0.130:5500
-A VSERVER -p udp -m udp --dport 5500:5700 -j DNAT --to-destination 192.168.0.130:5500
-A VSERVER -p tcp -m tcp --dport 82 -j DNAT --to-destination 192.168.0.130:80
COMMIT
# Completed on Tue Mar 16 15:20:28 2010
# Generated by iptables-save v1.2.7a on Tue Mar 16 15:20:28 2010
*mangle
:PREROUTING ACCEPT [207188:117639029]
:INPUT ACCEPT [108919:58070509]
:FORWARD ACCEPT [95091:59375110]
:OUTPUT ACCEPT [61038:15042160]
:POSTROUTING ACCEPT [157040:74718710]
COMMIT
# Completed on Tue Mar 16 15:20:28 2010
# Generated by iptables-save v1.2.7a on Tue Mar 16 15:20:28 2010
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [6328:540418]
:OUTPUT ACCEPT [60261:14564445]
:MACS - [0:0]
:SECURITY - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i br0 -m state --state NEW -j ACCEPT
-A INPUT -d 224.0.0.0/240.0.0.0 -p 2 -j ACCEPT
-A INPUT -d 224.0.0.0/240.0.0.0 -p udp -m udp ! --dport 1900 -j ACCEPT
-A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -j DROP
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -d 224.0.0.0/240.0.0.0 -p udp -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ! br0 -o ppp0 -j DROP
-A FORWARD -i ! br0 -o vlan1 -j DROP
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -o br0 -j ACCEPT
-A SECURITY -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j DROP
-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logaccept -j ACCEPT
-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logdrop -j DROP
COMMIT
# Completed on Tue Mar 16 15:20:28 2010

MFMan
16-03-2010, 15:08
лично я решил проблему переносом 80 порта внутри своей домашней сетки на 8080 делается это так
nvram set http_lanport=8080
и открыл доступ извне в post-firewall пишем

iptables -I INPUT -p tcp --dport 80 -j ACCEPT

Sergey1223
16-03-2010, 15:15
лично я решил проблему переносом 80 порта внутри своей домашней сетки на 8080 делается это так
nvram set http_lanport=8080
и открыл доступ извне в post-firewall пишем

iptables -I INPUT -p tcp --dport 80 -j ACCEPT


8080 можно открыть для доступа к самому роутеру снаружи.... Может, у него зашит запрет на доступ к 80-му порту? А через меню его никак не обойти? Провайдер мой, кстати, 80-й порт не закрывает. Более того, обнаружил вообще странную вещь в своей сетке: включил web-камеру, у которой есть своя web-страничка по фиксированному адресу 0.193, зашел на свой myserver.dyndns.org снаружи по 80-му порту, и обнаружил, что открывается страница этой самой камеры. Хотя никак ее в роутере не прописывал. Чудеса да и только!

Sergey1223
16-03-2010, 15:18
Кстати, FTP (21-й порт), хотя и открыл, снаружи тоже telnet'ом не пробивается :confused:

Power
16-03-2010, 17:50
У вас UPnP включен и мешается. Выключите его и всё заработает.

Sergey1223
17-03-2010, 09:04
У вас UPnP включен и мешается. Выключите его и всё заработает.

Выключил. Проброшенные 80-й и 21-й порты до сих пор снаружи недоступны :confused:. Отключил также встроенный FTP - но тоже результата не принесло.

Power
17-03-2010, 16:12
Выключил. Проброшенные 80-й и 21-й порты до сих пор снаружи недоступны :confused:. Отключил также встроенный FTP - но тоже результата не принесло.

Тогда покажите, что теперь говорит команда iptables-save.

Sergey1223
17-03-2010, 18:12
Тогда покажите, что теперь говорит команда iptables-save.

вот...


# Generated by iptables-save v1.2.7a on Wed Mar 17 18:46:22 2010
*nat
:PREROUTING ACCEPT [249532:27720236]
:POSTROUTING ACCEPT [3902:384841]
:OUTPUT ACCEPT [3393:210059]
:VSERVER - [0:0]
-A PREROUTING -d 95.27.122.246 -j VSERVER
-A PREROUTING -d 10.48.147.144 -j VSERVER
-A POSTROUTING -s ! 95.27.122.246 -o ppp0 -j MASQUERADE
-A POSTROUTING -s ! 10.48.147.144 -o vlan1 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -o br0 -j MASQUERADE
-A VSERVER -p tcp -m tcp --dport 8081 -j DNAT --to-destination 192.168.0.130:80
-A VSERVER -p tcp -m tcp --dport 20:21 -j DNAT --to-destination 192.168.0.130:20
-A VSERVER -p tcp -m tcp --dport 5500:5700 -j DNAT --to-destination 192.168.0.130:5500
-A VSERVER -p udp -m udp --dport 5500:5700 -j DNAT --to-destination 192.168.0.130:5500
-A VSERVER -p tcp -m tcp --dport 82 -j DNAT --to-destination 192.168.0.130:80
COMMIT
# Completed on Wed Mar 17 18:46:22 2010
# Generated by iptables-save v1.2.7a on Wed Mar 17 18:46:22 2010
*mangle
:PREROUTING ACCEPT [9574843:11228185415]
:INPUT ACCEPT [7825159:9991087272]
:FORWARD ACCEPT [8399478:10352387627]
:OUTPUT ACCEPT [851452:452435549]
:POSTROUTING ACCEPT [9253086:10804890924]
COMMIT
# Completed on Wed Mar 17 18:46:22 2010
# Generated by iptables-save v1.2.7a on Wed Mar 17 18:46:22 2010
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [53693:5337474]
:OUTPUT ACCEPT [851016:452050792]
:MACS - [0:0]
:SECURITY - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i br0 -m state --state NEW -j ACCEPT
-A INPUT -d 224.0.0.0/240.0.0.0 -p 2 -j ACCEPT
-A INPUT -d 224.0.0.0/240.0.0.0 -p udp -m udp ! --dport 1900 -j ACCEPT
-A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -j DROP
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -d 224.0.0.0/240.0.0.0 -p udp -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ! br0 -o ppp0 -j DROP
-A FORWARD -i ! br0 -o vlan1 -j DROP
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -o br0 -j ACCEPT
-A SECURITY -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j DROP
-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logaccept -j ACCEPT
-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logdrop -j DROP
COMMIT
# Completed on Wed Mar 17 18:46:22 2010

Power
17-03-2010, 19:42
вот...


Судя по листингу, у вас проброшены
8081/tcp -> 192.168.0.130:80
20:21/tcp -> 192.168.0.130:20
5500:5700/tcp -> 192.168.0.130:5500
5500:5700/udp -> 192.168.0.130:5500
82/tcp -> 192.168.0.130:80

Порт 80 не проброшен.
А когда задаёте проброс диапазона портов (например, 20:21), не заполняйте поле Local Port.

Sergey1223
17-03-2010, 21:55
Судя по листингу, у вас проброшены
8081/tcp -> 192.168.0.130:80
20:21/tcp -> 192.168.0.130:20
5500:5700/tcp -> 192.168.0.130:5500
5500:5700/udp -> 192.168.0.130:5500
82/tcp -> 192.168.0.130:80

Порт 80 не проброшен.
А когда задаёте проброс диапазона портов (например, 20:21), не заполняйте поле Local Port.

Power, Вы - настоящий знаток этой прошивки! Огромное Вам спасибо, все получилось!

Кстати, а имеет ли смысл обновить мою стабильную прошивку 1.9.2.7-10.7 на что-нибудь поновее отсюда http://wl500g.info/showthread.php?t=17641? На что именно? Модемчик Йотовский есть, прошивка с ним стабильно работает? Какие-нибудь дополнительные фичи, быстродействие в новых прошивках имеются? Стоит ли, в общем, овчинка выделки?

Power
17-03-2010, 23:52
Кстати, а имеет ли смысл обновить мою стабильную прошивку 1.9.2.7-10.7 на что-нибудь поновее отсюда http://wl500g.info/showthread.php?t=17641? На что именно? Модемчик Йотовский есть, прошивка с ним стабильно работает? Какие-нибудь дополнительные фичи, быстродействие в новых прошивках имеются? Стоит ли, в общем, овчинка выделки?

Это дело индивидуальное. Если вас что-то сейчас не устраивает, можете попробовать. В конце концов, можно сейчас сохранить настройки, а потом, если что, перепрошиться обратно и восстановить их.

CattheBlack
23-03-2010, 01:57
nvram set http_lanport
nvram set http_wanport


Подскажите, пожалуйста, переписал это всё на 8081, nvram commit, reboot - не заходит на морду ни через 80, на 8080, ни 8081. Надо что-то прописать в файрволл? Где и что? Чайник я... :)

maxxD
05-05-2010, 18:55
Убедительная просьба подскажите, как решить мою проблему.

У меня PPPoE интернет с динамическим IP.
Раз в 5-10 дней роутер меняет IP адрес PPPoE соединения.
При получении нового IP, закрывается 80 порт. ( 21 порт работает нормально. )
Каждый, раз после смены IP, приходится вручную открывать данный порт (iptables -I INPUT -p tcp --dport 80 -j ACCEPT)
Ну и вручную определять новый внешний IP для доступа к FTP и http из внешних сетей.

Вопрос:
1.Как сделать 80 порт постоянно открытым, как 21й?
2.Как узнать внешние ip текущего соединения роутера из внешних сетей? (интернет)
Может через торрент, как вариант.

theMIROn
05-05-2010, 19:00
1.Как сделать 80 порт постоянно открытым, как 21й?используйте post-firewall скрипт


2.Как узнать внешние ip текущего соединения роутера из внешних сетей? (интернет)
используйте dynamic dns в web интерфейсе

maxxD
05-05-2010, 19:08
Простите за безграмотность!
Можно поподробней.
Что такое post-firewall скрипт и dynamic dns
И где конкретно это все искать????

theMIROn
05-05-2010, 19:12
http://code.google.com/p/wl500g/wiki/UserScripts
+ поиск по форуму

maxxD
05-05-2010, 19:32
Огромное спасибо!
Я разобрялся.
post-firewall - это скрипт на роуторе запускающийся при изменении параметров сети (заходим в роутер при помощи MC находим post-firewall в /usr/local/sbin и добавляем "iptables -I INPUT -p tcp --dport 80 -j ACCEPT"

dynamic dns в web смотри http://wl500g.info/showthread.php?t=13402&highlight=%ED%E0%F1%F2%F0%EE%E9%EA%E0+DDNS

Всем спасибо!!!!!!

stepan83
14-05-2010, 20:16
Убедительная просьба подскажите, как решить мою проблему.

У меня PPPoE интернет с динамическим IP.
Раз в 5-10 дней роутер меняет IP адрес PPPoE соединения.
При получении нового IP, закрывается 80 порт. ( 21 порт работает нормально. )
Каждый, раз после смены IP, приходится вручную открывать данный порт (iptables -I INPUT -p tcp --dport 80 -j ACCEPT)
Ну и вручную определять новый внешний IP для доступа к FTP и http из внешних сетей.

Вопрос:
1.Как сделать 80 порт постоянно открытым, как 21й?
2.Как узнать внешние ip текущего соединения роутера из внешних сетей? (интернет)
Может через торрент, как вариант.

Проблема таже но со статистическим ip после перегрузки роутера (раз в день) 80 порт закрывается хотя ранее раскомментировал даный скрипт post-firewall и сохранил при помощи MC

# port HTTP
iptables -I INPUT -p tcp --dport 80 -j ACCEPT

неужели постоянно нужно давать в ручную команду? подскажите пожалуйста,
P.S роутер настроен программами для чайника (http://wl500g.info/showthread.php?p=175025#post175025)

Power
14-05-2010, 20:26
Проблема таже но со статистическим ip после перегрузки роутера (раз в день) 80 порт закрывается хотя ранее раскомментировал даный скрипт post-firewall и сохранил при помощи MC

# port HTTP
iptables -I INPUT -p tcp --dport 80 -j ACCEPT

неужели постоянно нужно давать в ручную команду? подскажите пожалуйста,
P.S роутер настроен программами для чайника (http://wl500g.info/showthread.php?p=175025#post175025)

Скорее всего, вы не сохранили flashfs. Что говорят команды


cat /usr/local/sbin/post-firewall
iptables-save

stepan83
14-05-2010, 20:56
Скорее всего, вы не сохранили flashfs. Что говорят команды


cat /usr/local/sbin/post-firewall
iptables-save


Не помогло после данной команды, выключил роутер через halt, включил
и вижу снова не раскоментированную строчку
# port HTTP
# iptables -I INPUT -p tcp --dport 80 -j ACCEPT

Power
14-05-2010, 23:32
Не помогло после данной команды, выключил роутер через halt, включил
и вижу снова не раскоментированную строчку
# port HTTP
# iptables -I INPUT -p tcp --dport 80 -j ACCEPT

Команды, которые я привёл выше, не должны были помочь, они для диагностики. Сохранение flashfs делается командами


flashfs save
flashfs commit

stepan83
15-05-2010, 12:55
Команды, которые я привёл выше, не должны были помочь, они для диагностики. Сохранение flashfs делается командами


flashfs save
flashfs commit


Сохранил посмотрите пожалуйста

Power
16-05-2010, 16:48
Сохранил посмотрите пожалуйста

Выглядит нормально. Приведите ещё результат выполнения команд на роутере:


cat /tmp/nat_rules
iptables-save

stepan83
16-05-2010, 17:58
Выглядит нормально.


Спасибо Power за отклик, проблема сама собой разрешилась, не знаю может глюк был на роутере или повлияло на то что я вырубил Radio - wi-fi т.к. я им не пользуюсь

vectorm
16-05-2010, 18:08
Спасибо Power за отклик, проблема сама собой разрешилась, не знаю может глюк был на роутере или повлияло на то что я вырубил Radio - wi-fi т.к. я им не пользуюсь
Вы выполнили вот это:http://wl500g.info/showpost.php?p=197383&postcount=9
Результат именно тот, которого Вы и хотели - сохранились настройки.

stepan83
16-05-2010, 18:10
Вы выполнили вот это:http://wl500g.info/showpost.php?p=197383&postcount=9
Результат именно тот, которого Вы и хотели - сохранились настройки.

Спасибо Всем за дельный совет

IgorBelii
25-05-2010, 11:48
Прошу Вашей помощи, у меня таже самая проблема, проверил записи в post-firewall

после команды cat /usr/local/sbin/post-firewall
следующий ответ

#!/bin/sh

# port HTTP
iptables -I INPUT -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -p tcp --dport 8080 -j ACCEPT
iptables -I INPUT -p tcp --dport 21 -j ACCEPT

# for Transmission (BitTorrent client)
iptables -I INPUT -p tcp --dport 65534 -j ACCEPT
iptables -I INPUT -p udp --dport 65534 -j ACCEPT
iptables -I INPUT -p tcp --dport 51413 -j ACCEPT
iptables -I INPUT -p tcp --dport 9091 -j ACCEPT

порты вроде как открыты должны быть, но когда я их проверяю через
http://ping.eu/port-chk/
то все closed

так же привожу ответ на комманду cat /tmp/nat_rules



:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:VSERVER - [0:0]
-A PREROUTING -d 91.77.224.81 -j VSERVER
-A PREROUTING -d 21.1.5.103 -j VSERVER
-A VSERVER -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.1.1:8080
-A VSERVER -p tcp -m tcp --dport 62032 -j DNAT --to-destination 192.168.1.41:620
32
-A VSERVER -p udp -m udp --dport 62032 -j DNAT --to-destination 192.168.1.41:620
32
-A VSERVER -p udp -m udp --dport 60880 -j DNAT --to-destination 192.168.1.41:608
80
-A VSERVER -p tcp -m tcp --dport 62035 -j DNAT --to-destination 192.168.1.31:620
35
-A VSERVER -p udp -m udp --dport 62035 -j DNAT --to-destination 192.168.1.31:620
35
-A VSERVER -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.1.1:21
-A PREROUTING -p udp -d 91.77.224.81 --sport 6112 -j NETMAP --to 192.168.1.0/24
-A POSTROUTING -p udp -s 192.168.1.0/24 --dport 6112 -j NETMAP --to 91.77.224.81
-A POSTROUTING -o ppp0 ! -s 91.77.224.81 -j MASQUERADE
-A POSTROUTING -o vlan2 ! -s 21.1.5.103 -j MASQUERADE
-A POSTROUTING -o br0 -s 192.168.1.0/24 -d 192.168.1.0/24 -j SNAT --to-source 19
2.168.1.1

Power
25-05-2010, 22:17
Прошу Вашей помощи, у меня таже самая проблема, проверил записи в post-firewall

после команды cat /usr/local/sbin/post-firewall
следующий ответ
<...>

порты вроде как открыты должны быть, но когда я их проверяю через
http://ping.eu/port-chk/
то все closed

так же привожу ответ на комманду cat /tmp/nat_rules
<...>


Неплохо бы показать ещё вывод команд


iptables-save
netstat -ln

Также, возможно, порты блокирует провайдер.

IgorBelii
26-05-2010, 05:31
результат после iptables-save



# Generated by iptables-save v1.3.8 on Wed May 26 07:27:29 2010
*nat
:PREROUTING ACCEPT [141575:11026997]
:POSTROUTING ACCEPT [51314:6211174]
:OUTPUT ACCEPT [10145:937880]
:VSERVER - [0:0]
-A PREROUTING -d 85.140.166.80 -j VSERVER
-A PREROUTING -d 21.1.5.103 -j VSERVER
-A PREROUTING -d 85.140.166.80 -p udp -m udp --sport 6112 -j NETMAP --to 192.168.1.0/24
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -p udp -m udp --dport 6112 -j NETMAP --to 85.140.166.80/32
-A POSTROUTING -s ! 85.140.166.80 -o ppp0 -j MASQUERADE
-A POSTROUTING -s ! 21.1.5.103 -o vlan2 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -d 192.168.1.0/255.255.255.0 -o br0 -j SNAT --to-source 192.168.1.1
-A VSERVER -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.1.1:8080
-A VSERVER -p tcp -m tcp --dport 62032 -j DNAT --to-destination 192.168.1.41:62032
-A VSERVER -p udp -m udp --dport 62032 -j DNAT --to-destination 192.168.1.41:62032
-A VSERVER -p udp -m udp --dport 60880 -j DNAT --to-destination 192.168.1.41:60880
-A VSERVER -p tcp -m tcp --dport 62035 -j DNAT --to-destination 192.168.1.31:62035
-A VSERVER -p udp -m udp --dport 62035 -j DNAT --to-destination 192.168.1.31:62035
COMMIT
# Completed on Wed May 26 07:27:29 2010
# Generated by iptables-save v1.3.8 on Wed May 26 07:27:29 2010
*mangle
:PREROUTING ACCEPT [5299907:2609116981]
:INPUT ACCEPT [270093:16499957]
:FORWARD ACCEPT [5024154:2590998932]
:OUTPUT ACCEPT [334948:357575413]
:POSTROUTING ACCEPT [5357782:2948370705]
COMMIT
# Completed on Wed May 26 07:27:29 2010
# Generated by iptables-save v1.3.8 on Wed May 26 07:27:29 2010
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [105520:7903854]
:OUTPUT ACCEPT [333370:357045265]
:BRUTE - [0:0]
:MACS - [0:0]
:SECURITY - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -p tcp -m tcp --dport 9091 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 51413 -j ACCEPT
-A INPUT -p udp -m udp --dport 65534 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 65534 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i br0 -j MACS
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i br0 -m state --state NEW -j ACCEPT
-A INPUT -d 224.0.0.0/240.0.0.0 -p igmp -j ACCEPT
-A INPUT -d 224.0.0.0/240.0.0.0 -p udp -m udp ! --dport 1900 -j ACCEPT
-A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -j BRUTE
-A INPUT -p tcp -m tcp --dport 21 --tcp-flags FIN,SYN,RST,ACK SYN -j BRUTE
-A INPUT -d 192.168.1.1 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -d 192.168.1.1 -p tcp -m tcp --dport 8080 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -i br0 -j MACS
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ! br0 -o ppp0 -j DROP
-A FORWARD -i ! br0 -o vlan2 -j DROP
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A BRUTE -m recent --update --seconds 600 --hitcount 3 --name BRUTE --rsource -j DROP
-A BRUTE -m recent --set --name BRUTE --rsource -j ACCEPT
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j DROP
-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logaccept -j ACCEPT
-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logdrop -j DROP
COMMIT
# Completed on Wed May 26 07:27:29 2010


а вот после netstat -ln



Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:1026 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:9091 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:901 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:6566 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:9100 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:8080 0.0.0.0:* LISTEN
tcp 0 0 192.168.1.1:81 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:51413 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:53 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN
tcp 0 0 :::139 :::* LISTEN
tcp 0 0 :::51413 :::* LISTEN
tcp 0 0 :::53 :::* LISTEN
tcp 0 0 :::23 :::* LISTEN
tcp 0 0 :::445 :::* LISTEN
udp 0 0 0.0.0.0:514 0.0.0.0:*
udp 0 0 192.168.1.1:137 0.0.0.0:*
udp 0 0 0.0.0.0:137 0.0.0.0:*
udp 0 0 192.168.1.1:138 0.0.0.0:*
udp 0 0 0.0.0.0:138 0.0.0.0:*
udp 0 0 127.0.0.1:38032 0.0.0.0:*
udp 0 0 0.0.0.0:53 0.0.0.0:*
udp 0 0 0.0.0.0:67 0.0.0.0:*
udp 0 0 0.0.0.0:51413 0.0.0.0:*
udp 0 0 0.0.0.0:38000 0.0.0.0:*
udp 0 0 :::53 :::*
Active UNIX domain sockets (only servers)
Proto RefCnt Flags Type State I-Node Path
unix 2 [ ACC ] STREAM LISTENING 1681 /dev/log
unix 2 [ ACC ] STREAM LISTENING 1764 /tmp/php-fastcgi.socket-0
unix 2 [ ACC ] STREAM LISTENING 1767 /tmp/php-fastcgi.socket-1
unix 2 [ ACC ] STREAM LISTENING 1770 /tmp/php-fastcgi.socket-2
unix 2 [ ACC ] STREAM LISTENING 1773 /tmp/php-fastcgi.socket-3


относительно блокировки провайдером буду уточнять

Power
27-05-2010, 13:01
результат после iptables-save
<...>

а вот после netstat -ln
<...>

относительно блокировки провайдером буду уточнять

По результатам команд можно сказать, что на роутере порты открыты. Мешает кто-то ещё (провайдер?).

stepan83
22-06-2010, 20:43
Приветствую приобрел сетевое хранилище Aser с Windows home server как я понял для работы ему необходимо открытые порты 80, 443 и 4125 на роутере (wl500gp2) (80 открыт был до этого)

пробывал поменять в ручную /usr/local/sbin/post-firewall (прошивка от олега настройки для чайника от valerakvb (http://wl500g.info/showthread.php?mode=hybrid&t=21889&highlight=%EF%EE%F0%F2))
Результат:
# port HTTP
iptables -I INPUT -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -p tcp --dport 443 -j ACCEPT
iptables -I INPUT -p tcp --dport 4125 -j ACCEPT
сохранил кроме 80 порта остальные так же остались закрыты подскажите как правильно открывать порты ? через веб морду (Virtual Server) или необходимо еще post-firewall прописать ip сервера 192.168.1.122 ?

Power
25-06-2010, 14:52
Приветствую приобрел сетевое хранилище Aser с Windows home server как я понял для работы ему необходимо открытые порты 80, 443 и 4125 на роутере (wl500gp2) (80 открыт был до этого)

пробывал поменять в ручную /usr/local/sbin/post-firewall (прошивка от олега настройки для чайника от valerakvb (http://wl500g.info/showthread.php?mode=hybrid&t=21889&highlight=%EF%EE%F0%F2))
Результат:
сохранил кроме 80 порта остальные так же остались закрыты подскажите как правильно открывать порты ? через веб морду (Virtual Server) или необходимо еще post-firewall прописать ip сервера 192.168.1.122 ?

Правильно - через веб морду (Virtual Server).

microgosu
31-07-2010, 19:52
недавно стал обладателем этой чудесной штуки
интернет и сеть настроил сразу, все работает замечательно,прошил прошивкой от олега,но появилась одна проблема.
на одном из компьютеров у меня есть сайт, который раньше имел доступ в инет и в локальную сеть, сейчас же если я ввожу свой ип локальный или внешний то открывается страница роутера, а не мой сайт. как сделать так чтобы сайт был доступен как и раньше по моему локальному ип и внешнему?

Parkinstein
31-07-2010, 19:54
недавно стал обладателем этой чудесной штуки
интернет и сеть настроил сразу, все работает замечательно,прошил прошивкой от олега,но появилась одна проблема.
на одном из компьютеров у меня есть сайт, который раньше имел доступ в инет и в локальную сеть, сейчас же если я ввожу свой ип локальный или внешний то открывается страница роутера, а не мой сайт. как сделать так чтобы сайт был доступен как и раньше по моему локальному ип и внешнему?

пробросить 80-й порт на нужный ИП

microgosu
31-07-2010, 20:00
я понял что надо както его пробросить но как это сделать где в настройках это ввести подскажие пожалуйста,просто второй день с ним вожусь еще мало чего знаю

Parkinstein
31-07-2010, 20:06
я понял что надо както его пробросить но как это сделать где в настройках это ввести подскажие пожалуйста,просто второй день с ним вожусь еще мало чего знаю

Блин, все ж подробно уже расписано неоднократно, NAT Settings---Virtual Server
или просто в DMZ IP пропишите

microgosu
31-07-2010, 20:15
спасибо!за оперативность

zaskarboy
02-08-2010, 19:29
Доброе время суток. Интересует такой вопрос.
Несколько компьютеров выходят в сеть через роутер асус, на одном из компьютеров запущен вебсервер (апач,пхп). Можно ли как-то сделать чтобы этот вебсервер был доступен всем компьютерам? Там куча настроек в роутере, переадресации всякие и т.д. Вроде как сделать доступным из интернета сервер можно, это вроде должно быть еще проще...

Xakka
02-08-2010, 20:19
Доброе время суток. Интересует такой вопрос.
Несколько компьютеров выходят в сеть через роутер асус, на одном из компьютеров запущен вебсервер (апач,пхп). Можно ли как-то сделать чтобы этот вебсервер был доступен всем компьютерам? Там куча настроек в роутере, переадресации всякие и т.д. Вроде как сделать доступным из интернета сервер можно, это вроде должно быть еще проще...
Веб-сервер, по идее, должен быть доступен всем внутренним клиентам, если конечно у вас не прописаны жесткие правила фильтрации. Пробуйте в браузере зайти по ссылке http://внутренний_ип_адрес_сервера . Если вы хотите что бы ваш сервер был доступен из вне, для этого надо пробрасывать порт снаружи во внуть, делается это в разделе "Nat Setting-Virtual Server"

zaskarboy
02-08-2010, 20:38
просто запустил апач, пхп, или например denwer сразу - какой у него ип адрес? у самого компьютера есть ип адрес, а про внутренний ип адрес сервера я не понимаю.

Xakka
02-08-2010, 20:59
просто запустил апач, пхп, или например denwer сразу - какой у него ип адрес? у самого компьютера есть ип адрес, а про внутренний ип адрес сервера я не понимаю.
Правильно, у самого компьютера есть ип адрес, он в данном случае является внутренним, потому что он находится во внутренней сети роутера. Соответственно чтобы узнать ип адрес, сделайте следующее: Пуск-Выполнить-cmd-ipconfig. Набрав данный адрес в браузере вы увидите результат.

Pine
23-08-2010, 10:06
Т.е. через сервис DYNDNS завязал свой роутер на конкретный внешний адрес в интернете. Было удобно что набирая из любого места интернета я мог удаленно попадать в настройки роутера. Потом я выставил с одного из компов внешний сайт в интернет, для этого использовал настройку в вебморде NATSetting -Virtial Server проброс порта 80 на протоколо HTPP.
Сайт стал доступен, но как сейчас пользоваться удаленным доступом к настройке роутера через вебинтерфейс?
Такое впечатление что пробил обратную дыру через роутер, и сейчас или одно или другое. А вместе - можно?

alegzz
23-08-2010, 10:15
поменять порт на вебморду?

Pine
23-08-2010, 10:18
поменять порт на вебморду?

А как это сделать?

Нашел где-то похожую тему - вечером попробую.

kot777
15-09-2010, 13:32
Сообственно сабж, прошиваю роутер в дмз добавляю нужный ай-пи в рез-те все порты форвардятся без проблем, кроме 80. Нигде не отображается его задействование, лишь в статусе форвардинга такая запись
ALL TCP 80 192.168.1.19 6249
которую я не добавлял, как ее удалить и сделать переадресацию на нужный адрес?

kot777
15-09-2010, 14:06
Вообщем сменил на компе с 19 айпи на 30, перезапустил роутер, все равно форвард 80 порта на него идет, не понятно почему. даже сразу после перепрошивке.

azhur
15-09-2010, 15:03
Скорее всего на роутере не выключен UPnP, а на том компе некая прога через него себе проброс 80 порта запрашивает.

malroz
28-12-2010, 12:42
Всем привет, прошу помощи у знающих (а главное терпеливых и не скупых на подсказки!), ни как не могу настроить вэб-сервер (создал вэб-сайтик, через прогу iWeb, в локальной сети все вижу, а во внешку не пускает роутер или хз) и ftp (хотелось бы раздавать большие файлы и не заморачиваться на счет файлохранилища или обменников!), поиском пользовался - что то попробовал, что не понял (много специфики, а я полный "0" в сетях и линуксе!) - результат нулевой!
Заранее благодарен за ответ (можно по аське 460389459).
P.S. Роутер ASUS RT-N16, прошивка энтузиастов 1.9.2.7-rtn-r2448, внешний IP - белый , к роутеру ни чего не цеплял (ни флешку, ни хард), хотелось бы сделать все на жестком компа! Комп - iMac с MacOSX 10.6.5 (имеется встроенный сервер Апачи), так же скачал МАМР (может оно и не надо!?) и зарегистрировался в dyndns.org
Вот настроки асуса:
http://i003.radikal.ru/1012/59/0068d87a164c.jpg
http://s005.radikal.ru/i211/1012/8d/e5400484a32f.jpg

fish55
28-12-2010, 21:05
прошивка от Олега 1.9.2.7-10.7
Антивирусы и фаерволы отключены. Без роутера веб сервер IIS 5 на порту 80 работает отлично
WIN XP SP3
.net Framework2, 3.5sp1
В логах
Destination Proto. Port Range Redirect to
all ALL ALL 192.168.1.2
all UDP 443 192.168.1.2
all TCP 443 192.168.1.2
all UDP 80 192.168.1.2
all TCP 80 192.168.1.2
all UDP 80 192.168.1.2
all TCP 80 192.168.1.2
all UDP 8080 192.168.1.2
all TCP 8080 192.168.1.2
all UDP 8080 192.168.1.2

Пробовал прогу
И еще в самом роутере есть опции при порт форвардинг(выбрать http server) и
он в поля, где нужно ввести порт вставляет 80ю То есть теоретически на нем
должен работать port forwarding на 80.
Port Range Local IP Local Port Protocol Description
80 192,168.1.2 80 name1

Скачал прогу http://portforward.com/help/portcheck.htm
Пишет, что Your port is not open or not reacheble
Та же самая операция, но с портом 75 к примеру работает отлично

Indimion116
15-02-2011, 14:25
ASUS RT-N16
Добрый день!
Не могу решить одну задачку, может кто подскажет!
Скачал последнюю прошивку от энтузиастов, поднял инет, все норм, никаких вопросов!

Проблема вот в чем! У меня белый ip. На одной из машины подключенной к роутеру установлен web server. в роутере все прописал,т.е из локальной сети все кто обращается на адрес роутера все попадаю на web server/ – тут вопросов нет!

Проблема в том что я хочу чтобы при обращении на интернетовский ip тоже шла переадресация на web server.

Я прочитал тут статейку включил доступ через wan. да по внешнему адресу подключается, но на главную страницу роутера.. а на web server не пускает.

Затем прочитал еще статейку и сделал: доступ к админке роутера выставил по порту 5050....... глухомань!!

Короче говоря.
Web сервер находится на компе 192.168.1.2 с портом 80( стандартный)
доступ к админке роутера выставил на порт 5050(Internet Firewall - Basic Config)
Т.е при наборе внешний ip:5050 - мы попадаем на страницу роутера!!!- это работает!

в NAT Setting - Virtual Server настройках Port Range 80 Local IP 192.168.1.2 Local Port 80 - т.е при обращении внешний ip он должен тебя перенаправлять на локальную машину! - но он не перенаправляет! когда ты обращаешься по локальному адресу сети - все работает.
С FTP такая же лажа, по локалке все пашет, по инету нет!((

Пробывал и с другими портами, по локалке все работает, по внешнему ip - нет((


Интернет у меня идет без всяких подключений! т.е. WAN Connection Type:Automatic IP .

Пробывал и на родной прошивке и на прошивке от Олега.. все тоже самое!

P/S. ( блин уже бьюсь 3 день.. раньше был zyxel 330, вообще проблем не было. виртуальный сервер сделал и все работало и так и этак)

tempik
15-02-2011, 17:45
ASUS RT-N16
Добрый день!
Не могу решить одну задачку, может кто подскажет!
Скачал последнюю прошивку от энтузиастов, поднял инет, все норм, никаких вопросов!

Проблема вот в чем! У меня белый ip. На одной из машины подключенной к роутеру установлен web server. в роутере все прописал,т.е из локальной сети все кто обращается на адрес роутера все попадаю на web server/ – тут вопросов нет!

Проблема в том что я хочу чтобы при обращении на интернетовский ip тоже шла переадресация на web server.

Я прочитал тут статейку включил доступ через wan. да по внешнему адресу подключается, но на главную страницу роутера.. а на web server не пускает.

Затем прочитал еще статейку и сделал: доступ к админке роутера выставил по порту 5050....... глухомань!!

Короче говоря.
Web сервер находится на компе 192.168.1.2 с портом 80( стандартный)
доступ к админке роутера выставил на порт 5050(Internet Firewall - Basic Config)
Т.е при наборе внешний ip:5050 - мы попадаем на страницу роутера!!!- это работает!

в NAT Setting - Virtual Server настройках Port Range 80 Local IP 192.168.1.2 Local Port 80 - т.е при обращении внешний ip он должен тебя перенаправлять на локальную машину! - но он не перенаправляет! когда ты обращаешься по локальному адресу сети - все работает.
С FTP такая же лажа, по локалке все пашет, по инету нет!((

Пробывал и с другими портами, по локалке все работает, по внешнему ip - нет((


Интернет у меня идет без всяких подключений! т.е. WAN Connection Type:Automatic IP .

Пробывал и на родной прошивке и на прошивке от Олега.. все тоже самое!

P/S. ( блин уже бьюсь 3 день.. раньше был zyxel 330, вообще проблем не было. виртуальный сервер сделал и все работало и так и этак)

Сумбурно как-то ... Подробнее опиши .... Например
192.168.1.1 внутренний ИП роутера
ХХХ.ХХХ.ХХХ.ХХХ внешний ИП роутера
192.168.1.ХХХ:ХХХ желаемый адрес:порт сервера внутри домашней сети ... далее выводы команды:

iptables-save
заменяя соответствующие адреса на те что выше... Экстрасенсы все еще в отпуске ...

Indimion116
15-02-2011, 20:07
# Generated by iptables-save v1.3.8 on Tue Feb 15 19:05:13 2011
*nat
:PREROUTING ACCEPT [2265:212209]
:POSTROUTING ACCEPT [191:28480]
:OUTPUT ACCEPT [134:25692]
:VSERVER - [0:0]
-A PREROUTING -d 10.12.85.10 -j VSERVER
-A PREROUTING -d 10.12.85.10 -p udp -m udp --sport 6112 -j NETMAP --to 193.168.1.0/24
-A POSTROUTING -s 193.168.1.0/255.255.255.0 -p udp -m udp --dport 6112 -j NETMAP --to 10.12.85.10/32
-A POSTROUTING -s ! 10.12.85.10 -o vlan2 -j MASQUERADE
-A POSTROUTING -s 193.168.1.0/255.255.255.0 -d 193.168.1.0/255.255.255.0 -o br0 -j MASQUERADE
-A VSERVER -p tcp -m tcp --dport 8080 -j DNAT --to-destination 193.168.1.1:8080
-A VSERVER -p tcp -m tcp --dport 80 -j DNAT --to-destination 193.168.1.3:80
-A VSERVER -p tcp -m tcp --dport 20:21 -j DNAT --to-destination 193.168.1.3:21
COMMIT
# Completed on Tue Feb 15 19:05:13 2011
# Generated by iptables-save v1.3.8 on Tue Feb 15 19:05:13 2011
*mangle
:PREROUTING ACCEPT [1208231:1214953353]
:INPUT ACCEPT [23354:32458316]
:FORWARD ACCEPT [1183623:1182341660]
:OUTPUT ACCEPT [14859:1622849]
:POSTROUTING ACCEPT [1198764:1184079190]
COMMIT
# Completed on Tue Feb 15 19:05:13 2011
# Generated by iptables-save v1.3.8 on Tue Feb 15 19:05:13 2011
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [112:5816]
:OUTPUT ACCEPT [14672:1458459]
:BRUTE - [0:0]
:MACS - [0:0]
:SECURITY - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -p tcp -m tcp --dport 411 -j ACCEPT
-A INPUT -p udp -m udp --dport 7805 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 7805 -j ACCEPT
-A INPUT -p udp -m udp --dport 12280 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 12276 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 6882 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 6881 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 50500 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 51778 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i br0 -m state --state NEW -j ACCEPT
-A INPUT -d 224.0.0.0/240.0.0.0 -p igmp -j ACCEPT
-A INPUT -d 224.0.0.0/240.0.0.0 -p udp -m udp ! --dport 1900 -j ACCEPT
-A INPUT -i vlan2 -m state --state NEW -j SECURITY
-A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -d 193.168.1.1 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -d 193.168.1.1 -p tcp -m tcp --dport 8080 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -d 224.0.0.0/240.0.0.0 -p udp -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ! br0 -o vlan2 -j DROP
-A FORWARD -i ! br0 -m state --state NEW -j SECURITY
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j DROP
-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logaccept -j ACCEPT
-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logdrop -j DROP
COMMIT
# Completed on Tue Feb 15 19:05:13 2011
внешний ip 194.187.152.214 - роутер просто его не видет! хотя инет работает.

tempik
15-02-2011, 21:11
-A POSTROUTING -s ! 10.12.85.10 -o vlan2 -j MASQUERADE

внешний ip 194.187.152.214 - роутер просто его не видет! хотя инет работает.
Роутер просто не знает что у него "белый адрес" :)... Подробнее опиши условия ...

Hotery
21-04-2011, 19:55
Прошу прощения за, возможно, очевидную вещь, но никак не могу разобраться...

Роут Wl-500g Premium v2, прошивка http://code.google.com/p/wl500g/. Хочу закрыть доступ к веб-интерфейсу со внешки - сейчас он успешно открывается по айпишнику. Enable Web Access from WAN? - No, если Yes, доступ появляется по ещё одному порту....

LnrMn
21-04-2011, 20:16
Прошу прощения за, возможно, очевидную вещь, но никак не могу разобраться...

Роут Wl-500g Premium v2, прошивка http://code.google.com/p/wl500g/. Хочу закрыть доступ к веб-интерфейсу со внешки - сейчас он успешно открывается по айпишнику. Enable Web Access from WAN? - No, если Yes, доступ появляется по ещё одному порту....

Вы, наверное , проверяете из локалки....
Он будет открываться.. Попросите другого человека, или сами попробуйте открыть морду из другого места.

FilimoniC
22-04-2011, 08:09
Прошу прощения за, возможно, очевидную вещь, но никак не могу разобраться...

Роут Wl-500g Premium v2, прошивка http://code.google.com/p/wl500g/. Хочу закрыть доступ к веб-интерфейсу со внешки - сейчас он успешно открывается по айпишнику. Enable Web Access from WAN? - No, если Yes, доступ появляется по ещё одному порту....
Вы откуда проверяете?

Через LAN и WIFI доступ к интерфейсу открыт всегда.
За доступ через WAN отвечает галка Enable Web Access from WAN?.

Так что варианта три
- либо вы проверяете с компьютера, подключенного к LAN или WIFI
- либо вы вручную открывали порт с помощью iptables или virtualserver и вы сам себе злобный дятел.
- у вас аура не располагает и звезды над вашим домом не в той позиции. Либо ваш роутер проклят.

al37919
22-04-2011, 09:02
достаточно показать вывод

iptables-save | grep INPUT
при выключенном Enable Web Access from WAN

pat
05-05-2011, 20:22
Здравствуйте. Прошу помощи в решении следующего вопроса:

В данный момент роутер доступен из wan по домену (домен направлен на статический айпишник провайдера). В локалке имеется также сервер, для него также зареген домен и направлен на айпишник провайдера.

В результате если прописать в virtual server правило для 80 порта на локальный айпи сервера, то сервер доступен по домену, но не попасть на роутерский сайт. Соответственно если правило убрать доступен только сайт на роутере.

Необходимо иметь доступ к сайту расположенному на роутере по домену, а также доступ к сайту на серваке, так же по домену (крайне желательно без указания доп. порта). Подскажите пожалуйста как решить проблему.

tetetz
12-05-2011, 11:45
Добрый день,

Установил сию прошивку, настроил шикарно. Но вот одна проблема - не могу найти, где поменять порт httpd, который идет в комплекте.

Не подскажете, как изменить? Хочу на 80ый порт повесить lighttpd. (может, легче будет перенести веб настройки роутера на lighttpd, а httpd вааще снести?)

Спасибо

tetetz
12-05-2011, 12:08
Кажется, я нашел как это сделать :-)

nvram set http_lanport=

Всем спасибо :-))

akm2008
12-05-2011, 12:12
Кажется, я нашел как это сделать :-)

nvram set http_lanport=

Всем спасибо :-))

nvram set http_lanport=123456
nvram commit

Сохранить незабываем

Bolek
10-06-2011, 22:26
Как открыть 80 порт наружу (сначала нужен был досуп к веб интефейу роутера,в веб моде поставил галку в пункте Port of Web Access from WAN:8080, и смог захдить из вне через 8080, сейчас на отдельном устройстве хочу сделать интернет страничку, т.е прбросил нанего 80 порт + сделал так "nvram set http_lanport=8080 ", но доступа к этому порту снаружи нет, провадер говорит что порты открты ), поиском по форуму все ссылаются на post-firewall, что там нужно прописть правила "
iptables -I INPUT -p tcp --dport 80 -j ACCEPT
".
Так чтобы эти правила прописать его, что нужно сначала создать или как?


[root@WL-0018F38568A7 root]$ cat /usr/local/sbin/post-firewall
cat: can't open '/usr/local/sbin/post-firewall': Not a directory



[root@WL-0018F38568A7 root]$ iptables-save
# Generated by iptables-save v1.4.3.2 on Fri Jun 10 23:59:10 2011
*nat
:PREROUTING ACCEPT [224:19670]
:POSTROUTING ACCEPT [11:769]
:OUTPUT ACCEPT [11:769]
:VSERVER - [0:0]
-A PREROUTING -d 46.243.196.15/32 -j VSERVER
-A PREROUTING -d 10.28.226.174/32 -j VSERVER
-A POSTROUTING ! -s 46.243.196.15/32 -o ppp0 -j MASQUERADE
-A POSTROUTING ! -s 10.28.226.174/32 -o vlan1 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/24 -d 192.168.1.0/24 -o br0 -j MASQUERADE
-A VSERVER -p tcp -m tcp --dport 30108 -j DNAT --to-destination 192.168.1.115:30 108
-A VSERVER -p udp -m udp --dport 32016 -j DNAT --to-destination 192.168.1.115:32 016
-A VSERVER -p tcp -m tcp --dport 5000 -j DNAT --to-destination 192.168.1.251:500 0
-A VSERVER -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.251:80
COMMIT
# Completed on Fri Jun 10 23:59:10 2011
# Generated by iptables-save v1.4.3.2 on Fri Jun 10 23:59:10 2011
*mangle
:PREROUTING ACCEPT [860:94397]
:INPUT ACCEPT [668:77832]
:FORWARD ACCEPT [72:3403]
:OUTPUT ACCEPT [654:215854]
:POSTROUTING ACCEPT [716:218641]
COMMIT
# Completed on Fri Jun 10 23:59:10 2011
# Generated by iptables-save v1.4.3.2 on Fri Jun 10 23:59:10 2011
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [59:2811]
:OUTPUT ACCEPT [509:73800]
:BRUTE - [0:0]
:MACS - [0:0]
:SECURITY - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i br0 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -j BRUTE
-A INPUT -d 192.168.1.1/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p udp -m udp --dport 33434:33534 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD ! -i br0 -o ppp0 -j DROP
-A FORWARD ! -i br0 -o vlan1 -j DROP
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -o br0 -j DROP
-A BRUTE -m recent --update --seconds 600 --hitcount 3 --name BRUTE --rsource -j DROP
-A BRUTE -m recent --set --name BRUTE --rsource -j ACCEPT
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j DROP
-A logaccept -m conntrack --ctstate NEW -j LOG --log-prefix "ACCEPT " --log-tcp- sequence --log-tcp-options --log-ip-options --log-macdecode
-A logaccept -j ACCEPT
-A logdrop -m conntrack --ctstate NEW -j LOG --log-prefix "DROP " --log-tcp-sequ ence --log-tcp-options --log-ip-options --log-macdecode
-A logdrop -j DROP
COMMIT
# Completed on Fri Jun 10 23:59:10 2011

PS WL500gp ;1.9.2.7-rtn-r2972

ConstAntz
11-06-2011, 08:00
Так чтобы эти правила прописать его, что нужно сначала создать или как?


/usr/local/sbin/post-firewall располагается во flashfs. После перепрошивки или сброса в дефолт, доступ к этой области памяти закрыт и его нужно открывать:
flashfs enable

Добавить правило можно так:
echo 'правило' >> /usr/local/sbin/post-firewall


А чтобы изменения при перезагрузке не слетели, потребуется:
flashfs save && flashfs commit

Bolek
11-06-2011, 08:33
Может я что то не то делаю, но пишет что нет post-firewall


[root@WL-0018F38568A7 root]$ flashfs enable
[root@WL-0018F38568A7 root]$ echo iptables -I INPUT -p tcp --dport 80 -j ACCEPT
>> /usr/local/sbin/post-firewall
-sh: can't create /usr/local/sbin/post-firewall: nonexistent directory
[root@WL-0018F38568A7 root]$ login as: root

Pablo Escobar
11-06-2011, 10:03
Может я что то не то делаю, но пишет что нет post-firewall

touch /usr/local/sbin/post-firewall

Bolek
11-06-2011, 12:22
touch /usr/local/sbin/post-firewall


[root@WL-0018F38568A7 root]$ touch /usr/local/sbin/post-firewall
touch: /usr/local/sbin/post-firewall: Not a directory

А нельзя просто чрез веб интерфейс открыть наружу 80 порт?

ConstAntz
11-06-2011, 14:24
[root@WL-0018F38568A7 root]$ touch /usr/local/sbin/post-firewall
touch: /usr/local/sbin/post-firewall: Not a directory

А нельзя просто чрез веб интерфейс открыть наружу 80 порт?

Ругается, потому что нет диры sbin. Ее нуно создать.

mkdir /usr/local/sbin #создать диру
echo '#!/bin/sh' >/usr/local/sbin/post-firewall #исполняемый скрипт всегда начинается с имени интерпретатора
echo 'правило' >>/usr/local/sbin/post-firewall
chmod +x /usr/local/sbin/post-firewall #разрешение на исполнение скрипта
flashfs save && flashfs commit #записываем

Я бы не полез так глубоко с настройками веб-сервера, не изучив азов.
И обратите внимание на одиночные кавычки, блин.

Bolek
11-06-2011, 14:47
Так и дира sbin не создается.

[root@VITLAN root]$ mkdir /usr/local/sbin
mkdir: can't create directory '/usr/local/sbin': File exists

TReX
11-06-2011, 14:51
Так и дира sbin не создается.

[root@VITLAN root]$ mkdir /usr/local/sbin
mkdir: can't create directory '/usr/local/sbin': File exists


А в словарике посмотреть - File exists - значит уже существует )

Bolek
13-06-2011, 20:12
Прошу прощения за невнимательность. Правило сохранилось, но порт все равно снаружи закрыт.
Это может помочь в диагностике?
При выключенном
Enable Web Access from WAN?


[root@VITLAN root]$ iptables-save | grep INPUT
:INPUT ACCEPT [454:51530]
:INPUT ACCEPT [0:0]
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i br0 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 222 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -d 192.168.1.1/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -j DROP

reiten
14-06-2011, 09:16
В выводе iptables-save из поста #143 (http://wl500g.info/showpost.php?p=233038&postcount=143) имеется правило

-A VSERVER -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.251:80
Получается, 80 порт у Вас проброшен куда-то во внутреннюю сеть. Чтобы получить доступ к 80му порту роутера, нужно отменить его проброс.

Bolek
14-06-2011, 09:50
Так я же и хочу попасть на веб сервер который находится в локальной сети, 192.168.1.251:80, , я хочу открыть доступ для ssh по 222


# Generated by iptables-save v1.4.3.2 on Tue Jun 14 11:46:27 2011
*nat
:PREROUTING ACCEPT [267:25264]
:POSTROUTING ACCEPT [10:688]
:OUTPUT ACCEPT [10:688]
:VSERVER - [0:0]
-A PREROUTING -d 46.243.196.15/32 -j VSERVER
-A PREROUTING -d 10.28.226.174/32 -j VSERVER
-A POSTROUTING ! -s 46.243.196.15/32 -o ppp0 -j MASQUERADE
-A POSTROUTING ! -s 10.28.226.174/32 -o vlan1 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/24 -d 192.168.1.0/24 -o br0 -j MASQUERADE
-A VSERVER -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.1.1:8080
-A VSERVER -p tcp -m tcp --dport 32016 -j DNAT --to-destination 192.168.1.115:32016
-A VSERVER -p udp -m udp --dport 32016 -j DNAT --to-destination 192.168.1.115:32016
-A VSERVER -p tcp -m tcp --dport 30108 -j DNAT --to-destination 192.168.1.115:30108
-A VSERVER -p udp -m udp --dport 30108 -j DNAT --to-destination 192.168.1.115:30108
-A VSERVER -p tcp -m tcp --dport 5000 -j DNAT --to-destination 192.168.1.251:5000
-A VSERVER -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.251:80
-A VSERVER -p tcp -m tcp --dport 5001 -j DNAT --to-destination 192.168.1.251:5001
COMMIT
# Completed on Tue Jun 14 11:46:27 2011
# Generated by iptables-save v1.4.3.2 on Tue Jun 14 11:46:27 2011
*mangle
:PREROUTING ACCEPT [3158:329218]
:INPUT ACCEPT [2907:306754]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [3565:4007855]
:POSTROUTING ACCEPT [3565:4007855]
COMMIT
# Completed on Tue Jun 14 11:46:27 2011
# Generated by iptables-save v1.4.3.2 on Tue Jun 14 11:46:27 2011
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [3546:4006466]
:BRUTE - [0:0]
:MACS - [0:0]
:SECURITY - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -p tcp -m tcp --dport 222 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i br0 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 222 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -d 192.168.1.1/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -d 192.168.1.1/32 -p tcp -m tcp --dport 8080 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p udp -m udp --dport 33434:33534 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD ! -i br0 -o ppp0 -j DROP
-A FORWARD ! -i br0 -o vlan1 -j DROP
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -o br0 -j DROP
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j DROP
-A logaccept -m conntrack --ctstate NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options --log-macdecode
-A logaccept -j ACCEPT
-A logdrop -m conntrack --ctstate NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options --log-macdecode
-A logdrop -j DROP
COMMIT
# Completed on Tue Jun 14 11:46:27 2011


Мне кажется, что тут какой то косяк

netstat -lnt | grep 80
tcp 0 0 0.0.0.0:8080 0.0.0.0:* LISTEN

reiten
14-06-2011, 11:31
В таком случае копать надо в сторону настроек сервера на 192.168.1.251:80
Со стороны роутера записи в таблице VSERVER достаточно. Что крутится на сервере?

В приведенном выводе netstat косяков нету - по нему видно, что веб-интерфейс роутера висит на 8080.

Доступ по ssh открыть к роутеру или к серверу на 192.168.1.251?

Bolek
14-06-2011, 12:15
Доступ по ssh хочу открыть доступ к роутеру 192.168.1.1.
На 192.168.1.251:80 висит веб сайт, в локалке он работает.
Я думал, что в новых прошивках энтузиастов такие вещи можно сделать через веб интерфейс ((.

theMIROn
14-06-2011, 12:42
Доступ по ssh хочу открыть доступ к роутеру 192.168.1.1.
На 192.168.1.251:80 висит веб сайт, в локалке он работает.
Я думал, что в новых прошивках энтузиастов такие вещи можно сделать через веб интерфейс ((.

можно. работает. что не так?

reiten
14-06-2011, 13:10
Доступ по ssh хочу открыть доступ к роутеру 192.168.1.1.
На 192.168.1.251:80 висит веб сайт, в локалке он работает.
Я думал, что в новых прошивках энтузиастов такие вещи можно сделать через веб интерфейс ((.
На чем именно висит веб-сайт? Какие операционка, веб-сервер, файрволл?
Вероятнее, что-то блокирует доступ на сервере.

Что до ssh на роутере - в веб-интерфейсе system setup>services>network services

Bolek
14-06-2011, 13:10
В веб интерфейсе сделал так,
Enable SSH access: Yes
SSH Port: 222
Не заработала. сделал так
echo "iptables -I INPUT -p tcp --dport 222 -j ACCEPT" >> /usr/local/sbin/post-firewall
Тоже не заработало.
Удаленно у меня есть доступ к роутеру по порту 8080, при Enable Web Access from WAN? Yes , Port of Web Access from WAN:8080 , когда стоял 80 порт, то тоже ничего не выходило.
И я могу попасть на устройство в моей сети до которого проброшены порты 5000 и 5001.

theMIROn
14-06-2011, 13:17
не надо ничего дополнительно делать, включите ssh на порту 1222 ;)

Bolek
14-06-2011, 13:17
Что до ssh на роутере - в веб-интерфейсе system setup>services>network services
Пробовал, не получилось.


На чем именно висит веб-сайт? Какие операционка, веб-сервер, файрволл?
Вероятнее, что-то блокирует доступ на сервере.
Это маленький NAS synology ds109, он на линуксе, файрволл отключен

vectorm
14-06-2011, 13:42
В веб интерфейсе сделал так,
Enable SSH access: Yes
SSH Port: 222
Не заработала. сделал так
echo "iptables -I INPUT -p tcp --dport 222 -j ACCEPT" >> /usr/local/sbin/post-firewall
Тоже не заработало.
Удаленно у меня есть доступ к роутеру по порту 8080, при Enable Web Access from WAN? Yes , Port of Web Access from WAN:8080 , когда стоял 80 порт, то тоже ничего не выходило.
И я могу попасть на устройство в моей сети до которого проброшены порты 5000 и 5001.
А провайдер у Вас порты ниже 1024 не блокирует по-умолчанию?
Вот что видно снаружи:

PORT STATE
5000/tcp open
5001/tcp open
8080/tcp open

theMIROn
14-06-2011, 13:44
не надо ничего дополнительно делать, включите ssh на порту 1222 ;)

сказано же. 1222 порт.

Bolek
14-06-2011, 14:03
А провайдер у Вас порты ниже 1024 не блокирует по-умолчанию?
Моего пред. провайдера выкупила более крупная контора, и сейчас идет процесс передачи клиентов. Я предварительно позвонил и уточнил, блокируете ли порты, и мне ответили , что нет.


сказано же. 1222 порт.

Похоже, что их все же блокируют, т.к доступ ssh не заработал на 1222, а заработал на 5030

Спасибо.

theMIROn
14-06-2011, 14:11
Похоже, что их все же блокируют, т.к доступ ssh не заработал на 1222, а заработал на 5030
методом "тыка" можете проверить начиная с которого блокируют, или убедиться в "избирательности" блокировок

oxy-fox
08-03-2012, 16:35
пытался открыть 80 порт, не вышло...
получилось только пробросив в виртуал сервер через 82 порт
22 работает, 8080 - работает
что может быть??

AndreyPopov
07-08-2012, 15:36
присоединяюсь к проблеме:

стоит wl-50gpv2 на нем прошивка от энтузиастов

проброшены порты:


-A VSERVER -p tcp -m tcp --dport 9091 -j DNAT --to-destination 195.24.153.51:9091
-A VSERVER -p udp -m udp --dport 9091 -j DNAT --to-destination 195.24.153.51:9091
-A VSERVER -p tcp -m tcp --dport 51413 -j DNAT --to-destination 195.24.153.51:51413
-A VSERVER -p udp -m udp --dport 51413 -j DNAT --to-destination 195.24.153.51:51413
-A VSERVER -p tcp -m tcp --dport 2706 -j DNAT --to-destination 195.24.153.51:2706
-A VSERVER -p udp -m udp --dport 2706 -j DNAT --to-destination 195.24.153.51:2706
-A VSERVER -p tcp -m tcp --dport 110 -j DNAT --to-destination 195.24.153.67:110
-A VSERVER -p udp -m udp --dport 110 -j DNAT --to-destination 195.24.153.67:110
-A VSERVER -p tcp -m tcp --dport 25 -j DNAT --to-destination 195.24.153.67:25
-A VSERVER -p tcp -m tcp --dport 143 -j DNAT --to-destination 195.24.153.67:143
-A VSERVER -p udp -m udp --dport 143 -j DNAT --to-destination 195.24.153.67:143
-A VSERVER -p tcp -m tcp --dport 23377 -j DNAT --to-destination 195.24.153.66:23377
-A VSERVER -p udp -m udp --dport 23377 -j DNAT --to-destination 195.24.153.66:23377
-A VSERVER -p tcp -m tcp --dport 80 -j DNAT --to-destination 195.24.153.53:80
-A VSERVER -p udp -m udp --dport 80 -j DNAT --to-destination 195.24.153.53:80


все порты работают кроме 80!!!!


есть еще таблица FORWARD и там такие записи:


:FORWARD ACCEPT [7672:508657]
:FORWARD ACCEPT [4639:324252]
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD ! -i br0 -o ppp0 -j DROP
-A FORWARD ! -i br0 -o vlan1 -j DROP
-A FORWARD ! -i br0 -m conntrack --ctstate NEW -j SECURITY
-A FORWARD -s 0.0.0.0/32 -d 195.24.153.53/32 -o br0 -p tcp -m tcp --sport 80 --dport 80 -j ACCEPT
-A FORWARD -s 0.0.0.0/32 -d 195.24.153.53/32 -o br0 -p udp -m udp --sport 80 --dport 80 -j ACCEPT
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -o br0 -j DROP


смущает маска /32 на source!!!! потому как маска /32 подразумевает всего ОДИН адрес!

есть еще INPUT:


:INPUT ACCEPT [823:118856]
:INPUT ACCEPT [0:0]
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i br0 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i ppp0 -m conntrack --ctstate NEW -j SECURITY
-A INPUT -i vlan1 -m conntrack --ctstate NEW -j SECURITY
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -j BRUTE
-A INPUT -p tcp -m tcp --dport 21 --tcp-flags FIN,SYN,RST,ACK SYN -j BRUTE
-A INPUT -d 195.24.153.49/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p udp -m udp --dport 33434:33534 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 515 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 9100 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3838 -j ACCEPT
-A INPUT -j DROP


где тоже присутствует 80-й порт и указано, что только на адрес 195.24.153.49/32 может принимать по 80 порту - это я так понимаю вэб-морда роутера?

но факт остается фактом - 80-й порт из интернета НЕ виден. рядом стоит роутер с DD-WRT и там с точно такими же настройками 80-й порт пробрасывается.

tempik
07-08-2012, 19:06
присоединяюсь к проблеме:

стоит wl-50gpv2 на нем прошивка от энтузиастов
смущает маска /32 на source!!!! потому как маска /32 подразумевает всего ОДИН адрес!
....
где тоже присутствует 80-й порт и указано, что только на адрес 195.24.153.49/32 может принимать по 80 порту - это я так понимаю вэб-морда роутера?
....
но факт остается фактом - 80-й порт из интернета НЕ виден. рядом стоит роутер с DD-WRT и там с точно такими же настройками 80-й порт пробрасывается.
для обозначения любого адреса маска должна быть /0 (или вообще "-s" опустить ...)
веб-морду лучше перевесить на другой порт ...
для нормального понимания лучше приводить весь вывод правил, а не кусками ...

AndreyPopov
08-08-2012, 12:18
для обозначения любого адреса маска должна быть /0 (или вообще "-s" опустить ...)
веб-морду лучше перевесить на другой порт ...
для нормального понимания лучше приводить весь вывод правил, а не кусками ...

знаете маску /32 прописывал НЕ я. то что маска должна быть /0 для всех адресов - и так ясно.

проброс 80 порта на других прошивках работает без проблем!

а что еще не достает? я привел выдержку VSERVER, FORWARD и INPUT - чего еще не хватает?

добавлю к этому, что даже не работает вэб-морда роутера на 8080 порту из интернета, хотя в настройках указано Enable Web Access from WAN? Yes

вчера даже сбросил настройки на заводские и настроил все заново - без результата.

при это надо сказать что ftp, dns и torrent пробросв портов работают нормально!

tempik
08-08-2012, 19:43
знаете маску /32 прописывал НЕ я. то что маска должна быть /0 для всех адресов - и так ясно.
Я и не говорил что маску /32 прописали ВЫ, я сказал как должно быть....


проброс 80 порта на других прошивках работает без проблем!

а что еще не достает? я привел выдержку VSERVER, FORWARD и INPUT - чего еще не хватает?

добавлю к этому, что даже не работает вэб-морда роутера на 8080 порту из интернета, хотя в настройках указано Enable Web Access from WAN? Yes

вчера даже сбросил настройки на заводские и настроил все заново - без результата.

при это надо сказать что ftp, dns и torrent пробросв портов работают нормально!

Ну есть еще цепочка PREROUTING которая может все испортить .... Для перенаправления порта достаточно правила в VSERVER, в FORWARD про 80 порт правила не нужны ... Полный вывод правил дает возможность "почувствовать себя пакетом" и пробежать по правилам как это делает пакет... А выдернутые из полного контекста правила/цепочки все равно что кусок кода выдранный из исходников ...

AndreyPopov
08-08-2012, 23:24
ну вот PREROUTING:


:PREROUTING ACCEPT [25376:3269659]
-A PREROUTING -d 78.25.8.242/32 -j VSERVER
-A PREROUTING -d 78.25.8.242/32 -j VSERVER
:PREROUTING ACCEPT [147455:14520809]


на роутере wl-500w с прошивкой dd-wrt заданы точно такие же правила: 82.207.89.70
и все порты открыты - 80, 8080, 22, 23, 53, 110, 25, 143

на этом же wl-500gpv2 почему-то оказался открыт только 53-й порт ну и для торрентов 9091, 51413 и т.д.

поражает разница между выводом по iptables -L на двух роутерах в разделах FORWARD:

on wl-500gpv2 with 1.9.2.7.4-rtn-4527:


Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
DROP all -- anywhere anywhere ctstate INVALID
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
DROP all -- anywhere anywhere
DROP all -- anywhere anywhere
SECURITY all -- anywhere anywhere ctstate NEW
ACCEPT all -- anywhere anywhere ctstate DNAT
DROP all -- anywhere anywhere


and on wl-500w with dd-wrt:


Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT gre -- 0-27-subnet.computersystemsltd.com/27 anywhere
ACCEPT tcp -- 0-27-subnet.computersystemsltd.com/27 anywhere tcp dpt:1723
ACCEPT 0 -- anywhere anywhere
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
lan2wan 0 -- anywhere anywhere
ACCEPT 0 -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere cs-internet-app.computersystemsltd.com tcp dpt:domain
ACCEPT udp -- anywhere cs-internet-app.computersystemsltd.com udp dpt:domain
ACCEPT tcp -- anywhere exchange.computersystemsltd.com tcp dpt:pop3
ACCEPT udp -- anywhere exchange.computersystemsltd.com udp dpt:pop3
ACCEPT tcp -- anywhere exchange.computersystemsltd.com tcp dpt:smtp
ACCEPT udp -- anywhere exchange.computersystemsltd.com udp dpt:25
ACCEPT tcp -- anywhere exchange.computersystemsltd.com tcp dpt:imap2
ACCEPT udp -- anywhere exchange.computersystemsltd.com udp dpt:imap2
ACCEPT tcp -- anywhere www.csa.dp.ua tcp dpt:www
ACCEPT udp -- anywhere www.csa.dp.ua udp dpt:www
ACCEPT tcp -- anywhere cs-internet-app.computersystemsltd.com tcp dpt:9091
ACCEPT udp -- anywhere cs-internet-app.computersystemsltd.com udp dpt:9091
ACCEPT tcp -- anywhere cs-internet-app.computersystemsltd.com tcp dpt:51413
ACCEPT udp -- anywhere cs-internet-app.computersystemsltd.com udp dpt:51413
ACCEPT tcp -- anywhere servernt.computersystemsltd.com tcp dpt:23377
ACCEPT udp -- anywhere servernt.computersystemsltd.com udp dpt:23377
ACCEPT tcp -- anywhere cs-internet-app.computersystemsltd.com tcp dpt:2706
ACCEPT udp -- anywhere cs-internet-app.computersystemsltd.com udp dpt:2706
ACCEPT tcp -- anywhere office-router.computersystemsltd.com tcp dpt:9140
ACCEPT udp -- anywhere office-router.computersystemsltd.com udp dpt:9140
ACCEPT tcp -- anywhere office-router.computersystemsltd.com tcp dpt:9141
ACCEPT udp -- anywhere office-router.computersystemsltd.com udp dpt:9141
ACCEPT tcp -- anywhere exchange.computersystemsltd.com tcp dpt:pop3s
ACCEPT udp -- anywhere exchange.computersystemsltd.com udp dpt:995
ACCEPT tcp -- anywhere exchange.computersystemsltd.com tcp dpt:imaps
ACCEPT udp -- anywhere exchange.computersystemsltd.com udp dpt:993
TRIGGER 0 -- anywhere anywhere TRIGGER type:in match:0 relate:0
trigger_out 0 -- anywhere anywhere
ACCEPT 0 -- anywhere anywhere state NEW
DROP 0 -- anywhere anywhere

tempik
09-08-2012, 19:51
ну вот PREROUTING:


:PREROUTING ACCEPT [25376:3269659]
-A PREROUTING -d 78.25.8.242/32 -j VSERVER
-A PREROUTING -d 78.25.8.242/32 -j VSERVER
:PREROUTING ACCEPT [147455:14520809]


на роутере wl-500w с прошивкой dd-wrt заданы точно такие же правила: 82.207.89.70
и все порты открыты - 80, 8080, 22, 23, 53, 110, 25, 143

на этом же wl-500gpv2 почему-то оказался открыт только 53-й порт ну и для торрентов 9091, 51413 и т.д.
У вас в правилах много избыточных и задвоенных правил, надо разбираться откуда они берутся ... Но вы продолжаете выдавать информацию кусками (видимо вам не нужно решение проблемы). Правила формируются из настроек nvram (через веб-морду или напрямую), скриптами из /usr/local/sbin/ и другими способами ... Что-бы решить вашу проблему надо понять откуда беруться правила которые не нужны...


поражает разница между выводом по iptables -L на двух роутерах в разделах FORWARD:

Почему поражает???? Как задано так и выводит ....

AndreyPopov
10-08-2012, 00:20
правила не задваиваются, для каждого протокола tcp и udp прописаны.

настройки производятся исключительно через вэб морду. никаких дополнительных правил руками, черезе telnet/ssh или через стартовые скрипты не вводится.

вот прописанные правила для wl-500gpv2 1.9.7.-rtn
9236

вот правила на wl-500w dd-wrt
9235


вот и получается, что прошивка энтузиастов форвардинг не прописывает.

tempik
10-08-2012, 21:49
правила не задваиваются, для каждого протокола tcp и udp прописаны.
настройки производятся исключительно через вэб морду. никаких дополнительных правил руками,
черезе telnet/ssh или через стартовые скрипты не вводится.
вот прописанные правила для wl-500gpv2 1.9.7.-rtn вот правила на wl-500w dd-wrt
вот и получается, что прошивка энтузиастов форвардинг не прописывает.
Только щас заметил, у вас что за роутером реальные адреса??? И провайдер их вам выделил?
В любом случае приведите полный вывод iptables-save и вывод cat /usr/local/sbin/*
(если там что-то конфиденциальное есть можно в ЛС) и может будет понятно что происходит ...
В любом случае правила

-A PREROUTING -d 78.25.8.242/32 -j VSERVER
-A PREROUTING -d 78.25.8.242/32 -j VSERVER
через веб-морду не должны были получиться ...

staticroute
11-08-2012, 02:25
inetnum: 195.24.153.0 - 195.24.153.255
netname: CSA
descr: Computer Systems association
country: UA
admin-c: APEX-RIPE
tech-c: APEX-RIPE
status: ASSIGNED PA
mnt-by: AS6702-MNT
source: RIPE # Filtered


вполне так себе реальная сеть... если вы получаете эти IP, лучше их вписывать в Source IP, а не в Local IP, в Local должны быть только локальные вида 192.168.0.0/16, 172.16.0.0/12 или 10.0.0.0/8.

AndreyPopov
13-08-2012, 11:50
если вы получаете эти IP, лучше их вписывать в Source IP, а не в Local IP, в Local должны быть только локальные вида 192.168.0.0/16, 172.16.0.0/12 или 10.0.0.0/8.

это кто вам такое сказал? ли вы хотите сказать, что это фишка этой прошивки?

какие адреса прописаны и где iptables должно быть до одного места! потому как маршрутизацией занимается совсем НЕ iptables!

а если iptables в этой прошивке может работать только с адресами вида 192.168.0.0/16, 172.16.0.0/12 или 10.0.0.0/8 - то это наверное самой большой баг прошивки!

AndreyPopov
13-08-2012, 12:00
Только щас заметил, у вас что за роутером реальные адреса??? И провайдер их вам выделил? В любом случае приведите полный вывод iptables-save и вывод cat /usr/local/sbin/* (если там что-то конфиденциальное есть можно в ЛС) и может будет понятно что происходит ... В любом случае правила

-A PREROUTING -d 78.25.8.242/32 -j VSERVER
-A PREROUTING -d 78.25.8.242/32 -j VSERVER
через веб-морду не должны были получиться ...

1. ну и что, что реальные. есть провайдер, у которого только 2Мб скорость, с которым больше 10 лет работаем. есть еще два других провайдера.
2. -A PREROUTING -d 78.25.8.242/32 -j VSERVER - не должны были через вэм-морду получиться????? так еще раз повторю - все настройки исключительно через вэб-морду.

3. iptables-save все:


# Generated by iptables-save v1.4.3.2 on Mon Aug 13 12:56:36 2012
*nat
:PREROUTING ACCEPT [294063:37153121]
:POSTROUTING ACCEPT [143422:11162424]
:OUTPUT ACCEPT [242:17156]
:UPNP - [0:0]
:VSERVER - [0:0]
-A PREROUTING -d 78.25.8.242/32 -j VSERVER
-A PREROUTING -d 78.25.8.242/32 -j VSERVER
-A POSTROUTING ! -s 78.25.8.242/32 -o ppp0 -j MASQUERADE
-A POSTROUTING ! -s 78.25.8.242/32 -o vlan1 -j MASQUERADE
-A POSTROUTING -s 195.24.153.48/29 -d 195.24.153.48/29 -o br0 -j MASQUERADE
-A VSERVER -p tcp -m tcp --dport 8080 -j DNAT --to-destination 195.24.153.49:80
-A VSERVER -p tcp -m tcp --dport 53 -j DNAT --to-destination 195.24.153.51:53
-A VSERVER -p udp -m udp --dport 53 -j DNAT --to-destination 195.24.153.51:53
-A VSERVER -p tcp -m tcp --dport 80 -j DNAT --to-destination 195.24.153.53:80
-A VSERVER -p udp -m udp --dport 80 -j DNAT --to-destination 195.24.153.53:80
-A VSERVER -p tcp -m tcp --dport 110 -j DNAT --to-destination 195.24.153.67:110
-A VSERVER -p udp -m udp --dport 110 -j DNAT --to-destination 195.24.153.67:110
-A VSERVER -p tcp -m tcp --dport 25 -j DNAT --to-destination 195.24.153.67:25
-A VSERVER -p udp -m udp --dport 25 -j DNAT --to-destination 195.24.153.67:25
-A VSERVER -p tcp -m tcp --dport 143 -j DNAT --to-destination 195.24.153.67:143
-A VSERVER -p udp -m udp --dport 143 -j DNAT --to-destination 195.24.153.67:143
-A VSERVER -p tcp -m tcp --dport 9091 -j DNAT --to-destination 195.24.153.51:9091
-A VSERVER -p udp -m udp --dport 9091 -j DNAT --to-destination 195.24.153.51:9091
-A VSERVER -p tcp -m tcp --dport 51413 -j DNAT --to-destination 195.24.153.51:51413
-A VSERVER -p udp -m udp --dport 51413 -j DNAT --to-destination 195.24.153.51:51413
-A VSERVER -p tcp -m tcp --dport 2706 -j DNAT --to-destination 195.24.153.51:2706
-A VSERVER -p udp -m udp --dport 2706 -j DNAT --to-destination 195.24.153.51:2706
-A VSERVER -p tcp -m tcp --dport 23377 -j DNAT --to-destination 195.24.153.66:23377
-A VSERVER -p udp -m udp --dport 23377 -j DNAT --to-destination 195.24.153.66:23377
-A VSERVER -p tcp -m tcp --dport 9140 -j DNAT --to-destination 195.24.153.5:9140
-A VSERVER -p udp -m udp --dport 9140 -j DNAT --to-destination 195.24.153.5:9140
-A VSERVER -p tcp -m tcp --dport 9141 -j DNAT --to-destination 195.24.153.5:9141
-A VSERVER -p udp -m udp --dport 9141 -j DNAT --to-destination 195.24.153.5:9141
-A VSERVER -p tcp -m tcp --dport 995 -j DNAT --to-destination 195.24.153.67:995
-A VSERVER -p udp -m udp --dport 995 -j DNAT --to-destination 195.24.153.67:995
-A VSERVER -p tcp -m tcp --dport 993 -j DNAT --to-destination 195.24.153.67:993
-A VSERVER -p udp -m udp --dport 993 -j DNAT --to-destination 195.24.153.67:993
COMMIT
# Completed on Mon Aug 13 12:56:37 2012
# Generated by iptables-save v1.4.3.2 on Mon Aug 13 12:56:37 2012
*mangle
:PREROUTING ACCEPT [2769245:901816186]
:INPUT ACCEPT [78347:13166505]
:FORWARD ACCEPT [2672130:886647011]
:OUTPUT ACCEPT [52021:32451435]
:POSTROUTING ACCEPT [2670165:916322060]
COMMIT
# Completed on Mon Aug 13 12:56:37 2012
# Generated by iptables-save v1.4.3.2 on Mon Aug 13 12:56:37 2012
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [604693:52644976]
:OUTPUT ACCEPT [52008:32450174]
:BRUTE - [0:0]
:MACS - [0:0]
:SECURITY - [0:0]
:UPNP - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i br0 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i ppp0 -m conntrack --ctstate NEW -j SECURITY
-A INPUT -i vlan1 -m conntrack --ctstate NEW -j SECURITY
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -j BRUTE
-A INPUT -p tcp -m tcp --dport 21 --tcp-flags FIN,SYN,RST,ACK SYN -j BRUTE
-A INPUT -d 195.24.153.49/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p udp -m udp --dport 33434:33534 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 515 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 9100 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3838 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD ! -i br0 -o ppp0 -j DROP
-A FORWARD ! -i br0 -o vlan1 -j DROP
-A FORWARD ! -i br0 -m conntrack --ctstate NEW -j SECURITY
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -o br0 -j DROP
-A BRUTE -m recent --update --seconds 600 --hitcount 3 --name BRUTE --rsource -j DROP
-A BRUTE -m recent --set --name BRUTE --rsource -j ACCEPT
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j DROP
-A logaccept -m conntrack --ctstate NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options --log-macdecode
-A logaccept -j ACCEPT
-A logdrop -m conntrack --ctstate NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options --log-macdecode
-A logdrop -j DROP
COMMIT
# Completed on Mon Aug 13 12:56:37 2012


4. cat /usr/local/sbin/*:


#!/bin/sh

# Enter your commands here


#!/bin/sh

# Enter your commands here



#!/bin/sh

chmod 777 /tmp
#dropbear > /dev/null 2>&1
export TERMINFO="/opt/share/terminfo"
export TERM="xterm"
export LANG=en_US.UTF-8


#echo "1" > /proc/sys/net/ipv6/conf/lo/disable_ipv6
#echo "1" > /proc/sys/net/ipv6/conf/eth0/disable_ipv6
#echo "1" > /proc/sys/net/ipv6/conf/eth1/disable_ipv6

ifconfig vlan0 -multicast
ifconfig vlan1 -multicast
ifconfig eth1 -multicast
ifconfig eth0 -multicast
ifconfig br0 -multicast
ifconfig lo -multicast
#insmod scsi_mod
#insmod sd_mod
#insmod usb-storage




#!/bin/sh

ifconfig ppp0 -multicast




#!/bin/sh

/sbin/swapon /dev/discs/disca/part2
/bin/mount -o bind,sync,noatime,rw /tmp/mnt/disca_1/opt /opt

/opt/etc/init.d/S80thttpd start
/opt/etc/init.d/S10cron
#/opt/sbin/start-bluez
insmod /opt/lib/modules/2.6.22.19/kernel/fs/smbfs/smbfs.ko
insmod /opt/lib/modules/2.6.22.19/kernel/fs/cifs/ciffs.ko
insmod /opt/lib/modules/2.6.22.19/kernel/fs/ext2/ext2.ko

/opt/etc/init.d/S08samba




#!/bin/sh

# Enter your commands here





#!/bin/sh

# Enter your commands here




#!/bin/sh

# Enter your commands here




#!/bin/sh
/opt/etc/init.d/S80thttpd stop
sleep 5
sync
sleep 5
/opt/bin/smbumount /tmp/mnt/disca_1/pub
sleep 2
e2fsck -p /dev/discs/disca/part1
swapoff /dev/discs/disca/part2
umount /opt
sleep 2
umount /tmp/mnt/disca_1
sleep 2



#!/bin/sh

# Enter your commands here

staticroute
13-08-2012, 14:09
это кто вам такое сказал? ли вы хотите сказать, что это фишка этой прошивки?

какие адреса прописаны и где iptables должно быть до одного места! потому как маршрутизацией занимается совсем НЕ iptables!

а если iptables в этой прошивке может работать только с адресами вида 192.168.0.0/16, 172.16.0.0/12 или 10.0.0.0/8 - то это наверное самой большой баг прошивки!

Имелось ввиду адреса для машин за роутером, должны иметь адреса из этих подсетей, чтобы не пересекаться с реальными сетями.

Даже если провайдер выделил вам несколько реальных IP адресов, я думаю, надо действовать по-другому (если хотите все-таки использовать роутер как роутер, а не как банальный свитч).

AndreyPopov
13-08-2012, 15:37
Имелось ввиду адреса для машин за роутером, должны иметь адреса из этих подсетей, чтобы не пересекаться с реальными сетями.

Даже если провайдер выделил вам несколько реальных IP адресов, я думаю, надо действовать по-другому (если хотите все-таки использовать роутер как роутер, а не как банальный свитч).

роутер - это маршрутизатор, который осуществляет маршрутизацию пакетов между подсетями с разными сетевыми адресами.

так вот как маршрутизатор (роутер) он работает без проблем! и ему глубоко до одного места какие адреса (реальные или нет) у него прописаны. чтобы разобраться с этими адресами у него есть таблица маршрутизации.



Destination Gateway Genmask Flags Metric Ref Use Iface
195.248.176.231 * 255.255.255.255 UH 0 0 0 WAN ppp0
195.24.153.48 * 255.255.255.248 U 0 0 0 LAN br0
195.24.153.0 195.24.153.50 255.255.255.0 UG 1 0 0 LAN br0
default 195.248.176.231 0.0.0.0 UG 0 0 0 WAN ppp0


а вот надстройка Firewall/NAT(iptables) в данном случае отрабатывает некорректно!

Vampik
13-08-2012, 16:18
Перенаправление портов используется вместе с NAT. Сеть за NAT должна использовать адреса из приватных диапазонов (192.168.x.x и т.п.).
Если провайдер выделяет несколько внешних IP-адресов, NAT и перенаправления портов вообще не нужны, можно поставить вместо роутера свитч.
Случаи, когда роутер используется для маршрутизации между различными подсетями, без NAT, не рассматриваем - это удел организаций и интернет-провайдеров, а там не используются ДОМАШНИЕ роутеры.

AndreyPopov
13-08-2012, 16:39
Если провайдер выделяет несколько внешних IP-адресов, NAT и перенаправления портов вообще не нужны, можно поставить вместо роутера свитч.


вы наверное что-то путаете и не понимаете различий между роутер и свитч, а по-русски это звучит маршрутизатор и коммутатор!!!

коммутатор НЕ умеет маршрутизировать!!!! он не умеет перебрасывать пакеты между сетями с РАЗНЫМИ ИП адресами!!!! точнее он их перебрасывает, но если у вас стоит коммутатор (свитч) и в сети прописаны адреса из разных подсетей, то с помощью просто коммутатора вы их не заставите друг друга видеть!

и кто вам сказал, что для работы NAT обязательно использовать "приватные адреса"?

Vampik
13-08-2012, 18:45
и кто вам сказал, что для работы NAT обязательно использовать "приватные адреса"?

В этом смысл технологии NAT - трансляция одной или нескольких подсетей приватных адресов в один или несколько публичных адресов с единственной целью - экономия этих самых публичных адресов. При этом для обеспечения доступа к сервисам, находящимся на приватном адресе, путем обращения на публичный адрес, существует обратный NAT - DNAT, перенаправление портов.
Очевидно, что если сервис висит на публичном адресе, перенаправление портов не нужно.

Где и с какой целью у вас прописаны адреса из разных подсетей? Ёще раз обращаю внимание, что речь идет про маршрутизаторы для домашних пользователей, когда провайдер выделяет один публичный адрес, а клиент с помощью NAT подключает столько оборудования, сколько ему нужно.

staticroute
13-08-2012, 19:20
вы наверное что-то путаете и не понимаете различий между роутер и свитч, а по-русски это звучит маршрутизатор и коммутатор!!!

коммутатор НЕ умеет маршрутизировать!!!! он не умеет перебрасывать пакеты между сетями с РАЗНЫМИ ИП адресами!!!! точнее он их перебрасывает, но если у вас стоит коммутатор (свитч) и в сети прописаны адреса из разных подсетей, то с помощью просто коммутатора вы их не заставите друг друга видеть!

и кто вам сказал, что для работы NAT обязательно использовать "приватные адреса"?

Если вы хотите, чтобы вам помогли здесь, опишите архитектуру вашей сети.

1) Сколько IP-адресов дает вам провайдер
2) Ваш тип подключения
3) Что вы хотите добиться (привязать конкретный внешний IP на конкретный компьютер за роутером?)

На интерфейсе br0 должен быть приватный адрес (серый адрес), который используется только во внутренней сети роутера - LAN, Wi-Fi клиенты.

Вы также конечно можете использовать роутер в режиме bridge, тогда каждый компьютер, подключенный к роутеру будет иметь мост с WAN соединением и получать глобальный адрес.

Но в этом случае, вы не сможете использовать Firewall роутера или какие-то еще другие фишки.

AndreyPopov
14-08-2012, 12:24
staticroute и Vampik ваши замечания по поводу публичных адресов и NAT - это все конечно хорошо и в некоторой степени правильно, но это совершенно не объясняет НЕРАБОЧИЙ проброс портов в прошивке!

потому как:
1. на аналогичном роутере wl-500w с прошивкой dd-wrt в точно такой же ситуации ВСЕ работает !!! -- ЭТО РАЗ
2. нет объяснения причин тому, что к примеру проброс 53 (DNS) порта работает, 9091 (вэб-морда трансмишн) и 51413 (сам трансмишн) работает, а другие порты нет! и в первую очередь не работает проброс 80-го порта! а самое прикольное проброс 8080 не работает!

а схема сети такая:
1. есть старый основной провайдер, с которым 10 лет работаем, который и выдал пул адресов (по-дешевке - 255 адресов за 100грн./мес. ($12)). но у него скорость 2Мбита.
2. есть два новых провайдера по ADSL до 24 Мбит. у них адреса стоят $2/мес и $5/мес.
3. был и четвертый провайдер, но перестав выдавать белые адреса, от него пришлось отказаться.
4. на каждого провайдера стоит по роутеру типа wl-500.
5. потом стоит комп-роутер с openwrt с поднятым multi-wan и source routing, который балансирует нагрузку.
6. за этим компом-роутером находится сеть с приложениями и офисная сеть для всех желающих.

пока не было особых перебоев со связью у основного провайдера, то не особо задумывался про резервирование DNS, WWW и почты. но после того как порвали кабель в двух колодцах - пришлось делать резервирование.

и вот тут столкнулся с тем, что уже описал.

don-pedro
14-08-2012, 13:40
2. нет объяснения причин тому, что к примеру проброс 53 (DNS) порта работает, 9091 (вэб-морда трансмишн) и 51413 (сам трансмишн) работает, а другие порты нет! и в первую очередь не работает проброс 80-го порта! а самое прикольное проброс 8080 не работает!

У меня почему-то проброс 80 порта работает.

-A VSERVER -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.51:80
...
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

don-pedro
14-08-2012, 13:45
-A VSERVER -p tcp -m tcp --dport 80 -j DNAT --to-destination 195.24.153.53:80
...
-A INPUT -d 195.24.153.49/32 -p tcp -m tcp --dport 80 -j ACCEPT


Открыт ведь должен быть порт на внешнем ip, а не на том, на к-рый идет проброс.

AndreyPopov
14-08-2012, 14:24
Открыт ведь должен быть порт на внешнем ip, а не на том, на к-рый идет проброс.

у вас реально WL500gp 1.9.2.7-d-r2624?

потому как у меня стоит 1.9.2.7-rtn-r4527 и на нем прописывается



-A VSERVER -p tcp -m tcp --dport 80 -j DNAT --to-destination 195.24.153.53:80
...
-A INPUT -d 195.24.153.49/32 -p tcp -m tcp --dport 80 -j ACCEPT

don-pedro
14-08-2012, 14:36
у вас реально WL500gp 1.9.2.7-d-r2624?
Реально.






-A INPUT -d 195.24.153.49/32 -p tcp -m tcp --dport 80 -j ACCEPT

Что это вообще за адрес? Пока что понятно, что 80 порт закрыт на всех адресах, кроме этого. Нужно его явно открыть.

Да, вебморда роутера у меня перевешена на 8080.

AndreyPopov
14-08-2012, 16:51
195.24.153.49 - это LAN адрес роутрера

don-pedro
14-08-2012, 18:27
195.24.153.49 - это LAN адрес роутрера
Понятно.
Видимо, это багофича веб-морды - не открывать в фаерволе 80 порт. Кстати, у меня в вебморде этой самой морде назначен порт 8080, а в файрволе автоматически открывается все равно 80 :-/ Недоработка.

Короче, придется вписать
iptables -I INPUT -p tcp --dport 80 -j ACCEPT в /tmp/local/sbin/post-firewall

Лично у меня-то большинство правил как раз там и прописаны, а не в морде.

AndreyPopov
14-08-2012, 18:40
у меня в вэб-морде тоже 8080 открыт для обращения к вэб-морде из Интернета - и не работает.

сейчас попробую добавить правило руками.

staticroute
14-08-2012, 18:47
Понятно.
Видимо, это багофича веб-морды - не открывать в фаерволе 80 порт. Кстати, у меня в вебморде этой самой морде назначен порт 8080, а в файрволе автоматически открывается все равно 80 :-/ Недоработка.

Короче, придется вписать
iptables -I INPUT -p tcp --dport 80 -j ACCEPT в /tmp/local/sbin/post-firewall

Лично у меня-то большинство правил как раз там и прописаны, а не в морде.

у вас старая версия прошивки - возможно баг, на новой версии r4525 все нормально, только что проверил.


У меня почему-то проброс 80 порта работает.

-A VSERVER -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.51:80
...
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

кроме того, не нужно добавлять цепочку в INPUT!

достаточно правила 1-ого в nat таблице VSERVER.

Как пример открыть веб морду на внешку на 80-ом порту:

iptables -t nat -I VSERVER -p tcp --dport 80 -j DNAT --to 192.168.1.1:80

staticroute
14-08-2012, 18:59
staticroute и Vampik ваши замечания по поводу публичных адресов и NAT - это все конечно хорошо и в некоторой степени правильно, но это совершенно не объясняет НЕРАБОЧИЙ проброс портов в прошивке!

потому как:
1. на аналогичном роутере wl-500w с прошивкой dd-wrt в точно такой же ситуации ВСЕ работает !!! -- ЭТО РАЗ
2. нет объяснения причин тому, что к примеру проброс 53 (DNS) порта работает, 9091 (вэб-морда трансмишн) и 51413 (сам трансмишн) работает, а другие порты нет! и в первую очередь не работает проброс 80-го порта! а самое прикольное проброс 8080 не работает!

а схема сети такая:
1. есть старый основной провайдер, с которым 10 лет работаем, который и выдал пул адресов (по-дешевке - 255 адресов за 100грн./мес. ($12)). но у него скорость 2Мбита.
2. есть два новых провайдера по ADSL до 24 Мбит. у них адреса стоят $2/мес и $5/мес.
3. был и четвертый провайдер, но перестав выдавать белые адреса, от него пришлось отказаться.
4. на каждого провайдера стоит по роутеру типа wl-500.
5. потом стоит комп-роутер с openwrt с поднятым multi-wan и source routing, который балансирует нагрузку.
6. за этим компом-роутером находится сеть с приложениями и офисная сеть для всех желающих.

пока не было особых перебоев со связью у основного провайдера, то не особо задумывался про резервирование DNS, WWW и почты. но после того как порвали кабель в двух колодцах - пришлось делать резервирование.

и вот тут столкнулся с тем, что уже описал.

Если я правильно понял, то OpenWRT стоит после Асус-роутеров? Помойму OpenWRT девайс должен стоять как раз перед всем этим делом и балансировать нагрузку на ваши ASUS-ы, а асусы уже дальше прокидывать все, что необходимо.

Вообще, по-хорошему, лучше всего аггрегировать все соединения на одном устройстве и раскидывать дальше с него с балансировкой (естественно надо учитывать мощность устройства и каналов).

Есть два пути:
1) Если вы хотите действительно маршрутизировать и использовать возможности Firewall роутера, тогда стоит делать серые адреса внутри сетей и делать NAT как положено.
2) Добавить в цепочку FORWARD правила на глобальный адреса


iptables -I FORWARD -s 195.24.153.xx -j ACCEPT
iptables -I FORWARD -d 195.24.153.xx -j ACCEPT


прописать глобальники на компах и дальше уже рулить файрволлом на самих компьютерах.

Очевидно, что если требуется load-balance, то нужно использовать серые адреса на компьютерах, чтобы оперативно переключать канал на тот, который работает, для смены IP адреса можно использовать динамический DNS (dyndns / no-ip / afraid.org любой какой по душе).

AndreyPopov
14-08-2012, 19:14
staticroute у вас понятие перед и после как-то перемешались.

роутеры ASUS стоят между провайдером и "балансирующим" маршрутизатором с одной основной целью: сделать из PPPoE соединения обыкновенный IP траффик.

также они служат Firewall и FTP серверами.



iptables -I FORWARD -s 195.24.153.xx -j ACCEPT
iptables -I FORWARD -d 195.24.153.xx -j ACCEPT

не совсем понял смысл этих правил - это типа для того, чтобы к этим адресам могли обращаться через других провайдеров?

но проблема видится мне где-то в другом месте. потому как повторюсь - прооброс к примеру порта 53 и 9091 РАБОТАЕТ!

staticroute
14-08-2012, 20:56
staticroute у вас понятие перед и после как-то перемешались.

роутеры ASUS стоят между провайдером и "балансирующим" маршрутизатором с одной основной целью: сделать из PPPoE соединения обыкновенный IP траффик.

также они служат Firewall и FTP серверами.


Собственно даже в этом случае, это не отменяет моих слов о том, какие пути у вас есть.

Серые ипы все-таки надо использовать - это более правильный подход.

У вас получится тогда сеть за OpenWRT будет иметь например IP вида 192.168.2.0/24

Сеть между ASUS-ами и OpenWRT 192.168.1.0/24

Если глобальных ипов несколько на один роутер, то вполне можно роутить их с помощью iptables.

Опять-таки тут или файрволл с нормальным NAT-ом с серыми ипами (как все провы делают), или глобальники назначать, но без файрволла, тогда нужно будет заменить роутеры связкой ADSL Ethernet модемов + свитчи или использовать FORWARD конструкции на текущей платформе. Можно конечно сделать, так как вы сделали, но я не уверен, в случае падения ADSL вашего канала, будут ли доступны компьютеры также из другой сети.

AndreyPopov
15-08-2012, 11:27
когда разберетесь что такое multi-wan и source routing и когда поймете что маршрутизация осуществляется БЕЗ iptables вообще - то тогда будем обсуждать, как строить сеть и будут ли видны компы. могу вам сказать, что они видны!

мы обсуждаем проблему форвардинга портов на данной прошивке энтузиастов.
потому как если вы вдруг не заметили, от второго провайдера на wl-500w с прошивкой dd-wrt все работает! с одинаковыми настройками и одинаковыми правилами. а значит проблема в настройках iptables внутри данной прошивки.

просто не хотелось бы переходить на прошивку dd-wrt и тут.

staticroute
15-08-2012, 15:36
когда разберетесь что такое multi-wan и source routing и когда поймете что маршрутизация осуществляется БЕЗ iptables вообще - то тогда будем обсуждать, как строить сеть и будут ли видны компы. могу вам сказать, что они видны!

мы обсуждаем проблему форвардинга портов на данной прошивке энтузиастов.
потому как если вы вдруг не заметили, от второго провайдера на wl-500w с прошивкой dd-wrt все работает! с одинаковыми настройками и одинаковыми правилами. а значит проблема в настройках iptables внутри данной прошивки.

просто не хотелось бы переходить на прошивку dd-wrt и тут.

У меня прекрасно открывается и 80-ый и любой другой порт, который нужен в прошивке энтузиастов, причем вне зависимости на каком порту висит веб-интерфейс.

Значит, смотрите правила на dd-wrt и прошивке энтузиастов и сравнивайте их.

theMIROn
15-08-2012, 16:26
когда разберетесь что такое multi-wan и source routing и когда поймете что маршрутизация осуществляется БЕЗ iptables вообще - то тогда будем обсуждать, как строить сеть и будут ли видны компы. могу вам сказать, что они видны!
multi-wan без настройки правил iptables, я б сказал, все-таки малореален, разве что в сферическом вакууме, без файрвола и nat-а.


мы обсуждаем проблему форвардинга портов на данной прошивке энтузиастов.
или это какая-то новая свежая регрессия или, неверная настройка, хотя там ошибиться то не в чем.
нужен полный вывод iptables-save в момент "не работы" проброса 80 порта.


от второго провайдера на wl-500w с прошивкой dd-wrt все работает! с одинаковыми настройками и одинаковыми правилами. а значит проблема в настройках iptables внутри данной прошивки.
или в копипасте этих правил из dd-wrt, или настройке http сервера, до которого прокидывается 80 порт. или.... причин больше чем одна.

AndreyPopov
15-08-2012, 18:00
theMIROn
multi-wan и source-routing я специально поднял так, чтобы не пользоваться NAT, а тем более Firewall - потому что там точно можно "рехнуться" в правилах iptables.

я уже привел полный iptables-save в предыдущих постах. я залил rtn-4527 и после этого сделал сброс на заводские, и после чего все настроил заново.
http://wl500g.info/showthread.php?19271-Не-получается-открыть-80-порт&p=253758#post253758


на счет настроек вэб сервера - в комп, где поднят вэб сервер просто воткнуты три сетевые платы (по числу провайдеров). из сетевой карты веб сервера кабель воткнут прямо в роутер.

но также почему не работает проброс порта 8080 на вэ-морду роутера и ssh также не хочет!

P.S. у меня закрадывается сомнение, что проблема лежит может в плоскости того, что на LAN порту прописана сетка с маской 255.255.255.248 ?????

staticroute
15-08-2012, 18:35
theMIROn
multi-wan и source-routing я специально поднял так, чтобы не пользоваться NAT, а тем более Firewall - потому что там точно можно "рехнуться" в правилах iptables.

я уже привел полный iptables-save в предыдущих постах. я залил rtn-4527 и после этого сделал сброс на заводские, и после чего все настроил заново.
http://wl500g.info/showthread.php?19271-Не-получается-открыть-80-порт&p=253758#post253758


на счет настроек вэб сервера - в комп, где поднят вэб сервер просто воткнуты три сетевые платы (по числу провайдеров). из сетевой карты веб сервера кабель воткнут прямо в роутер.

но также почему не работает проброс порта 8080 на вэ-морду роутера и ssh также не хочет!

P.S. у меня закрадывается сомнение, что проблема лежит может в плоскости того, что на LAN порту прописана сетка с маской 255.255.255.248 ?????

Чтобы изолировать проблему, советую проверить роутер отдельно от текущей load balance схемы.

Просто воткните в него интернет и попробуйте пробросить 80-ый или 8080 порт на сам роутер через активацию опции в прошивке, не забудьте нажать Finish, Save & Restart.

theMIROn
15-08-2012, 18:37
я уже привел полный iptables-save в предыдущих постах. я залил rtn-4527 и после этого сделал сброс на заводские, и после чего все настроил заново.
http://wl500g.info/showthread.php?19271-Не-получается-открыть-80-порт&p=253758#post253758
Очень забавно, как так получилось, что и ppp0 интерфейс и vlan1 имеют один и тот адрес? проблема может быть в этом.


на счет настроек вэб сервера - в комп, где поднят вэб сервер просто воткнуты три сетевые платы (по числу провайдеров). из сетевой карты веб сервера кабель воткнут прямо в роутер.
нужно иметь ввиду, что прокинутый пакет будет с исходным src ip. через какой интерфейс web сервер пошлет ответ - на совести его настройщика.
вполне вероятно, что сервер отвечает, но не обратно роутеру, а через другого провайдера. естественно, клиент на "том" конце дропнет такой ответ.


но также почему не работает проброс порта 8080 на вэ-морду роутера и ssh также не хочет!
-A VSERVER -p tcp -m tcp --dport 8080 -j DNAT --to-destination 195.24.153.49:80
с wan на lan интерфейс.

-A INPUT -i ppp0 -m conntrack --ctstate NEW -j SECURITY
-A INPUT -i vlan1 -m conntrack --ctstate NEW -j SECURITY
DoS protection. возможно оно и рубит входящие запросы.

-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -j BRUTE
SSH Brute Protection. см. выше


P.S. у меня закрадывается сомнение, что проблема лежит может в плоскости того, что на LAN порту прописана сетка с маской 255.255.255.248 ?????нет.
tcpdump/wireshark в помощь

AndreyPopov
15-08-2012, 19:25
Чтобы изолировать проблему, советую проверить роутер отдельно от текущей load balance схемы.

Просто воткните в него интернет и попробуйте пробросить 80-ый или 8080 порт на сам роутер через активацию опции в прошивке, не забудьте нажать Finish, Save & Restart.

собственно 80-й порт то как раз и не участвует в системе load balance. порт вэб-сервера напрямую включен в роутер через отдельную сетевую.

а порт 8080 и так через вэб-морду проброшен на сам роутер.




Очень забавно, как так получилось, что и ppp0 интерфейс и vlan1 имеют один и тот адрес? проблема может быть в этом.



это вопрос к вам и разработчикам. настройка проведена через вэб-морду, установлен тип подключения PPPoE и прописан статически ИП адрес и ДНС выданные провайдером.




нужно иметь ввиду, что прокинутый пакет будет с исходным src ip. через какой интерфейс web сервер пошлет ответ - на совести его настройщика.
вполне вероятно, что сервер отвечает, но не обратно роутеру, а через другого провайдера. естественно, клиент на "том" конце дропнет такой ответ.



да нет, сервер не может ответить по другому. у него прописан адрес из подсетки роутера и default gateway'ем указан роутер. так что пакет он вернет однозначно роутеру.


-A VSERVER -p tcp -m tcp --dport 8080 -j DNAT --to-destination 195.24.153.49:80
с wan на lan интерфейс.


попробуйте 78,25,8,242:8080 - у вас откликается? у меня нет!



-A INPUT -i ppp0 -m conntrack --ctstate NEW -j SECURITY
-A INPUT -i vlan1 -m conntrack --ctstate NEW -j SECURITY
DoS protection. возможно оно и рубит входящие запросы.

-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -j BRUTE
SSH Brute Protection. см. выше



сейчас попробую отключить.
но при этом все равно непонятно тогда почему 53, 9091, 51413 порты работают?
и Brute Protection включен и для FTP - а FTP работает без проблем! ftp://78,25,8,242

P.S. убрал DOS Protection и Brute, теперь googlebot@google.com просто пасется по ftp ;)

staticroute
15-08-2012, 20:05
собственно 80-й порт то как раз и не участвует в системе load balance. порт вэб-сервера напрямую включен в роутер через отдельную сетевую.

а порт 8080 и так через вэб-морду проброшен на сам роутер.

попробуйте использовать внутренние адреса вида 192.168.х.х на роутере для LAN и повторить эксперимент.


попробуйте 78,25,8,242:8080 - у вас откликается? у меня нет!
IP вообще-то пишется через . 78.25.8.242 8080 не откликается.



но при этом все равно непонятно тогда почему 53, 9091, 51413 порты работают?

Потому что видимо эти порты открыты на самом роутере и не происходит никакой трансляции?
В случае открытия веб интерфейса добавляется правило NAT, а NAT у вас корректно не отрабатывает, так как используете глобальные адреса (скорее всего).


ftp://78,25,8,242

Снова ип через точки разделяется, а не через запятые.


telnet 78.25.8.242 21
Trying 78.25.8.242...
Connected to 78.25.8.242.
Escape character is '^]'.
220 (vsFTPd 2.3.5)


Да, работает.

theMIROn
15-08-2012, 20:10
это вопрос к вам и разработчикам. настройка проведена через вэб-морду, установлен тип подключения PPPoE и прописан статически ИП адрес и ДНС выданные провайдером.к разработчикам чего?
это вопрос провайдеру, который зачем-то использует и на физ.интерфейсе и на pppoe интерфейсе один и тот адрес, что бред бредовый.


да нет, сервер не может ответить по другому. у него прописан адрес из подсетки роутера и default gateway'ем указан роутер. так что пакет он вернет однозначно роутеру.
отключаем остальные интерфейсы и проверяем. и, лучше wireshark-ом.


попробуйте 78,25,8,242:8080 - у вас откликается? у меня нет!
не откликается.
меняем внешний 8080 порт на любой другой, заработало - пинаем провайдера.
меняем внутренний 80 порт на любой другой - думаем дальше.
не заработало, смотрим c iptables -nvL счетчики на правило, а есть ли трафик + tcpdump на самом роутере.


P.S. убрал DOS Protection и Brute, теперь googlebot@google.com просто пасется по ftp ;)
robots.txt поможет для анонимного доступа.
что с остальными сервисами?

AndreyPopov
15-08-2012, 21:42
отключение DOS protection и Brute ни к чему не привело. все точно так же и осталось. :(


Потому что видимо эти порты открыты на самом роутере и не происходит никакой трансляции?
- да нет, эти порты проброшены на другие комп! где поднят DNS сервер и Transmission торрент клинет.




это вопрос провайдеру, который зачем-то использует и на физ.интерфейсе и на pppoe интерфейсе один и тот адрес, что бред бредовый.

а вы уверены, что это делает провайдер?

меня тоже смущает:


WAN Interface
WAN Type: PPPoE
IP Address: 78.25.8.242
Subnet Mask: 255.255.255.255
MAN Interface
MAC Address: E0:CB:хх:хх:хх:хх
IP Address: 78.25.8.242
Subnet Mask: 255.255.0.0


при одинаковом адресе разные маски подсети. хотя надо сказать, что интерфейс MAN присущ прошивке на основе Олега творения.

AndreyPopov
16-08-2012, 17:30
подключил на линию для проверки wl-520gu с прошивкой от dd-wrt.

и НЕ обнаружил там, чтобы куда-то еще присваивался адрес при поднятии PPPoE:


br0 Link encap:Ethernet HWaddr E0:CB:xx:xx:xx:67
inet addr:195.24.153.57 Bcast:195.24.153.63 Mask:255.255.255.248
UP BROADCAST RUNNING MTU:1500 Metric:1
RX packets:492 errors:0 dropped:0 overruns:0 frame:0
TX packets:1570 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:41699 (40.7 KiB) TX bytes:536299 (523.7 KiB)

eth0 Link encap:Ethernet HWaddr E0:CB:xx:xx:xx:67
UP BROADCAST RUNNING MTU:1500 Metric:1
RX packets:88726 errors:0 dropped:0 overruns:0 frame:0
TX packets:1679 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:79977030 (76.2 MiB) TX bytes:557243 (544.1 KiB)
Interrupt:4

eth1 Link encap:Ethernet HWaddr E0:CB:xx:xx:xx:69
UP BROADCAST RUNNING MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:4385
TX packets:12 errors:129 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:600 (600.0 B)
Interrupt:2 Base address:0x5000

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:2 errors:0 dropped:0 overruns:0 frame:0
TX packets:2 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:566 (566.0 B) TX bytes:566 (566.0 B)

ppp0 Link encap:Point-to-Point Protocol
inet addr:78.25.8.242 P-t-P:195.248.176.231 Mask:255.255.255.255
UP POINTOPOINT RUNNING MTU:1492 Metric:1
RX packets:1087 errors:0 dropped:0 overruns:0 frame:0
TX packets:24 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:71359 (69.6 KiB) TX bytes:1604 (1.5 KiB)

vlan0 Link encap:Ethernet HWaddr E0:CB:xx:xx:xx:67
UP BROADCAST RUNNING MTU:1500 Metric:1
RX packets:492 errors:0 dropped:0 overruns:0 frame:0
TX packets:1560 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:43667 (42.6 KiB) TX bytes:542119 (529.4 KiB)

vlan1 Link encap:Ethernet HWaddr E0:CB:xx:xx:xx:68
UP BROADCAST RUNNING MTU:1500 Metric:1
RX packets:86875 errors:0 dropped:0 overruns:0 frame:0
TX packets:123 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:77132626 (73.5 MiB) TX bytes:5637 (5.5 KiB)


а вот ситуация на wl-500gpv2 с прошивкой 1.9.7.2-rtn-4536M:


br0 Link encap:Ethernet HWaddr E0:CB:xx:xx:x:42
inet addr:195.24.153.49 Bcast:195.24.153.55 Mask:255.255.255.248
UP BROADCAST RUNNING MTU:1500 Metric:1
RX packets:5489 errors:0 dropped:0 overruns:0 frame:0
TX packets:5288 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:542373 (529.6 KiB) TX bytes:4112022 (3.9 MiB)

eth0 Link encap:Ethernet HWaddr E0:CB:xx:xx:xx:42
UP BROADCAST RUNNING MTU:1500 Metric:1
RX packets:48274 errors:0 dropped:0 overruns:0 frame:0
TX packets:9702 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:39221035 (37.4 MiB) TX bytes:4692887 (4.4 MiB)
Interrupt:4 Base address:0x1000

eth1 Link encap:Ethernet HWaddr E0:CB:xx:xx:xx:42
UP BROADCAST RUNNING MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:229
TX packets:9 errors:1 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:1210 (1.1 KiB)
Interrupt:13 Base address:0x5000

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

ppp0 Link encap:Point-to-Point Protocol
inet addr:78.25.8.242 P-t-P:195.248.176.231 Mask:255.255.255.255
UP POINTOPOINT RUNNING MTU:1492 Metric:1
RX packets:3830 errors:0 dropped:0 overruns:0 frame:0
TX packets:4395 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:2310746 (2.2 MiB) TX bytes:444754 (434.3 KiB)

vlan0 Link encap:Ethernet HWaddr E0:CB:xx:xx:xx:42
UP BROADCAST RUNNING MTU:1500 Metric:1
RX packets:5501 errors:0 dropped:0 overruns:0 frame:0
TX packets:5288 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:565001 (551.7 KiB) TX bytes:4133174 (3.9 MiB)

vlan1 Link encap:Ethernet HWaddr E0:CB:xx:xx:xx:42
inet addr:78.25.8.242 Bcast:78.25.8.242 Mask:255.255.255.255
UP BROADCAST RUNNING MTU:1500 Metric:1
RX packets:42772 errors:0 dropped:0 overruns:0 frame:0
TX packets:4414 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:37787052 (36.0 MiB) TX bytes:559713 (546.5 KiB)



так виноват ли в этом провайдер?

Vampik
16-08-2012, 17:44
так виноват ли в этом провайдер?

Виноват провайдер. Прошивка виновата только тем, что поддерживает так называемый "Dual Access". Попробуйте в WAN IP Setting поменять Get IP automatically? на No, а IP Address: на 169.254.xxx.xxx (PPPoE работает даже без IP-адреса или с любым произвольным адресом на MAN интерфейсе).

AndreyPopov
16-08-2012, 19:08
Виноват провайдер. Прошивка виновата только тем, что поддерживает так называемый "Dual Access". Попробуйте в WAN IP Setting поменять Get IP automatically? на No, а IP Address: на 169.254.xxx.xxx (PPPoE работает даже без IP-адреса или с любым произвольным адресом на MAN интерфейсе).

"Dual Access" - это хорошо. только не пойму в чем вина провайдера, если он этот "Dual Access" никогда и не поддерживал. по моему "Dual Access" это чисто российское изобретение. больше ни в каких прошивках кроме России я и не видел этого "Dual Access". как по мне так "Dual Access" - это бред бредовый!


Get IP automatically? на No - и так стоит в No и там прописан выданный провайдером адрес!

P.S. прописал там 169.254.1.1. из-вне смогу только после 23:00 попробовать. интересно на 78,25,8,242:8080 уже хоть имя/пароль спрашивает?

Vampik
16-08-2012, 19:49
Get IP automatically? на No - и так стоит в No и там прописан выданный провайдером адрес!


Интересные подробности. Оказывается вы сами вручную указали адрес MAN-интерфейса, такой же, как WAN. Т.е. виноват не провайдер, а ваши настройки. Верните Get IP automatically? в Yes.


интересно на 78,25,8,242:8080 уже хоть имя/пароль спрашивает?

нет

staticroute
16-08-2012, 20:24
78,25,8,242:8080 уже хоть имя/пароль спрашивает?

78.25.8.242

Научитесь хотя бы ип писать нормально..

Вообще вы выбрали какую-то некорректную манеру общения. Dual WAN много где используется для разграничения доступа к локальной сети/интернету. Совершенно стандартная практика.

Если вы не хотите разбираться сами и думать, а желаете винить только авторов этой прошивки во всех проблемах - это явно не лучший способ и лучше уж используйте dd-wrt, раз уж там "все работает".

AndreyPopov
16-08-2012, 20:27
Если вы не хотите разбираться сами и думать, а желаете винить только авторов этой прошивки во всех проблемах - это явно не лучший способ и лучше уж используйте dd-wrt, раз уж там "все работает".

ну если проблема не решится, то придется пользоваться dd-wrt.

P.S. точки вместо запятых для вашего удобства писать? специально для вас буду ставить точки и @ в адресе почты. чтобы побольше ботов прибегало.



Интересные подробности. Оказывается вы сами вручную указали адрес MAN-интерфейса, такой же, как WAN. Т.е. виноват не провайдер, а ваши настройки. Верните Get IP automatically? в Yes.


возвращение в Yes проблемы не решает.

как вообще положить MAN интерфейс?

Vampik
16-08-2012, 21:37
как вообще положить MAN интерфейс?

Вынуть кабель из WAN-порта. Серьезно.

Интерфейс всегда есть, поверх него устанавливается PPPoE-соединение. И в DD-WRT он есть, только ему не присваивается IP-адрес.

Вы зачем-то присвоили MAN-интерфейсу тот же IP-адрес, что у WAN-интерфейса. И еще так и не показали, что у вас с IP-адресами после возвращения Get IP automatically? в Yes.

AndreyPopov
17-08-2012, 14:11
И еще так и не показали, что у вас с IP-адресами после возвращения Get IP automatically? в Yes.

а что там может быть интересного?

MAN Interface
IP Address: 169.254.130.131
Subnet Mask: 255.255.0.0

и все осталось по-прежнему :(



-A PREROUTING -d 78.25.8.242/32 -j VSERVER
-A PREROUTING -d 169.254.130.131/32 -j VSERVER
-A POSTROUTING ! -s 78.25.8.242/32 -o ppp0 -j MASQUERADE
-A POSTROUTING ! -s 169.254.130.131/32 -o vlan1 -j MASQUERADE
-A POSTROUTING -s 195.24.153.48/29 -d 195.24.153.48/29 -o br0 -j MASQUERADE




Интерфейс всегда есть, поверх него устанавливается PPPoE-соединение. И в DD-WRT он есть, только ему не присваивается IP-адрес.

не только не присваивается адрес, так он еще и в правилах iptables вообще НЕ участвует!

orion
23-05-2014, 08:22
Каким образом отключить \ включить видение 80 порта в интернет ручными средствами ?

Pasha_ZZZ
30-05-2014, 07:29
Здравствуйте.
Можно ли как-то организовать сабж, но чтобы не редиректом только извне, а поменять как-то порт веб-морды, чтобы и в локалке веб был на порту 80?

ryzhov_al
30-05-2014, 08:00
Здравствуйте.
Можно ли как-то организовать сабж, но чтобы не редиректом только извне, а поменять как-то порт веб-морды, чтобы и в локалке веб был на порту 80?Да. В веб-интерфейсе есть соответствующая настройка.

Pasha_ZZZ
30-05-2014, 08:07
Да. В веб-интерфейсе есть соответствующая настройка. У Мерлина??? Не нашел, есть только порт для веб-морды в ВАН, а в ЛАН - нет.

И кстати, что бы это значило:
admin@:/tmp/home/root# opkg install lighttpd
Installing lighttpd (1.4.32-1a) to root...
Downloading http://entware.wl500g.info/binaries/entware/lighttpd_1.4.32-1a_entware.ipk.
wget: server returned error: HTTP/1.1 404 Not Found
Collected errors:
* opkg_download: Failed to download http://entware.wl500g.info/binaries/entware/lighttpd_1.4.32-1a_entware.ipk, wget returned 1.
* opkg_install_pkg: Failed to download lighttpd. Perhaps you need to run 'opkg update'?
* opkg_install_cmd: Cannot install package lighttpd.

ryzhov_al
30-05-2014, 09:16
У Мерлина??? Не нашел, есть только порт для веб-морды в ВАН, а в ЛАН - нет.

Administration > System > Authentication Method > HTTPS

И кстати, что бы это значило: Это значит то, что вы не выполнили

opkg update

zerg
11-06-2014, 19:16
Привет,
Я сделал ошибку и установить порт SSH быть 80, как порт Web. Tеперь только SSH работает. Можете ли вы посоветовать, как измdенить SSH порт назад на 22 из консоли.Или изменить стандартный на 8080 из консоли ?

Большое спасибо !

Бодтэк
11-06-2014, 20:40
Зайдя по SSH, наберите в командной строке терминала следующие команды (XX и YY - желаемые значения портов):
nvram set ssh_port=XX
nvram set http_lanport=YY
nvram commit
reboot
После перезагрузки роутер будет доступен по соответствующим портам.

zerg
11-06-2014, 21:50
Большое спасибо !
работает