Если прошивка моя, то очень просто - вывести этот порт из vlan1. Поместить его в vlan2, например. Примеры как это сделать уже были. Ну или, если кратковременное объединение допустимо, то просто удалять из br0 в post-boot.
Люди помогите пожалуйсто советом,
Асус настроен радио клиентом на радио интерфесе висит айпишник, как повесить на ван порт еще один айпишник но при этом не бриджевать его с остальными 4 портами и не бриджевать с вайфай интерфейсом
Если прошивка моя, то очень просто - вывести этот порт из vlan1. Поместить его в vlan2, например. Примеры как это сделать уже были. Ну или, если кратковременное объединение допустимо, то просто удалять из br0 в post-boot.
ПРоблема в том что к одному из портов ( Vlan ) подсоединена тупая железка, которая при появлении сети сразу начинает делать свои грязные дела, коннектясь к серверу в интернете. Но т к router с задержкой коонектится к интернету ( PPPOE), то железка благополучно обламывается и пока ее не перезапустишь, она не функционирует ( ну тупая что ж сказать). Можно ли засунуть в скрипт комманду, которая после запуска pppoe "отсоединяет" vlan1 ( и сразу соединяет ), так чтобы железка подумала что пропало соединение и повторило попытку коннекта ?
Ну видимо я не совсем рабозрался с этими устройствами.Однако, думаю, что все же ваше "железо" включено во внутреннюю сеть?
Кроме того, можно его включить в отдельный VLAN.
Короче говоря устройство ( VIP-157 - переходник на телефон ) включено в свободный порт из 4-х ( т е во внутреннюю сеть ). Во второй порт подключен компьютер. Инет подведен там где написано "WAN" . Т е устройство висит на отдельном порту. Можно отключить один из портов при сохранении pppoe соединения ? Если можно то как ?
Last edited by Bdfy; 21-11-2007 at 20:57.
Это не тупая железка
Это тупой роутер, о чем я уже писал в ветке с проблемами про ip_conntrack
Решение:
В настройках файрволла в вебе запретить коннекты LAN-WAN по udp по порту 5060 (или какой там у вас) на ип адрес SIP сервера.
а потом ручками в post-firewall который вызовется в момент коннекта это правило убрать.
Обязательно вызовется. При любом изменении в интерфейсах соответственно перестраиваются маршруты и подстраивается nat/фарволл. После всего этого вызывается post-firewall.
Last edited by Mam(O)n; 22-11-2007 at 23:52.
Если железка определяет наличие сети по наличию Ethernet-соединения на физическом уровне, игры с iptables не помогут. Тогда нужно смотреть в сторону утилиты robocfg, позволяющей настраивать параметры отдельных портов.
К сожалению, команда robocfg port N state disabled не приводит к ожидаемому эффекту - похоже, при этом просто блокируется прохождение пакетов внутри свитча. Можно попробовать выполнить robocfg port N media auto - при этом производится повторное согласование параметров соединения (10/100, full/half duplex), что на другом конце обнаруживается как кратковременное пропадание и последующее восстановление соединения. Если этого окажется недостаточно, можно попробовать установить неверный режим через robocfg port N mdi-x MODE (сначала в on или off в зависимости от кабеля, потом после соответствующей задержки опять в auto), но это может не сработать, если устройство на другом конце тоже имеет автоопределение MDI/MDI-X (тогда опять получится кратковременное пропадание соединения, пока устройство определяет новый режим).
Гм в общем это помогает, - только непонятно куда вставить правило которое открывает этот порт. Т е если закрыть в веб-морде порты, а потом вручную зайти через некоторое время через телнет и открыть - то все нормально - коннект происходит через некоторое время. А вот если вставить эту строчку в post-firewall - то порты открываются ( видно через iptables -L ), а вот статус остается "Not registred". Слишком быстро вызывается post-firewall ?N по udp по порту 5060 (или какой там у вас) на ип адрес SIP сервера.
правило такое:
-A FORWARD -i br0 -p udp -s 192.168.1.3 -j DROP
соотв в post-firewall:
-D FORWARD -i br0 -p udp -s 192.168.1.3 -j DROP
Last edited by Bdfy; 24-11-2007 at 22:42.
возможно запись в ip_conntrack не успевает проэкспарится
можно попробовать так
sleep 30 && iptables -D FORWARD -i br0 -p udp -s 192.168.1.3 -j DROP
Насколько мне не изменяет память он вызывается первый раз после поднятия интерфейса в локалку и затем еще раз после поднятия vpn туннеля. Вот еще вариант (помимо предложенного gaaronk), как можно попробовать сделать:
ifconfig | grep ppp && iptables -D FORWARD -i br0 -p udp -s 192.168.1.3 -j DROP
То есть правило снимется только тогда, когда будет поднят туннель.