Page 1 of 9 123 ... LastLast
Results 1 to 15 of 132

Thread: Удаленный доступ

  1. #1

    Telnet/SSH доступ к роутеру из вне.

    Собственно столкнулся с тем, что не могу получить доступ к консоли роутера через WAN порт. Ситуация следующая, есть сеть организации в которой я работаю с роутером на фрюхе, к этой сети подрублена небольшая сеть соседней организации через wl500gp, в настройках роутера стоит режим работы Home Gateway и соответственно прописан как шлюз фрюшный роутер. Все работает отлично, асус успешно раздает инет, администрируется из маленькой сетки и т.п.
    Но при этом не дает подключиться к нему из большой сети. Подозреваю что ответ надо искать в iptables, но сам никогда с этим делом не работал, читаю мены, но думаю это займет некоторое время.
    В общем вопрос - как открыть доступ к консоли из вне?

  2. #2
    Вчитался в тему описания первой установки, плюс поискал по форуму, и в результате попробовал сделать следующее:

    создал файл /usr/local/sbin/post-firewall
    #!/bin/sh
    iptables -D INPUT -j DROP
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT
    iptables -A INPUT -j DROP

    сделал его исполняемым
    chmod -x /usr/local/sbin/post-firewall

    и записал изменения во флэшь
    flashfs save
    flashfs commit
    flashfs enable
    reboot

    Ничего не изменилось, в чем может быть ошибка?

  3. #3
    Join Date
    May 2006
    Location
    Москва
    Posts
    355
    А post-boot можно посмотреть?
    У меня тоже есть роутер!

  4. #4
    Join Date
    Aug 2006
    Location
    Moscow, Russia
    Posts
    788
    Quote Originally Posted by 26dx View Post
    Ничего не изменилось, в чем может быть ошибка?
    Quote Originally Posted by 26dx View Post
    chmod -x /usr/local/sbin/post-firewall
    Здесь надо было "chmod +x /usr/local/sbin/post-firewall".

    А вообще ssh сервер (например dropbear) на нем запущен?

  5. #5
    imdex:
    Там только старт dropbear, больше ничего пока не прописывал.

    Mam(O)n:
    Угу, действительно не сделал файл исполняемым. Но тем не менее, всеравно не могу достучаться до роутера из вне.
    SSH конечно запущен, ведь изнутри я именно по нему и работал.

    Еще немного в догонку, просканировал порты роутеру, открыты только 8080, 515, 9100. 22го как не было, так и нет.
    Last edited by 26dx; 16-05-2007 at 07:44.

  6. #6
    Join Date
    Jan 2007
    Location
    Moscow
    Posts
    156

    Lightbulb dropbear

    WL-500gP(v1, 64mb) (1.9.2.7-d-r2624 by Oleg) + 3 x USB HDD
    Работают: analog, syslog-ng, cron, samba 3, RTorrent+RuTorrent, lighttpd, vsftpd+, настроена сеть и сетевая печать

  7. #7
    KRandall: пока тот пост не помог, его смотрел в первую очередь.

  8. #8
    нужно добавить правило
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT

    причём желательно указать адреса источника и места назначения, типа
    iptables -A INPUT -s ip_source -d ip_dest -p tcp --dport 22 -j ACCEPT

  9. #9
    Quote Originally Posted by Venik View Post
    нужно добавить правило
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT

    причём желательно указать адреса источника и места назначения, типа
    iptables -A INPUT -s ip_source -d ip_dest -p tcp --dport 22 -j ACCEPT
    Это правило вместо того что у меня было или в добавок?

  10. #10
    Join Date
    Feb 2007
    Location
    Moscow, Russia
    Posts
    3,805
    вместо. А у меня это правило прописано вот так:
    iptables -A INPUT -p tcp --syn --dport 22 -j ACCEPT

    кроме того, имеет смысл посмотреть как выглядит список правил: iptables -L

    и, наконец, можно проверить выполняются ли файлы post-boot, post-firewall при запуске вручную --- может там просто символы конца строки неправильные...
    Last edited by al37919; 16-05-2007 at 14:08.

  11. #11
    Вот кусок таблицы
    [root@(none) sbin]$ iptables -t filter -L
    Chain INPUT (policy ACCEPT)
    target prot opt source destination
    logdrop all -- anywhere anywhere state INVALID
    ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
    logaccept all -- anywhere anywhere state NEW
    logaccept all -- anywhere anywhere state NEW
    logaccept tcp -- anywhere my.router tcp dpt:www
    logaccept tcp -- anywhere anywhere tcp dpt:ftp
    logaccept icmp -- anywhere anywhere
    logaccept tcp -- anywhere anywhere tcp dptrinter
    logaccept tcp -- anywhere anywhere tcp dpt:laserjet
    logaccept tcp -- anywhere anywhere tcp dpt:3838
    logdrop all -- anywhere anywhere
    ACCEPT tcp -- 192.168.0.50 192.168.0.240 tcp dpt:ssh

    Вроде должен пропускать? Или я что-то не так понимаю?

  12. #12
    Судя по тому что в конце отрывка таблице появилась запись по SSH файлы работают. post-boot точно работает ибо dropbear запускается.

  13. #13
    Join Date
    Feb 2007
    Location
    Moscow, Russia
    Posts
    3,805
    однако перед этим выполняется :
    logdrop all -- anywhere anywhere
    и дальше этого правила мы никуда не попадаем

    Вопрос --- нужно ли слать в системный лог все сообщения? уж тем более logaccept --- это вообще ужасно.

    На мой взгляд надо в web интерфейсе выключить логи файрвола, тогда все заработает прямо так как написано выше, либо поменять правило
    iptables -D INPUT -j DROP на iptables -D INPUT -j logdrop

    А еще лучше отключив логи оставить следующее:
    # set default policy
    iptables -P INPUT DROP
    # remove last default rule
    iptables -D INPUT -j DROP

    после этого пишем то что надо разрешать и в конце iptables -A INPUT -j DROP добавлять не надо.
    Last edited by al37919; 16-05-2007 at 14:46.

  14. #14
    Quote Originally Posted by al37919 View Post
    однако перед этим выполняется :
    logdrop all -- anywhere anywhere
    и дальше этого правила мы никуда не попадаем
    Спасибо за наводку, я думал над этой строкой, но видимо неправильно истолковал маны что читал на тему iptables. Думалось, что только после направления на RETURN цепочка не анализируется.

  15. #15

    как пробросить порт на другой хост из WAN

    На данный момент, для windows, самым простым оказалось поднять на роутере SSH, разрешить заход снаружи и запустить на клиентской машине SSH клиент отсюда - http://www.bitvise.com/tunnelier
    Этот клиент замечателен тем, что, помимо статического проброса портов (как и у любого другого SSH клиента), он умеет изображать на localhost SOCKS4-прокси, который понимается очень многими софтинами.

    Кто скажет - линуксячий SSH умеет так? Если да, то опишите как и прицепим к "настройке с нуля".

Page 1 of 9 123 ... LastLast

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •