Page 34 of 36 FirstFirst ... 243233343536 LastLast
Results 496 to 510 of 532

Thread: Настройка IPTables

  1. #496
    Join Date
    Mar 2011
    Location
    Saint-Petersburg
    Posts
    11

    правила iptables в прошивке от энтузиастов

    Приветствую!
    Делаю домашний сервер из нетбука без матрицы. Дошел до настройки файрвола. Когда у меня был роутер wl500gp с прошивкой от энтузиастов - все устраивало и проблем не было.

    Подскажите, пожалуйста, какие правила iptables по умолчанию действуют в прошивке от энтузиастов? Интерфейс интернета ppp0 (USB-модем).
    WL500gPv2 (64Mb); WL500gP (128Mb)

  2. #497

    проброс порта

    Камраден, пишу с калькулятора в роуминге через прокси, поиск глючит.

    напомните, если нетрудно, как на RT-16 пробросить 10000 на 80 на адрес, например, 10.10.0.10.
    вот так работало
    Code:
    iptables -t nat -A PREROUTING -i ppp0 -p tcp -m tcp --dport 10000 -j DNAT --to-destination 10.10.0.10:80
    а потом внезапно прекратило. и телнетом не стучит, и браузером.

    спасибо за понимание.

    конкретизирую. на веб-сервере внутри сети идет редирект с 80 на 443 (SSL). если правило вот так
    Code:
    iptables -t nat -A PREROUTING -i ppp0 -p tcp -m tcp --dport 10000 -j DNAT --to-destination 10.10.0.10:443
    то, заходя снаружи на site:10000, я вижу ошибку сертификата, нажимаю "все равно идти", и все. не открывается ничего.
    если лезть первым вариантом (где проброс на 80), то не происходит вообще ничего.
    Last edited by Pablo Escobar; 24-05-2012 at 12:58.

  3. #498
    Join Date
    Mar 2011
    Location
    Moscow
    Posts
    243
    Quote Originally Posted by Pablo Escobar View Post
    на веб-сервере внутри сети идет редирект с 80 на 443 (SSL)
    Как конкретно настроен этот редирект?

  4. #499
    Quote Originally Posted by don-pedro View Post
    Как конкретно настроен этот редирект?
    Редирект стандартно через CGI на Апаче, сейчас попробовал с мобильного, заходит. Значит дело не в боббине, по ходу.

  5. #500

    Помогите с iptables

    Железо Asus RT-N12 1.9.2.7-rtn-r3121
    Помогите отрезать траф айпишнику средстрами роутера.
    В прошивке обнаружил iptables и решил заблочить через него.
    iptables -A INPUT -s 91.219.194.29 -j DROP

    Вывожу список правил iptables -L -n
    запись есть
    Code:
    DROP       all  --  91.219.194.29       0.0.0.0/0
    Но трафик с этого адреса не блокируется
    Code:
    PING 91.219.194.29 (91.219.194.29): 56 data bytes
    64 bytes from 91.219.194.29: seq=0 ttl=58 time=32.768 ms
    64 bytes from 91.219.194.29: seq=1 ttl=58 time=32.499 ms
    64 bytes from 91.219.194.29: seq=2 ttl=58 time=32.528 ms
    64 bytes from 91.219.194.29: seq=3 ttl=58 time=32.139 ms
    
    --- 91.219.194.29 ping statistics ---
    4 packets transmitted, 4 packets received, 0% packet loss
    round-trip min/avg/max = 32.139/32.483/32.768 ms
    Почему правила не применяются?
    Может нужно рестартить сервис iptables?
    Подскажите прошу.
    -------------
    Прочитал я про post-firewall.
    Без ребута никак нельзя применять правила? Это очень не удобно.
    Last edited by Kostik_9_let; 04-07-2012 at 14:29.

  6. #501
    Join Date
    Mar 2011
    Location
    Moscow
    Posts
    243
    Quote Originally Posted by Kostik_9_let View Post
    Вывожу список правил iptables -L -n
    Почему правила не применяются?
    Лучше посмотреть всю таблицу командой iptables-save.

    Quote Originally Posted by Kostik_9_let View Post
    Может нужно рестартить сервис iptables?
    http://www.opennet.ru/docs/RUS/iptables/

    Quote Originally Posted by Kostik_9_let View Post
    Без ребута никак нельзя применять правила? Это очень не удобно.
    Можно.


    P.S. 9 лет - это возраст? И это правда?
    Last edited by don-pedro; 04-07-2012 at 15:00.
    WL500gp 1.9.2.7-d-r2624, Optware.

  7. #502
    don-pedro,
    Через сейв сделал. Там есть нужная строка.
    Code:
    -A INPUT -s 91.219.194.29/32 -j DROP
    service iptables restart из мануала
    Code:
    /bin/sh: service: not found
    все же как его перезапустить?


    Не возраст.

  8. #503
    Quote Originally Posted by Kostik_9_let View Post
    service iptables restart из мануала
    Code:
    /bin/sh: service: not found
    все же как его перезапустить?
    Для применения правила перезапуск не требуется, правило действует сразу после добавления ... Вы запускали "PING 91.219.194.29" на роутере или на машине за ним???
    tempik aka Mirage-net

  9. #504
    Join Date
    Mar 2011
    Location
    Moscow
    Posts
    243
    Quote Originally Posted by Kostik_9_let View Post
    don-pedro,
    Через сейв сделал. Там есть нужная строка.
    Code:
    -A INPUT -s 91.219.194.29/32 -j DROP
    Важно, в каком именно месте она есть.
    WL500gp 1.9.2.7-d-r2624, Optware.

  10. #505
    tempik,
    На роутере и на машине. Пинг идет.
    don-pedro,
    Вот полный выхлоп команды iptables-save
    http://xeon.lolo.pro/private/iptables.rures.zip

  11. #506
    Quote Originally Posted by Kostik_9_let View Post
    Вот полный выхлоп команды iptables-save
    http://xeon.lolo.pro/private/iptables.rures.zip
    замени -A на -I
    Code:
    iptables -I INPUT -s 91.219.194.29 -j DROP
    tempik aka Mirage-net

  12. #507
    Сделал, но результат тот же.
    Записи добавились после строк
    *filter
    :INPUT ACCEPT [0:0]
    :FORWARD ACCEPT [4001531:252455545]
    :OUTPUT ACCEPT [1401727:227392541]
    :BRUTE - [0:0]
    :MACS - [0:0]
    :SECURITY - [0:0]
    :UPNP - [0:0]
    :logaccept - [0:0]
    :logdrop - [0:0]

  13. #508
    Quote Originally Posted by Kostik_9_let View Post
    Сделал, но результат тот же.
    Записи добавились после строк
    *filter
    :INPUT ACCEPT [0:0]
    :FORWARD ACCEPT [4001531:252455545]
    :OUTPUT ACCEPT [1401727:227392541]
    :BRUTE - [0:0]
    :MACS - [0:0]
    :SECURITY - [0:0]
    :UPNP - [0:0]
    :logaccept - [0:0]
    :logdrop - [0:0]
    Если после этих записей стоит
    iptables -I INPUT -s 91.219.194.29 -j DROP
    то адрес 91.219.194.29 не будет пинговаться с РОУТЕРА (при условии что остальные строки остались без изменений) ... Может Вам имеет смысл разобраться для чего вообще применяют правила iptables??? Например почитать http://www.opennet.ru/docs/RUS/iptables/
    Цепочка INPUT это не все что идет ИЗВНЕ .... Если на пальцах, то представьте роутер в виде стакана ... Наливаем воду в него это цепочка INPUT. Выливаем воду из него это цепочка OUTPUT. А вот солнечный луч что проходит сквозь него Вам в глаз это цепочка FORWARD ... Где-то так (сорри за образность)
    tempik aka Mirage-net

  14. #509
    пытаюсь заблокировать доступ из локалки к определенному IP, подскажите что делаю не так :

    iptables -A OUTPUT -d 1.2.3.4 -j DROP

    после этого с клиентского ПК :

    ping 1.2.3.4

    все равно пинг проходит

  15. #510
    Join Date
    Feb 2012
    Location
    Украина, Киев
    Posts
    80
    Quote Originally Posted by bmenee View Post
    пытаюсь заблокировать доступ из локалки к определенному IP, подскажите что делаю не так :

    iptables -A OUTPUT -d 1.2.3.4 -j DROP
    Наверное стоит поставить -A INPUT, и кстати, если не указан протокол, то если не изменяет мне мой склероз, то правило обрабатывает TCP/UDP соединения, но не обрабатывает ICMP.
    ASUS RT-N66U: 3.0.0.4.372.30_3 (Merlin build) + Entware

Page 34 of 36 FirstFirst ... 243233343536 LastLast

Similar Threads

  1. Help with IPTABLES
    By tomv in forum WL-500gP Q&A
    Replies: 1
    Last Post: 14-01-2008, 20:43
  2. Iptables
    By byteZero in forum WL-500g Q&A
    Replies: 2
    Last Post: 07-11-2006, 19:23
  3. How to configure Firewall/iptables
    By samoht in forum WL-500g/WL-500gx Tutorials
    Replies: 3
    Last Post: 14-08-2005, 01:28
  4. iptables vs web interface
    By bomberman in forum WL-500g Q&A
    Replies: 0
    Last Post: 20-05-2005, 08:06
  5. Iptables
    By barsju in forum WL-500g Q&A
    Replies: 15
    Last Post: 01-03-2005, 01:36

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •