Page 1 of 12 12311 ... LastLast
Results 1 to 15 of 168

Thread: Не получается настроить Virtual DMZ

  1. #1

    Question Не получается настроить Virtual DMZ

    Купил WL500G, обновил прошивку до 1.9.2.7-6b, настроил как написано в этом форуме. Но так и не смог настроить DMZ-сервер - входящие через WAN-интерфейс пакеты не отправляются на нужный сервер.

    Конфигурация сейчас такая:
    В LAN два компьютера - 192.168.1.2 и 192.168.1.3.
    Адрес WAN-интерфейса - 10.2.25.33. Со стороны WAN есть шлюз по умолчанию 10.2.25.1 и локалка 10.2.25.*. Поднятно VPN-соединение через 10.1.1.1, шлюз в инет (Status & Log - Status, WAN Interface, Gateway) - 172.16.1.1. Инет работает, здесь все ок.

    Нужно, чтобы все пакеты, приходящие на адрес 10.2.25.33 уходили на 192.168.1.3. Для этого установил NAT Setting -> Virtual DMZ -> IP Address = 192.168.1.3, перезагружал и роутер и машину, но установить соединение с нами никто не может.

    В System Log есть такие вот записи: Nov 24 12:44:49 kernel: DROPIN=vlan1 OUT= MAC=ff:...:e5 SRC=10.2.25.5 DST=10.2.25.255 LEN=229 TOS=0x00 PREC=0x00 TTL=128 ID=16820 PROTO=UDP SPT=138 DPT=138 LEN=209

    и вот такие: Nov 24 11:40:28 kernel: DROPIN=vlan1 OUT= MAC=ff:...:44 SRC=10.2.25.5 DST=255.255.255.255 LEN=68 TOS=0x00 PREC=0x00 TTL=128 ID=43624 PROTO=UDP SPT=1026 DPT=8760 LEN=48

    Или, может быть, мне нужно не Virtual DMZ настраивать, а что-то другое?

    В крайнем случае - может подойти вариант с редиректом пакетов на некоторые порты, но в одном топике видел, что виртуалные сервера не будут работать...

  2. #2
    Join Date
    Dec 2003
    Location
    Russian Federation
    Posts
    8,353
    Для домовых сетей такое не поддерживается через Web. Конфигурируйте firewall "ручками".

  3. #3
    Quote Originally Posted by Oleg
    Для домовых сетей такое не поддерживается через Web. Конфигурируйте firewall "ручками".
    Я не самый большой специалист с настройками файерволла, поэтому - не могли бы Вы подсказать чем именно настроить? Пробовал смотреть на /sbin/route - т.к. показалось, что именно им нужно это настраивать, но ничего не получилось. Может быть я просто что-то не так делал?

  4. #4
    Join Date
    Dec 2003
    Location
    Russian Federation
    Posts
    8,353
    Смотреть надо на iptables. Поиск по форуму подскажет варианты.

  5. #5
    Quote Originally Posted by Oleg
    Смотреть надо на iptables. Поиск по форуму подскажет варианты.
    Сделал вот так, чтобы фтп разрешить:
    Code:
    [admin@(none) root]$ cat /usr/local/sbin/post-boot
    #!/bin/sh
    dropbear
    
    iptables -D INPUT -j DROP
    iptables -A INPUT -p tcp --dport 21 -j ACCEPT
    iptables -A INPUT -p tcp --dport 20 -j ACCEPT
    iptables -t nat -A PREROUTING -i vlan1 -p tcp --dport 20 -j DNAT --to-destination 192.168.1.3:20
    iptables -t nat -A PREROUTING -i vlan1 -p tcp --dport 21 -j DNAT --to-destination 192.168.1.3:21
    
    iptables -A INPUT -j DROP
    Но не помогло. На что конкретно в iptables посмотреть?

  6. #6
    Join Date
    Mar 2005
    Location
    Russia, Sankt-Peterburg
    Posts
    177
    iptables -A INPUT -j DROP - убери из скрипта

  7. #7
    Join Date
    Dec 2003
    Location
    Russian Federation
    Posts
    8,353
    Quote Originally Posted by xAL
    Сделал вот так, чтобы фтп разрешить:
    Code:
    [admin@(none) root]$ cat /usr/local/sbin/post-boot
    #!/bin/sh
    dropbear
    
    iptables -D INPUT -j DROP
    iptables -A INPUT -p tcp --dport 21 -j ACCEPT
    iptables -A INPUT -p tcp --dport 20 -j ACCEPT
    iptables -t nat -A PREROUTING -i vlan1 -p tcp --dport 20 -j DNAT --to-destination 192.168.1.3:20
    iptables -t nat -A PREROUTING -i vlan1 -p tcp --dport 21 -j DNAT --to-destination 192.168.1.3:21
    
    iptables -A INPUT -j DROP
    Но не помогло. На что конкретно в iptables посмотреть?
    работа с iptables должна быть в post-firewall, т.к. в противном случае правила будут затёрты встроенными.
    Прокидывать порт 20 не надо - это будет сделано автоматически. В остальном вроде правильно.

  8. #8
    Quote Originally Posted by Oleg
    работа с iptables должна быть в post-firewall, т.к. в противном случае правила будут затёрты встроенными.
    Прокидывать порт 20 не надо - это будет сделано автоматически. В остальном вроде правильно.
    Спасибо... только у меня сгорел блок питания - двух дней непрерывной работы он почему то не пережил... Принесут - буду пробовать...

  9. #9
    Join Date
    Mar 2005
    Location
    Russia, Sankt-Peterburg
    Posts
    177
    Олег, плиз огласите весь список названий пост скриптов
    (как post-boot,post-firewall ....) в порядке их выполнения

  10. #10
    Code:
    iptables -D INPUT -j DROP
    верно только если не включено занесение в лог дропов.
    если он включён то
    Code:
    iptables -D INPUT -j logdrop

  11. #11
    Join Date
    Dec 2003
    Location
    Russian Federation
    Posts
    8,353
    Quote Originally Posted by Tsvetkov
    Олег, плиз огласите весь список названий пост скриптов
    (как post-boot,post-firewall ....) в порядке их выполнения
    Будет в ФАКе.

  12. #12

    Пара вопросов

    Во-первых хочу сказать Олегу большое спасибо.
    Во-вторых у меня есть пару вопросов. При первом рассмотрении форума не нашел ответы на них. может плохо искал
    Итак.
    Пров раздает статик ип + впн по PPTP
    1)Как сменить мак адрес на wan порту ? иначе не пускает в сеть
    2) По впн выдается реал ип, как сделать чтобы все запросы на реал ип автоматом перенаправлялись на вайфай (ноут) ? Чтобы были открыты все порты. Видел раздел DMZ, и там строка. туда нужно вбивать ип адрес ноута, который выдается по DHCP, так ?
    Если были похожие вопросы просто киньте линк если не трудно.
    Заранее спасибо всем и Олегу

  13. #13
    Join Date
    Dec 2003
    Location
    Russian Federation
    Posts
    8,353
    Quote Originally Posted by Compman
    1)Как сменить мак адрес на wan порту ? иначе не пускает в сеть
    На странице WAN&LAN есть поле для вбивания MAC Адреса (в мануле про это тоже есть - mac cloning).
    2) По впн выдается реал ип, как сделать чтобы все запросы на реал ип автоматом перенаправлялись на вайфай (ноут) ? Чтобы были открыты все порты. Видел раздел DMZ, и там строка. туда нужно вбивать ип адрес ноута, который выдается по DHCP, так ?
    Да.

  14. #14
    2) По впн выдается реал ип, как сделать чтобы все запросы на реал ип автоматом перенаправлялись на вайфай (ноут) ? Чтобы были открыты все порты. Видел раздел Dmz, и там строка. туда нужно вбивать ип адрес ноута, который выдается по Dhcp, так ?

    Да.
    После этого все порты будут открыты на ноуте, как буд-то ему присвоен реал ип и нет никакого роутера ? Если так то это отлично !

  15. #15

    Unhappy Help !!! Проблемы с видеоконференциями

    Проблема следующая. Очень нужно запустить видеоконференции между Mac и PC. Убил на эксперименты уже больше недели В простых сетях с прямыми IP все нормально живет. Используется Ichat на Маке и Trillian на PC. Но домашний компьютер находится внутри домовой сети Митино www2.compot.ru. Выход в инет идет через vpn. Дан внутренний адрес сети на котором висит Asus WL500G, настроенный на VPN. А на WL500G висят несколько ПК, с которых и пытаемся пустить видеоконференцию наружу. Техподдержка домовой сети помочь не может, с экспериментами уже замучался . Если кто-то поможет настроить буду весьма признателен, поскольку сам сети знаю поверхностно. аСЬКА 149042333:

Page 1 of 12 12311 ... LastLast

Similar Threads

  1. Mini PCI mod: делаем из WL-500gPv1 WL-500W и получаем Wi-Fi N !
    By slava in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 294
    Last Post: 17-06-2017, 19:37
  2. Не получается открыть 80 порт
    By kiryap in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 220
    Last Post: 11-06-2014, 21:50
  3. Отправка и получение SMS с роутера
    By reyko in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 15
    Last Post: 04-03-2013, 13:27
  4. Virtual serial port (CDC Class)
    By Snail.cz in forum WL-500gP Q&A
    Replies: 3
    Last Post: 09-03-2009, 17:42
  5. Не подключается USB HDD
    By Romuald in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 66
    Last Post: 02-03-2009, 23:14

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •