Bekijk de volledige versie : Как поделиться интернетом с компьютерами внешней локальной сети?
Вобщем,купил раутер wl500gp,прошил альтернативной прошивкой(большое спасибо автору!)
и возникла идея раздовать им интернет своим друзьям и соседям из сети(у меня быстрый анлим, у них нет)
как я ранше делал это на виндах - очень просто! ставил в настройках впиен соединения галочку
"разрешить другим пользователям использовать...",возвращял IP сетевой карты обратно на свой
(он почемуто менялся на 192.168.0.1) a друзья прописывали мой IP (172.20.xx.xxx) заместо шлюза(172.20.20.1)
некоторые заместо этого делали "route delete 0.0.0.0" потом "route add 0.0.0.0 mask 0.0.0.0 172.20.xx.xxx"
ещё на всякий отключал службы "обозреватель компьютеров","службу обнаружения SSDP"
чтобы не светили на всю сеть,что тут инет раздают (занчок у некторых появлялся)
Собственно подскажите плиз, как такое-же можно риализовать на раутере
с линуксом и его фаерволом пока на "вы",но телнетом уже подключился,почти как дос,только более навороченый...
как-то это все принципиально неправильно. и от провайдера можно получить по ушам.
Вобщем,купил раутер wl500gp,прошил альтернативной прошивкой(большое спасибо автору!)
и возникла идея раздовать им интернет своим друзьям и соседям из сети(у меня быстрый анлим, у них нет)
как я ранше делал это на виндах - очень просто! ставил в настройках впиен соединения галочку
"разрешить другим пользователям использовать...",возвращял IP сетевой карты обратно на свой
(он почемуто менялся на 192.168.0.1) a друзья прописывали мой IP (172.20.xx.xxx) заместо шлюза(172.20.20.1)
некоторые заместо этого делали "route delete 0.0.0.0" потом "route add 0.0.0.0 mask 0.0.0.0 172.20.xx.xxx"
ещё на всякий отключал службы "обозреватель компьютеров","службу обнаружения SSDP"
чтобы не светили на всю сеть,что тут инет раздают (занчок у некторых появлялся)
Собственно подскажите плиз, как такое-же можно риализовать на раутере
с линуксом и его фаерволом пока на "вы",но телнетом уже подключился,почти как дос,только более навороченый...
Вообще у большинства провайдеров в договоре есть пункт, согласно которому вы не имеете права раздавать инет кому бы то нибыло. Тем более в соседних квартирах. Провайдер может Вас отключить без выплаты компенсации и Вы даже возразить не сможете, т.к. договор нарушен. А раздать - не проблема. Просто подключаете желаемый комп проводом или по WiFi.
да уж, нет большой разницы куда раздавать --- внутри квартиры или в другие квартиры. Есть такая тема: http://wl500g.info/showpost.php?p=26858&postcount=13
как-то это все принципиально неправильно. и от провайдера можно получить по ушам.Какие вы принципиально правильные :)
Как они мою "раздачу" спалят - то? Если до сих пор не спалили...
А раздать - не проблема. Просто подключаете желаемый комп проводом или по WiFi."Желаемый комп" не только в моём доме,но и в соседних,я про другое толкую - прописывают IP моего раутера в качестве шлюза и лазиют по инету...
Собственно я про то,как "расшарить" впн подключение, какой командой линуксового фаервола, желательно не для всей сети (как в виндах),а для конкретных ИП-ов.
да уж, нет большой разницы куда раздавать --- внутри квартиры или в другие квартиры. Есть такая тема: http://wl500g.info/showpost.php?p=26858&postcount=13
да не воюет у нас с раутерами никто...
Да не надо ничего расшаривать :) ВПН поднимается на роутере. И его в качестве шлюза. Как настроить роутер есть в теме про настройку в сетях разных провайдеров, может и Ваша сеть есть: http://wl500g.info/showthread.php?t=4926
А бодаться или нет с провайдером - решать Вам. :)
Да всё настроено,и прекрасно раздаётся инет с провайдерной локалкой домашним компам,подключеным проводами и по wi-fi(которые 192.168.1...),a если прописать кому-нибудь из знакомых в наружней локалке мой IP (который 172.20.xx.xxx) в качестве шлюза,то инета не появляеться,да и откуда ему взяться на WAN порте - нужно это как-то включить...
Мне интересено обратное: wl500gP подключён к свичу. Инет раздаётся двум моим компам и трём чужим. Вот как эти чужие забанить неотключая их физически от свича, приэтом что бы мои два компа инет получали.
Помогите пожалуйста, а то провайдер забанит...
Да всё настроено,и прекрасно раздаётся инет с провайдерной локалкой домашним компам,подключеным проводами и по wi-fi(которые 192.168.1...),a если прописать кому-нибудь из знакомых в наружней локалке мой IP (который 172.20.xx.xxx) в качестве шлюза,то инета не появляеться,да и откуда ему взяться на WAN порте - нужно это как-то включить...
iptables -D FORWARD -o ppp0 ! -i br0 -j DROP
А на EXE такая штука прокатит? если друг с EXE, который живет в 2-х км от меня, у него подключение есть, а у меня можно от его компа сделать как написано в самом первом посте (т.е. через винду) или нет?
iptables -D FORWARD -o ppp0 ! -i br0 -j DROP
Ура! работает! Спасибо! Только пинг какой-то странный,ну да не важно.
Только теперь подумалось ведь через такую расшарку кто хочет может ходить если кто проболтаеться,по идее похрен,а вдруг ктото из админов тоже шлюзом мой роутер пропишет и спалит,хотя там дирекция ламеры,а тех-админу по ходу вообще всё по барабану, лишбы випиен сервак со статой шуршали.
Вобщем нада на досуге инструкцию по линуксовому iptables почитать...
А на EXE такая штука прокатит? если друг с EXE, который живет в 2-х км от меняA проверить не судьба чтоли?
Если в другой части сети - то ничего не получиться.
А на EXE такая штука прокатит? если друг с EXE, который живет в 2-х км от меня, у него подключение есть, а у меня можно от его компа сделать как написано в самом первом посте (т.е. через винду) или нет?
С УЧУшниками такое не прокатывает. Точнее - можно подключить дополнительный комп за отдельную плату. Правда, несколько нормальных админов оттуда ушли.... Теперь отслеживать действия пользователей некому. Просто по времени не справляются. Сеть не маленькая.... Так-что могут и не заметить :)
Извиняюсь, если уже этот вопрос был, не смог найти. Есть Wll500gP. Подключен к домовой сети где адреса типа 10.*.*.* , в интернет выходит через VPN соединение Pttp.
Вопрос - как для другого компьютера, который в домовой сети и имеет адресс типа 10.2.2.2 сделать выход интернет через роутер?
Извиняюсь, если уже этот вопрос был, не смог найти. Есть Wll500gP. Подключен к домовой сети где адреса типа 10.*.*.* , в интернет выходит через VPN соединение Pttp.
Вопрос - как для другого компьютера, который в домовой сети и имеет адресс типа 10.2.2.2 сделать выход интернет через роутер?
Например поставить прокси, в разрешенных указать нужный адрес.
Ну прокся это не выход, а средство из безвыходности.
Почему все так обожают проксю ..........
Вопрос, как я понял, хотелось бы реализовать типа шлюза в сети провайдера.
Ну прокся это не выход, а средство из безвыходности.
Почему все так обожают проксю ..........
Вопрос, как я понял, хотелось бы реализовать типа шлюза в сети провайдера.
Тогда например Простой скрипт для подсчета траффика (http://wl500g.info/showthread.php?t=13371), только с доработкой напильником и использованием iptables для перенаправления трафика от указанного компа.
Как точно - не подскажу, я не сетевик.
Spacesoft
24-07-2008, 12:56
http://wl500g.info/showthread.php?t=13420
Что-то тут смутно всё написано :)
Перефразирую вопрос.
Как разрешить инет(всё тоже, что имеет роутер) со стороны WAN, но только юзеру с определённым mac/ip?
прописать правила для iptables
прописать правила для iptables
Ну это понятно, а какие именно?
Ну это понятно, а какие именно?
правильные.
H@meleon
31-07-2008, 13:52
iptables -D FORWARD -o ppp0 ! -i br0 -j DROP
Пробую ввести команду iptables -D FORWARD -o ppp0 ! -i br0 -j DROP ... но открыть наружу в локалку мой WAN порт в виде шлюза интенета не получается ... сори но в линуксе пока ноль ... подскажите прочитал много про команду IPTABLES (http://www.dzti.edu.lv/isp-serv/index.php?l=2) но как ее приментить в моем случае пока не понял ...
Можно ли реализовать такую схему?
Интернет приходит через VPN на роутер в WAN порт, дальше через NAT интернет раздается на WiFi и WAN порт (по тому же кабелю что пришел).
Нужно для того чтоб не тянуть лишние кабеля к удаленному компьютеру.
В среде Виндоус такое соединение реализуется просто, расшариванием ВПН в "Подключение по локальной сети".
Апну тему.
Может ктонибудь чтото подскажет.
Может вы другими словами опишете ваш вопрос? Потому что в режиме Home Gateway роутер и так использует NAT на WAN
Если ето так то ето супер.
Единственное Вы Wan c Wlan не путаете?
Мне нужно чтоб интернет пришел в Wan Port и оттуда же и вышел но уже за NATом. Тойсть порты LAN в данной схеме вообще не участвуют.
Vovanchik
15-02-2010, 20:20
тобишь надо назначить на wan порту еще один ip и отмаскарадитиь на него первый.
или даже так если через vpn интернет приходит
iptables -t nat -A POSTROUTING -o vlan1 -j SNAT --to-source $2
Unlimited
15-02-2010, 20:25
да можно такое сделать только это как-то глупо будет смотреться, ваш роутер будет раздавать инет в провайдерскую сеть...
Vovanchik
15-02-2010, 20:29
ну им же никто не скажет что этот ip является шлюзом интернета?
:):):)
я такое в свое время дела когда роутера не было
Спасибо за ответы, ето именно то что мне нужно.
Значит на етой неделе куплю себе етот девайс )
Надеюсь потом поможете с настройкой :)
Ура достал себе WL-500w, поставил прошивку WL500W-1.9.2.7-d-r1222.
Теперь вопрос как Расшарить инет (по VPNу) обратно в WAN порт?
Подскажите куда хоть копать.
iptables -t nat -A POSTROUTING -o vlan1 -j SNAT --to-source $2
Дает ошибку:
[admin@WL-90E6BA4365CA root]$ iptables -t nat -A POSTROUTING -o vlan1 -j SNAT --to-source $2
iptables v1.3.8: Unknown arg `--to-source'
Если вместо $2 написать какуюнибудь айпи, тогда ошибки нету.
Прочитал http://www.iptables.ru/iptables.html#SNAT_TARGET, ничего толком не понял.
Помогите с настройкой пожалуйста.
popow_sergei
08-03-2010, 14:25
условие:
- есть DIR-320 2шт (далее DIR1 и DIR2)
- DIR1 и DIR2 подключены к одному провайдеру
- есть интернет на DIR1
задача:
- организовать VPN сервер (либо любой другой с хорошей пропускной способностью) на DIR1
- получать интернет на DIR2 по VPN c DIR1
TheSAS - удалось ли реализовать задуманное ??
Реализовать пока не удается.
Для начала:
1. Подскажите как проследить путь пакета?
2. Подскажите какие команды могут использоваться для просмотра таблиц прохода пакета (типа iptables -t nat -L -nv, iptables -L -nv)
3. Нужно ли такое правило для моей задачи:
iptables -I INPUT 5 -i eth1 --match state --state NEW -j ACCEPT
eth1 - ето WAN порт, если верить ifconfig.
Настраивал таблицы, придумывал правила, результат пока близкий к нулю.
Кто может на писать хотя б последовательность таблиц которую пройдет пакет при использовании НАТ.
Viper_Rus
10-03-2010, 08:31
Очень хорошая идея, но жалко что нет реализации
Я так понял люди хотят:
Есть два абонента на одном операторском свиче. У одного инет оплачен, у другого нет. Второй в настройках роутера узазывает шлюзом первый свитч и берет его инет )))
popow_sergei
10-03-2010, 14:24
Я так понял люди хотят:
Есть два абонента на одном операторском свиче. У одного инет оплачен, у другого нет. Второй в настройках роутера узазывает шлюзом первый свитч и берет его инет )))
совершенно верно .
Настраивал таблицы, придумывал правила, результат пока близкий к нулю.
Кто может на писать хотя б последовательность таблиц которую пройдет пакет при использовании НАТ.
Вам сюда: http://www.opennet.ru/docs/RUS/iptables/. Даже картинка есть: http://www.opennet.ru/docs/RUS/iptables/misc/iptables-tutorial/images/tables_traverse.jpg (качество так себе).
Скорее всего, вам поможет такой код (заметьте, nat не при чём, пакеты блокируются в таблице filter, цепочке FORWARD):
index=`iptables -L FORWARD -nv --line-numbers | grep 'RELATED,ESTABLISHED' | cut -d ' ' -f 1 -s`
iptables -I FORWARD $((index+1)) -o ppp0 -i eth1 -j ACCEPT
Unlimited
10-03-2010, 19:03
Наверно вам проще подправить переменные nvram и сделать лан интерфейс ланом и воткнуть шланг от провайдера в лан :-)
2 Unlimited
Подскажи как ето сделать.
У меня при перекидке WiFi в Lan, Wifi отказываеться работать.
Вам сюда: http://www.opennet.ru/docs/RUS/iptables/. Даже картинка есть: http://www.opennet.ru/docs/RUS/iptables/misc/iptables-tutorial/images/tables_traverse.jpg (качество так себе).
Скорее всего, вам поможет такой код (заметьте, nat не при чём, пакеты блокируются в таблице filter, цепочке FORWARD):
index=`iptables -L FORWARD -nv --line-numbers | grep 'RELATED,ESTABLISHED' | cut -d ' ' -f 1 -s`
iptables -I FORWARD $((index+1)) -o ppp0 -i eth1 -j ACCEPT
Не помогло (
Какое правило 100% разрешит все пакеты?
И как узнать на каком правиле обламываеться пакет?
Какое правило 100% разрешит все пакеты?
И как узнать на каком правиле обламываеться пакет?
Основной способ узнать - подумать. Можно, конечно, наставить логгирование в каждую строчку, но это много возни. Вообще, может, у вас проблема даже не в iptables, а, например, в маршрутизации.
Если это не секретная информация, покажите, что говорят команды
ifconfig -a
route -n
iptables-save
И дайте пример ip-адреса, которому нужно дать доступ в инет через роутер.
ifconfig -a
br0 Link encap:Ethernet HWaddr 90:E6:BA:43:65:CA
inet addr:192.168.1.100 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::92e6:baff:fe43:65ca/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:552 errors:0 dropped:0 overruns:0 frame:0
TX packets:609 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:166274 (162.3 KiB) TX bytes:372064 (363.3 KiB)
eth0 Link encap:Ethernet HWaddr 90:E6:BA:43:65:CA
inet6 addr: fe80::92e6:baff:fe43:65ca/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:209 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:51025 (49.8 KiB)
Interrupt:4 Base address:0x1000
eth1 Link encap:Ethernet HWaddr 90:E6:BA:43:65:CA
inet addr:20.0.0.88 Bcast:20.0.0.255 Mask:255.255.255.0
inet6 addr: fe80::92e6:baff:fe43:65ca/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:2164 errors:0 dropped:0 overruns:0 frame:0
TX packets:475 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:467551 (456.5 KiB) TX bytes:179202 (175.0 KiB)
Interrupt:5 Base address:0x2000
eth2 Link encap:Ethernet HWaddr 90:E6:BA:43:65:CA
inet6 addr: fe80::92e6:baff:fe43:65ca/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:547 errors:0 dropped:0 overruns:0 frame:288
TX packets:628 errors:37 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:173448 (169.3 KiB) TX bytes:361552 (353.0 KiB)
Interrupt:12 Base address:0x4000
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MULTICAST MTU:16436 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
ppp0 Link encap:Point-to-Point Protocol
inet addr:194.44.109.88 P-t-P:194.44.109.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING MULTICAST MTU:1400 Metric:1
RX packets:494 errors:0 dropped:0 overruns:0 frame:0
TX packets:435 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:317641 (310.1 KiB) TX bytes:151456 (147.9 KiB)
sit0 Link encap:IPv6-in-IPv4
NOARP MTU:1480 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
20.0.0.1 0.0.0.0 255.255.255.255 UH 0 0 0 eth1
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
20.0.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 194.44.109.1 0.0.0.0 UG 0 0 0 ppp0
iptables-save
# Generated by iptables-save v1.3.8 on Fri Mar 12 06:28:11 2010
*nat
:PREROUTING ACCEPT [498:51298]
:POSTROUTING ACCEPT [105:8397]
:OUTPUT ACCEPT [107:9131]
:VSERVER - [0:0]
-A PREROUTING -d 194.44.109.88 -j VSERVER
-A PREROUTING -d 20.0.0.88 -j VSERVER
-A POSTROUTING -s ! 194.44.109.88 -o ppp0 -j MASQUERADE
-A POSTROUTING -s ! 20.0.0.88 -o eth1 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -d 192.168.1.0/255.255.255.0 -o br0 -j SNAT --to-source 192.168.1.100
COMMIT
# Completed on Fri Mar 12 06:28:11 2010
# Generated by iptables-save v1.3.8 on Fri Mar 12 06:28:11 2010
*mangle
:PREROUTING ACCEPT [2284:989371]
:INPUT ACCEPT [1409:494507]
:FORWARD ACCEPT [799:483999]
:OUTPUT ACCEPT [942:282215]
:POSTROUTING ACCEPT [1871:814597]
COMMIT
# Completed on Fri Mar 12 06:28:11 2010
# Generated by iptables-save v1.3.8 on Fri Mar 12 06:28:11 2010
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [36:1932]
:OUTPUT ACCEPT [900:270076]
:BRUTE - [0:0]
:MACS - [0:0]
:SECURITY - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i br0 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -j DROP
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ! br0 -o ppp0 -j DROP
-A FORWARD -i ! br0 -o eth1 -j DROP
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -o br0 -j DROP
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j DROP
-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logaccept -j ACCEPT
-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logdrop -j DROP
COMMIT
# Completed on Fri Mar 12 06:28:11 2010
Ip адрес которому надо дать интернет 20.0.0.250.
Адреса 20.0.0.х - ето локальная сеть, просто провайдер из себя очень умного делает.
Тогда так:
зайдите на роутер и выполните команды
index=`iptables -L FORWARD -nv --line-numbers | grep 'RELATED,ESTABLISHED' | cut -d ' ' -f 1 -s`
echo $index
iptables -I FORWARD $((index+1)) -o ppp0 -i eth1 -j ACCEPT
iptables -L FORWARD -nv
И покажите, что они выведут.
[admin@WL-90E6BA4365CA root]$ index=`iptables -L FORWARD -nv --line-numbers | grep 'RELATED,ESTABLISHED' | cut -d ' ' -f 1 -s`
[admin@WL-90E6BA4365CA root]$ echo $index
4
[admin@WL-90E6BA4365CA root]$ iptables -I FORWARD $((index+1)) -o ppp0 -i eth1 -j ACCEPT
[admin@WL-90E6BA4365CA root]$ iptables -L FORWARD -nv
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- br0 br0 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
0 0 TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02 TCPMSS clamp to PMTU
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT all -- eth1 ppp0 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- !br0 ppp0 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- !br0 eth1 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate DNAT
0 0 DROP all -- * br0 0.0.0.0/0 0.0.0.0/0
Большое Спасибо все работает.
Куда прописать ето правило, чтоб оно было постоянным?
Куда прописать ето правило, чтоб оно было постоянным?
В post-firewall.
Arthur_X
16-04-2010, 21:48
Слушайте, а это не тоже самое что я хочу осуществить?
А хочу осуществить следующее:
пробросить порт из WAN не в LAN, а обратно в WAN на определенный статический внешний IP.
Может мне просто прописать внешний ip в строчку "Local IP" ?
Дело в том что у того IP куда я собираюсь пробросить порт инет иногда недоступен, хочу чтобы в этот момент через мой pptp люди подключались из вне.
Целиком за натом нет необходимости этот ip засаживать, только один порт.
http://img-fotki.yandex.ru/get/6/artx500.1/0_30b14_2c7a1055_L.jpg (http://fotki.yandex.ru/users/artx500/view/199444/)
Красным отмечены два варианта связи, предпочтительней тот что по локальной сети провайдера.
Этот внешний ip доступен как с vpn так и без. Получается из WAN в MAN.
Слушайте, а это не тоже самое что я хочу осуществить?
А хочу осуществить следующее:
пробросить порт из WAN не в LAN, а обратно в WAN на определенный статический внешний IP.
Может мне просто прописать внешний ip в строчку "Local IP" ?
Может.
Но вам ещё нужно выполнить те команды, что я приводил выше (причём подставить имя своего MAN-интерфейса вместо eth1), чтобы разрешить прохождение пакетов.
Arthur_X
17-04-2010, 11:59
Написал тот же вопрос в более подходящей соседней теме http://wl500g.info/showthread.php?t=23567
Спасибо, буду пробовать, по результатам сообщу здесь и там.
Arthur_X
18-04-2010, 21:24
Заработало.
Пришлось подправить команду, стало так:
iptables -I FORWARD $((index+1)) -o ppp0 -i ppp0 -j ACCEPT
Иначе файр выдавал мессагу:
00:27:51 19-04-2010 (warning|kern|kernel) DROP IN=ppp0 OUT=ppp0 SRC=188.x.x.x DST=85.x.x.x
УРААА :)
Заработало.
Пришлось подправить команду, стало так:
iptables -I FORWARD $((index+1)) -o ppp0 -i ppp0 -j ACCEPT
Иначе файр выдавал мессагу:
00:27:51 19-04-2010 (warning|kern|kernel) DROP IN=ppp0 OUT=ppp0 SRC=188.x.x.x DST=85.x.x.x
УРААА :)
Значит, оно не в MAN заворачивает, а в WAN. Неправильные маршруты?
Arthur_X
19-04-2010, 04:18
Для этой сети не было маршрута вообще, вот и направлялся сразу в WAN.
а можно поподробней?
у меня такая же проблема как и у TheSAS
только MAN порт у меня не eth1 а vlan1
index=`iptables -L FORWARD -nv --line-numbers | grep RELATED,ESTABLISHED' | cut -d ' ' -f 1 -s`
echo $index
iptables -I FORWARD $((index+1)) -o ppp0 -i vlan1 -j ACCEPT
не помогает, реакции никакой
скажите, зачем нужно $((index+1)), не все ли равно на какой строчке стоит правило?
TheSAS, кроме этого правила ты ничего не менял, мож роуты или другие таблицы в iptables?:(
а можно поподробней?
у меня такая же проблема как и у TheSAS
только MAN порт у меня не eth1 а vlan1
Опишите проблему подробнее.
WAN - ppp0 - собственно источник инета
LAN - br0 - внутренняя сеть
MAN - vlan1 - сеть провайдера, за роутером, через которую осуществляется доступ к WAN
Хотелось бы чтоб через шлюз моего роутера могли ходить не только пользователи LANа, но и пользователи MANа
вот мои таблицы:
[odmin@(none) root]$ iptables -L -nv
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
497 94408 MACS all -- br0 * 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
649 94250 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 state NEW
60 15254 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0 state NEW
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 flags:0x17/0x02
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 flags:0x17/0x02
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:33434:33534
61 4920 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT 64 packets, 5511 bytes)
pkts bytes target prot opt in out source destination
206 19046 MACS all -- br0 * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- br0 br0 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
21 1028 TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
339 58708 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 DROP all -- !br0 ppp0 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- !br0 vlan1 0.0.0.0/0 0.0.0.0/0
3 144 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate DNAT
0 0 DROP all -- * br0 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT 872 packets, 393K bytes)
pkts bytes target prot opt in out source destination
Chain BRUTE (0 references)
pkts bytes target prot opt in out source destination
Chain MACS (2 references)
pkts bytes target prot opt in out source destination
0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 MAC 00:30:67:22:09:24
0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 MAC 00:23:4D:23:55:47
563 61600 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 MAC 00:30:4F:5B:D3:E2
140 51854 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain SECURITY (0 references)
pkts bytes target prot opt in out source destination
0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02 limit: avg 1/sec burst 5
0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x04 limit: avg 1/sec burst 5
0 0 RETURN udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5
0 0 RETURN icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain logaccept (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW LOG flags 7 level 4 prefix `ACCEPT '
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0
Chain logdrop (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW LOG flags 7 level 4 prefix `DROP '
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
по сути ничем не отличается от таблиц пользователя TheSAS кроме того что у меня интерфейс MAN носит название vlan1 а у него eth1
тем не менее решение подошедшее пользователю TheSAS мне почему-то не подходит, изменение таблицы FORWARD на такую:
Chain FORWARD (policy ACCEPT 64 packets, 5511 bytes)
pkts bytes target prot opt in out source destination
206 19046 MACS all -- br0 * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- br0 br0 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
21 1028 TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
339 58708 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT all -- vlan1 ppp0 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- !br0 ppp0 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- !br0 vlan1 0.0.0.0/0 0.0.0.0/0
3 144 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate DNAT
0 0 DROP all -- * br0 0.0.0.0/0 0.0.0.0/0
ни к каким последствиям не приводит
вот мои маршруты:
route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
172.17.192.240 172.17.183.1 255.255.255.255 UGH 1 0 0 vlan1
172.17.192.252 172.17.183.1 255.255.255.255 UGH 1 0 0 vlan1
172.17.192.254 172.17.183.1 255.255.255.255 UGH 1 0 0 vlan1
91.211.16.128 172.17.183.1 255.255.255.128 UG 0 0 0 vlan1
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
172.17.183.0 0.0.0.0 255.255.255.0 U 0 0 0 vlan1
192.168.0.0 172.17.183.1 255.255.0.0 UG 0 0 0 vlan1
172.16.0.0 172.17.183.1 255.240.0.0 UG 0 0 0 vlan1
10.0.0.0 172.17.183.1 255.0.0.0 UG 0 0 0 vlan1
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 91.211.16.57 0.0.0.0 UG 0 0 0 ppp0
0.0.0.0 172.17.183.1 0.0.0.0 UG 1 0 0 vlan1
временно пришлось поставить перед роутером свитч и втыкнуть в него патчкорды из WAN(MAN) и LAN выходов, но это не вариант ((
помогите плз, что я делаю не так?
WAN - ppp0 - собственно источник инета
LAN - br0 - внутренняя сеть
MAN - vlan1 - сеть провайдера, за роутером, через которую осуществляется доступ к WAN
Хотелось бы чтоб через шлюз моего роутера могли ходить не только пользователи LANа, но и пользователи MANа
вот мои таблицы:
<...>
по сути ничем не отличается от таблиц пользователя TheSAS кроме того что у меня интерфейс MAN носит название vlan1 а у него eth1
тем не менее решение подошедшее пользователю TheSAS мне почему-то не подходит, изменение таблицы FORWARD на такую:
<...>
ни к каким последствиям не приводит
вот мои маршруты:
<...>
временно пришлось поставить перед роутером свитч и втыкнуть в него патчкорды из WAN(MAN) и LAN выходов, но это не вариант ((
помогите плз, что я делаю не так?
Цепочка FORWARD после изменений выглядит нормальной. Как вы определили, что это "ни к каким последствиям не приводит"? Как именно вы проверяли?
выставлял на комп из MANа шлюзом роутер (его IP интерфейса vlan1) но инета не видно
:(
выставлял на комп из MANа шлюзом роутер (его IP интерфейса vlan1) но инета не видно
А тот комп и ваш роутер в одном сегменте сети находятся? Если не секрет, напишите IP того компа.
роутер:
LAN IP: 192.168.1.1 маска: 255.255.255.0
MAN IP: 172.17.183.48 маска: 255.255.255.0
комп из MANа:
IP: 172.17.183.205 маска: 255.255.255.0 шлюз: 172.17.183.48
DNS: 172.17.183.48
дело в том что при этом этим компьютером пингуется 192.168.1.1 (вне зависимости от той строчки в форварде про которую говорили), хотя другие компы сети LAN не пингуются
может надо роуты какие-то добавить?
или в таблице NAT что-то поменять?
роутер:
LAN IP: 192.168.1.1 маска: 255.255.255.0
MAN IP: 172.17.183.48 маска: 255.255.255.0
комп из MANа:
IP: 172.17.183.205 маска: 255.255.255.0 шлюз: 172.17.183.48
DNS: 172.17.183.48
дело в том что при этом этим компьютером пингуется 192.168.1.1 (вне зависимости от той строчки в форварде про которую говорили), хотя другие компы сети LAN не пингуются
может надо роуты какие-то добавить?
или в таблице NAT что-то поменять?
Другие компы из LAN и не должны пинговаться, это правильно.
А адрес 172.17.183.48 пингуется?
А 213.180.204.3 пингуется (это ya.ru)?
172.17.183.48 пингуется
и ya.ru пингуется и гугл пингуется и грузятся браузером если по айпишнику :) это уже что-то!
значит проблема в днс
сервера днс с которыми работает роутер:
172.17.192.240
172.17.192.252
172.17.192.254
они почему-то не пингуются из MANа, хотя в LANе с этим проблем нет
172.17.183.48 пингуется
и ya.ru пингуется и гугл пингуется и грузятся браузером если по айпишнику :) это уже что-то!
значит проблема в днс
сервера днс с которыми работает роутер:
172.17.192.240
172.17.192.252
172.17.192.254
они почему-то не пингуются из MANа, хотя в LANе с этим проблем нет
Да, проблема в днс. Сервера из MAN и не должны работать. Чтобы работали, нужно ещё одну строчку добавить, разрешающую прохождение MAN <-> MAN
iptables -I FORWARD $((index+2)) -o vlan1 -i vlan1 -j ACCEPT
А чтобы можно было снаружи использовать сам роутер как DNS-сервер, нужно выполнить ешё некоторые действия.
Заработало!!!
Power, огромное спасибо!
"А чтобы можно было снаружи использовать сам роутер как DNS-сервер, нужно выполнить ещё некоторые действия."
какие именно не можете подсказать?
вот вопрос, зачем нужна такая строгая последовательность
( $((index+2)) )?
и еще одна проблемка, у меня стоит фильтр по макам, LAN сеть он фильтрует железно, никуда не пускает с левым маком, а вот MAN не хочет фильтровать, пускает всех, почему это так? тут же интерфейс не указан, по идее ему должно быть все равно из какой сети
Chain MACS (2 references)
pkts bytes target prot opt in out source destination
2489K 2481M RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 MAC 00:67:67:22:29:24
231K 11M RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 MAC 00:27:6D:23:55:47
960K 69M RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 MAC 00:03:1F:5B:D7:E2
0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 MAC 00:1E:64:EA:BD:4A
36113 13M DROP all -- * * 0.0.0.0/0 0.0.0.0/0
"А чтобы можно было снаружи использовать сам роутер как DNS-сервер, нужно выполнить ещё некоторые действия."
какие именно не можете подсказать?
Что-то вроде
iptables -t nat -I VSERVER 1 -p udp -m udp --dport 53 -j DNAT --to-destination 192.168.1.1
iptables -I INPUT 2 -d 192.168.1.1 -p udp -m udp --dport 53 -j ACCEPT
вот вопрос, зачем нужна такая строгая последовательность
( $((index+2)) )?
Вкратце - чтобы работало. Более подробно - читайте руководство по iptables.
и еще одна проблемка, у меня стоит фильтр по макам, LAN сеть он фильтрует железно, никуда не пускает с левым маком, а вот MAN не хочет фильтровать, пускает всех, почему это так? тут же интерфейс не указан, по идее ему должно быть все равно из какой сети
Интерфейс указан в правиле, которое осуществляет переход на цепочку MACS:
Chain FORWARD (policy ACCEPT 64 packets, 5511 bytes)
pkts bytes target prot opt in out source destination
206 19046 MACS all -- br0 * 0.0.0.0/0 0.0.0.0/0
огромное Человеческое спасибо!:cool: просветил неуча
Я не разобрался как реализовать данную задумку, поэтому создал топик.
Задача: У меня есть роутер wl500gp v2, соответственно по VPN роутер подключен к инету, и у нас имеется местная локальная сеть( как раз в ней и стоит VPN сервер ) а также у меня есть друг в этой локальной сети, и мы решили что было бы выгоднее платить за 1 инет на 2их, но я не знаю как раздать ему интернет, т.е. во первых как принципиально мне дать возможность людям из моей сети инет, а во вторых только определенным айпи, сейчас я поднял проксю, но так мой друг получает возможность пользоваться только http и ftp, также получилось поднять у себя на компьютере sock сервер, и он смог попользоваться другими возможностями через socks cap, но эти варианты нас не устраивают наверняка можно сделать намного проще, если кто знает как то буду признателен.
Если ваш роутер и его комп видят друг друга напрямую (это поможет выяснить команда, запущенная в консоли роутера, arping -c 3 -I vlan1 IP_компа_друга), то можно воспользоваться NAT. Если нет - то вам поможет что-то типа установки OpenVPN-сервера на роутер.
Не могли бы вы поподробней рассказать про NAT, а именно я так понимаю вы имеете в виду IP Masquerading ? Если так то я что то не смог найти внятных статей по настройке сего на роутере, если просветите или поделитесь парой ссылок буду признателен.
Ссылка - вот, например: NAT в WAN интерфейс (http://wl500g.info/showthread.php?t=23068).
А вы пробовали команду выполнить, которую я привёл? А то, возможно, вам это не подойдёт.
2 Power: Огромное спасибо за ссылку, это именно том что мне надо.
Но по мере того как я стал разбираться у меня возникли некоторые проблемы..
Во первых я сделал iptables-save и получил:
# Generated by iptables-save v1.2.7a on Wed Jun 30 18:22:53 2010
*nat
:PREROUTING ACCEPT [989:129071]
:POSTROUTING ACCEPT [72:4322]
:OUTPUT ACCEPT [75:4502]
:VSERVER - [0:0]
-A PREROUTING -d 10.201.1.201 -j VSERVER
-A PREROUTING -d 192.168.38.37 -j VSERVER
-A PREROUTING -i vlan1 -p tcp -m tcp --dport 3128 -j DNAT --to-destination 192.168.1.1:3128
-A POSTROUTING -s ! 10.201.1.201 -o ppp0 -j MASQUERADE
-A POSTROUTING -s ! 192.168.38.37 -o vlan1 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -d 192.168.1.0/255.255.255.0 -o br0 -j MASQUERADE
-A VSERVER -p tcp -m tcp --dport 33977 -j DNAT --to-destination 192.168.1.216:33977
-A VSERVER -p udp -m udp --dport 57776 -j DNAT --to-destination 192.168.1.128:57776
-A VSERVER -p udp -m udp --dport 56474 -j DNAT --to-destination 192.168.1.128:56474
-A VSERVER -p udp -m udp --dport 60453 -j DNAT --to-destination 192.168.1.128:60453
-A VSERVER -p udp -m udp --dport 51387 -j DNAT --to-destination 192.168.1.128:51387
-A VSERVER -p udp -m udp --dport 22688 -j DNAT --to-destination 192.168.1.128:22688
-A VSERVER -p udp -m udp --dport 49581 -j DNAT --to-destination 192.168.1.128:49581
-A VSERVER -p tcp -m tcp --dport 22688 -j DNAT --to-destination 192.168.1.128:22688
-A VSERVER -p udp -m udp --dport 49491 -j DNAT --to-destination 192.168.1.128:49491
-A VSERVER -p udp -m udp --dport 63792 -j DNAT --to-destination 192.168.1.128:63792
-A VSERVER -p udp -m udp --dport 59155 -j DNAT --to-destination 192.168.1.128:59155
-A VSERVER -p udp -m udp --dport 59280 -j DNAT --to-destination 192.168.1.128:59280
-A VSERVER -p udp -m udp --dport 49953 -j DNAT --to-destination 192.168.1.128:49953
-A VSERVER -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.1.128:21
-A VSERVER -p udp -m udp --dport 21 -j DNAT --to-destination 192.168.1.128:21
-A VSERVER -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.1.117:21
-A VSERVER -p udp -m udp --dport 21 -j DNAT --to-destination 192.168.1.117:21
-A VSERVER -p tcp -m tcp --dport 8085 -j DNAT --to-destination 192.168.1.216:8085
-A VSERVER -p udp -m udp --dport 8085 -j DNAT --to-destination 192.168.1.216:8085
-A VSERVER -p tcp -m tcp --dport 1080 -j DNAT --to-destination 192.168.1.216:1080
-A VSERVER -p udp -m udp --dport 1080 -j DNAT --to-destination 192.168.1.216:1080
COMMIT
# Completed on Wed Jun 30 18:22:53 2010
# Generated by iptables-save v1.2.7a on Wed Jun 30 18:22:53 2010
*mangle
:PREROUTING ACCEPT [8332:2638559]
:INPUT ACCEPT [4491:848796]
:FORWARD ACCEPT [3571:1738353]
:OUTPUT ACCEPT [3179:775104]
:POSTROUTING ACCEPT [6795:2534101]
COMMIT
# Completed on Wed Jun 30 18:22:53 2010
# Generated by iptables-save v1.2.7a on Wed Jun 30 18:22:53 2010
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [202:29151]
:OUTPUT ACCEPT [2482:344380]
:MACS - [0:0]
:SECURITY - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i br0 -m state --state NEW -j ACCEPT
-A INPUT -i ppp0 -m state --state NEW -j SECURITY
-A INPUT -d 192.168.1.1 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -j DROP
-A INPUT -p tcp -m tcp --dport 3128 -j ACCEPT
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ! br0 -o ppp0 -j DROP
-A FORWARD -i ! br0 -o vlan1 -j DROP
-A FORWARD -i ! br0 -m state --state NEW -j SECURITY
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -o br0 -j DROP
-A SECURITY -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j DROP
-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logaccept -j ACCEPT
-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logdrop -j DROP
COMMIT
# Completed on Wed Jun 30 18:22:53 2010
И меня очень удивило следующие, в таблице NAT есть куча правил которые я не создавал, в файле post-firewall их разумеется нету, и как их перманентно убрать я не сообразил, я говорю вот об этих правилах:
-A VSERVER -p tcp -m tcp --dport 33977 -j DNAT --to-destination 192.168.1.216:33977
-A VSERVER -p udp -m udp --dport 57776 -j DNAT --to-destination 192.168.1.128:57776
-A VSERVER -p udp -m udp --dport 56474 -j DNAT --to-destination 192.168.1.128:56474
-A VSERVER -p udp -m udp --dport 60453 -j DNAT --to-destination 192.168.1.128:60453
-A VSERVER -p udp -m udp --dport 51387 -j DNAT --to-destination 192.168.1.128:51387
-A VSERVER -p udp -m udp --dport 22688 -j DNAT --to-destination 192.168.1.128:22688
-A VSERVER -p udp -m udp --dport 49581 -j DNAT --to-destination 192.168.1.128:49581
-A VSERVER -p tcp -m tcp --dport 22688 -j DNAT --to-destination 192.168.1.128:22688
-A VSERVER -p udp -m udp --dport 49491 -j DNAT --to-destination 192.168.1.128:49491
-A VSERVER -p udp -m udp --dport 63792 -j DNAT --to-destination 192.168.1.128:63792
-A VSERVER -p udp -m udp --dport 59155 -j DNAT --to-destination 192.168.1.128:59155
-A VSERVER -p udp -m udp --dport 59280 -j DNAT --to-destination 192.168.1.128:59280
-A VSERVER -p udp -m udp --dport 49953 -j DNAT --to-destination 192.168.1.128:49953
-A VSERVER -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.1.117:21
-A VSERVER -p udp -m udp --dport 21 -j DNAT --to-destination 192.168.1.117:21
(на всякий случай уточню, 192.168.1.216 - это стационарный ПК подключенный к роутеру по шнуру в порт LAN1, 192.168.1.128 - это ноутбук подключаемый по wifi)
Сейчас и основной компьютер и ноутбук забиты в DHCP Server и получают одни и те же ip, и сразу хотел бы спросить, как сделать так чтобы доступ к роутеру был только по MAC адресам, а именно я хочу чтобы только компьютеры квартиры и компьютер друга из внешней(провайдерской сети) могли пользоваться роутером.(просто судя по вашим постам из топика NAT в WAN, там нигде не разграничивается кто может пользоваться из внешней сети интернетом туда переправляемым)
Далее я попробовал воспользоваться вашим советом по тому как раздать интернет пришедший по VPN в WAN в сеть подключенную в этот же WAN:
index=`iptables -L FORWARD -nv --line-numbers | grep 'RELATED,ESTABLISHED' | cut -d ' ' -f 1 -s`
echo $index
iptables -I FORWARD $((index+1)) -o ppp0 -i eth1 -j ACCEPT
iptables -L FORWARD -nv
и для работы DNS
iptables -I FORWARD $((index+2)) -o vlan1 -i vlan1 -j ACCEPT
Но у моего друга инета так и не появилось(его айпи в внешней сети 192.168.38.25, а айпи роутера 192.168.38.37), не могу понять в чем дело..
Прочая инфа:
[admin@wl500gp_v2 sbin]$ ifconfig -a
br0 Link encap:Ethernet HWaddr 00:1F:C6:3C:1D:FD
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::21f:c6ff:fe3c:1dfd/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:7245 errors:0 dropped:0 overruns:0 frame:0
TX packets:7768 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:2437292 (2.3 MiB) TX bytes:4209476 (4.0 MiB)
eth0 Link encap:Ethernet HWaddr 00:1F:C6:3C:1D:FD
inet6 addr: fe80::21f:c6ff:fe3c:1dfd/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:17849 errors:0 dropped:0 overruns:0 frame:0
TX packets:10493 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:4307961 (4.1 MiB) TX bytes:4612230 (4.3 MiB)
Interrupt:4 Base address:0x1000
eth1 Link encap:Ethernet HWaddr 00:1F:C6:3C:1D:FD
inet6 addr: fe80::21f:c6ff:fe3c:1dfd/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:2952
TX packets:0 errors:1612 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
Interrupt:13 Base address:0x5000
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MULTICAST MTU:16436 Metric:1
RX packets:2032 errors:0 dropped:0 overruns:0 frame:0
TX packets:2032 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:175852 (171.7 KiB) TX bytes:175852 (171.7 KiB)
ppp0 Link encap:Point-Point Protocol
inet addr:10.201.1.201 P-t-P:213.85.251.254 Mask:255.255.255.255
UP POINTOPOINT RUNNING MULTICAST MTU:1400 Metric:1
RX packets:1155 errors:0 dropped:0 overruns:0 frame:0
TX packets:1090 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:643567 (628.4 KiB) TX bytes:211215 (206.2 KiB)
sit0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
NOARP MTU:1480 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
vlan0 Link encap:Ethernet HWaddr 00:1F:C6:3C:1D:FD
inet6 addr: fe80::21f:c6ff:fe3c:1dfd/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:7245 errors:0 dropped:0 overruns:0 frame:0
TX packets:8674 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:2466260 (2.3 MiB) TX bytes:4298570 (4.0 MiB)
vlan1 Link encap:Ethernet HWaddr 00:1F:C6:3C:1D:FD
inet addr:192.168.38.37 Bcast:192.168.38.255 Mask:255.255.255.0
inet6 addr: fe80::21f:c6ff:fe3c:1dfd/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:10602 errors:0 dropped:0 overruns:0 frame:0
TX packets:1816 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1520287 (1.4 MiB) TX bytes:313442 (306.0 KiB)
[admin@wl500gp_v2 sbin]$ route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.111.1 192.168.38.1 255.255.255.255 UGH 1 0 0 vlan1
192.168.38.0 0.0.0.0 255.255.255.0 U 0 0 0 vlan1
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 213.85.251.254 0.0.0.0 UG 0 0 0 ppp0
0.0.0.0 192.168.38.1 0.0.0.0 UG 1 0 0 vlan1
index=`iptables -L FORWARD -nv --line-numbers | grep 'RELATED,ESTABLISHED' | cut -d ' ' -f 1 -s`
echo $index
iptables -I FORWARD $((index+1)) -o ppp0 -i vlan1 -j ACCEPT
У тебя MAN сеть на vlan1 висит, а не на Eth1.
Цепочка VSERVER результат upnp
Как верно отметил TheSAS, в цепочку VSERVER правила добавляются либо из веб-морды (страница Virtual Servers), либо с помощью UPnP. Если это второе, то удалить их можно либо вручную по одному (http://wl500g.info/showpost.php?p=90226&postcount=2) (нет гарантии, что они не появятся снова), либо полностью отключив UPnP в веб-морде.
Далее, в правиле
iptables -I FORWARD $((index+1)) -o ppp0 -i eth1 -j ACCEPT
вам нужно заменить eth1 на vlan1.
На всякий случай отмечу, что строчки
echo $index
iptables -L FORWARD -nv
нужны только для диагностики, они не изменяют состояние и прописывать их в post-firewall не нужно.
А в качестве DNS ваш друг прописывает сервера провайдера или ваш роутер? Если провайдера, то какие у них адреса? От этого зависит, какие команды использовать.
Значит попробовал то что вы написали - никакого результата, хотя забавный факт, у него работает скайп через меня както, в силу того что видимо порты в UPnP открылись, и торрент, правда торрент пишет скорость ,мол качает , но на самом деле ничего не качает..
Меня волнует что в этой схеме нигде не стоит правила для iptables которое разрешило бы ему пользоваться роутером, я пробовал писать
iptables -A INPUT -s 192.168.38.25 -j ACCEPT
Что касается DNS то у нашего провайдера адрес 192.168.38.1 по крайней мере я указываю такой, он пробовал указывать и ДНС моего роутера соответственно 192.168.38.37 и провайдерский результат нулевой.
Еще странно что когда он заходит на мой роутер по http то не попадает ко мне на сервер(lighttpd), т.е. не может достучаться(пробовал писать iptables -A INPUT -p 'tcp' --dport 80 -j ACCEPT но все тщетно) , а еще возник такой вопрос, когда у меня кончаются деньги на интернете то провайдер подпихивает свою картинку вместо любого сайта, типо ,что инет кончился, может ли быть такой что даже когда мой друг будет через меня загружать сайты, провайдер будет видеть его айпи и пихать ему эту картинку или все пакеты от роутера в интернет уже сейчас идут с айпи
С веб интерфейсом разобрался, стоило правильно порт открыть..
iptables -I INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 192.168.38.25 -j ACCEPT
Удали ето правило.
Проверь ping 8.8.8.8 (что нибудь по IP адресу), если есть ответ значит проблема в днс. Днс пропиши любой общедоступный (OpenDNS, UltraDNS, googleDNS).
Во-первых, присоединяюсь к TheSAS.
Во-вторых, "пользоваться роутером" и "пользоваться интернетом через роутер" - разные вещи. Мы тут пытаемся сделать второе, поэтому используем цепочку FORWARD.
И кстати, общее замечание: у вас слишком много вопросов, давайте последовательно их решать. Сначала просто интернет через роутер.
Пропишите в post-firewall следующее (после !#/bin/sh):
index=`iptables -L FORWARD -nv --line-numbers | grep 'RELATED,ESTABLISHED' | cut -d ' ' -f 1 -s`
iptables -I FORWARD $((index+1)) -o ppp0 -i vlan1 -j ACCEPT
iptables -I FORWARD $((index+2)) -o vlan1 -i vlan1 -j ACCEPT
Сохраните, перезагрузите роутер и выполните
iptables-save
Затем покажите результат. А друг после этого пусть попробует, как уже было сказано ранее, попинговать что-нибудь по IP-адресу (что-нибудь из внешнего мира, что отвечает на пинги).
Вот таблица, извеняюсь что долго не писал у провайдера проблемы были..
# Generated by iptables-save v1.2.7a on Sun Jul 11 12:50:58 2010
*nat
:PREROUTING ACCEPT [216244:22467642]
:POSTROUTING ACCEPT [7828:450649]
:OUTPUT ACCEPT [6332:402623]
:VSERVER - [0:0]
-A PREROUTING -d 10.201.1.201 -j VSERVER
-A PREROUTING -d 192.168.38.37 -j VSERVER
-A PREROUTING -i vlan1 -p tcp -m tcp --dport 3128 -j DNAT --to-destination 192.168.1.1:3128
-A POSTROUTING -s ! 10.201.1.201 -o ppp0 -j MASQUERADE
-A POSTROUTING -s ! 192.168.38.37 -o vlan1 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -d 192.168.1.0/255.255.255.0 -o br0 -j MASQUERADE
-A VSERVER -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.1.1:8080
-A VSERVER -p tcp -m tcp --dport 35382 -j DNAT --to-destination 192.168.1.216:35382
-A VSERVER -p udp -m udp --dport 35382 -j DNAT --to-destination 192.168.1.216:35382
-A VSERVER -p tcp -m tcp --dport 8085 -j DNAT --to-destination 192.168.1.216:8085
-A VSERVER -p udp -m udp --dport 8085 -j DNAT --to-destination 192.168.1.216:8085
-A VSERVER -p tcp -m tcp --dport 1080 -j DNAT --to-destination 192.168.1.216:1080
-A VSERVER -p udp -m udp --dport 1080 -j DNAT --to-destination 192.168.1.216:1080
-A VSERVER -p tcp -m tcp --dport 1024 -j DNAT --to-destination 192.168.1.216:1024
-A VSERVER -p udp -m udp --dport 1024 -j DNAT --to-destination 192.168.1.216:1024
-A VSERVER -p udp -m udp --dport 33977 -j DNAT --to-destination 192.168.1.216:33977
-A VSERVER -p tcp -m tcp --dport 33977 -j DNAT --to-destination 192.168.1.216:33977
COMMIT
# Completed on Sun Jul 11 12:50:59 2010
# Generated by iptables-save v1.2.7a on Sun Jul 11 12:50:59 2010
*mangle
:PREROUTING ACCEPT [5978674:2023421474]
:INPUT ACCEPT [1696159:449765392]
:FORWARD ACCEPT [4225663:1560110086]
:OUTPUT ACCEPT [2527951:1100940576]
:POSTROUTING ACCEPT [7048694:2676444710]
COMMIT
# Completed on Sun Jul 11 12:50:59 2010
# Generated by iptables-save v1.2.7a on Sun Jul 11 12:50:59 2010
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [276328:17934923]
:OUTPUT ACCEPT [2478046:1092177592]
:MACS - [0:0]
:SECURITY - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i br0 -m state --state NEW -j ACCEPT
-A INPUT -i ppp0 -m state --state NEW -j SECURITY
-A INPUT -d 192.168.1.1 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -d 192.168.1.1 -p tcp -m tcp --dport 8080 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m tcp --dport 515 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 9100 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3838 -j ACCEPT
-A INPUT -j DROP
-A INPUT -p tcp -m tcp --dport 3128 -j ACCEPT
-A FORWARD -d 192.168.1.216 -p tcp -m tcp --dport 33977 -j ACCEPT
-A FORWARD -d 192.168.1.216 -p udp -m udp --dport 33977 -j ACCEPT
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i vlan1 -o ppp0 -j ACCEPT
-A FORWARD -i vlan1 -o vlan1 -j ACCEPT
-A FORWARD -i ! br0 -o ppp0 -j DROP
-A FORWARD -i ! br0 -o vlan1 -j DROP
-A FORWARD -i ! br0 -m state --state NEW -j SECURITY
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -o br0 -j DROP
-A SECURITY -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j DROP
-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logaccept -j ACCEPT
-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logdrop -j DROP
COMMIT
# Completed on Sun Jul 11 12:50:59 2010
Все заработало включая сайты и ДНС пашет, Огромное человеческое спасибо!
Если вам не сложно подскажите как мне ограничить доступ только для друга, и еще есть ли возможность что провайдер как то поймет что я поступаю нечестно, и если есть то как с этим бороться?
Я так предпологаю, что провайдер таки может увидеть что пакеты адресованы к человеку из его сети от меня и поругаться, хотя может я и не прав..
Подскажите, пожалуйста, где можно почитать как поднять OpenVPN сервер на роутере?
iptables -I FORWARD $((index+1)) -s 192.168.38.25 -o ppp0 -i vlan1 -j ACCEPT
Провайдер скорее всего никак не обнаружит такое расшаривание.
Если работает, то и будет работать. Если захотят обнаружить, или именно ты раздаешь инет своему другу, то обнаружат )
Помогите советом. Есть локальная сеть предприятия с ip 10.80.203.* c маской 255.255.255.0 и ADSL модем с ip 192.168.0.1 по которому приходит интернэт. по ip адресу 10.80.203.15 находится прокси реализованный на UserGete 4. Как реализовать на ASUS w500gPv2 функцию UserGate чтобы сохранить доступ к локальным адресам и так же работу с интернетом.
FilimoniC
16-05-2011, 10:50
Помогите советом. Есть локальная сеть предприятия с ip 10.80.203.* c маской 255.255.255.0 и ADSL модем с ip 192.168.0.1 по которому приходит интернэт. по ip адресу 10.80.203.15 находится прокси реализованный на UserGete 4. Как реализовать на ASUS w500gPv2 функцию UserGate чтобы сохранить доступ к локальным адресам и так же работу с интернетом.
Использовать любой другой Proxy доступный под wl500g?
Нифига не понятно, зачем вам вообще wl500g и при чем тут склейка локалки с инетом
skillman
12-10-2011, 09:05
Приветствую собравшуюсю аудиторию.
У меня провайдер от корого я получаю инет чере pptp соединение все нормально.
Я хочу настроить подключение к инету моих родственников через меня, чтобы не платить дважды.
В наличии Asus N16, какие деи и предложения?
Я представялю это следующим образом.
НА n16 настраивается vpn сервер и уже пользователи из локальной сети провайдера ко мне подключаеюся и я им даю инет.
В наличии Asus N16, какие деи и предложения?
в конец народ обленился,
на 10 топиков ранее всё по полкам разложено,
что и как делать!
и не имеет значения какой у вас роутер, соединение и прочая лабуда.
Доброго!
Сложилась такая ситуация, что провайдер оставляет на Новый Год без интернета в связи с работами на биллинге (не может оформить подключение). Соответственно, вся надежда на товарища в этой-же сети, что бы подключиться к интернету через него.
Конфигурация
Клиент 1: 10.1.12.21 (255.255.255.0), GW 10.1.12.1, WL500G, PPPoP - логин, пароль, хост, интернет есть :)
Клиент 2: 10.1.24.42 (255.255.255.0), GW 10.1.24.1, Linksys E2500, интернета нет :(
Возможность связи между этими клиентами не исследовалась, но предположим, что она есть (не думаю, что провайдер перекрыл доступ на внутренних роутерах для неавторизированных клиентов).
Что пришло в голову:
1. Поставить на WL500G (10.1.12.21) небольшой прокси (какой?) с авторизацией (ну или без оной), в настройках браузера поставить 10.1.12.21:8080, на Linksys настроить маршрут 10.1.12.21 -> 10.1.24.1 и ждать ответа.
2. Туннель (тут я плаваю). Вроде через openvpn + роутинги. Т.е. поставить на WL500G (10.1.12.21) openvpn сервер (добавляется новый интерфейс, как я понимаю) и все с него зароутить на GW, который выдает провайдер после PPPoP подключения. На Linksys, соответственно, openvpn клиент (+интерфейс) и весь трафик зароутить на него...
В каком направлении копать порекомендуете?
Спасибо,
Саша
провайдер перекрыл доступ на внутренних роутерах для неавторизированных клиентов
Таки перекрыл:
[admin@WL500 root]$ route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
...
192.168.1.0 * 255.255.255.0 U 0 0 0 br0
10.151.12.0 * 255.255.255.0 U 0 0 0 vlan1
10.151.24.0 10.151.12.1 255.255.255.0 UG 1 0 0 vlan1
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default 10.151.12.1 0.0.0.0 UG 1 0 0 vlan1
[admin@WL500 root]$ ping 10.151.24.1
PING 10.151.24.1 (10.151.24.1): 56 data bytes
84 bytes from 10.151.24.1: icmp_seq=0 ttl=254 time=241.7 ms
84 bytes from 10.151.24.1: icmp_seq=1 ttl=254 time=8.3 ms
--- 10.151.24.1 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 8.3/125.0/241.7 ms
[admin@WL500 root]$ ping 10.151.24.42
PING 10.151.24.42 (10.151.24.42): 56 data bytes
--- 10.151.24.42 ping statistics ---
3 packets transmitted, 0 packets received, 100% packet loss
iptables -I FORWARD $((index+1)) -s 192.168.38.25 -o ppp0 -i vlan1 -j ACCEPT
Провайдер скорее всего никак не обнаружит такое расшаривание.
Если работает, то и будет работать. Если захотят обнаружить, или именно ты раздаешь инет своему другу, то обнаружат )
Ну это как-бы логично, но ещё нужно и у источника указать куда какие пакеты пихать.
Ситуация в общем приблизительно аналогичная. Пробую раздать PPP0 инет самому себе с одной квартиры на другую. Естественно локальные сегменты разные.
Например раздающий роутер на 10.1.1.1 (ppp0 172.4.4.4, br0 192.168.1.x) а принимающий на 10.2.2.2 (br0 192.168.1.x).
Вышеприведённую строку записываю в post-firewall в iptables изменения появляются, но вполне естественно ничего не работает.
Принимающему нужно указать что пакеты адресованные не на 10.х.х.х и не на 192.168.1.х нужно отNATит и отослать прямиком на 10.1.1.1, а тот в соответствии с вышеведенным правилом перенаправится в PPP0.
ОДНАКО! как указать раздающему чтобы он отсылал приходяшие с PPP0 пакеты не только к себе в br0, но ещё и принимающему. Мне кажется в любом случае будет бардак.
chelsanya
14-04-2013, 18:14
Немного лирики. Сижу у провайдера интерсвязь, как и многие мои знакомые))) платим по 500р в месяц, несправедливо :rolleyes:
У меня есть роутер dir-320 с прошивкой от олега (теоретически если все заработает, можно поменять на более производительный)
Идея настроить этот роутер так, чтобы он через одно pptp-анлим соединение пускал всех товарищей 10.х.х.х(5-7чел) в интернет ну и меня из внутреней сети роутера 192.х.х.х
провайдер дает динамический адрес wan 10.х.х.х (есть внутрений дднс, спасет я думаю)на роутере поднимается соединение pptp. А как дальше быть не понятно.
9519
Прокси не подходит, из за кривости работы приложений.
Установить в настройках товарищей гейт и днс не провайдера а роутера? чот не оч хочет работать. да и динамический ип замучаешься менять, по крайне мере я не понял, как можно имя хоста, засунуть в винду.
Или заморочится с openVPN.
Курю тему http://wl500g.info/showthread.php?8880-%D3%F1%F2%E0%ED%EE%E2%EA%E0-OpenVPN-%E2-%EE%F1%ED%EE%E2%ED%F3%FE-%EF%E0%EC%FF%F2%FC-%E4%EB%FF-%CD%CE%C2%C8%D7%CA%CE%C2
настройки сомого роутера из для провайдера. http://www.is74.ru/support/manuals/wireless/520gc_vpn.php?sphrase_id=348730
Помогите пожалуйста. разобратся, настроить это все.
chelsanya
15-04-2013, 17:10
Ню вот openvpn поставил из скрипта для чайников http://rung.narod.ru/man.htm
По опенвпну столько много поискового шума, что пока непонятно что с ним дальше делать(