Bekijk de volledige versie : Ограничение доступа к интернету по расписанию
Десятиклассница засиживается в Интернете допоздна. Как сделать, чтобы с 23:00 до 6:00 падал интернет со всеми аськами на дочкином 192.168.1.205 компьютере с воскресенья по четверг? А что бы другие домашние компьютеры и принтер она продолжала видеть? IP адреса у компьютеров статические: 192.168.1.201 – 204, раутер работает как Home Gateway, прошивка Олега 1.9.2.7-8
Нашел несколько подобных вопросов на этом форуме. Спецы либо отправляют к четырёхсот-страничной инструкции по iptables либо просто оставляют без ответа.
Я не линуксоид и полагаюсь на веб-интерфейс раутера. В D-Link с этим было просто: мак адрес, день недели, временное окно. Фильтровал как маузер, но внезапно издох.
У WL-500gP вроде есть подходящий раздел в настройках раутера: Internet Firewall – WAN & LAN Filter, но в отличии от D-Link там помимо дней недели и времени ещё 12 хитрых окошек - ну конечно: «РЕКОМЕНДУЕТСЯ к покупке WL500g Premium, как наиболее гибкая и быстрая модель в этом семействе», читал, ведь, прежде чем купить... Чего в эти окошки не пихал – если стоит галка на этом дне недели, дочкин интернет падает сразу, не взирая на установленное время.
Думаю, что 95% пользователей раутеров не умеют писать скрипты и я к сожалению среди них. Но при этом у меня в сетке 3 компьютера на кабеле + разшаренный принтер + ноутбук и две PSP на Wi-Fi + торрент поставляет HD видео на плазму, всё настроено, всё видно, Корбинские 4 Мбит/сек работают на полную и днём и ночью, жизнь удалась.
Здесь очередное спасибо Олегу: короткая и очень user friendly (что редкость на русско-язычной части сайта) инструкция по ускорению PPTP Корбины сделала чудо, скорость поднялась в три раза. Но на это потребовалось упорство г-на Суходольского… за что и ему низкий поклон.
Моя проблема с ребёнком распространенная, WL-500gP популярен и продаётся по сей день. Исходя из этого не мог бы кто-то из спецов спуститься на землю с инструкцией, как это решить через веб морду раутера? Инструкцией для маленьких смешных юзеров?
Если таковая на сайте уже присутствует – прошу прощения – не могли бы носом ткнуть?
Буду чрезвычайно признателен!
nightrus
13-11-2007, 22:43
LAN to WAN Filter enable
выставляете дни недели, время, оставляете ACCEPT
в табличку добавляете ip компа дочери, пусто, пусто, 80
(так закрывается веб, для аськи, фтп и т.д. свои порты)
Большое спасибо nightrus.
Сделал, как вы предложили - поставил текущий день недели и время 23:30 23:32 для теста. Add, Save&Restart... веб упал сразу, ещё до наступления двухминутного окна и не восстановился пока не стёр это правило в фильтре.
Экспериментировал ещё - если стоит галка на текущем дне - время пофигу - веб падает.
Может этот фильтр не дописан? А Олегу он и не нужен в принципе, спецы это делают по другому.
Прошивка 1.9.2.7-8. Сейчас попробовал, всё работает.
Всем привет :) .. есть вот такая проблема - надо как то научить роутер блокировать весь входящий и исходящий трафик (желательно с определенных внутренних ip на все внешние, то еть отвалиться от интернета по всем параметрам, включая icq и почтовик) с 0-30 ночи по 6 утра... я как то смог решить подобную задачу на официальной прошивке (там можно задать блокируемые слова) но, к сожалению на прошивке Олега, такого сделать не смог :( ... выручайте парни, я не могу уже, жена спать уже не ложиться, она блин задолбала своим орифлеймом, не буду блокировать, ничего не поможет. (а себя задолбает - здоровье переведет., хоть у нее уже зарплата там стала как у меня, но блин, не круглосуточно работать же!)
прошивка 1.9.2.7-8
.... вернее так, чтобы инет полностью накрывался у всех, включая DMZ с определенного времени по определенное.
Internet Firewall => WAN & LAN Filter => LAN to WAN Filter. Но вроде (могу и ошибаться) это к сожалению не будет влиять на уже установленные tcp сессии. То есть аську не рубанёт, в этом случае нужно на уровне iptables химичить.
А эту штуку я юзал на официальной прошивке - там можно вогнать слово и будет по нему блок на определенное время начинаться, а в этой можно только ip указать - но к сожалению я не могу просто перечислить сайты на которые отрубится .... и это не сможет наверняка влиять на dmz зону...
.... вернее так, чтобы инет полностью накрывался у всех, включая DMZ с определенного времени по определенное.
Вариантов много, например:
1. Сделайте в crontab (как - ищите на форуме) две записи:
00 1 * * * root /usr/sbin/iptables -I FORWARD -i vlan1 -j DROP
00 10 * * * root /usr/sbin/iptables -D FORWARD -i vlan1 -j DROP
Эти правила выполнят в 1:00 /usr/sbin/iptables с параметрами, которые полностью запретят весь входящий через vlan1 трафик. Этого достаточно.
Вторая команда удалит из iptables блокирующее трафик правило в 10:00.
Далее возможны любые варианты.
Существенный недостаток - перезагрузка удалит правило, т.к. команды выполняются лишь раз в указанное время. Возможное решение - сохранять состояние во flashfs каждый раз, но это как минимум 2 записи в сутки... Другой вариант - дополнительно проверять интервал времени в стартовом скрипте, и в зависимости от него исполнять то или иное правило.
2. Можно настроить knockd так, чтобы на определенную комбинацию пакетов выполнялась команда. Тогда в любой момент можно удаленно заставить устройство выполнить нужную команду (хотя, по сути, можно открыть ssh, и...).
Недостатки - те же, способ их обходить - тот же.
Мдаа, а я надеялся что можно найти чтото вроде того же пункта про файрвол, то есть, может попросить Олега, чтобы он прописал такую закладку, как еще одну фичу? .. то есть чтобы можно было выбрать дни недели, время, когда определенные внутренние ip отрубались от инета.?... ато чувствую что меня не хватит на глубокую настройку. :o
Ilmarinen
12-12-2007, 06:56
Мдаа, а я надеялся что можно найти чтото вроде того же пункта про файрвол, то есть, может попросить Олега, чтобы он прописал такую закладку, как еще одну фичу? .. то есть чтобы можно было выбрать дни недели, время, когда определенные внутренние ip отрубались от инета.?... ато чувствую что меня не хватит на глубокую настройку. :o
Вот такое правило роутер "проглотил"
iptables -I FORWARD -m time --timestart 00:30:00 --timestop 06:00:00 --days Mon,Tue,Wed,Thu,Fri -j DROP
оно по "замыслу" должно дропать все пакеты в указанном временном интервале, дополнительными условиями можно убивать пакеты более избирательно. Правило следует добавить в post-firewall чтобы оно "выживало" при перезагрузке железки.
К сожалению, проверить на практике как правило работает возможности не было.
Вот такое правило роутер "проглотил"
iptables -I FORWARD -m time --timestart 00:30:00 --timestop 06:00:00 --days Mon,Tue,Wed,Thu,Fri -j DROP
оно по "замыслу" должно дропать все пакеты в указанном временном интервале, дополнительными условиями можно убивать пакеты более избирательно. Правило следует добавить в post-firewall чтобы оно "выживало" при перезагрузке железки.
К сожалению, проверить на практике как правило работает возможности не было.
Да, это будет работать.
Не стал предлагать, т.к. упустил из виду, что все же собран
/usr/lib/iptables/libipt_time.so.
Тогда это и правда - самое простое решение.
Только вот удалить это правило, банально заменив "-I" на "-D", не получится. :)
PS: Правила в FORWARD не будут относиться к трафику самого роутера, не забывайте.
Мдаа, а я надеялся что можно найти чтото вроде того же пункта про файрвол, то есть, может попросить Олега, чтобы он прописал такую закладку, как еще одну фичу? .. то есть чтобы можно было выбрать дни недели, время, когда определенные внутренние ip отрубались от инета.?... ато чувствую что меня не хватит на глубокую настройку. :o
Я не пойму, с чего весь сыр-бор.
Вот смотрите:
Internet Firewall - WAN & LAN Filter
Date to Enable LAN to WAN Filter:
Time of Day to Enable LAN to WAN Filter:
Date to Enable WAN to LAN Filter:
Time of Day to Enable WAN to LAN Filter:
Всё. Читаем мануал, хлопаем в ладоши. :D
Я эту тему даже не читал, ибо RTFM.
Я не пойму, с чего весь сыр-бор.
С того, что человек сказал:
"желательно с определенных внутренних ip на все внешние, то еть отвалиться от интернета по всем параметрам, включая icq и почтовик) с 0-30 ночи по 6 утра... я как то смог решить подобную задачу на официальной прошивке (там можно задать блокируемые слова) но, к сожалению на прошивке Олега, такого сделать не смог "
Все от этого и отталкивались, т.к., судя по словам человека, о "штатной" возможности ему известно.
.. всем спасибо, кто откликнулся.
piezomotor
28-12-2007, 20:27
Я вот тут ссылочку поместил:
http://wl500g.info/showthread.php?t=12168
Все уже давно проделано умельцами из XWRT. Сам проверял- работает "зверь" на моем WR800G с XWRT. Причем я отрубаю не все компы, а только один или два когда времечко для мальца наступает идти в люлю...
Ну а как это настроить для WL500gP с прошивкой Олега да так чтоб красивый web интерфейсик был- это вопрос...
angel_il
29-12-2007, 06:24
Да, это будет работать.
Чтож так сурово то, а как сами то на роутер будете заходить, веб и ssh трафик до роутера надо оставить.
Ilmarinen
29-12-2007, 10:24
Чтож так сурово то, а как сами то на роутер будете заходить, веб и ssh трафик до роутера надо оставить.В FORWARD попадают только "транзитные" пакеты, пакеты идущие на роутер идут через цепочку INPUT, а исходящие с роутера уходят через OUTPUT.
Кроме того, я написал, что следует уточнить параметры правила под свои условия.
Чтож так сурово то, а как сами то на роутер будете заходить, веб и ssh трафик до роутера надо оставить.
Я же написАл:
"PS: Правила в FORWARD не будут относиться к трафику самого роутера, не забывайте."
angel_il
29-12-2007, 12:46
Ilmarinen, ABATAPA
Протупил-с, извиняюсь :)
piezomotor
14-01-2008, 01:30
Уважаемые Господа! Помогите настроить Parental Control?
загрузил cutter (Огромное спасибо angel_il) отсюда- http://wl500g.info/showthread.php?t=12168&highlight=cutter
Cron работает (настраивал по http://wl500g.info/showpost.php?p=20276&postcount=3) и пишет в тест лог-
Sun Jan 13 16:42:01 EST 2008
Sun Jan 13 16:45:03 EST 2008
Sun Jan 13 16:48:01 EST 2008
Sun Jan 13 16:50:55 EST 2008
Sun Jan 13 16:54:02 EST 2008...
Но теперь control-internet.sh почемутр не работает! Он у меня работает в XWRT.
Я пытаюсь настроить Parental Control чтоб вырубать интернет по часам на одном PC (192.168.1.55 например).
Вот скрипт, взял у XWRT-
#!/bin/sh
################################################## #########
# Control access from the LAN to the Internet (WAN)
#
# This script must be adapted to your configuration to fit your needs
# It can be used in a cron job or by the Webif^2 page Misc/Restrictions
#
# Usage: control-internet.sh [status|open|close|explain]
# status Returns 0 if traffic is allowed to the Internet
# open Open traffic to the Internet
# close Block traffic to the Internet
# explain Print info on stations blocked
#
#
################################################## #########
case "$1" in
"status")
status=$(/usr/sbin/iptables -nvL | grep "DROP" | grep "192.168.1.55")
if [ "$status" = "" ]; then
exit 0
else
exit 1
fi
;;
"explain")
# Print information on blocked workstations
echo "192.168.1.55 (archibald)"
exit 0
;;
"open")
# Drop all rules blocking Internet access
/usr/sbin/iptables -D forwarding_rule -s 192.168.1.55 -j DROP 2> /dev/null
/usr/sbin/iptables -D forwarding_rule -d 192.168.1.55 -j DROP 2> /dev/null
exit 0
;;
"close")
# Add iptables rules to block Internet traffic
# If cutter package installed, then cut active connections
# cutter: http://www.lowth.com/cutter/
if [ -x /opt/bin/cutter ]; then
/opt/bin/cutter 192.168.1.55 2> /dev/null
fi
/usr/sbin/iptables -I forwarding_rule -s 192.168.1.55 -j DROP 2> /dev/null
/usr/sbin/iptables -I forwarding_rule -d 192.168.1.55 -j DROP 2> /dev/null
exit 0
;;
*)
echo "Usage: $0 [status|open|close]"
echo " status Status of bridge to the Internet (0 = open)"
echo " open Open traffic to the Internet"
echo " close Block traffic to the Internet"
echo " explain Print information on blocked hosts"
;;
esac
запускаю из crontab строчками-
00 06 * * * admin /opt/etc/control-internet.sh open
00 22 * * * admin /opt/etc/control-internet.sh close
А как отладить?
А как проверить работу Cutter?
Ели запускаю из командной строки /opt/bin/cutter 192.168.1.55
то выдает-
For connection 192.168.1.55:1561 -> 202.8.2.74:10299
sending RST from 202.8.2.74:10299 to 192.168.1.55:1561
ACK not seen so RST not sent (sorry!)
sending RST from 173.53.92.103:1561 to 202.8.2.74:10299
ACK not seen so RST not sent (sorry!)
For connection 192.168.1.55:1803 -> 68.144.68.173:6255
sending RST from 68.144.68.173:6255 to 192.168.1.55:1803
ACK not seen so RST not sent (sorry!)
sending RST from 173.53.92.103:1803 to 68.144.68.173:6255
ACK not seen so RST not sent (sorry!)
piezomotor
15-01-2008, 03:54
Решил упростить и переделал по другому-
Создал папки в /opt/etc/
cron.internet-close
cron.internet-open
Добавил в crontab строки-
00 06 * * * admin run-parts /opt/etc/cron.internet-open
00 22 * * * admin run-parts /opt/etc/cron.internet-close
Поместил в cron.internet-open файл internet-open.sh
#!/bin/sh
# Open Internet pipe
/usr/sbin/iptables -D forwarding_rule -s 192.168.1.55 -j DROP -m state --state NEW,ESTABLISHED
/usr/sbin/iptables -D forwarding_rule -d 192.168.1.55 -j DROP -m state --state NEW,ESTABLISHED
Поместил в cron.internet-close файл internet-close.sh
#!/bin/sh
# Close Internet access
/usr/sbin/iptables -I forwarding_rule -s 192.168.1.55 -j DROP -m state --state NEW,ESTABLISHED
/usr/sbin/iptables -I forwarding_rule -d 192.168.1.55 -j DROP -m state --state NEW,ESTABLISHED
Все равно не заработало, не вырубает интернет на 192.168.1.55 в 22.00!
Где грабли?
А если еще более упростить то будет выглядеть так:
#!/bin/sh
mkdir -p /var/spool/cron/crontabs
/usr/sbin/crond
echo '00 06 * * * /usr/sbin/iptables -D FORWARD -d 192.168.1.55 -j DROP
00 22 * * * /usr/sbin/iptables -I FORWARD -d 192.168.1.55 -j DROP
' | /usr/bin/crontab -
Прописывать в post-boot. Вместо всего того, про что выше говорится.
piezomotor
16-01-2008, 04:02
А если еще более упростить то будет выглядеть так:
#!/bin/sh
mkdir -p /var/spool/cron/crontabs
/usr/sbin/crond
echo '00 06 * * * /usr/sbin/iptables -D FORWARD -d 192.168.1.55 -j DROP
00 22 * * * /usr/sbin/iptables -I FORWARD -d 192.168.1.55 -j DROP
' | /usr/bin/crontab -
Прописывать в post-boot. Вместо всего того, про что выше говорится.
Спасибо большое Mam(O)n за совет!
Еще проще, без крона, добавить правило:
iptables -I FORWARD -m time --timestart 22:00:00 --timestop 06:00:00 --days Mon,Tue,Wed,Thu,Fri,Sun,Sat -s 192.168.1.55 -j DROP
Или еще проще через веб морду настроить LAN to WAN фильтр, что эквивалентно этому правилу, но помещенному в оптимальное место в таблице, а не в начало.
Еще проще, без крона, добавить правило:
iptables -I FORWARD -m time --timestart 22:00:00 --timestop 06:00:00 --days Mon,Tue,Wed,Thu,Fri,Sun,Sat -s 192.168.1.55 -j DROP
Действительно, совсем из головы вылетело :o
Или еще проще через веб морду настроить LAN to WAN фильтр, что эквивалентно этому правилу, но помещенному в оптимальное место в таблице, а не в начало.
А вот тут какраз и проблема: это оптимальное место находится после -m state --state ESTABLISHED,RELATED -j ACCEPT и правило не будет действовать на уже установленные tcp сессии...
А вот тут какраз и проблема: это оптимальное место находится после -m state --state ESTABLISHED,RELATED -j ACCEPT и правило не будет действовать на уже установленные tcp сессии...
Знаю, но достаточно, UDP перестает ходить, многие игры отрубает, серфинг блокирует.:). Если еще приурочить разрыв сессии с провайдером ко времени окончания, то нет проблем.
Серф то оно блокирует. А вот те проги, что юзают постоянное подключение к серверу, например аську, не блокирует. А аська как известно великое мирское зло, которое мешает вовремя отлучится от компа ;) Такчто, имхо, лучше правило ставить первым либо через крон вызывать утилиту типа cutter, о котрой говорилось выше. Она должна разрывать все установленные tcp сессии с указанным ip. Но это о5 же решение, для которого ограничиться настройками через веб-морду необойтись...
piezomotor
16-01-2008, 13:46
Еще проще, без крона, добавить правило:
iptables -I FORWARD -m time --timestart 22:00:00 --timestop 06:00:00 --days Mon,Tue,Wed,Thu,Fri,Sun,Sat -s 192.168.1.55 -j DROP
Или еще проще через веб морду настроить LAN to WAN фильтр, что эквивалентно этому правилу, но помещенному в оптимальное место в таблице, а не в начало.
Приятно черт побери иметь дело с умными людьми!
А будет ли это работать для Hamachi, MSN и ну для этого великого мирского зла ICQ?
А можно ли писюк в сетке ремоутли шатдаунить с WL500gP по часам?
Приятно черт побери иметь дело с умными людьми!
А будет ли это работать для Hamachi, MSN и ну для этого великого мирского зла ICQ?
Ответы выше.
А можно ли писюк в сетке ремоутли шатдаунить с WL500gP по часам?
Таймер в розетку:D На писюке вроде есть программы выключения по часам и дистанционно. Может по старинке: ремень?:D
piezomotor
16-01-2008, 18:21
Спасибо
Я нашел этоу ссылку
http://www.wl500g.info/showpost.php?p=72411&postcount=24
Проверю...
Я нашел этоу ссылку
http://www.wl500g.info/showpost.php?p=72411&postcount=24
Это наоборот, для включения по сети.
ColonelTY
24-02-2008, 17:26
Я не пойму, с чего весь сыр-бор.
Вот смотрите:
Internet Firewall - WAN & LAN Filter
Date to Enable LAN to WAN Filter:
Time of Day to Enable LAN to WAN Filter:
Date to Enable WAN to LAN Filter:
Time of Day to Enable WAN to LAN Filter:
Всё. Читаем мануал, хлопаем в ладоши. :D
Я эту тему даже не читал, ибо RTFM.
В каком RTFM расписано, как правильно заполнять эти фильтра?
Так как - у меня по времени тупо блокируется весь инет, а мне надо избирательно по внутренним IP.
Я не пойму, с чего весь сыр-бор.
Вот смотрите:
Internet Firewall - WAN & LAN Filter
Date to Enable LAN to WAN Filter:
Time of Day to Enable LAN to WAN Filter:
Date to Enable WAN to LAN Filter:
Time of Day to Enable WAN to LAN Filter:
Всё. Читаем мануал, хлопаем в ладоши. :D
Я эту тему даже не читал, ибо RTFM.
К сожалению, время задается для всех правил. Хотелось бы иметь возможность задавать расписание для каждого IP или MAC индивидуально.
Это наоборот, для включения по сети.
Хоткел бы выключать PC в определенное время,
Есть такой Remote Shutdown Tool - но это работает с винды-
http://www.maximumpcguides.com/use-the-remote-shutdown-tool-to-shutdown-restart-or-logoff-a-local-or-networked-computer/
а как это запустить с WL500gP?
Есть ли у кого идеи?
в состав внешней самбы входит rpcclient С его помощью можно вырубать виндовый комп удаленно.
Еще можно туда поставить ssh сервер --- и тогда вообще твори што хош...
в состав внешней самбы входит rpcclient С его помощью можно вырубать виндовый комп удаленно.
Еще можно туда поставить ssh сервер --- и тогда вообще твори што хош...
Спасибо, попробовал - rpcclient -U username -I IP Address -c REG shutdown
Выдает
Unknown socket option Wl500gPremium
failed tcon_X with NT_STATUS_DUPLICATE_NAME
Cannot connect to server. Error was NT_STATUS_DUPLICATE_NAME
Попробовал- net rpc SHUTDOWN -I myIPaddress -U Username -P Password
Выдает
[2008/03/25 16:32:17, 0] source/lib/util_sock.c:set_socket_options(237)
Unknown socket option Wl500gPremium
[2008/03/25 16:32:17, 0] source/lib/util_sock.c:set_socket_options(237)
Unknown socket option Wl500gPremium
Shutdown of remote machine failed
result was: WERR_ACCESS_DENIED
Есть идеи что нетак делаю?
у меня работает в таком варианте:
rpcclient -U username -c shutdown 192.168.1.10
Далее проверка пароля и выполнение. Полную автоматизацию не настраивал, но думаю, что должно быть ОК.
у меня работает в таком варианте:
rpcclient -U username -c shutdown 192.168.1.10
Далее проверка пароля и выполнение. Полную автоматизацию не настраивал, но думаю, что должно быть ОК.
Спасибо, если запускаю так-rpcclient -U username -c shutdown 192.168.1.51
то после ввода пароля-
Unknown socket option Wl500gPremium
Invalid command
если запускаю так-rpcclient -U username -c shutdown 192.168.1.51:3389
то после ввода пароля-
timeout connecting to 209.86.66.119:445
timeout connecting to 209.86.66.119:139
Error connecting to 209.86.66.119 (Operation already in progress)
cli_start_connection: failed to connect to 192.168.1.51:338<20> (209.86.66.119). Error NT_STATUS_ACCESS_DENIED
Cannot connect to server. Error was NT_STATUS_ACCESS_DENIED
У меня строка перестала работать-не режет интернет больше
/usr/sbin/iptables -I FORWARD -d 192.168.1.51 -j DROP
Что может быть?
dhcp выдал другой адрес взамен .51?
piezomotor
01-04-2008, 20:19
dhcp выдал другой адрес взамен .51?
Да нет у меня DHCP адреса прописаны- кому на какой MAC что выдавать...
Тут писали про "оптимальное место" для этой строки...
Добавил правило, посмотрим что будет...
iptables -I FORWARD -m time --timestart 22:00:00 --timestop 06:00:00 --days Mon,Tue,Wed,Thu,Fri,Sun,Sat -s 192.168.1.51 -j DROP
У меня такая проблемка, я использую этот parental control и все работает- но малец научился отсоединять USB HD на котором cron и получается что интернет "валит" тогда, когда не надо... А можно ли сделать так, чтоб роутер проверял, если не замаунтился HD то и небыло интернета...
Может у кого какие идеи есть?
Спасибо.
К сожалению, время задается для всех правил. Хотелось бы иметь возможность задавать расписание для каждого IP или MAC индивидуально.
В виду актуальности вопроса - хотелось узнать, удалось ли к настоящему времени как то решить проблему средствами веб-интерфейса? Нет времени и желания шариться CLI-ем по железке.
Martynoff
08-02-2009, 20:52
Я не пойму, с чего весь сыр-бор.
Вот смотрите:
Internet Firewall - WAN & LAN Filter
Date to Enable LAN to WAN Filter:
Time of Day to Enable LAN to WAN Filter:
Date to Enable WAN to LAN Filter:
Time of Day to Enable WAN to LAN Filter:
Всё. Читаем мануал, хлопаем в ладоши. :D
Я эту тему даже не читал, ибо RTFM.
Вроде фича очевидная, но у меня не получилось воспользоваться :(
Я пытаюсь просто заблокировать весь интернет с 0:00 до 6:00. Захожу в WAN & LAN Filter, ставлю Enable: Yes, время 00:00-06:00, Packets not specified will be: DROP (и то же самое в WAN to LAN). В результате фильтр работает на запрет, но не в указанный интервал времени, а вообще всегда.
Такое впечатление, что время просто не учитывается. Либо может фильтр применятся во время старта системы, когда она еще не синхронизовалась с тайм-сервером?
Железка WL500gp1, прошивка 1.9.2.7-8.
в настройках WL-500gP есть установка времени работы роутера в формате "день недели" "с.. по.." для wifi и lan. А можно ли:
1)назначать время для лан и вай фай по отдельности ?
2)и,посложнее, не привязывать к часам, а ограничить общее время работы в сутки, т.е. кажем по 4 часа в сутки на ЛАН, 1 час на беспроводное ?
Второе нужно для ... ну замучался я следить за пацаном !
Десятиклассница засиживается в Интернете допоздна. Как сделать, чтобы с 23:00 до 6:00 падал интернет со всеми аськами на дочкином 192.168.1.205 компьютере с воскресенья по четверг? А что бы другие домашние компьютеры и принтер она продолжала видеть? IP адреса у компьютеров статические: 192.168.1.201 – 204, раутер работает как Home Gateway, прошивка Олега 1.9.2.7-8
Нашел несколько подобных вопросов на этом форуме. Спецы либо отправляют к четырёхсот-страничной инструкции по iptables либо просто оставляют без ответа.
Я не линуксоид и полагаюсь на веб-интерфейс раутера. В D-Link с этим было просто: мак адрес, день недели, временное окно. Фильтровал как маузер, но внезапно издох.
У WL-500gP вроде есть подходящий раздел в настройках раутера: Internet Firewall – WAN & LAN Filter, но в отличии от D-Link там помимо дней недели и времени ещё 12 хитрых окошек - ну конечно: «РЕКОМЕНДУЕТСЯ к покупке WL500g Premium, как наиболее гибкая и быстрая модель в этом семействе», читал, ведь, прежде чем купить... Чего в эти окошки не пихал – если стоит галка на этом дне недели, дочкин интернет падает сразу, не взирая на установленное время.
Думаю, что 95% пользователей раутеров не умеют писать скрипты и я к сожалению среди них. Но при этом у меня в сетке 3 компьютера на кабеле + разшаренный принтер + ноутбук и две PSP на Wi-Fi + торрент поставляет HD видео на плазму, всё настроено, всё видно, Корбинские 4 Мбит/сек работают на полную и днём и ночью, жизнь удалась.
Здесь очередное спасибо Олегу: короткая и очень user friendly (что редкость на русско-язычной части сайта) инструкция по ускорению PPTP Корбины сделала чудо, скорость поднялась в три раза. Но на это потребовалось упорство г-на Суходольского… за что и ему низкий поклон.
Моя проблема с ребёнком распространенная, WL-500gP популярен и продаётся по сей день. Исходя из этого не мог бы кто-то из спецов спуститься на землю с инструкцией, как это решить через веб морду раутера? Инструкцией для маленьких смешных юзеров?
Если таковая на сайте уже присутствует – прошу прощения – не могли бы носом ткнуть?
Буду чрезвычайно признателен!
Всё, наконец-то разобрался. Виновата не внимательность.
Сначала присваиваете IP адрес для своего MAC адреса (котор.нужно отключать)
вносим IP в задания:
(LAN to WAN Filter Table /Source IP 192.168.1.3 add
и только потом устанавливаем дни недели, время и т.д.
Internet Firewall - Basic Config/
Enable LAN to WAN Filter...yes
Time of Day to Enable LAN to WAN Filter...21.00:21.10
Packets(LAN to WAN) not specified will be
: accept
далее вниз
ACCEPT, save/restart
Желаю удачи!
Unhurried
28-03-2009, 20:19
К сожалению не зафиксировал для себя когда нашел. :(
DHCP выдает адреса детям с привязкой по макам.
MAC они менять пока менять не умеют.
Помню что в post-firewall писал что-то первой строчкой.
Нужно правило отрубания адреса, к примеру, 192.168.0.5
с 21-00 до 7-00.
У меня ребенок на таком сидит, примерно:
iptables -I FORWARD 1 -m time --timestart 21:00:00 --timestop 07:00:00 --days Mon,Tue,Wed,Thu,Fri,Sun,Sat -m mac --mac-source XX:XX:XX:XX:XX:XX -o ppp0 -j DROP
Кстати, МАК может и поменять (когда научится :D), только толку мало, т.к. на Wi-Fi сидит с фильтрацией по МАКам.
Хотя, конечно, умный ребенок "снимет" МАКи папиного компа :))
Unhurried
29-03-2009, 16:59
я так понял что можно вот так два варианта:
iptables -I FORWARD -m time --timestart 19:00:00 --timestop 09:00:00 ----days Mon,Tue,Wed,Thu,Fri,Sun,Sat -s 192.168.0.10 -j DROP
или
iptables -I FORWARD -m time --timestart 19:00:00 --timestop 09:00:00 ----days Mon,Tue,Wed,Thu,Fri,Sun,Sat -m mac --mac-source XX:XX:XX:XX:XX:XX -j DROP
Да. Можно и так.
N.B. В связи с переходом на летнее время и наличием какого-то бага в прошивке, данные правила будут срабатывать на 1 час позже.
Народ, лазял, лазял и запутался :D Я в линуксе не бумбум) И по разным проблемам с форума точного ответа не смог найти :( Подскажите плз с моей проблемкой, так сказать носом ткнуть :o
Проблема такова: Как настроить роутер так, чтобы он ограничивал траффик до нуля скажем или блокировал доступ в инет допустим с 17:00 вечера до 8 утра конкретному IP, а лучше по MAC адресу чтобы наверняка :D? Детишек ограничить в доступе, а то по русски не понимают :) :rolleyes:
Роутер Asus WL-500Gp
http://wl500g.info/showthread.php?p=69385&mode=linear&highlight=psp#post69385
:D ыыы ... Ок, ссылочка очень полезная, но вот Стоп у меня возник на самом первом этапе: Сначала присваиваете IP адрес для своего MAC адреса (котор.нужно отключать) вот тут http://wl500g.info/showpost.php?p=137803&postcount=5
Как то коряво работает Manually Assigned IP List с моим прописанным МАК адресом и IP, всё равно захожу под любым IP, а надо чтобы заходил только под тем который прописал :(
http://img520.imageshack.us/img520/3639/444rvo.jpg Должен заходить под 192.168.1.10, захожу например под 192.168.1.2 в инет.
theMIROn
29-04-2009, 10:06
Как то коряво работает Manually Assigned IP List с моим прописанным МАК адресом и IP, всё равно захожу под любым IP, а надо чтобы заходил только под тем который прописал :(
http://img520.imageshack.us/img520/3639/444rvo.jpg Должен заходить под 192.168.1.10, захожу например под 192.168.1.2 в инет.
отлично работает, если учесть, что это для назначение ip адреса по DHCP, а не для ограничения доступа.
Ок, тогда как мне сделать это: Сначала присваиваете IP адрес для своего MAC адреса (котор.нужно отключать)? Мысли пропали, уже хз куда заходить и что прописывать (
даже при включённом DHCP наверху (старый скрин с не вкдючённым) http://img520.imageshack.us/img520/3639/444rvo.jpg всё равно могу выходить в инет через 192.168.1.2, а не как прописано 192.168.1.10 :mad:
Добавте правила блокировки не нужных Вам адресов (тоесть всех кроме Вашых 192.168.1.2,192.168.1.10) с привязкой к маку.
Что то типа (iptables -A OUTPUT -o <имя интерфейса> -s <IP-адрес> -m mac --mac-source <мак адресс> -j ACCEPT
а дальше всё iptables -A OUTPUT -o <имя интерфейса> -j DROP)
И тут что то по теме
http://wl500g.info/showthread.php?t=11594&highlight=iptables+mac
Добавте правила блокировки не нужных Вам адресов (тоесть всех кроме Вашых 192.168.1.2,192.168.1.10) с привязкой к маку.
Не, сеть всё время в процессе увеличения и добавления гаджетов. Висит 7 Человек, иногда по Wifi подкл ноут и т.д. Так что этот способ не для меня :)
:D ыыы ... Ок, ссылочка очень полезная, но вот Стоп у меня возник на самом первом этапе: Сначала присваиваете IP адрес для своего MAC адреса (котор.нужно отключать) вот тут http://wl500g.info/showpost.php?p=137803&postcount=5
Как то коряво работает Manually Assigned IP List с моим прописанным МАК адресом и IP, всё равно захожу под любым IP, а надо чтобы заходил только под тем который прописал :(
http://img520.imageshack.us/img520/3639/444rvo.jpg Должен заходить под 192.168.1.10, захожу например под 192.168.1.2 в инет.
Enable Manual Assigment - No
http://wl500g.info/showpost.php?p=137803&postcount=5 вот так без iptables
Дык, всё это давно уж обсудилось.
Инет деткам отключается так (провайдерскую сеть я оставляю):
### Это кусок файла /tmp/local/sbin/post-firewall
### Во время действия летнего времени срабатывает на 1 час позже:
iptables -I FORWARD 1 -m time --timestart 20:00:00 --timestop 17:00:00 --days Mon,Tue,Wed,Thu,Fri,Sun,Sat -m mac --mac-source хх:хх:хх:хх:хх:хх -o ppp0 -j DROP
Инет включается (по летнему времени) с 18-00 до 21-00.
Проблема с "непереводом" на летнее время в данном правиле пока что не выяснена, но 2 раза в год можно и напрячься.
theMIROn
29-04-2009, 20:15
Дык, всё это давно уж обсудилось.
Инет деткам отключается так (провайдерскую сеть я оставляю):
### Это кусок файла /tmp/local/sbin/post-firewall
### Во время действия летнего времени срабатывает на 1 час позже:
iptables -I FORWARD 1 -m time --timestart 20:00:00 --timestop 17:00:00 --days Mon,Tue,Wed,Thu,Fri,Sun,Sat -m mac --mac-source хх:хх:хх:хх:хх:хх -o ppp0 -j DROP
Инет включается (по летнему времени) с 18-00 до 21-00.
Проблема с "непереводом" на летнее время в данном правиле пока что не выяснена, но 2 раза в год можно и напрячься.
а если установить прошивку 1.9.2.7-d и выбрать свой корректный часовой пояс с учетом DST?
theMIROn, перешиваться с 1.9.2.7-10 ради эксперимента с этой фичей что-то не хочется. Если скажете, что точно работает - перешьюсь.
Таймзона стоит EET-2EEST,M3.5.0/3,M10.5.0/4 (я в Украине).
theMIROn
29-04-2009, 21:26
theMIROn, перешиваться с 1.9.2.7-10 ради эксперимента с этой фичей что-то не хочется. Если скажете, что точно работает - перешьюсь.
Таймзона стоит EET-2EEST,M3.5.0/3,M10.5.0/4 (я в Украине).
ipt_time требует указания времени без учета DST. тогда все работает корректно
А если без скриптов, в самом роутере как присвоить IP к МАК адресу конкретному чтобы тот не мог поменять IP, точнее мог но ничего не работало, только под тем который я дал и потом просто тупо заблочить все порты по времени на данный IP. У меня такая мысль :) Так вроде проще или ...? :rolleyes:
ipt_time требует указания времени без учета DST. тогда все работает корректно
Вы хотите сказать, что настройки DST в TZ мне нужно убрать, оставить дефолтные, тогда ipt_time будет срабатывать вовремя?
И в чем радость, если остальной софт будет работать неправильно? Или в 1.9.2.7-d все эти проблемы уже решены и TZ можно объявлять глобально без DST и все работает?
Сейчас у меня в pre-boot содержится:
TZ="EET-2EEST,M3.5.0/3,M10.5.0/4"
nvram set time_zone="$TZ"
echo "$TZ" > /etc/TZРаботает корректно всё, кроме ipt_time. Ну, и настроек TZ из вэб-морды, естественно :)
А если без скриптов... Так вроде проще или ...? :rolleyes:
Если уж Вы на этом форуме и в роутере прошивка Олега, то ответ "НЕТ", не проще.
в 1.9.2.7-d все эти проблемы уже решены и TZ можно объявлять глобально без DST и все работает?
вероятно нет. Но проверить это кому-то все же придется. Если действительности соответствует, то можно открыть issue на googlecode.
theMIROn
30-04-2009, 07:39
Вы хотите сказать, что настройки DST в TZ мне нужно убрать, оставить дефолтные, тогда ipt_time будет срабатывать вовремя?я хочу сказать, что время для ipt_time нужно задавать без учета летней коррекции. В правилах. Время. Без учета. Летней коррекции времени.
Или в 1.9.2.7-d все эти проблемы уже решены и TZ можно объявлять глобально без DST и все работает?Там решены проблемы указания временной зоны через web интерфейс.
В правилах. Время. Без учета. Летней коррекции времени.Спасибо, теперь дошло, по сути у меня оно так и задано.
Осенью посмотрим на результат :).
Спасибо, теперь дошло, по сути у меня оно так и задано.
Осенью посмотрим на результат :).
а до меня не дошло.
Т.е. все же надо дважды в год переписывать правила? Проблема эта давно и многократно поднималась (т.е. ИМХО она существует :) ):
http://wl500g.info/showpost.php?p=91215&postcount=48
http://wl500g.info/showthread.php?t=16441
al37919, ну, насколько я понял, имеется ввиду, что для ipt_time время нужно задавать без учета DST, при этом оно (которое написано в правилах) должно зимой соответствовать системному, а летом должно быть на 1 час меньше.
Тем не менее, ipt_time будет (должен или хз) обрабатывать события в соответствии с системным временем.
Осенью посмотрим :)
Легко увидеть, что ipt_time пытается использовать localtime и системную зону sys_tz. Однако, вполне возможно, что какой-то кусок кода написан некорректно...
theMIROn
30-04-2009, 09:29
al37919, ну, насколько я понял, имеется ввиду, что для ipt_time время нужно задавать без учета DST, при этом оно (которое написано в правилах) должно зимой соответствовать системному, а летом должно быть на 1 час меньше. правильно, и тогда будет и зимой и летом отрабатывать правилно.
Тем не менее, ipt_time будет (должен или хз) обрабатывать события в соответствии с системным временем.
Осенью посмотрим :)Оно считает с GMT.
Когда задаем время, оно прописывается, как есть. задаем летом - с учетом смещения, зимой - нет.
А вот из ядра время расчитывается без смещения, от GMT.
Варианта решения 3:
1. задавать время в параметрах сразу с поправкой на смещение, чтобы сравнение было верным.
2. при проверке времени пакета корректировать время на летнее смещение и сравнивать с параметрами. В итоге будет работать медленнее для каждого пакета, соответствующего условию
3. корректировать параметры сразу и, обязательно, при смене зимнего/летнего времени, плюс при выводе делать обратную корректировку.
а это все дофига делов, обработчик писать...
Легко увидеть, что ipt_time пытается использовать localtime и системную зону sys_tz. Однако, вполне возможно, что какой-то кусок кода написан некорректно...
sys_tz используется только для расчета таймштампа относительно GMT из поля tz_minuteswest.
поле tz_dsttime не используется (оно вообще deprecated btw), да и dst смещение нужно будет рассчитывать типа вот так:
gettimeofday(0, &tz);
timeshift=tz.tz_minuteswest*60;
об этом варианте я и говорил в п.2
pomidoroff
07-05-2009, 07:14
Добрый день, подскажите пожалуйста, при выполнении команды
iptables -I FORWARD 1 -o ppp0 -m time --timestart 23:00:00 --timestop 22:45:00 --days Mon,Tue,Wed,Thu,Fri,Sun,Sat -m mac --mac-source хх:хх:хх:хх:хх:хх -j DROP,
выводится сообщение iptables: Invalid argument, команда
iptables -I FORWARD 1 -o ppp0 -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP выполняется нормально. xx:xx:xx:xx:xx:xx - нужный MAC.
Роутер D-Link DIR-320, прошивка от sorine
http://rapidshare.de/files/46627396/1.9.2.7-d-usb-mpsc-229.rar.html. Куда копать?
http://code.google.com/p/wl500g/issues/detail?id=17
pomidoroff
07-05-2009, 07:38
Спасибо за быстрый ответ, вечером попробую.
pomidoroff
07-05-2009, 21:40
Перешил http://rapidshare.de/files/46978182/DlinkDIR-320-1.9.2.7-d-261-3g-mpcs_.tar.bz2.html,
не помогло. Сделал через Cron. http://wl500g.info/showpost.php?p=72698&postcount=4
opt/etc/crontab:
SHELL=/bin/sh
PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=""
HOME=/
# ---------- ---------- Default is Empty ---------- ---------- #
00 09 * * * admin usr/sbin/iptables -I FORWARD 1 -o ppp0 -m mac --mac-sourse xx:xx:xx:xx:xx:xx -j DROP
00 16 * * * admin usr/sbin/iptables -D FORWARD 1
pochikau
21-05-2009, 17:26
как закрыть доступ к определенным сайтам определенному IP адресу. Например: IP 192.168.1.6 не имеет права заходить на mail.ru, odnoklassniki.ru, vkontakte.ru и т. д.
ryzhov_al
21-05-2009, 17:40
как закрыть доступ к определенным сайтам определенному IP адресу. Например: IP 192.168.1.6 не имеет права заходить на mail.ru, odnoklassniki.ru, vkontakte.ru и т. д.
Обязательно средствами роутера? Может проще средствами (http://www.wl500g.info/showpost.php?p=145526&postcount=4) Windows?
Потому как если на ПК 192.168.1.6 пользователь, то он не сможет изменить файл hosts, а если с администраторскими правами, то он всё равно сможет поменять ip.
при условии, что у этого сервиса реально выделить единичный ip адрес (или хотя бы диапазон адресов). Например для mail.ru :
iptables -A FORWARD -s 192.168.1.6 -d 194.67.57.0/24 -j DROP
смотреть адреса:
nslookup mail.ru
Да и поиск никто не отменял, причем не только по этому форуму.
pochikau
26-05-2009, 07:48
пасиба огромное... с поиском видимо не доглядел
angelius
13-08-2009, 15:51
В чем может быть причина?
В файле post-firewall содержится:
#!/bin/sh
iptables -t nat -nvL POSTROUTING | grep MASQUERADE | awk '{
"ifconfig "$7" | grep Mask" | getline ip;
split(ip,ip,":"); split(ip[2],ip," ");
split($8,src,"!");
if (src[1]=="") {src="! -s "src[2]} else {src="-s "src[1]};
if ($9=="0.0.0.0/0") {dst=""} else {dst="-d "$9};
system("iptables -t nat -A POSTROUTING -o "$7" "src" "dst" -j SNAT --to-source "ip[1]);
system("iptables -t nat -D POSTROUTING -o "$7" "src" "dst" -j MASQUERADE");
}'
iptables -I FORWARD -m time --timestart 15:00:00 --timestop 09:00:00 ----days Mon,Tue,Wed,Thu,Fri,Sun,Sat -s 192.168.1.6 -j DROP
iptables -A FORWARD -m string --string "vkontakte.ru" --algo kmp --to 65535 -j DROP
Не происходит блокировка ни сайта vkontakte ни ip 192.168.1.6 в заданные промежуток времени, в чем причина? Прошивка WL-500gPv2 firmware 1.9.2.7-d от 2009.07.17??
В чем может быть причина?
В файле post-firewall содержится:
...
Не происходит блокировка ни сайта vkontakte ни ip 192.168.1.6 в заданные промежуток времени, в чем причина? Прошивка WL-500gPv2 firmware 1.9.2.7-d от 2009.07.17?? А с чего вы взяли, что iptables понимает эти параметры?
angelius
13-08-2009, 21:42
А с чего вы взяли, что iptables понимает эти параметры?
Почитал на этом форуме, предлагают ввести именно эти параметры:((( :eek: В частности в этой теме или вот http://sudouser.com/blokirovka-nezhelatelnyx-url-s-pomoshhyu-iptables.html
Viscount
14-08-2009, 11:29
Фильтрация по времени скорее всего не работает потому что надо "--days", а не "----days". А по строке не знаю почему не работает, похоже iptables криво собрано и какого-то модуля не хватает
Fast Deer
08-09-2009, 20:06
Здравствуйте уважаемые гуру. Имеется следующая проблемка:
Есть домашний роутер WL500W с прошивкой 1.9.2.7-10. На нем крутится моя домашняя сеть (3 компа с WI-FI, HDD для самбы и фтп /не работает/) Поднят DHCP и настроен доступ по мак-адресу. Доступ к нему имею только я. Есть сын (16 лет) который сейчас учится и вечерами допоздна вместо учебы сидит и играет в интернете. Когда то давно, еще на старой прошивке) я настроил через веб-интерфейс ему выход в интернет по времени (разрешено с 17 до 22) и это работало, до какого то определенного времени. Сейчас же, если он выключает комп, то интернет у него работает с 17 часов и до выключения компа (прерывания сессии), а хотелось бы чтобы автоматически отключалось, так как показывает практика, страдает учеба. Мне необходимо запретить ему доступ в интернет и разрешить только с 17 до 22, ну и в субботу до 23:59 /воскресенье до 22. При этом доступ с с двух других компов разрешить.
Как это можно реализовать без перезагрузки роутера и обрывания моих сессий?
PS: выход на роутер через Patty имею (настраивал сам по местным монуалам), но вот в командах не силен. Если нужна необходимая инфа - выложу, только скажите как
Добавляешь в cron время и путь к своим скриптам с командами:
iptables -I FORWARD -s ip_адрес -j DROP
и
iptables -D FORWARD -s ip_адрес -j DROP
Одна блокирует доступ вторая разрешает.
Всем привет.
Не нашел в поиске, подскажите:
Есть желание по расписанию (в cron-e) контролировать статус соединения с интернетом (протокол L2TP, Москва, Корбина) и в случае отсутствия пытаться подключиться, т.е. выполнять то, что мы можем делать в веб-интерфейсе прошивки: смотреть Status и нажимать кнопку Connect.
Как получить доступ к этим элементам управления? Нет ли у кого опыта?
Заранее спасибо.
theMIROn
09-09-2009, 18:50
поиск не работает?
это то, что выполняет httpd по нажатию кнопок Connect/Disconnect в web интерфейсе. можно на шел скрипт перевести
#!/bin/sh
case $1 in
connect)
service="wan_connect"
;;
disconnect)
service="wan_disconnect"
;;
*)
echo "Usage: $(basename $0) connect|disconnect"
exit 1
;;
esac
let unit=1*$(nvram get wan_unit)
if [ $unit -lt 0 ]; then
unit=0
fi
nvram set rc_service="$service,$unit"
kill -SIGUSR1 1
sleep 2
Alexeyegorov
12-09-2009, 19:09
Делал давно на FreeBSD как раз для корбины.
Идея проста как ситцевые трусы.
Пингуется например ya.ru и, помоему, grep-ом ищется строчка "100% lost". При потере всех пакетов ВПН перезапускается.
Работала эта фигня года 4, потом я уволился...
Так что конкретным текстом не помогу.
Нужно ограничить доступ к некоторым сайтам по времени. Например что бы с пн по птн сайт lenta.ru могли посещать только с 22 до 23 часов. Остальное все время он был заблокирован.
Какие есть возможные варианты?
Поиском пользовались? Все уже дааавно расписано!
по крону, -I добавить, -D удалить правило
Ага уже сам сделал вот такие правила:
закрывает доступ для сайта vkontakte.ru
#!/bin/sh
iptables -A FORWARD -s 192.168.1.4/30 -d 93.186.224.233/27 -j DROP
iptables -A FORWARD -s 192.168.1.4/30 -d 93.186.229.2/31 -j DROP
iptables -A FORWARD -s 192.168.1.4/30 -d 93.186.227.123/27 -j DROP
iptables -A FORWARD -s 192.168.1.4/30 -d 93.186.226.4/24 -j DROP
iptables -A FORWARD -s 192.168.1.4/30 -d 93.186.225.6/24 -j DROP
и так открывает:
#!/bin/sh
iptables -D FORWARD 16
iptables -D FORWARD 15
iptables -D FORWARD 14
iptables -D FORWARD 13
iptables -D FORWARD 12
Засунуто в крон)))
а если нужно отключение только одного сайта(точнее включение оного на 1 час в день), например в контакте можно как то его ip указать или имя http
помогите, можно ли это реализовать в прошивке 1.9.2.7-10
Что никто не знает как решить эту проблему?
Т.е. 5 минут поиска Вас не прельстили? ;)
http://wl500g.info/showthread.php?t=19077&highlight=%E1%EB%EE%EA%E8%F0%EE%E2%EA%E0
http://wl500g.info/showthread.php?t=19115&highlight=%E1%EB%EE%EA%E8%F0%EE%E2%EA%E0
http://wl500g.info/showthread.php?t=16410&highlight=%E1%EB%EE%EA%E8%F0%EE%E2%EA%E0
И т.д.
а используя веб интерфейс никак нельзя сделать чтобы www.vkontakte.ru работал на определенной машине 1 час в день с указанием графика времени????
nslookup vkontakte.ru
Server: 10.78.72.44
Address: 10.78.72.44#53
Non-authoritative answer:
Name: vkontakte.ru
Address: 93.186.226.4
Name: vkontakte.ru
Address: 93.186.226.5
Name: vkontakte.ru
Address: 93.186.226.129
Name: vkontakte.ru
Address: 93.186.226.130
Name: vkontakte.ru
Address: 93.186.227.123
Name: vkontakte.ru
Address: 93.186.227.124
Name: vkontakte.ru
Address: 93.186.227.125
Name: vkontakte.ru
Address: 93.186.227.126
Name: vkontakte.ru
Address: 93.186.227.129
Name: vkontakte.ru
Address: 93.186.227.130
Name: vkontakte.ru
Address: 93.186.228.129
Name: vkontakte.ru
Address: 93.186.229.2
Name: vkontakte.ru
Address: 93.186.229.3
Name: vkontakte.ru
Address: 93.186.231.218
Name: vkontakte.ru
Address: 93.186.231.219
Name: vkontakte.ru
Address: 93.186.231.220
Name: vkontakte.ru
Address: 93.186.231.221
Name: vkontakte.ru
Address: 93.186.231.222
Name: vkontakte.ru
Address: 93.186.224.239
Name: vkontakte.ru
Address: 93.186.225.6
Name: vkontakte.ru
Address: 93.186.225.211
Name: vkontakte.ru
Address: 93.186.225.212
Запаритесь закрывать. ;)
Можно попрбовать по подсети но в общем ман по iptables в руки.
Почему iptables может не работать? Аналогично не работает фильтрация по времени. Ни по MAC, ни по IP. Правило прописано без ошибок. Прошивка WL-500gPv2 1.9.2.7-d-r1000.
Не сильно разбираюсь в линухе, буду преблагодарен за помощь.
Почему iptables может не работать? Аналогично не работает фильтрация по времени. Ни по MAC, ни по IP. Правило прописано без ошибок. Прошивка WL-500gPv2 1.9.2.7-d-r1000.
Не сильно разбираюсь в линухе, буду преблагодарен за помощь.
Что именно аналогично?
дайте вывод команды iptables-save
Вот. Сегодня тестил, - странно, те правила что работают в пределах промежутка времени одних суток (не пересекая 00:00, например с 18:00:00 до 23:00:00) работают нормально, а вот к примеру с 23:00:00 до 07:00:00 - нивкакую... может я чего туплю?
iptables-save
# Generated by iptables-save v1.3.8 on Sat Jan 16 00:14:12 2010
*nat
:PREROUTING ACCEPT [292483:59361356]
:POSTROUTING ACCEPT [3198:567442]
:OUTPUT ACCEPT [3435:607706]
:VSERVER - [0:0]
-A PREROUTING -d 77.120.89.109 -j VSERVER
-A PREROUTING -d 172.16.76.153 -j VSERVER
-A POSTROUTING -s ! 77.120.89.109 -o ppp0 -j MASQUERADE
-A POSTROUTING -s ! 172.16.76.153 -o vlan1 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -d 192.168.1.0/255.255.255.0 -o br0 -j SNAT --to-source 192.168.1.1
-A VSERVER -p udp -m udp --dport 49891 -j DNAT --to-destination 192.168.1.185:49891
COMMIT
# Completed on Sat Jan 16 00:14:12 2010
# Generated by iptables-save v1.3.8 on Sat Jan 16 00:14:12 2010
*mangle
:PREROUTING ACCEPT [4573180:3338282908]
:INPUT ACCEPT [1061127:690936046]
:FORWARD ACCEPT [3363223:2602801096]
:OUTPUT ACCEPT [486796:64954148]
:POSTROUTING ACCEPT [3863024:2672813763]
COMMIT
# Completed on Sat Jan 16 00:14:12 2010
# Generated by iptables-save v1.3.8 on Sat Jan 16 00:14:12 2010
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [13398:883786]
:OUTPUT ACCEPT [486695:64911682]
:BRUTE - [0:0]
:MACS - [0:0]
:SECURITY - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i br0 -m state --state NEW -j ACCEPT
-A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -j DROP
-A FORWARD -s 192.168.1.22 -m time --timestart 23:01:00 --timestop 06:59:00 --days Sun,Mon,Tue,Wed,Thu,Fri,Sat -j DROP
-A FORWARD -s 192.168.1.20 -m time --timestart 11:42:00 --timestop 23:00:00 --days Sun,Mon,Tue,Wed,Thu,Fri,Sat -j DROP
-A FORWARD -s 192.168.1.20 -m time --timestart 11:35:00 --timestop 11:37:00 --days Sun,Mon,Tue,Wed,Thu,Fri,Sat -j DROP
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ! br0 -o ppp0 -j DROP
-A FORWARD -i ! br0 -o vlan1 -j DROP
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j DROP
-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logaccept -j ACCEPT
-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logdrop -j DROP
COMMIT
# Completed on Sat Jan 16 00:14:12 2010
iptables --list
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere state NEW
ACCEPT all -- anywhere anywhere state NEW
ACCEPT udp -- anywhere anywhere udp spt:bootps dpt:bootpc
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp flags:FIN,SYN,RST,ACK/SYN
DROP all -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
DROP all -- 192.168.1.22 anywhere TIME from 23:01:00 to 06:59:00 on Sun,Mon,Tue,Wed,Thu,Fri,Sat
DROP all -- 192.168.1.20 anywhere TIME from 11:42:00 to 23:00:00 on Sun,Mon,Tue,Wed,Thu,Fri,Sat
DROP all -- 192.168.1.20 anywhere TIME from 11:35:00 to 11:37:00 on Sun,Mon,Tue,Wed,Thu,Fri,Sat
ACCEPT all -- anywhere anywhere
DROP all -- anywhere anywhere state INVALID
TCPMSS tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN TCPMSS clamp to PMTU
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
DROP all -- anywhere anywhere
DROP all -- anywhere anywhere
ACCEPT all -- anywhere anywhere ctstate DNAT
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain BRUTE (0 references)
target prot opt source destination
Chain MACS (0 references)
target prot opt source destination
Chain SECURITY (0 references)
target prot opt source destination
RETURN tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5
RETURN tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5
RETURN udp -- anywhere anywhere limit: avg 5/sec burst 5
RETURN icmp -- anywhere anywhere limit: avg 5/sec burst 5
DROP all -- anywhere anywhere
Chain logaccept (0 references)
target prot opt source destination
LOG all -- anywhere anywhere state NEW LOG level warning tcp-sequence tcp-options ip-options prefix `ACCEPT '
ACCEPT all -- anywhere anywhere
Chain logdrop (0 references)
target prot opt source destination
LOG all -- anywhere anywhere state NEW LOG level warning tcp-sequence tcp-options ip-options prefix `DROP '
DROP all -- anywhere anywhere
И всётаки ничего не работает, даже так как я написал...
Кто подскажет, как скажется команда iptables -F на дальнейшей работе роутера?
Добрый день!
Прежде чем задать вопрос, оговорюсь, что уже потратил некоторое количество времени на попытки настроить роутер самостоятельно. Поскольку не удалось, обращаюсь к Вам за помощью :)
Что у меня есть:
Роутер WL500W
Прошивка WL500W-1.9.2.7-10.7.trx
- Проц разогнан
- SSH установлен
- SNAT
- автопереход на летнее/зимнее время
Что нужно:
Настроить роутер таким образом, чтобы интернет работал только в Понедельник-Пятница с 9:00 до 18:00, а в другое время и дни НЕ работал!
Большая просьба расписать детально (лучше со скриншотами) как настраивается подобное.
Большое спасибо!
valerakvb
02-02-2010, 10:04
Добрый день!
Прежде чем задать вопрос, оговорюсь, что уже потратил некоторое количество времени на попытки настроить роутер самостоятельно. Поскольку не удалось, обращаюсь к Вам за помощью :)
Что у меня есть:
Роутер WL500W
Прошивка WL500W-1.9.2.7-10.7.trx
- Проц разогнан
- SSH установлен
- SNAT
- автопереход на летнее/зимнее время
Что нужно:
Настроить роутер таким образом, чтобы интернет работал только в Понедельник-Пятница с 9:00 до 18:00, а в другое время и дни НЕ работал!
Большая просьба расписать детально (лучше со скриншотами) как настраивается подобное.
Большое спасибо!
Internet Firewall - WAN & LAN Filter
Enable LAN to WAN Filter? YES
Угу, там и делал конечно.
Только проблема в том, что после настройки (как бы не делал) интернета нет никогда вообще...
Господа, вынужден сделать UP!
Все мои попытки разобраться с LAN to WAN Filter оказались тщетными. Как бы я его не настраивал - рубится весь интернет для всех и всегда. Один раз правда удалось добиться, чтобы пинговался только один IP из WAN.
Уточню задачу:
Понедельник:
0:00-8:59 - интернет не работает для всех
9:00-17:59 - интернет работает для всех
18:00-23:59 - интернет не работает для всех
Вторник:
0:00-8:59 - интернет не работает для всех
9:00-17:59 - интернет работает для всех
18:00-23:59 - интернет не работает для всех
Среда:
0:00-8:59 - интернет не работает для всех
9:00-17:59 - интернет работает для всех
18:00-23:59 - интернет не работает для всех
Четверг:
0:00-8:59 - интернет не работает для всех
9:00-17:59 - интернет работает для всех
18:00-23:59 - интернет не работает для всех
Пятница:
0:00-8:59 - интернет не работает для всех
9:00-17:59 - интернет работает для всех
18:00-23:59 - интернет не работает для всех
Суббота:
0:00-23:59 - интернет не работает для всех
Воскресенье:
0:00-23:59 - интернет не работает для всех
Как мысль указать, что:
В понедельник, вторник, среду, четверг и пятницу
время 9:00-18:00
Packets(LAN to WAN) not specified will be: DROP (Не указанные пакеты (из LAN в WAN) будут ПРОПУЩЕНЫ)
В таблицеDestination IP = 0.0.0.0, т.е. указаны ВСЕ IP...
Прошу помочь!
накатай скрипт, который iptables будет менять в зависимости от времени суток...
Здравствуйте
Работаю дома сам, в последнее время есть некоторые проблемы с самодисциплиной :( Периодически возникает соблазн в рабочее время полазить по новостным сайтам и т.д. и т.п.
Сейчас решаю данную проблему посредством моего роутера и использования его урл-фильтра
Вопросы
- Как можно редактировать перечень сайтов, включенных в фильтр, списком, не через веб интерфейс, а то в веб-интерфейсе это делать не совсем удобно
- Есть ли возможность определить часы, когда работает фильтр не через веб-интерфейс, а как-то более гибко. Допсустим, чтоб фильтр работал с 8-13 и с 14-18, а по выходным в другое время.
- Есть ли возможность отстроить роутер так, чтоб допустим в 24 он вырубал 80 порт до 8 утра. Чтоб я не сидел ночами возле компа, а топал спатки :)
Заранее спасибо за помощью
накатай скрипт, который iptables будет менять в зависимости от времени суток...
Спасибо за подробное описание!
moveinone
26-03-2010, 22:50
В прошивке от энтузиастов есть график работы wifi - можно выключить wi-fi по дням и часам.
НО возможно ли отключение доступа для одного конкретного абонента wifi по его мак-адресу скажем после 23-00 и до 8 утра каждый день? Чтобы для других абонентов wifi работал, а для одного мак-адреса только днем. Надо блокировать подростку интернет ночью, но оставив его для взрослых соседей.
Как это в консоли прописать?
В прошивке от энтузиастов есть график работы wifi - можно выключить wi-fi по дням и часам.
НО возможно ли отключение доступа для одного конкретного абонента wifi по его мак-адресу скажем после 23-00 и до 8 утра каждый день? Чтобы для других абонентов wifi работал, а для одного мак-адреса только днем. Надо блокировать подростку интернет ночью, но оставив его для взрослых соседей.
Как это в консоли прописать?
через cron толкать командник закрывающий mac
moveinone
27-03-2010, 16:14
А есть готовый блок команд?
И самое главная команда, как потом отменить все что настроил )))
А есть готовый блок команд?
И самое главная команда, как потом отменить все что настроил )))
А поиском воспользоваться не судьба (http://wl500g.info/showpost.php?p=138954&postcount=2)?
moveinone
29-03-2010, 20:24
У меня ребенок на таком сидит, примерно:
iptables -I FORWARD 1 -m time --timestart 21:00:00 --timestop 07:00:00 --days Mon,Tue,Wed,Thu,Fri,Sun,Sat -m mac --mac-source XX:XX:XX:XX:XX:XX -o ppp0 -j DROP
Кстати, МАК может и поменять (когда научится :D), только толку мало, т.к. на Wi-Fi сидит с фильтрацией по МАКам.
Хотя, конечно, умный ребенок "снимет" МАКи папиного компа :))
а как эту команду отменить? чтобы потом самому войти с его комьютера ночью?-)))
Прошивка WL500gpv2-1.9.2.7-d-r1222
основная проблема:
прописываю правила запрета и они не всегда срабатываю в отведенное им время.
правило может работать несколько дней, потом перестает отключать интернет, если перегрузить роутер, то правило опять начинает работать
правила прописываю и в WAN & LAN Filter и напрямую в iptables
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 DROP all -- 0.0.0.0/0 0.0.0.0/0 TIME from 23:00:00 to 23:59:59 on Sun,Mon,Tue,Wed,Thu,Fri MAC 00:1D:60:7B:81:03
2 DROP all -- 0.0.0.0/0 0.0.0.0/0 TIME from 00:00:00 to 07:30:00 on Sun,Mon,Tue,Wed,Thu,Fri,Sat MAC 00:1D:60:7B:81:03
3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
4 DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID
5 TCPMSS tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02 TCPMSS clamp to PMTU
6 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
7 DROP all -- 0.0.0.0/0 0.0.0.0/0
8 DROP all -- 0.0.0.0/0 0.0.0.0/0
9 DROP tcp -- 192.168.77.4 0.0.0.0/0 TIME from 17:00:00 to 20:00:00 on Sun,Mon,Tue,Wed,Thu,Fri,Sat tcp spts:81:65500
10 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
11 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ctstate DNAT
вторая проблема, если пытаюсь напрямую выполнить команду
iptables -I FORWARD 3 -p tcp -m multiport --port 80,81 -j DROP
выдает сообщение:iptables: No chain/target/match by that name
почитав по форумам вроде как нужен xt_tcpudp, но правило № 9 как то работает... и без xt_tcpudp
у кого какие есть мысли и варианты возникновения такой нестабильности
да и ещё есть нюанс: при перезагрузке командой reboot не всегда нормально перегружается, приходится отключать питание и тогда загружается нормально.
dramnbass
31-03-2010, 03:54
а нельзя по крону?
wan0 up/down
с небольшой вариацией. на роутере поднимается два pppoe: ppp0 - вечерний анлим, ppp1 - доступ к локальным ресурсам провайдера (круглосуточно).
настраивал как здесь http://wl500g.info/showthread.php?t=17248.
как сделать чтобы ppp0 поднималось только с 19 до 23.
Мне нужно сделать, чтобы один компьютер перестал выходить в интернет, а другие сессии не должны обрываться, тем более по крону, мало ли что у меня там важное в это время происходит :-)
... видимо не правильно написал вопрос, раз ни кто не может ничего посоветовать... или вокруг такие же ламеры как я ;-)
Мне нужно сделать, чтобы один компьютер перестал выходить в интернет, а другие сессии не должны обрываться, тем более по крону, мало ли что у меня там важное в это время происходит :-)
... видимо не правильно написал вопрос, раз ни кто не может ничего посоветовать... или вокруг такие же ламеры как я ;-)
Странно, в ветке RT-N есть очень похожая симптоматика http://code.google.com/p/wl500g/source/detail?r=1426
Mx00, у меня великолепно работает в таком варианте (кусок post-firewall):
### Ограничиваем доступ ребенку.
### Во время действия летнего времени срабатывает на 1 час позже:
### Создаем новую цепочку, дропаем в ней все по умолчанию.
### Заворачиваем на нее все интернет-пакеты ребенка
iptables -N CHILD
iptables -A CHILD -j DROP
iptables -I FORWARD 1 -m mac --mac-source xx:xx:xx:xx:xx:xx -o ppp0 -j CHILD
### Включаем ребенку интернет по времени
iptables -I CHILD 1 -m time --timestart 18:00:00 --timestop 21:00:00 --days Sun,Mon,Tue,Wed,Thu,Fri,Sat -j RETURN
Кроме того, имеется несколько скриптов с названиями ON, OFF и OFFF для оперативного включения, ограничения и полного выключения интернета удаленно (например, с телефона :)).
AlekseyA
09-04-2010, 17:32
Кроме того, имеется несколько скриптов с названиями ON, OFF и OFFF для оперативного включения, ограничения и полного выключения интернета удаленно (например, с телефона :)).
А можно по подробнее, уж очень интересно, проблема: как прогнать ребенка от компа.;)
если можно со скриптами и куда, и как запустить.
AlekseyA, нет проблем :)
Скрипт ON:
#!/bin/sh
iptables -F CHILD
iptables -A CHILD -j RETURN
iptables -L CHILD && echo -e "Ребенок ВКлючен\n"
Скрипт OFF:
#!/bin/sh
iptables -F CHILD
iptables -A CHILD -j DROP
### Во время действия летнего времени срабатывает на 1 час позже:
iptables -I CHILD 1 -m time --timestart 18:00:00 --timestop 21:00:00 --days Sun,Mon,Tue,Wed,Thu,Fri,Sat -j RETURN
echo
iptables -L CHILD && echo -e "Ребенок ВКлючен по времени\n"
Скрипт OFFF
#!/bin/sh
iptables -F CHILD
iptables -A CHILD -j DROP
echo
iptables -L CHILD && echo -e "Ребенок ВЫключен СОВСЕМ\n"
Файлы ON, OFF, OFFF лежат в /opt/bin и, естественно, сделаны исполняемыми.
Сценарий: ребенок звонит, говорит, что сделал уроки и просит включить инет.
Папа запускает Putty на телефоне, набирает ON и ребенок включен.
Остальное - аналогично.
P.S. Естественно, для работы скриптов в post-firewall нужно включить тот кусок, что я приводил выше.
Суперское решение, сейчас расплачусь от счастья!
Одно НО - детишкоф у меня двое, у каждого свой комп. Правило одно на обоих - 23:00 - отбой и никаких гвоздей. Куда в вышеприведенном скрипте МАС адрес второго отпрыска воткнуть?
Antoon, это вроде очевидно.
В вышеприведенном куске post-firewall ищите строчку, где указан MAC.
Под ней дописываете такую же, но с MAC-ом второго чада.
Я сделал так:
Создал два файла.
Первый ipoff следующего содержания:
#!/bin/sh
iptables -I FORWARD -s 192.168.xx.xx -j DROP
где : 192.168.xx.xx - компьютер доступ к которому следует закрыть.
И второй ipon:
#!/bin/sh
iptables -D FORWARD -s 192.168.xx.xx -j DROP
Сделал их исполняемыми.
Поместил их в /opt/local/bin.
В /opt/local распологаются программы поставленные вручную.
И задал задания в крон:
00 14 * * 1-5 ipoff
00 18 * * 1-5 ipon
Доступ закрыт с 14 до 18 каждый день , кроме субботы и воскресенья.
Все.
tin, это всё очевидно, но неэффективно.
Детки умные пошли - бывает, что питание роутера передернуть могут. В Вашем случае передергивание питания с 14 до 18 приведет к тому, что интернет появится до 14 следующего дня.
Или флешку могут выдернуть :)
Да и IP вручную поставить - нет проблем.
tin, это всё очевидно, но неэффективно.
Детки умные пошли - бывает, что питание роутера передернуть могут. В Вашем случае передергивание питания с 14 до 18 приведет к тому, что интернет появится до 14 следующего дня.
Или флешку могут выдернуть :)
Да и IP вручную поставить - нет проблем.
Это понятно.
В моем случае данное решение работает , и полностью меня удовлетворяет.
Кроме того здесь уже дело не какой-то железке, а наверное уже в детях и в их воспитании.
tin, это всё очевидно, но неэффективно.
Детки умные пошли - бывает, что питание роутера передернуть могут. В Вашем случае передергивание питания с 14 до 18 приведет к тому, что интернет появится до 14 следующего дня.
Или флешку могут выдернуть :)
Да и IP вручную поставить - нет проблем.
) bbsc прав, полноценная защита от инсайдеров в принципе невозможна, можно же и вообще напрямую в компьютер включится, так что тут уже скорее вопрос воспитания
Смена IP например решается просто, привязываем MAC к IP, даже если сменить IP, роутер будет все слать на тот MAC что у него приписан, да и скрипт можно пихнуть в автозагрузку и сделать эффективную проверку условий, вот только проблему воспитания это вряд ли решит :)
TReX, tin , не очень понимаю, к чему весь этот флуд насчет воспитания.
Был бы порядок с воспитанием - iptables -m time нам всем бы не понадобился.
А так...
Вариант с iptables -m time исключает доступ к инету без карточки доступа и без разрушающих действий с папиной железкой.
Вариант с crontab позволяет его легко обойти и считать папу лопухом.
P.S. В принципе, вариант с iptables -m time тоже можно обойти.
Но для этого нужно сделать ряд неочевидных действий.
Например, почитать про MAC-адреса, как их менять, вычислить MAC, например, маминого или папиного телефона и получить доступ.
Попутно придется "взять" локального админа у себя на компе.
Так вот, если моя дочка это всё сможет сделать, то я буду только рад и включу ей интернет навсегда.
MrGalaxy
11-04-2010, 20:37
при условии, что у этого сервиса реально выделить единичный ip адрес (или хотя бы диапазон адресов). Например для mail.ru :
iptables -A FORWARD -s 192.168.1.6 -d 194.67.57.0/24 -j DROP
смотреть адреса:
nslookup mail.ru
А чтобы запретить доступ из всей локалки, надо записать так:
iptables -A FORWARD -s 192.168.1.0/24 -d 194.67.57.0/24 -j DROP
Antoon, это вроде очевидно.
В вышеприведенном куске post-firewall ищите строчку, где указан MAC.
Под ней дописываете такую же, но с MAC-ом второго чада.
Хм, сделал по вашему рецепту, интернет у детей пропал. То есть, абсолютно. Сутки подождал - не включился. Значения --timestart 07:00:00, --timestop 00:00:00
Пока закомментировал. Что может быть не так?
Antoon, странно, а что именно Вы делали?
И какая версия прошивки роутера?
Antoon, странно, а что именно Вы делали?
И какая версия прошивки роутера?
Делал все по инструкции "с нуля", прошивка 1.9.2.7-d-r1222
Antoon, покажите:
1. cat /tmp/local/sbin/post-firewall
2. iptables -L FORWARD
3. iptables -L CHILD
Antoon, покажите:
1. cat /tmp/local/sbin/post-firewall
#!/bin/sh
iptables -t nat -nvL POSTROUTING | grep MASQUERADE | awk '{
"ifconfig "$7" | grep Mask" | getline ip;
split(ip,ip,":"); split(ip[2],ip," ");
split($8,src,"!");
if (src[1]=="") {src="! -s "src[2]} else {src="-s "src[1]};
if ($9=="0.0.0.0/0") {dst=""} else {dst="-d "$9};
system("iptables -t nat -A POSTROUTING -o "$7" "src" "dst" -j SNAT --to-source "ip[1]);
system("iptables -t nat -D POSTROUTING -o "$7" "src" "dst" -j MASQUERADE");
}'
iptables -N CHILD
iptables -A CHILD -j DROP
iptables -I FORWARD 1 -m mac --mac-source 00:17:9a:02:a2:a1 -o ppp0 -j CHILD
iptables -I FORWARD 1 -m mac --mac-source 00:13:02:ae:d7:02 -o ppp0 -j CHILD
## Включаем ребенку интернет по времени
iptables -I CHILD 1 -m time --timestart 07:00:00 --timestop 00:00:00 --days Sun,Mon,Tue,Wed,Thu,Fri,Sat -j RETURN
2. iptables -L FORWARD
Chain FORWARD (policy ACCEPT)
target prot opt source destination
CHILD all -- anywhere anywhere MAC 00:13:02:AE:D7:02
CHILD all -- anywhere anywhere MAC 00:17:9A:02:A2:A1
DROP tcp -- anywhere anywhere webstr: url *
ACCEPT all -- anywhere anywhere
DROP all -- anywhere anywhere state INVALID
TCPMSS tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN TCPMSS clamp to PMTU
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
DROP all -- anywhere anywhere
DROP all -- anywhere anywhere
SECURITY all -- anywhere anywhere state NEW
ACCEPT all -- anywhere anywhere ctstate DNAT
DROP all -- anywhere anywhere
3. iptables -L CHILD
Chain CHILD (2 references)
target prot opt source destination
RETURN all -- anywhere anywhere TIME from 07:00:00 to 00:00:00 on Sun,Mon,Tue,Wed,Thu,Fri,Sat
DROP all -- anywhere anywhere
Antoon, не вижу проблем.
Попробуйте сделать --timestart 07:00:00 --timestop 23:59:59
а на роутере wl500g prem v2 , запрет с временем можно сделать?
Точка — WL-500G Deluxe, прошивка — 1.9.2.7-d-r1445.
Не работает URL Filter. Вернее работает не правильно.
Настроил чтоб фильтровал odnoklassniki.ru с 10 до 19 кроме субботы и воскресенья. Время 19:57 — одноклассники все еще не работают :)
269 237K DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 TIME from 10:00:00 to 19:00:00 on Mon,Tue,Wed,Thu,Fri webstr: url games.mail.ru
56 41414 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 TIME from 10:00:00 to 19:00:00 on Mon,Tue,Wed,Thu,Fri webstr: url odnoklassniki.ru
123 72433 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 TIME from 10:00:00 to 19:00:00 on Mon,Tue,Wed,Thu,Fri webstr: url fishki.net
400 223K DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 TIME from 10:00:00 to 19:00:00 on Mon,Tue,Wed,Thu,Fri webstr: url vkontakte.ru
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 TIME from 10:00:00 to 19:00:00 on Mon,Tue,Wed,Thu,Fri webstr: url vk.com
[admin@WL-0011D824618E root]$ date
Wed Apr 28 19:57:57 MSD 2010
В 20.00 заработали одноклассники...
Но что-то не так... должно было включиться в 19, а включилось в 20. Интересно, во сколько перестанет работать? в 10.00 или в 11.00? :)
Где найти параметры модуля ipt_webstr?
Antoon, не вижу проблем.
Попробуйте сделать --timestart 07:00:00 --timestop 23:59:59
Да, так работает. Спасибо.
Antoon, пожалуйста :)
Конструкция, в которой --timestart больше чем --timestop перестала работать начиная где-то с 1000-й версии прошивки, видимо, Вы как раз натолкнулись на данную особенность.
Здравствуйте!
Кто знает, есть ли для наших роутеров (мой wl-500gp v2) родителький контроль? Не URL фильтр, а такой, что бы можно было устанавливать политики (время посещения сайтов и т.д.).
Спасибо!
Постав на комп'ютер TimeBoss (http://nicekit.ru/parental-control/time-boss.php)
Asus 520 gu – олеговская прошивка.
Подскажите где в веб интерфейсе ограничить доступ Wi-Fi и Lan по мак адресу и IP.
Где не делал что не прописывал доступ везде открыт.
Может какая то последовательность применить обновить перегрузить есть?
Если можно поподробней уже пол дня по инету лазию.
помогите плиз моз уже сломал
В веб интерфейсе этого сделать нельзя.
а каким способом ограничения делают?
что бы нежелательные пользователи не приконектились.
а каким способом ограничения делают?
что бы нежелательные пользователи не приконектились.
В веб-морде:
Wireless \ Access Control \ Ставим "MAC Access Mode: Accept"
И снизу добавляем мак-адреса допускаемых машин.
для lan можно по мак тут
Internet Firewall->MAC Filter
или не через web вот так
http://wl500g.info/showthread.php?p=77148#post77148
Подскажите, друзья. Можно ли ограничить определенному MACу или IP, пользование интернетом по времени? Ну например не больше 2-х часов в день? Именно по количеству часов. Интересует по WiFi. У меня WL500GP v.1
Pablo Escobar
27-07-2010, 16:07
http://emberapp.com/psychov/images/littlesnapper-23/sizes/m.png
Подскажите, друзья. Можно ли ограничить определенному MACу или IP, пользование интернетом по времени?"Ну, понимаете можно, конечно, и зайца научить курить. Нет ничего невозможного для человека с интеллектом." (Вера, секретарь (С))
Применительно к
Ну например не больше 2-х часов в день? Именно по количеству часов.один из вариантов:
1. организовать считалку трафика по нужному IP, например (http://wl500g.info/showpost.php?p=147457&postcount=11).
2. каждые 5 мин cron-ом проверять: если траффик>xxx байт, то счетчик +1.
3. Если счетчик>120, то баним юзера (например (http://wl500g.info/showpost.php?p=50502&postcount=3))
4. раз в сутки сбрасывать счетчик и открывать доступ юзеру.
mailmoney
22-09-2010, 16:31
Здравствуйте.
Сейчас очень срочно нужно заблокировать одно слово на маршрутизаторе, раньше (видимо в оф. прошивке) был пункт. Сейчас перепрошит, может в iptables можно правило прописать? Помогите пожалуйста
theMIROn
22-09-2010, 16:41
чем через web интерфейс не устраивает?
mailmoney
23-09-2010, 02:57
чем через web интерфейс не устраивает?
Устраивает, но как я понял этой вкладки сейчас нет. Стоит прошивка 1.9.2.7-10.7
Устраивает, но как я понял этой вкладки сейчас нет. Стоит прошивка 1.9.2.7-10.7
Вообще то эта прошивка давно устарела и не поддерживается ) Берите свежую от энтузиастов )
Вот я честно говоря этого не понимаю. Позавчера поставил прошивку 1.9.2.7-10.7 , было написано что она самая новая и стабильная....
Вот я честно говоря этого не понимаю. Позавчера поставил прошивку 1.9.2.7-10.7 , было написано что она самая новая и стабильная....
Посмотрите на дату этого сообщения ))) Просто админы никак не отклеят эту устаревшую ветку
скажите еще такое, вот допустим имеется wl500g prem v1, есть ли какие нибудь варианты настройки в нем таймера работы? чтобы например интернет бы с с 8 утра до 21 итд, просто бороться с детьми бесполезно сидят до часу ночи и с невыспаным состоянием идут в школу.
скажите еще такое, вот допустим имеется wl500g prem v1, есть ли какие нибудь варианты настройки в нем таймера работы? чтобы например интернет бы с с 8 утра до 21 итд, просто бороться с детьми бесполезно сидят до часу ночи и с невыспаным состоянием идут в школу.
Есть в самом веб-интерфейсе вкладка
WAN & LAN Filter
скажите еще такое, вот допустим имеется wl500g prem v1, есть ли какие нибудь варианты настройки в нем таймера работы? чтобы например интернет бы с с 8 утра до 21 итд, просто бороться с детьми бесполезно сидят до часу ночи и с невыспаным состоянием идут в школу.
Поиск совсем отменили?
iptables -I FORWARD 1 -m time --timestart 23:00:00 --timestop 17:30:00 --days Mon,Tue,Wed,Thu,Fri -m mac --mac-source 00:11:22:33:44:55 -o ppp0 -j DROP
Естественно МАС адрес нужного компа, и время свое.
Если компов несколько - по 1 правилу на комп.
Поиск совсем отменили?
iptables -I FORWARD 1 -m time --timestart 23:00:00 --timestop 17:30:00 --days Mon,Tue,Wed,Thu,Fri -m mac --mac-source 00:11:22:33:44:55 -o ppp0 -j DROP
Естественно МАС адрес нужного компа, и время свое.
Если компов несколько - по 1 правилу на комп.
нет, поиск не отменили, по своим запросом не находил то что надо но вот тут вроде что то подобное пишут http://www.wl500g.info/showthread.php?t=23611&highlight=%E2%F0%E5%EC%E5%ED%E8&page=2
п.с. спасибо за ответ
ребята а все это можно проделать на wl500g premium v2 или только на v1?
Доброго дня всем!
Прошу не отказать в просьбе.
Старший часто засиживается в интернете до поздна. Можно как нибудь сделать ограничение по времени или прописать время с утра и до 11 вечера.
Всех благ
посмотрите здесь http://www.wl500g.info/showthread.php?p=212685#post212685
Помогите разобраться: хочу добавить в URL Filter новый адрес сайта, который загружается в новом окне при открытии страницы с результатом поиска нужного мне сайта. А с ним соответственно и разные банеры и пр.
До этого мне удавалось вбивать одну строку сразу после обновления прошивки до последней версии. И всё! Т.е. следующий раз только после перепрошивки, или в исключительно редких случаях.
Происходит следующее: ввожу в поле адрес, нажимаю "Add", появляется лишь абсолютно чистая страница (сколько не жди она не измениться).
В списке уже есть несколько адресов:
bannerbank
adskape
Но и они не отфильтровываются, хотя сам фильтр включён на все дни недели. На других модемах/роутерах (оригинальные прошивки DIR-300 и ADSL-2640) подобное вбивание адресов приводит к фильтрации, а здесь совсем беда!
С помощю HTTPWatch Pro v7.0.23 определил всё же, что адрес если и вводиться, то командой
http://my.router/apply.cgi?current_page=Advanced_URLFilter_Content. asp&next_page=SaveRestart.asp&next_host=my.router&sid_list=FirewallConfig%3B&group_id=UrlList&modified=0&action_mode=+Add+&first_time=&action_script=&url_enable_x=1&url_date_x=1111111&url_date_x_Sun=on&url_date_x_Mon=on&url_date_x_Tue=on&url_date_x_Wed=on&url_date_x_Thu=on&url_date_x_Fri=on&url_date_x_Sat=on&url_time_x=00002359&url_time_x_starthour=00&url_time_x_startmin=00&url_time_x_endhour=23&url_time_x_endmin=59&url_num_x_0=4&UrlList=+Add+&url_keyword_x_0=slylog
К сожалению, меняя лишь адрес на конце строки поправить положение не получиться, надо учитывать ещё и время ввода и пр.
Нашёл различие в командах:
http://my.router/apply.cgi?current_page=Advanced_URLFilter_Content. asp&next_page=SaveRestart.asp&next_host=my.router&sid_list=FirewallConfig%3B&group_id=UrlList&modified=0&action_mode=+Add+&first_time=&action_script=&url_enable_x=1&url_date_x=1111111&url_date_x_Sun=on&url_date_x_Mon=on&url_date_x_Tue=on&url_date_x_Wed=on&url_date_x_Thu=on&url_date_x_Fri=on&url_date_x_Sat=on&url_time_x=00002359&url_time_x_starthour=00&url_time_x_startmin=00&url_time_x_endhour=23&url_time_x_endmin=59&url_num_x_0=4%0D%0A&UrlList=+Add+&url_keyword_x_0=mpa.one.microsoft.com - этой добавилось!!!:eek: Что ещё за "%0D%0A&" перед "UrlList=+Add+&url_keyword_x_0=mpa.one.microsoft.com"?
Хочу добавить, что большинство адресов уже есть в автозаполнении форм. Может это как-то влияет? Но их можно удалить, нажав Delete на нужном пункте выпадающего списка (в строке ввода), - и это не помогает.
P.S.
Реч идёт о DIR-320 Ver.: A1 с Прошивка от Олега wl500g-1.9.2.7-d-r2174 (2010-09-30)
мне вот интересно ,где брать прошивку на эту железяку...
День добрый всем!
вопрос может быть примитивный в силу слабого владения линукс, но очень актуальный:
Роутер Asus RT-N16 c последней прошивкой от Олега+"энтузиасты"
соединение с интернет по L2TP
необходимо составить расписание ограничивающее доступ в интернет по часам и дням недели.
Как понимаю можно сделать через cron, но к сожалению не владею...
Пошаговую инструкцию с примером для новичка не дадите?
Ребенок явно злоупотребляет, а по форуму поискал вроде не обсуждалось, ну или ткните пальцем если пропустил...
Заранее спасибо
День добрый всем!
вопрос может быть примитивный в силу слабого владения линукс, но очень актуальный:
Роутер Asus RT-N16 c последней прошивкой от Олега+"энтузиасты"
соединение с интернет по L2TP
необходимо составить расписание ограничивающее доступ в интернет по часам и дням недели.
Как понимаю можно сделать через cron, но к сожалению не владею...
Пошаговую инструкцию с примером для новичка не дадите?
Ребенок явно злоупотребляет, а по форуму поискал вроде не обсуждалось, ну или ткните пальцем если пропустил...
Заранее спасибо
Тут это сделано командой iptables
http://www.wl500g.info/showthread.php?t=23611&highlight=%F0%E5%E1%E5%ED%EE%EA
прочитайте эту тему там как раз ограничение доступа
по времени конкретной машины по МАК адресу!
очень хорошо подходит для ограничения интернета для ребенка
при условии что у ребенка свой компьютер!
если у вас с ребенком одна машина,
нужно искать иной путь ограничения
сами тогда не войдете в интернет вечером - когда надо
RCM, без разницы.
Есть идея реализовать это через веб-морду. Но нужен тестер, который бы проверил данную фичу в работе. :cool:
[QUOTE=yuraz;214283]Тут это сделано командой iptables
Спасибо за наводку! Это вообще идеальный вариант...
как закрыть доступ к определенным сайтам определенному IP адресу. Например: IP 192.168.1.6 не имеет права заходить на mail.ru, odnoklassniki.ru, vkontakte.ru и т. д.
Мне вот тоже интересно, но всем и в нескольких временных интервалах.
P.S. Сейчас правда у меня стоит сервер, который хочется заменить на маленькую коробочку, а главное бесшумную, там winroute который в зависимости от времени или разрешает доступ к этим сайтам, либо перенаправляет на типа http://ru.wikipedia.org/wiki/ ;)
Подскажите, даю команду для закрытия локального ресурса:
iptables -I FORWARD -p tcp -s 192.168.1.0/24 -d ресурс -j DROP
потом:
flashfs save
flashfs commit
flashfs enable
но при перезагрузки рутера или соединения, правило слетает и приходиться заново вводить команду:
iptables -I FORWARD -p tcp -s 192.168.1.0/24 -d ресурс -j DROP
Потому что приведенная вами команда изменяет только состояние iptables.
Правильно эту команду прописывать в post-firewall
Прописал команду в post-firewall, который лежит в /tmp/local/sbin, почему он лежит там? Сделал поиск, другого нет... заглянул в /usr/local/sbin, судя по дате создания и размеру, он является ссылкой на тот, что лежит в tmp? Содержание идентично.
При перезагрузке рутера прописанная строка не выполняется, стоит открыть файл post-firewall, как рутер тут же ее выполняет...
Как заставить выполнять файл post-firewall при запуске?
rstaganrog
19-11-2010, 20:05
Имеется Asus WL500GP V2. К нему витой парой подключен мой комп. Ноут и пара мобильных телефонов с WiFi детей забирают инет через WiFi, плюс ноут может подключаться через витую пару. MAC-адреса всех потебителей интернета имеются.
Задача: у меня инет без ограничений. Детям нужно ограничить доступ к интернету по некоторому расписанию.
Первый вариант, который хотелось бы осуществить - доступ к глобальной сети ежедневно открыт, к примеру, для:
ноута - с 20.00 до 22.00
телефона-1 - с 21.00 до 22.00
телефона-2 - с 20.00 до 21.30
Второй сценарий ограничения - - доступ к глобальной сети ежедневно открыт, к примеру, для:
ноута - 2 часа в сутки
телефона-1 - 1 час в сутки
телефона-2 - 1.5 часа в сутки
Можно ли это организовать на стандартной прошивке?
зы сейчас в брандмауэре роутера определил в закладке "Фильтр MAC-адресов" свой MAC-адрес и если нужно всем остальным разрешить доступ к сети выбираю "Отключено". Установка флага "Принимать" оставляет сеть моему компу, отключая сразу всем. Это не гибко в плане удобной дифференциации отключаемых и очень неудобно, поскольку неавтоматизировано и требует ручного участия.
Pablo Escobar
19-11-2010, 20:15
по стандартной прошивке - на форум асуса. здесь ее видят один раз - при покупке.
rstaganrog
19-11-2010, 20:36
хорошо, если я поставлю прошивку WL500gpv2-1.9.2.7-d-r2174.trx - вопрос решаем?
если это возможно реализовать - просьба объяснить "попонятней, поподробней"
:)
Pablo Escobar
19-11-2010, 20:49
хорошо, если я поставлю прошивку WL500gpv2-1.9.2.7-d-r2174.trx - вопрос решаем?
если это возможно реализовать - просьба объяснить "попонятней, поподробней"
:)
http://emberapp.com/pablo_esc/images/screen-shot-2010-11-19-at-23-47-58/sizes/m.png
Ну, и ручками можно
rstaganrog
19-11-2010, 21:10
http://emberapp.com/pablo_esc/images/screen-shot-2010-11-19-at-23-47-58/sizes/m.png
Ну, и ручками можно
В стандартной прошивке подобная форма тоже есть. Но, если я правильно понимаю, временной диапазон доступности сети задаётся один для всех MAC-адресов в списке? Т.е. нельзя для каждого из MAC-ов задать свой временной интервал. Правильно?
В стандартной прошивке подобная форма тоже есть. Но, если я правильно понимаю, временной диапазон доступности сети задаётся один для всех MAC-адресов в списке? Т.е. нельзя для каждого из MAC-ов задать свой временной интервал. Правильно?
В вебе - нельзя, а если ручками в iptables - то можно...
rstaganrog
20-11-2010, 05:19
В вебе - нельзя, а если ручками в iptables - то можно...
не подскажете в деталях, как это сделать?
не подскажете в деталях, как это сделать?
Хороший вариант есть в этой теме (http://wl500g.info/showthread.php?t=23611)
rstaganrog
20-11-2010, 20:27
Хороший вариант есть в этой теме (http://wl500g.info/showthread.php?t=23611)
спасибо, посмотрю
пока еще пытаюсь разобраться, как всё это будет работать. насколько я понимаю запускать скрипты нужно будет через PUTTY? если это так, то следующий вопрос - можно ли запуск скриптов обернуть так, чтобы они стартовали ярлыком в Windows?
rstaganrog
20-11-2010, 20:36
Есть идея реализовать это через веб-морду. Но нужен тестер, который бы проверил данную фичу в работе. :cool:
Т.е. Вы можете сделать это через веб-интерфейс?
Было бы интересно посмотреть на результат.
rstaganrog
20-11-2010, 20:36
Хороший вариант есть в этой теме (http://wl500g.info/showthread.php?t=23611)
ответил и в ту тему
и еще вопрос - для того, чтобы приведенные в этой теме скрипты работали нужно обязательно ставить альтернативную прошивку или они вполне будут выполняться и на стандартной?
Как запретить посещение определенного сайта всем IP кроме одного ?
(DIR-320 прошит Олег 1.9.2.7-d-r1222 , в поиске не нашол ответа)
Спасибо.
Как запретить посещение определенного сайта всем IP кроме одного ?
(DIR-320 прошит Олег 1.9.2.7-d-r1222 , в поиске не нашол ответа)
Спасибо.
RTFM
man iptables ...
192.168.1.2 для одного адреса
192.168.1.0/24 для всей сети
! 192.168.1.5 для всех кроме указанного адреса
а сайты всё равно доступны!
что я не так делаю??
Здравствуйте!
Подскажите пожалуйста, как можно запретить доступ в интернет для определённого MAC-адреса в определённый интервал времени?
Сразу извиняюсь если такая тема уже было, просто поиск ничего не дал(
Имею роутер WL 500gP v.2, на нём поднят интернет через pptp, к первому порту подключён комп, ко второму второй комп, как мне сделать что бы на втором компе не было интернета, а была только сеть где в настройках это сделать?
dr.Johanson
11-02-2011, 08:13
Здравствуйте , господа.
Такую задачу реализовать хотелось бы.
Есть 3 компа, подключены к роутеру.Нужно чтобы на один комп интернет был по времени: например с 15 00 до 19 00 он есть, а в остальное время он отсутствует.
FilimoniC
11-02-2011, 08:44
Здравствуйте , господа.
Такую задачу реализовать хотелось бы.
Есть 3 компа, подключены к роутеру.Нужно чтобы на один комп интернет был по времени: например с 15 00 до 19 00 он есть, а в остальное время он отсутствует.
cron+iptables вам в помощь и ntp
И, да, с дитём лучше так не поступать, ИМХО.
Угу, спасибо, нужно почитаться будет.
Можно ещё почитать в этой теме (http://wl500g.info/showthread.php?t=25209&page=4). Есть там хорошие примеры.
ryzhov_al
11-02-2011, 09:08
Есть 3 компа, подключены к роутеру.Нужно чтобы на один комп интернет был по времени: например с 15 00 до 19 00 он есть, а в остальное время он отсутствует.В поиске (http://www.wl500g.info/showpost.php?p=183582&postcount=32) по ключевому слову "ограничение".
cron+iptables вам в помощь и ntp
И, да, с дитём лучше так не поступать, ИМХО.
только встроенный софт, без cron'a:
iptables -I FORWARD 1 -m time --timestart 19:00:00 --timestop 15:00:00 --days Mon,Tue,Wed,Thu,Fri,Sun,Sat -m mac --mac-source хх:хх:хх:хх:хх:хх -o ppp0 -j DROP
Делаю как обычно:
iptables -N CHILD
iptables -A CHILD -j DROP
iptables -I FORWARD 1 -m mac --mac-source xx:xx:xx:xx:xx:xx -j CHILD
iptables -I FORWARD 1 -m mac --mac-source yy:yy:yy:yy:yy:yy -j CHILD
# Включаем по времени
iptables -I CHILD 1 -m time --timestart 18:00:00 --timestop 22:00:00 --days Sun,Mon,Tue,Wed,Thu -j RETURN
iptables -I CHILD 1 -m time --timestart 14:00:00 --timestop 22:00:00 --days Fri,Sat -j RETURN
Не работает
iptables -L CHILD -v
0 0 RETURN all -- any any anywhere anywhere TIME from 18:00:00 to 22:00:00 on Sun,Mon,Tue,Wed,Thu
0 0 RETURN all -- any any anywhere anywhere TIME from 14:00:00 to 22:00:00 on Fri,Sat
14715 818K DROP all -- any any anywhere anywhere
Добавляю RETURN после time правил, чтобы проверить, что пакеты ходят нормально и все правила просматриваются
iptables -I CHILD 3 -j RETURN
Работает
iptables -L CHILD -v
0 0 RETURN all -- any any anywhere anywhere TIME from 18:00:00 to 22:00:00 on Sun,Mon,Tue,Wed,Thu
0 0 RETURN all -- any any anywhere anywhere TIME from 14:00:00 to 22:00:00 on Fri,Sat
670 12872 RETURN all -- any any anywhere anywhere
14821 819K DROP all -- any any anywhere anywhere
Оставляю только одно time правило и перегружаюсь
Работает.
iptables -L CHILD -v
972 18961 RETURN all -- any any anywhere anywhere TIME from 14:00:00 to 22:00:00 on Sun,Mon,Tue,Wed,Thu,Fri,Sat
5 145 DROP all -- any any anywhere anywhere
Вопрос: оно что, не понимает нескольких time правил в одной цепочке или я чего-то не догоняю?
Прошивка DIR320-1.9.2.7-d-r2394M.trx от 29.11.2010
Девайс DIR-320
a.ryzhikov
08-06-2011, 15:21
я настроил WAN & LAN Filter так чтобы в определенное время(с 10:00 до 18:00) не было доступа ко всем портам кроме 80/tcp(интернет). Все работает замечательно за одним исключение. когда приходит время все включить у меня наоборот отрубается все вместе с интернетом.
В чем может быть проблема?
Роутер ASUS WL-500 gP V2, прошивка WL500gpv2-1.9.2.7-d-r2624
LAN to WAN Filter:
Enable LAN to WAN Filter: yas
Date to Enable LAN to WAN Filter: Sun, Mon, Tue, Wed, Thu, Fri, Sat
Time of Day to Enable LAN to WAN Filter: 10:00 - 18:00
Packets(LAN to WAN) not specified will be: DROP
Filtered ICMP(LAN to WAN) packet types: Пусто
LAN to WAN Filter Table
Source IP(пусто), Port Range(пусто), Destination IP(пусто), Port Range 80, Protocol TCP
В заранее спасибо!
Заметил маленькую особенность. После обновления в rt-n ветке iptables до 1.4.3.2 (r2716 и выше) опция "--days" более не работает. В правилах надо заменить на "--weekdays". :)
Скажите пожалуйста, как заблокировать доступ в интернет по МАС адресу?
т.е. что б в локальной сети можно было, а в интернет выйти нельзя...
Роутер - wl500gP v2 с последней прошивкой от Олега.
Заранее спасибо.
Вот интересная тема почитай Статистика и ограничение доступа по ip и mac (http://www.wl500g.info/showpost.php?p=177669&postcount=1)
Копался вчера в iptables на предмет укрутить интернет дочери до 2-х часов в день, и с изумлением выяснил, что в ключах --timestart --timestop наши московские 00:00 соответствуют у него 5:48 с копейками этих же (!) суток.
Притом что в WEB-морде все нормально, за исключением часового пояса (пришлось отправить в Абу-Даби).
Время берется с time.nist.gov
В принципе не критично (ну напишу я не 21:00 - 22:00, а 02:48 - 03:48),
но интересно - где это все настраивается.
P.S. Я стекольщик, а не пингвиновод, поэтому поподробнее
P.P.S. DIR-320
Меня интересует возможность решить задачу используя вебинтерфес роутера. прошивка последняя, Олеговская.
У меня прошивка от энтузиастов там есть возможность настроить firewall в web-морде (думаю в олеговской тоже самое есть не помню еже давно ее сменил) но подробнее сейчас сказать не могу нет под рукой роутера. Возможно позже.
Пользуюсь одной из последних прошивок от Энтузиастов, есть задача запретить отдному из беспроводных пользователей доступ в инет в определенное время суток. Например ночью. Какой командой это можно сделать? временная блокировка по MACу?
В один не прекрасный день начальника приказала перекрыть девушкам социалку с 9 до 13 и с 14 до 17, почесал репу и полез в Internet Firewall - URL Filter. Но тут ждал облом - создал правило для отрезка времени 9-13, а для 14-17 наотрез отказался это делать мотивируя тем, что запись с подобным адресом уже есть :p Пошаманив и поматерившись, решил сделать вручную:
iptables -I FORWARD -p tcp -m time --timestart 09:00:00 --timestop 13:00:00 --weekdays Mon,Tue,Wed,Thu,Fri -m webstr --url vk.com -j DROP
iptables -I FORWARD -p tcp -m time --timestart 14:00:00 --timestop 17:00:00 --weekdays Mon,Tue,Wed,Thu,Fri -m webstr --url vk.com -j DROP
Прекрасно отрабатываясь в памяти, настройки решил сохранить:
iptables-save > /usr/local/sbin/post-firewall
chmod +x /usr/local/sbin/post-firewall
flashfs save && flashfs commit && flashfs enable && reboot
Вот тут и вылез непонятный косяк - выдало, что /usr/local/sbin/post-firewall не существует :confused:
Терь не знаю что и делать, в оперативке провисит, до первого же пинка, а куда тогда сохранять даже не представляю :(
Терь не знаю что и делать, в оперативке провисит, до первого же пинка, а куда тогда сохранять даже не представляю :(
mkdir -p /usr/local/sbin/
echo "#!/bin/sh" >> /usr/local/sbin/post-boot
cp /usr/local/sbin/post-boot /usr/local/sbin/post-firewall
cp /usr/local/sbin/post-boot /usr/local/sbin/post-mount
cp /usr/local/sbin/post-boot /usr/local/sbin/pre-shutdown
chmod +x /usr/local/sbin/p*
flashfs save
flashfs commit
flashfs enable
Можно например так, если что )
или так )))
>> /usr/local/sbin/post-firewall && chmod 755 /usr/local/sbin/post-firewall
flashfs save && flashfs commit && flashfs enable
MercuryV
30-06-2012, 11:19
mkdir -p /usr/local/sbin/
echo "#!/bin/sh" >> /usr/local/sbin/post-boot
cp /usr/local/sbin/post-boot /usr/local/sbin/post-firewall
cp /usr/local/sbin/post-boot /usr/local/sbin/post-mount
...
Можно например так, если что )
TReX, зачем же так сурово советовать, а если уже был, к примеру, файл post-mount ??? затрется же
дельным советом является первая строчка
mkdir -p /usr/local/sbin/
возможно файл post-firewall не создался как раз из-за отсутствия каталога.
TReX, зачем же так сурово советовать, а если уже был, к примеру, файл post-mount ??? затрется же
дельным советом является первая строчка
mkdir -p /usr/local/sbin/
возможно файл post-firewall не создался как раз из-за отсутствия каталога.
) и где логика? был фаил, но не было каталога в котором он лежит?
) и где логика? был фаил, но не было каталога в котором он лежит?
Логика очень простая - автор не смог или не захотел прочитать FAQ, а также сообщения об ошибках шелла. Более того, достаточно посмотреть на вывод iptables-save, чтобы понять что ЭТО не может быть shell-скриптом...
Твоё предложение - начать всё с нуля, а MercuryV пытается(-лся) пройти по шагам.
Логика очень простая - автор не смог или не захотел прочитать FAQ, а также сообщения об ошибках шелла. Более того, достаточно посмотреть на вывод iptables-save, чтобы понять что ЭТО не может быть shell-скриптом...
Твоё предложение - начать всё с нуля, а MercuryV пытается(-лся) пройти по шагам.
Проверил на другом роутере в post-firewall висит:
-A FORWARD -p tcp -m time --timestart 09:00:00 --timestop 13:00:00 --weekdays Mon,Tue,Wed,Thu,Fri -m webstr --url vk.com -j DROP
-A FORWARD -p tcp -m time --timestart 14:00:00 --timestop 17:00:00 --weekdays Mon,Tue,Wed,Thu,Fri -m webstr --url vk.com -j DROP
но не отрабатывает, доступ по прежнему есть :/ совсем не похоже, что Internet Firewall - URL Filter через post-firewall работает :(
MercuryV
02-07-2012, 07:51
но не отрабатывает
В первой строке post-firewall есть указание (http://en.wikipedia.org/wiki/Shebang_%28Unix%29), что файл нужно интерпретировать?
http://www.linuxtime.org/media/linuxtime/img/article/logo/shabang_logo_100x100.png
#!/bin/sh
В первой строке post-firewall есть указание (http://en.wikipedia.org/wiki/Shebang_%28Unix%29), что файл нужно интерпретировать?
#!/bin/sh
Действительно отсутствовало, но толку не принесло...
Попробовал через морду создать правило:
9162
В Status & Log - Diagnostic Information как раз есть похожая строчка, в отличии от post-firewall:
IP Tables
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
80 3668 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID
2692 282K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
53 22788 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 ctstate NEW
899 120K ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0 ctstate NEW
6 192 ACCEPT 2 -- * * 0.0.0.0/0 224.0.0.0/4
0 0 ACCEPT udp -- * * 0.0.0.0/0 224.0.0.0/4 udp dpt:!1900
76 19558 SECURITY all -- vlan2 * 0.0.0.0/0 0.0.0.0/0 ctstate NEW
1 330 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68
0 0 BRUTE tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 flags:0x17/0x02
0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.12.1 tcp dpt:80
6 333 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT 529 packets, 39855 bytes)
pkts bytes target prot opt in out source destination
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 webstr: url www.mega-porno.ru/ reject-with tcp-reset
68538 91M out_traffic all -- br0 * 0.0.0.0/0 0.0.0.0/0
36228 7726K in_traffic all -- * br0 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- br0 br0 0.0.0.0/0 0.0.0.0/0
127 5080 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID
0 0 ACCEPT udp -- * * 0.0.0.0/0 224.0.0.0/4
126K 109M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
0 0 DROP all -- !br0 vlan2 0.0.0.0/0 0.0.0.0/0
9 436 SECURITY all -- !br0 * 0.0.0.0/0 0.0.0.0/0 ctstate NEW
9 436 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate DNAT
0 0 DROP all -- * br0 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT 5134 packets, 2050K bytes)
pkts bytes target prot opt in out source destination
Chain BRUTE (1 references)
pkts bytes target prot opt in out source destination
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 recent: UPDATE seconds: 600 hit_count: 3 name: BRUTE side: source
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 recent: SET name: BRUTE side: source
Chain MACS (0 references)
pkts bytes target prot opt in out source destination
Chain SECURITY (2 references)
pkts bytes target prot opt in out source destination
9 436 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02 limit: avg 1/sec burst 5
0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x04 limit: avg 1/sec burst 5
4 471 RETURN udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5
3 192 RETURN icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5
69 18895 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain UPNP (0 references)
pkts bytes target prot opt in out source destination
Chain in_traffic (1 references)
pkts bytes target prot opt in out source destination
Chain logaccept (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate NEW LOG flags 39 level 4 prefix `ACCEPT '
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0
Chain logdrop (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate NEW LOG flags 39 level 4 prefix `DROP '
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain out_traffic (1 references)
pkts bytes target prot opt in out source destination
если пустить iptables-save:
-A INPUT -d 192.168.12.1/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -p tcp -m webstr --url www.mega-porno.ru/ -j REJECT --reject-with tcp-reset
-A FORWARD -i br0 -j out_traffic
P.S. В /tmp/local/ есть файлы: inet_auto.sh, inet_off.sh, inet_on.sh В которых криптики от имевших место выше идей как "убивать" детям интернет. Система читая, кроме проши Олеговой и прог для чайника ничего самостоятельно больше не прикручивалось.
Так и не получив толку, решил зайти с другой стороны и сделать всё топорно:
Создал абсолютные правила:
9180
Добавил исключения:
nano /tmp/local/inet_auto.sh
iptables -I FORWARD -p tcp -m time --timestart 13:00:00 --timestop 14:00:00 --weekdays Mon,Tue,Wed,Thu,Fri -m webstr --url vk.com -j ACCEPT
Автоотработка при старте:
mv /tmp/local/inet_auto.sh /opt/etc/init.d/S99inet_rule.sh
Прикручиваем исполняемость:
chmod +x /opt/etc/init.d/S99inet_rule.sh
Ну и временную (нечего перед коллегами палиться, т.ч. пусь повисит в оперативе :) ) дырку себе делаем:
iptables -I FORWARD -p tcp -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT
Проверяем наличие правил на всякий:
iptables-save
P.S. стали жаловаться, что до 9 всё равно не пускает интернет :confused: плюнул, грохнул глобальные правила и в S99inet_rule.sh прописал их вручную с потиранием предыдущего:
iptables -I FORWARD -p tcp -m time --timestart 09:00:00 --timestop 13:00:00 --weekdays Mon,Tue,Wed,Thu,Fri -m webstr --url vk.com -j DROP
iptables -I FORWARD -p tcp -m time --timestart 14:00:00 --timestop 17:00:00 --weekdays Mon,Tue,Wed,Thu,Fri -m webstr --url vk.com -j DROP
guzovets
25-10-2012, 12:15
Еще проще, без крона, добавить правило:
iptables -I FORWARD -m time --timestart 22:00:00 --timestop 06:00:00 --days Mon,Tue,Wed,Thu,Fri,Sun,Sat -s 192.168.1.55 -j DROP
Или еще проще через веб морду настроить LAN to WAN фильтр, что эквивалентно этому правилу, но помещенному в оптимальное место в таблице, а не в начало.
пытаюсь ввести данную команду, выдает ошибку:
iptables v1.4.3.2: unknown option `--Days'
моя прошивка: 1.9.2.7-rtn-r3300
По всей видимости не знает команду дэйс, какую же тогда использовать?
Разобрался сам, вместо days, использовать weekdays
guzovets
25-10-2012, 14:34
как сделать, чтобы допустим с 21-00 по 6-00 все запросы с определенного ip перенаправлялись только на один сайт или одну страницу сайта?
День добрый всем!
Имеется ASUS WL500GpV2, на нем прошивка от Олега+энтузиасты 1.9.2.7-rtn-r4772
Подключен к Интернет по стандартному WAN-порту.
Вот такая конструкция (с фильтрацией по IP) работает:
iptables -I FORWARD -m time --timestart 17:00:00 --timestop 17:05:00 --weekdays Mon,Tue,Wed,Thu,Fri,Sun,Sat -s 192.168.1.10 -j DROP
А вот такая (с фильтрацией по MAC) - не работает:
iptables -I FORWARD -m time --timestart 17:00:00 --timestop 17:05:00 --weekdays Mon,Tue,Wed,Thu,Fri,Sun,Sat -m mac --mac-source 00:11:12:18:25:43 -o ppp0 -j DROP
(МАК-адрес изменен).
А без аргументов "-o ppp0", в таком виде:
iptables -I FORWARD -m time --timestart 17:31:00 --timestop 17:32:00 --weekdays Mon,Tue,Wed,Thu,Fri,Sat,Sun -m mac --mac-source 00:11:12:18:25:43 -j DROP
работает!
Что-то не так с этим "-o ppp0"... Наверное, нет такого интерфейса (точнее - зовется он иначе). В чем вообще идея задавать выходной интерфейс, если без этого параметра выход в Интернет блокируется, а внутренняя сеть - доступна?
Линукс я практически не знаю. Документацию на iptables почитал, в чем причина - не пойму.
Гм, а зачем вам " -o ppp0"?
-o - исходящий интерфейс (-out-interface)
ppp0 - протокол PPPoE
P.S. а что вы вообще хотите получить:confused:
Что-то не так с этим "-o ppp0"... Наверное, нет такого интерфейса (точнее - зовется он иначе).Так посмотрите, что скажет ifconfig
Гм, а зачем вам " -o ppp0"?Для прекращения отсылки запросов во внешний мир.
Нет запросов - нет ответов.
Так посмотрите, что скажет ifconfig
Мне непонятно, куда должен направляться поток. ИМХО - в какой-то Null...
ifconfig сказал следующее:
br0 Link encap:Ethernet HWaddr 00:22:15:13:AA:BA
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3689345 errors:0 dropped:0 overruns:0 frame:0
TX packets:2047726 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:3063447921 (2.8 GiB) TX bytes:436672763 (416.4 MiB)
eth0 Link encap:Ethernet HWaddr 00:22:15:13:AA:BA
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:5743009 errors:0 dropped:0 overruns:0 frame:0
TX packets:5640069 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:3593512290 (3.3 GiB) TX bytes:3554421943 (3.3 GiB)
Interrupt:4 Base address:0x1000
eth1 Link encap:Ethernet HWaddr 00:22:15:13:AA:BA
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:19735 errors:0 dropped:0 overruns:0 frame:484848
TX packets:44910 errors:26 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:3014748 (2.8 MiB) TX bytes:16184498 (15.4 MiB)
Interrupt:13 Base address:0x5000
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MULTICAST MTU:16436 Metric:1
RX packets:5490 errors:0 dropped:0 overruns:0 frame:0
TX packets:5490 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:2568623 (2.4 MiB) TX bytes:2568623 (2.4 MiB)
vlan0 Link encap:Ethernet HWaddr 00:22:15:13:AA:BA
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3670918 errors:0 dropped:0 overruns:0 frame:0
TX packets:2040902 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:3076305205 (2.8 GiB) TX bytes:440737709 (420.3 MiB)
vlan1 Link encap:Ethernet HWaddr 00:22:15:13:AA:BA
inet addr:111.11.112.123 Bcast:111.11.112.255 Mask:255.255.254.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:2072079 errors:0 dropped:0 overruns:0 frame:0
TX packets:3599167 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:413831656 (394.6 MiB) TX bytes:3113684234 (2.8 GiB)
На "lo" отправлять поток?
"Работает\не работает" проверял пингом yandex.ru с ноутбука, подключенного через Wi-Fi к WL500GpV2.
Поэксперементировал:
По предварительным тестам прекрасно работает "-o vlan1"
Вечером проверю на реалиях, как все будет работать.
Спасибо ответившим. Я только пробую разобраться.
По предварительным тестам прекрасно работает "-o vlan1"
-o ppp0 - это для подключения через PPPoE/PPTP.
Вероятно, у Вас прямое подключение, поэтому интерфейс vlan1.
И так, отчитаюсь.
Мне очень понравилась конструкцияhttp://wl500g.info/showthread.php?25209-%CE%E3%F0%E0%ED%E8%F7%E5%ED%E8%E5-%E4%EE%F1%F2%F3%EF%E0-%EA-%E8%ED%F2%E5%F0%ED%E5%F2%F3-%EF%EE-%F0%E0%F1%EF%E8%F1%E0%ED%E8%FE&p=193736#post193736 уважаемого bbsc, и я ее немного модифицировал под свои нужды, поскольку Чилдрена у меня два, одному нужно ложится пораньше, а другому можно попозже и у старшего имеется комп, телефон и планшет...
Получилось вот так, первый вечер - полет нормальный:
В /usr/local/sbin/post-firewall у меня только это:
#!/bin/sh
iptables -N Child1
iptables -A Child1 -j DROP
iptables -N Child2
iptables -A Child2 -j DROP
iptables -N Child3
iptables -A Child3 -j DROP
iptables -I FORWARD -m mac --mac-source XX:XX:XX:XX:XX:01 -o vlan1 -j Child1
iptables -I FORWARD -m mac --mac-source XX:XX:XX:XX:XX:02 -o vlan1 -j Child2
iptables -I FORWARD -m mac --mac-source XX:XX:XX:XX:XX:03 -o vlan1 -j Child2
iptables -I FORWARD -m mac --mac-source XX:XX:XX:XX:XX:04 -o vlan1 -j Child2
iptables -I FORWARD -m mac --mac-source XX:XX:XX:XX:XX:05 -o vlan1 -j Child3
iptables -I FORWARD -m mac --mac-source XX:XX:XX:XX:XX:06 -o vlan1 -j Child3
## Включаем ребенку интернет по времени
iptables -I Child1 -m time --timestart 10:00:00 --timestop 23:30:00 --weekdays Fri,Sat -j RETURN
iptables -I Child2 -m time --timestart 10:00:00 --timestop 01:30:00 --weekdays Fri,Sat -j RETURN
iptables -I Child3 -m time --timestart 08:00:00 --timestop 02:30:00 --weekdays Fri,Sat -j RETURN
iptables -I Child1 -m time --timestart 08:00:00 --timestop 22:30:00 --weekdays Sun,Mon,Tue,Wed,Thu -j RETURN
iptables -I Child2 -m time --timestart 08:00:00 --timestop 00:30:00 --weekdays Sun,Mon,Tue,Wed,Thu -j RETURN
iptables -I Child3 -m time --timestart 08:00:00 --timestop 01:30:00 --weekdays Sun,Mon,Tue,Wed,Thu -j RETURN
На этапе отладки в post-firewall разместил закоментированную табличку с МАКами моих железок. Кроме того, Child3 - это мои комп и ноутбук, для теста, отладки и контроля.
Изящность конструкции в том, что для каждого ребенка мы описываем МАКи его железок, а отдельно составлеяемое расписание действует для всех этих железок.
Скрипты для исключений из расписания (OFF; OFFF; ON) предложенные bbsc я пока тестирую (их также три комплекта - для каждого ребенка свой набор). У меня есть подозрение, что стоит мне один раз включить (скриптом ON) доступ к Интернет, и он останется включенным до перезагрузки роутера, или до отмены правила. А скрипт OFF правило запрета не отменяет, а добавляет еще одно - разрешающее (я дуб в этом вопросе, может как раз все будет правильно работать...).
Дабы далеко не искать, покажу предложенные bbsc скрипты здесь.
Скрипт On1 (для первого чилдрена):
#!/bin/sh
iptables -F Child1
iptables -A Child1 -j RETURN
iptables -L Child1 && echo -e "Internet для Child1 ВКлючен\n"
Скрипт Off1:
#!/bin/sh
iptables -F Child1
iptables -A Child1 -j DROP
### Во время действия летнего времени срабатывает на 1 час позже:
iptables -I Child1 1 -m time --timestart 08:00:00 --timestop 22:00:00 --days Sun,Mon,Tue,Wed,Thu,Fri,Sat -j RETURN
echo
iptables -L Child1 && echo -e "Internet для Child1 с 8 до 22\n"
Ну и скрипт Offf1:
#!/bin/sh
iptables -F Child1
iptables -A Child1 -j DROP
echo
iptables -L Child1 && echo -e "Internet для Child1 ВЫключен СОВСЕМ\n"
Все описанное проверялось на последней прошивке от Олега и Энтузиастов (1.9.2.7-rtn-r4772). Подключение к Интернет провайдеру через стандартный WAN-порт, тип подключения - "Automatic IP". Для работы внешний накопитель не нужен (винчестер или флешка).
У меня есть подозрение, что стоит мне один раз включить (скриптом ON) доступ к Интернет, и он останется включенным до перезагрузки роутера, или до отмены правила. А скрипт OFF правило запрета не отменяет, а добавляет еще одно - разрешающее
Вы всё правильно поняли. Только OFF "ещё одно" не добавляет, ибо перед добавлением таблицу опустошает.
Назначение скриптов задумывалось таким:
ON - для Включения доступа вне зависимости от времени.
OFFF - для ВЫключения доступа вне зависимости от времени.
OFF - для отмены действия ON/OFFF и перехода к ограничению по времени по умолчанию.
Скрипты запускались с телефона (с улицы, из маршрутки, автомобиля, в т.ч. во время разговора с ребенком), поэтому короткие названия и большие буквы для исключения путаницы.
sy-uname
25-07-2013, 16:47
Добрый день.
Есть wl500gpv1 с Linux version 2.6.22.19 1.9.2.7-rtn-r5066
Задача оставить интернет ребёнку только в заданный интервал времени.
Что сделано:
"usr/local/sbin/post-firewall"
work_time="--timestart 09:00:00 --timestop 22:00:00 --weekdays Mon,Tue,Wed,Thu,Fri,Sun,Sat"
iptables -N CHILD
iptables -A CHILD -j DROP
iptables -I FORWARD 1 -m mac --mac-source XX:XX:XX:XX:XX:XX -j CHILD
iptables -I FORWARD 1 -m mac --mac-source XX:XX:XX:XX:XX:XY -j CHILD
iptables -I CHILD 1 -m time $work_time -j RETURN
результат
IP Tables
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:10161
3425 265K ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:161
448 36882 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID
34670 2108K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
6 1212 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 ctstate NEW
8565 711K ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0 ctstate NEW
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 flags:0x17/0x02
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 flags:0x17/0x02
0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.1 tcp dpt:80
234 74317 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT 65311 packets, 6391K bytes)
pkts bytes target prot opt in out source destination
0 0 CHILD all -- * * 0.0.0.0/0 0.0.0.0/0 MAC XX:XX:XX:XX:XX:XX
1239 116K CHILD all -- * * 0.0.0.0/0 0.0.0.0/0 MAC XX:XX:XX:XX:XX:XY
0 0 ACCEPT all -- br0 br0 0.0.0.0/0 0.0.0.0/0
1262 50850 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID
2695 329K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
0 0 DROP all -- !br0 vlan1 0.0.0.0/0 0.0.0.0/0
1639 107K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate DNAT
0 0 DROP all -- * br0 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT 52401 packets, 48M bytes)
pkts bytes target prot opt in out source destination
Chain BRUTE (0 references)
pkts bytes target prot opt in out source destination
Chain CHILD (2 references)
pkts bytes target prot opt in out source destination
36604 3630K RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 TIME from 09:00:00 to 22:00:00
17 1195 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain MACS (0 references)
pkts bytes target prot opt in out source destination
Chain SECURITY (0 references)
pkts bytes target prot opt in out source destination
0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02 limit: avg 1/sec burst 5
0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x04 limit: avg 1/sec burst 5
0 0 RETURN udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5
0 0 RETURN icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain UPNP (0 references)
pkts bytes target prot opt in out source destination
Chain logaccept (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate NEW LOG flags 39 level 4 prefix `ACCEPT '
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0
Chain logdrop (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate NEW LOG flags 39 level 4 prefix `DROP '
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Всё хорошо, только установленные соединения не прерываются в заданное время - новые блокируются, а старые - скайп, игры, продолжают работать.
Что делать, как быть?
UPD: нужно отключить fast_nat и все заработает :)
Давно пытюсь найти решение - не получается.
Есть домашний роутер ASUS WL500GPv2 (прошивка 1.9.2.7-d-r2627M).
Ограничиваю детям интернет с помощью WAN & LAN filter (Internat Firewall). По расписанию. Когда надо включить вне расписания - снимаю галку Enable Filter. Вся прелесть в том, что я могу это сделать удаленно(через web интерфейс) с любого девайса.
Дети подросли, обзавелись гаджетами, и мне хотелось бы чтоб они имели ВСЕГДА доступ к ICQ, почте, skype, SIP, школьный ресурс и т.д. (т.е. определенный "белый список"). Вот теперь я ломаю голову(безуспешно) как мне это организовать
Есть устройства
1. Сервера(видеонаблюдение, NAS, TV)
2. Гаджеты родителей(телефоны, ноуты)
3. Гаджеты детей
Черный список
Белый список
Расписание
Нужно организовать(желательно через существуюзий web интерфейс):
Для 1 - доступ инета всегда(в идеале без списков, но можно только черный)
Для 2 - доступ инета всегда(в идеале только черный список, но можно и без него)
Для 3 - доступ в инет по расписанию(ресурсы белого списка всегда)
MAN-biker
08-02-2015, 17:18
Господа, я - чайник. Посоветуйте пожалуйста как мне БЫСТРО И УДОБНО запрещать или потом наоборот разрешать выход в Интернет клиентам из локальной сети (подключенных как по Ethernet (LAN), так и по Wi-Fi)?
Т.е. чтобы мне не лазать каждый раз в настройки роутера и не выкидывать\вбивать нужные MAC-адреса с последующей перезагрузкой роутера.
Вопросы:
1. Можно ли вообще запрещать\разрешать доступ конкретным MAC каким-то скриптом в роутере БЕЗ последующей перезагрузки и потери всеми клиентами связи с Интернетом?
2. Как это делать с минимальным геморроем, например, ярлыком с рабочего стола или коннектясь Telnet'ом и запустив какой-то заранее подготовленный скрипт? Или еще как-то.
Озадачился тем, что детей периодически приходится наказывать отлучением от Интернета и мне нужно чтоб взять и закрыть им доступ (с LAN можно просто выдернуть шнур, с WiFi так уже не катит, да и иногда я вынужден это делать по удаленке с работы, когда меня нет дома). Но на утро им может понадобиться интернет для учебы и опять приходится давать доступ. Запарило.
Помогите пожалуйста!