вот выводы:
cat /usr/local/sbin/post-firewall
#!/bin/sh
iptables -I INPUT -p tcp --dport xxxx -j ACCEPT
ls -la /usr/local/sbin/
drwxr-xr-x 1 gxxxx root 0 Oct 31 13:39 .
drwxr-xr-x 1 gxxxx root 0 Dec 31 1999 ..
-rwxr-xr-x 1 gxxxx root 142 Nov 8 16:19 post-boot
-rwxr-xr-x 1 gxxxx root 58 Nov 9 02:06 post-firewall
все вроде правильно..
да - конечно. выполнил все 3 команды flashfs save, commit and enable. потом reboot.
вручную post-firewall запускать не пробовал.. но я же с локалки могу на порт хххх зайти после того как все запускаю. если я номер порта поменяю то соответсвенно и на другой порт захожу. то есть стандатный 22-ой конечно не работает, а хххх (который указан в post-firewall и post-boot) принимает вызовы.. может порт не самый лучший выбрал?
я использую 4662
gsnake
Как узнать, загружался ли /usr/local/sbin/post-firewall ? Сей факт в логах должен отразиться?
А нет ли чего в post-boot, что перебивает post-firewall?..
Last edited by BORODA(C); 09-11-2007 at 14:51.
Это не аргумент. Для того, чтобы зайти с локалки открывать вообще ничего не надо. Файрволл висит на WAN. На мой взгляд копать надо по вопросу запускается ли post-firewall, а если нет, то почему. В связи с этим предлагаю:я же с локалки могу на порт хххх зайти после того как все запускаю.
добавить комманду, скажем:Как узнать, загружался ли /usr/local/sbin/post-firewall ? Сей факт в логах должен отразиться?
logger "Executing post-firewall."
Last edited by al37919; 09-11-2007 at 16:40.
да - согласен. dropbear меня с толку сбил. он же на этом порту работает и поэтому коннект на этом порту есть а на других нет. тормознул я..
добавил logger. теперь post-firewall выглядит так
#!/bin/sh
logger starting the iptables command
iptables -I INPUT -p tcp --dport 4662 -j ACCEPT
logger iptables initialized
------
syslog.log:
Nov 10 13:14:22 xxxx: starting the iptables command
Nov 10 13:14:22 xxxx: iptables initialized
попробовал добавить еще один порт. (у обоих dropbear и iptables) - не помогло.. кстати вот вывод такой команды
iptables -L |grep ACCEPT
Chain INPUT (policy ACCEPT)
ACCEPT tcp -- anywhere anywhere tcp dpt:4524
ACCEPT tcp -- anywhere anywhere tcp dpt:4662
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere state NEW
ACCEPT all -- anywhere anywhere state NEW
ACCEPT udp -- anywhere anywhere udp spt:bootps dpt:bootpc
Chain FORWARD (policy ACCEPT)
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere ctstate DNAT
Chain OUTPUT (policy ACCEPT)
LOG all -- anywhere anywhere state NEW LOG level warning tcp-sequence
tcp-options ip-options prefix `ACCEPT '
ACCEPT all -- anywhere anywhere
Last edited by gsnake; 11-11-2007 at 03:05.
Есть подозрение что интернет-провайдер закрыл все порты совсем недавно.
Хотя я слышал что порт 1720 всегда им открыт (для voice-over-ip). Я пробовал на этом порту и тоже без толку..
Как можно вычислить порты, которые не заблокированы провайдером?
Last edited by Mam(O)n; 12-11-2007 at 21:45. Reason: Целиком цитировать свой предыдущий пост это уже слишком...
Можно так:
И после (без перезагрузки!) сканируй порты роутера с какого-нибудь хоста из инета.Code:# Создаём каталог для веб сервера mkdir -p /tmp/www # Создаём индекс страницу для проверки echo "Preved!!" > /tmp/www/index.html # Заворачиваем входящий трафик, предназначенный роутеру со всех портов на порт 81 роутера iptables -t nat -I PREROUTING -s ip_с_которого_будет_идти_скан -d интернет_ип_адрес_роутера -p tcp -j DNAT --to lan_адрес_роутера:81 # Открваем 81 порт роутера iptables -I INPUT -p tcp --dport 81 -j ACCEPT # Запускаем веб-сервер busybox_httpd -p 81 -h /tmp/www
Mam(O)n,
супер! Наконец-то разобрался, огромное спасибо!!!
Гр..ый провайдер закрыл все порты, кроме 8080, 443, 21, 22, 8000. Еще недавно все было нормально.
Короче - все настроил и могу зайти с работы. Вопрос - как сделать ограниченное количество попыток входа? Я пытался искать и нашел вот это
----
добавить в post-boot строчку в конце
Код:
insmod ipt_recent
б) добавить в post-firewall две строчки в конце
Код:
iptables -t nat -I PREROUTING -i $1 -p tcp -m state --state NEW --dport 1555 -m recent --set --name SSH_ATTACKER --rsource
iptables -I INPUT -i $1 -p tcp -m state --state NEW --dport 1555 -m recent --update --seconds 600 --hitcount 3 --name SSH_ATTACKER --rsource -j DROP
где 1555 - порт ssh
-----
но почему-то ничего не работает..
gsnake