Для домовых сетей такое не поддерживается через Web. Конфигурируйте firewall "ручками".
Купил WL500G, обновил прошивку до 1.9.2.7-6b, настроил как написано в этом форуме. Но так и не смог настроить DMZ-сервер - входящие через WAN-интерфейс пакеты не отправляются на нужный сервер.
Конфигурация сейчас такая:
В LAN два компьютера - 192.168.1.2 и 192.168.1.3.
Адрес WAN-интерфейса - 10.2.25.33. Со стороны WAN есть шлюз по умолчанию 10.2.25.1 и локалка 10.2.25.*. Поднятно VPN-соединение через 10.1.1.1, шлюз в инет (Status & Log - Status, WAN Interface, Gateway) - 172.16.1.1. Инет работает, здесь все ок.
Нужно, чтобы все пакеты, приходящие на адрес 10.2.25.33 уходили на 192.168.1.3. Для этого установил NAT Setting -> Virtual DMZ -> IP Address = 192.168.1.3, перезагружал и роутер и машину, но установить соединение с нами никто не может.
В System Log есть такие вот записи: Nov 24 12:44:49 kernel: DROPIN=vlan1 OUT= MAC=ff:...:e5 SRC=10.2.25.5 DST=10.2.25.255 LEN=229 TOS=0x00 PREC=0x00 TTL=128 ID=16820 PROTO=UDP SPT=138 DPT=138 LEN=209
и вот такие: Nov 24 11:40:28 kernel: DROPIN=vlan1 OUT= MAC=ff:...:44 SRC=10.2.25.5 DST=255.255.255.255 LEN=68 TOS=0x00 PREC=0x00 TTL=128 ID=43624 PROTO=UDP SPT=1026 DPT=8760 LEN=48
Или, может быть, мне нужно не Virtual DMZ настраивать, а что-то другое?
В крайнем случае - может подойти вариант с редиректом пакетов на некоторые порты, но в одном топике видел, что виртуалные сервера не будут работать...
Для домовых сетей такое не поддерживается через Web. Конфигурируйте firewall "ручками".
Я не самый большой специалист с настройками файерволла, поэтому - не могли бы Вы подсказать чем именно настроить? Пробовал смотреть на /sbin/route - т.к. показалось, что именно им нужно это настраивать, но ничего не получилось. Может быть я просто что-то не так делал?Originally Posted by Oleg
Смотреть надо на iptables. Поиск по форуму подскажет варианты.
Сделал вот так, чтобы фтп разрешить:Originally Posted by Oleg
Но не помогло. На что конкретно в iptables посмотреть?Code:[admin@(none) root]$ cat /usr/local/sbin/post-boot #!/bin/sh dropbear iptables -D INPUT -j DROP iptables -A INPUT -p tcp --dport 21 -j ACCEPT iptables -A INPUT -p tcp --dport 20 -j ACCEPT iptables -t nat -A PREROUTING -i vlan1 -p tcp --dport 20 -j DNAT --to-destination 192.168.1.3:20 iptables -t nat -A PREROUTING -i vlan1 -p tcp --dport 21 -j DNAT --to-destination 192.168.1.3:21 iptables -A INPUT -j DROP
iptables -A INPUT -j DROP - убери из скрипта
работа с iptables должна быть в post-firewall, т.к. в противном случае правила будут затёрты встроенными.Originally Posted by xAL
Прокидывать порт 20 не надо - это будет сделано автоматически. В остальном вроде правильно.
Спасибо... только у меня сгорел блок питания - двух дней непрерывной работы он почему то не пережил... Принесут - буду пробовать...Originally Posted by Oleg
Олег, плиз огласите весь список названий пост скриптов
(как post-boot,post-firewall ....) в порядке их выполнения
верно только если не включено занесение в лог дропов.Code:iptables -D INPUT -j DROP
если он включён то
Code:iptables -D INPUT -j logdrop
Будет в ФАКе.Originally Posted by Tsvetkov
Во-первых хочу сказать Олегу большое спасибо.
Во-вторых у меня есть пару вопросов. При первом рассмотрении форума не нашел ответы на них. может плохо искал
Итак.
Пров раздает статик ип + впн по PPTP
1)Как сменить мак адрес на wan порту ? иначе не пускает в сеть
2) По впн выдается реал ип, как сделать чтобы все запросы на реал ип автоматом перенаправлялись на вайфай (ноут) ? Чтобы были открыты все порты. Видел раздел DMZ, и там строка. туда нужно вбивать ип адрес ноута, который выдается по DHCP, так ?
Если были похожие вопросы просто киньте линк если не трудно.
Заранее спасибо всем и Олегу
На странице WAN&LAN есть поле для вбивания MAC Адреса (в мануле про это тоже есть - mac cloning).Originally Posted by Compman
Да.2) По впн выдается реал ип, как сделать чтобы все запросы на реал ип автоматом перенаправлялись на вайфай (ноут) ? Чтобы были открыты все порты. Видел раздел DMZ, и там строка. туда нужно вбивать ип адрес ноута, который выдается по DHCP, так ?
После этого все порты будут открыты на ноуте, как буд-то ему присвоен реал ип и нет никакого роутера ? Если так то это отлично !2) По впн выдается реал ип, как сделать чтобы все запросы на реал ип автоматом перенаправлялись на вайфай (ноут) ? Чтобы были открыты все порты. Видел раздел Dmz, и там строка. туда нужно вбивать ип адрес ноута, который выдается по Dhcp, так ?
Да.
Проблема следующая. Очень нужно запустить видеоконференции между Mac и PC. Убил на эксперименты уже больше недели В простых сетях с прямыми IP все нормально живет. Используется Ichat на Маке и Trillian на PC. Но домашний компьютер находится внутри домовой сети Митино www2.compot.ru. Выход в инет идет через vpn. Дан внутренний адрес сети на котором висит Asus WL500G, настроенный на VPN. А на WL500G висят несколько ПК, с которых и пытаемся пустить видеоконференцию наружу. Техподдержка домовой сети помочь не может, с экспериментами уже замучался . Если кто-то поможет настроить буду весьма признателен, поскольку сам сети знаю поверхностно. аСЬКА 149042333: