Page 9 of 9 FirstFirst ... 789
Results 121 to 132 of 132

Thread: Удаленный доступ

  1. 08-04-2009, 11:15 #121
    Less
    Less is offline Senior Member
    Join Date
    Oct 2008
    Posts
    241
    Quote Originally Posted by LevT View Post
    честно говоря я совсем не понимаю того, что здесь написано

    1) Как изнутри сети роутера проверить коннекты снаружи к роутеру типа WAN:22 -> LAN:22?
    2) содержимое post-firewall я выкладывал тут http://wl500g.info/showpost.php?p=140513&postcount=12
    и боюсь покамест дальше его редактировать и полагаться на эту правку - пока не достиг ясности с её влиянием на поведение вебморды, и наоборот...

    По прежнему жду помощи. Для начала надо понять:

    - почему не работает снаружи telnet WAN 22 при наличии в вебморде созданного оттуда же правила?
    - почему отображаемое в вебморде правило не сказывается на выводе iptables -L? http://wl500g.info/showpost.php?p=140491&postcount=9
    1. При наличии инета есть очень много сервисов проверки. Либо просто подключится к WAN порту напрямую и затестить (дать стат. адрес...).

    2. Там только замена маскарада на SNAT (сами же это и говорили!).
    На веб морду оно ни как не влияет.

    Ответ: дайте вывод всех правил с помощью команд
    Code:
    iptables -L -nvt nat
iptables -L -nv
    и сможете увидить что к чему, какие правила созданы каких нету (iptables-save).
    Для справики Руководство по iptables (Iptables Tutorial 1.1.19)
    wl500gp-1.9.2.7-d-r1222 + StoreJet 35 Ultra >>> rtorrent+rutorrent -|- lighhtpd + ssl + auth -|- vnStat + vnStat PHP frontend -|- vsftpd -|- squid + lightsquid...
  2. 08-04-2009, 11:33 #122
    LevT
    LevT is offline Senior Member
    Join Date
    Nov 2008
    Posts
    149
    Quote Originally Posted by Less View Post
    1. При наличии инета есть очень много сервисов проверки. Либо просто подключится к WAN порту напрямую и затестить (дать стат. адрес...).
    Роутер пока остаётся у меня под боком. Мне показалось, что двумя сообщениями выше мне посоветовали изнутри LAN проверить [не?]срабатывание заданного в вебморде правила.

    Результат telnet WAN 22 был приведён - из WAN, т.е снаружи

    2. Там только замена маскарада на SNAT (сами же это и говорили!).
    На веб морду оно ни как не влияет.

    Ответ: дайте вывод всех правил с помощью команд
    Code:
    [myself@usb-router root]$ iptables -L -nvt nat
Chain PREROUTING (policy ACCEPT 22750 packets, 2881K bytes)
 pkts bytes target     prot opt in     out     source               destination         
   32  1536 VSERVER    all  --  *      *       0.0.0.0/0            10.10.11.254       

Chain POSTROUTING (policy ACCEPT 13171 packets, 789K bytes)
 pkts bytes target     prot opt in     out     source               destination         
    2   104 SNAT       all  --  *      vlan1  !10.10.11.254         0.0.0.0/0          to:10.10.11.254 
    9  2211 SNAT       all  --  *      br0     10.10.10.0/24        10.10.10.0/24      to:10.10.10.2 

Chain OUTPUT (policy ACCEPT 13180 packets, 792K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain VSERVER (1 references)
 pkts bytes target     prot opt in     out     source               destination         
   29  1392 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          tcp dpt:8080 to:10.10.10.2:80 
    3   144 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          tcp dpt:22 to:10.10.10.2:22 
    0     0 DNAT       udp  --  *      *       0.0.0.0/0            0.0.0.0/0          udp dpt:18830 to:10.10.11.129:18830 
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          tcp dpt:18830 to:10.10.11.129:18830
    таким образом, ответ на второй вопрос получен.
    Остаётся первый вопрос: почему нет ответа из WAN на telnet WAN 22 ?
    Last edited by LevT; 08-04-2009 at 11:37.
  3. 08-04-2009, 12:20 #123
    al37919
    al37919 is offline Forum Guru
    Join Date
    Feb 2007
    Location
    Moscow, Russia
    Posts
    3,805
    потому что для того, чтобы открыть порт на роутере надо его прописывать не в PREROUTING, а в INPUT. За прошедшие два дня с начала обсуждения вполне можно было уже ответ найти, если захотеть, конечно. Навример здесь http://wl500g.info/showthread.php?t=10307
  4. 08-04-2009, 12:28 #124
    LevT
    LevT is offline Senior Member
    Join Date
    Nov 2008
    Posts
    149
    то есть понятно, почему ответа нет - потому что в иптаблес не прописано разрешения
    iptables -I INPUT 5 -p tcp -m tcp -dport 22 --syn -j ACCEPT


    А вот почему оно не прописалось при добавлении правила из вебморды?

    Так бывает всегда? Иногда? Мне "посчастливилось" словить редкостный глюк?
  5. 08-04-2009, 12:31 #125
    LevT
    LevT is offline Senior Member
    Join Date
    Nov 2008
    Posts
    149
    Quote Originally Posted by al37919 View Post
    потому что для того, чтобы открыть порт на роутере надо его прописывать не в PREROUTING, а в INPUT. За прошедшие два дня с начала обсуждения вполне можно было уже ответ найти, если захотеть, конечно. Навример здесь http://wl500g.info/showthread.php?t=10307
    Я вообще-то добавлял правило Virtual Server из вебморды. Так поступать нельзя? Нельзя в принципе никогда, или это из-за глюков конкретной прошивки? Чьих-то ещё?
  6. 08-04-2009, 12:43 #126
    al37919
    al37919 is offline Forum Guru
    Join Date
    Feb 2007
    Location
    Moscow, Russia
    Posts
    3,805
    потому что виртуальный сервер предназначен для проброса портов на ПК за роутером. Почитайте документацию асуса. Для обслуживание ВСЕХ серверов, которые вы самостоятельно пожелаете установить на роутере вы должны прописывать правила самостоятельно, т.к. это не входит в стандартный функционал предоставляемый веб мордой.
  7. 08-04-2009, 12:57 #127
    LevT
    LevT is offline Senior Member
    Join Date
    Nov 2008
    Posts
    149
    Спасибо: ответ исчерпывающий и удовлетворительный. Не очень понятно, почему после 400+ заглядываний в тему его дали только сейчас...

    Ещё позволю себе поворчать по поводу обычной для юниксоидизма кривой юзабилити: там где разработчик-виндузятник правит интерфейс (вебморду), не допуская неверных шагов пользователя - юниксоид отсылает к "чтению документации"...
  8. 08-04-2009, 13:06 #128
    lly
    lly is offline Forum Guru
    Join Date
    Nov 2006
    Location
    Russia, Moscow
    Posts
    3,640
    Quote Originally Posted by LevT View Post
    Ещё позволю себе поворчать по поводу обычной для юниксоидизма кривой юзабилити: там где разработчик-виндузятник правит интерфейс (вебморду), не допуская неверных шагов пользователя - юниксоид отсылает к "чтению документации"...
    Ну пожалуйтесь в АСУС что-ли, для разнообразия.

    А я бы перевернул фразу - там где виндузятник говорит, что это невозможно сделать, так как в GUI это не предусмотрено (и не будет реализовано никогда, ибо менеджер решил, что это нерентабельно), юниксоид пишет скрипт и всё работает.
    Last edited by lly; 08-04-2009 at 13:08.
  9. 08-04-2009, 13:49 #129
    LevT
    LevT is offline Senior Member
    Join Date
    Nov 2008
    Posts
    149
    По-прежнему из WAN не работает 22 порт на роутере. После перезагрузки:
    Code:
    [myself@usb-router root]$ cat /tmp/local/sbin/post-firewall 
#!/bin/sh
iptables -t nat -nvL POSTROUTING | grep MASQUERADE | awk '{
        "ifconfig "$7" | grep Mask" | getline ip;
        split(ip,ip,":"); split(ip[2],ip," ");
        split($8,src,"!");
        if (src[1]=="") {src="! -s "src[2]} else {src="-s "src[1]};
        if ($9=="0.0.0.0/0") {dst=""} else {dst="-d "$9};
        system("iptables -t nat -A POSTROUTING -o "$7" "src" "dst" -j SNAT --to-source "ip[1]);
        system("iptables -t nat -D POSTROUTING -o "$7" "src" "dst" -j MASQUERADE");
}'

iptables -I INPUT 5 -p tcp -m tcp -dport 22 --syn -j ACCEPT 

[myself@usb-router root]$ iptables -L -nv
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0          state INVALID 
  281 23543 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0          state RELATED,ESTABLISHED 
   16   960 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0          state NEW 
  125 44653 ACCEPT     all  --  br0    *       0.0.0.0/0            0.0.0.0/0          state NEW 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            10.10.10.2         tcp dpt:80 
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0          
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0          

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  br0    br0     0.0.0.0/0            0.0.0.0/0          
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0          state INVALID 
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0          state RELATED,ESTABLISHED 
    0     0 DROP       all  --  !br0   vlan1   0.0.0.0/0            0.0.0.0/0          
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0          ctstate DNAT 
    0     0 DROP       all  --  *      br0     0.0.0.0/0            0.0.0.0/0          

Chain OUTPUT (policy ACCEPT 406 packets, 69734 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain MACS (0 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain SECURITY (0 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 RETURN     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          tcp flags:0x16/0x02 limit: avg 1/sec burst 5 
    0     0 RETURN     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          tcp flags:0x17/0x04 limit: avg 1/sec burst 5 
    0     0 RETURN     udp  --  *      *       0.0.0.0/0            0.0.0.0/0          limit: avg 5/sec burst 5 
    0     0 RETURN     icmp --  *      *       0.0.0.0/0            0.0.0.0/0          limit: avg 5/sec burst 5 
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0          

Chain logaccept (0 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0          state NEW LOG flags 7 level 4 prefix `ACCEPT ' 
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0          

Chain logdrop (0 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0          state NEW LOG flags 7 level 4 prefix `DROP ' 
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0          
[invoker@usb-router root]$ iptables -L -nvt nat
Chain PREROUTING (policy ACCEPT 2 packets, 285 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 VSERVER    all  --  *      *       0.0.0.0/0            10.10.11.254       

Chain POSTROUTING (policy ACCEPT 40 packets, 2352 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 SNAT       all  --  *      vlan1  !10.10.11.254         0.0.0.0/0          to:10.10.11.254 
    0     0 SNAT       all  --  *      br0     10.10.10.0/24        10.10.10.0/24      to:10.10.10.2 

Chain OUTPUT (policy ACCEPT 40 packets, 2352 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain VSERVER (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          tcp dpt:8080 to:10.10.10.2:80 
    0     0 DNAT       udp  --  *      *       0.0.0.0/0            0.0.0.0/0          udp dpt:18830 to:10.10.11.129:18830 
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          tcp dpt:18830 to:10.10.11.129:18830 
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          tcp dpt:22 to:10.10.10.2:22
    Другой вопрос: откуда берутся выделенные жирным строки (внизу в последнем абзаце)? В вебморде они сейчас не отображаются. Когда-то, когда роутер был в другой сети, я прописывал туда что-то подобное именно через вебморду...
    Last edited by LevT; 08-04-2009 at 16:40.
  10. 08-04-2009, 18:18 #130
    Power
    Power is offline wl-500gp user
    Join Date
    May 2007
    Location
    Истра
    Posts
    1,246
    Quote Originally Posted by LevT View Post
    По-прежнему из WAN не работает 22 порт на роутере. После перезагрузки:
    ...
    Хорошее правило: перед прописыванием в скриптах проверьте, что команда работает. В данном случае, у опции dport должно быть 2 дефиса:
    Code:
    iptables -I INPUT 5 -p tcp -m tcp --dport 22 --syn -j ACCEPT

    Quote Originally Posted by LevT View Post
    Другой вопрос: откуда берутся выделенные жирным строки (внизу в последнем абзаце)? В вебморде они сейчас не отображаются. Когда-то, когда роутер был в другой сети, я прописывал туда что-то подобное именно через вебморду...
    Возможно, осталось от UPnP.
    Everybody stand back. I know iptables.
    Мой вариант правильного выключения роутера.
  11. 08-04-2009, 19:11 #131
    LevT
    LevT is offline Senior Member
    Join Date
    Nov 2008
    Posts
    149
    Quote Originally Posted by Power View Post
    Возможно, осталось от UPnP.
    и сохраняется после многих перезагрузок и изменений сетевых адресов через вебморду?
    Откуда хоть оно берётся-то каждый раз?

    За вторую дэш большое спасибо, заработало наконец.


    Quote Originally Posted by lly View Post
    Ну пожалуйтесь в АСУС что-ли, для разнообразия.

    А я бы перевернул фразу - там где виндузятник говорит, что это невозможно сделать, так как в GUI это не предусмотрено (и не будет реализовано никогда, ибо менеджер решил, что это нерентабельно), юниксоид пишет скрипт и всё работает.
    В винде давно уже можно работать и в юниксоидном стиле, скриптами. При желании и настойчивости - гораздо меньшей, чем необходима для юникса.
    А вот от юникса, видимо, в этой жизни уже не дождаться юзабельности.

    Имхо, причины этому вовсе не экономические, а психологические и даже... патопсихологические. Почему-то юникс формирует психику адептов в определённом направлении...
    Вот например безумный, отвратительно документированный синтаксис iptables... В винде есть netsh: он выдает внятную подсказку на каждый чих, по образу и подобию Cisco IOS. Защита линуксового синтаксиса, по моему опыту, строго коррелирует с квазирелигиозным мировоззрением адептов какого-то человеконенавистнического тоталитарного культа. Можно изучить неприятный инструмент, можно успешно его использовать... но любить его - это все равно что любить плётку или что-то похуже...
    Last edited by LevT; 08-04-2009 at 19:35.
  12. 08-04-2009, 20:09 #132
    al37919
    al37919 is offline Forum Guru
    Join Date
    Feb 2007
    Location
    Moscow, Russia
    Posts
    3,805
    Проблема решена, "Патопсихологический" флейм продолжать не вижу смысла. Тема закрыта.
Page 9 of 9 FirstFirst ... 789
« Previous Thread | Next Thread »

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •  

Forum Rules