Reply With QuoteТак из локалки же.Originally Posted by Satoorn
Member
Оставим так, спасибо. Почему нельзя сканировать с локалки. Сканируется же внешний адрес, плюс через DDns.
Покупая лицензионный Windows, ты финансируешь Америку.
Так из локалки же.
ASUS WL5xx: FW 1.9.2.7-d-rXXXX / обсуждение прошивки [RU] / firmware discussion [EN] | bip irc proxy
ASUS RT-N1x: FW 1.9.2.7-rtn-rXXXX / обсуждение прошивки [RU] / firmware discussion [EN] | fake ident daemon
Member
Все привет, необходимо организовать задачу по блокировке доступа к IP адресам локальной сети
Схема сети
Inet-----------Router1(192.168.1.1)---------------router2(192.168.2.0/24)
____________local net1(192.168.1.2-255)________local net1(192.168.2.2-255)
требуется ограничить доступ из local net2 к local net1,
т.е. чтобы ip адреса 192.168.2.2-255 не достукивались к ip адресам 192.168.1.2-255
как данное организовать в IPtables ??
Member
Ограничить доступ требуется только к IP адресам первой локалке, т.е. данные правила будут прописываться на роутере2
Senior Member
Ну для примера у Вас в квартире наверняка есть дверь на лестничную клетку. Вот и попробуйте открыть ее изнутри квартиры и снаружи. Вроде дверь одна, а разница на лицо
Member
Добрый день!!
Подскажите пожалуйста. Имею роутер с прошивкой open wrt. Вот засада, не могу зайти из локальной сети на внешний порт роутера. Знакомые из интернета заходят свободно, получается порт открыт. А я не могу из своей же сети зайти.Подскажите как настроить правило, чтобы я мог заходить на вешний адрес роутера , при этом чтобы я стучался на него внешним адресом, а не внутренним.
Senior Member
Ну во первых это вопрос к форуму openwrt, а во вторых может приведете таблицу правил ... экстрасенсы в отпуске
Registered User
Если я правильно понимаю, это называется transparent proxy. Нужно перенаправлять запросы к 520gu из его vlan на 192.168.1.1:3128 внутренней сети организации.
нашел некий скрипт
как мне это всё впихнуть в роутер? sftp из putty говорит что не установлен какой-то пакет. В какой файл это лучше добавить?PHP Code:#!/bin/sh
INTERNAL_NETWORK="172.16.1.0/24" // я так понял для vlan сети роутера лучше поставить другой диапазон, отличный от используемого в локалке организации
ROUTER_IP="192.168.1.55" // это ip wan роутера в локалке организации?
PROXY_SERVER="192.168.1.1"
PROXY_PORT="3128"
iptables -t nat -A PREROUTING -i br0 -s $INTERNAL_NETWORK -d $INTERNAL_NETWORK -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i br0 -s ! $PROXY_SERVER -p tcp --dport 80 -j DNAT --to $PROXY_SERVER:$PROXY_PORT // аналогично надо сделать для 443 порта?
iptables -t nat -A POSTROUTING -o br0 -s $INTERNAL_NETWORK -d $PROXY_SERVER -p tcp -j SNAT --to $ROUTER_IP
iptables -I FORWARD -i br0 -o br0 -s $INTERNAL_NETWORK -d $PROXY_SERVER -p tcp --dport $PROXY_PORT -j ACCEPT
fi
прошивка от энтузиастов WL520gu-1.9.2.7-d-r1222.trx, но можно накатить и поновее WL520gu-1.9.2.7-d-r2624.trx
Last edited by conntrac; 23-10-2011 at 13:46.
Senior Member
В OpenWRT нет необходимомти делать это через iptab. Через вебморду выбрать режим Administration и в меню Network - Swich включить то, что Вам нужно.
RT-N16, SSD-60, lighttpd, Mysql, Squid 2.7, Xmail, Openvpn, bind, Dreambox 500 + WL500gpV2 (OpenWRT) IPsec
смысл - зайти из внутренней сети по внешнему адресу, откуда проброс опять во внутреннюю сеть
дело не в свиче, а в том что в openwrt это, видимо, не реализовано.
ASUS WL5xx: FW 1.9.2.7-d-rXXXX / обсуждение прошивки [RU] / firmware discussion [EN] | bip irc proxy
ASUS RT-N1x: FW 1.9.2.7-rtn-rXXXX / обсуждение прошивки [RU] / firmware discussion [EN] | fake ident daemon
Member
Доброго времени!
wl500gpv1
Подскажите пожалуйста, как заставить iptables понимать
в модулях не нашел ipt_addrtypeCode:-m addrtype
надо его найти и подгрузить, или все гораздо сложнее (компилить не умею)?
Senior Member
А в ветке d (на ядре 2.4) его и не будет. А в ветке rtn (на ядре 2.6) модуль не компилируется, т.к. он отключен в kernel.config
Last edited by VicSer; 01-11-2011 at 18:00.
1. WL500gp v1 (1.9.2.7-10) -> RT-N16 (1.9.2.7-rtn-r3849) -> RT-AC66U (3.0.0.4.374.4422)
2. RT-N16 (1.9.2.7-rtn-r3893) -> RT-AC66U (3.0.0.4.374.979) -> RT-AC68U (3.0.0.4.374.4422) + WD TV Live Hub/Gen3
3. RT-N15U (1.9.2.7-rtn-r3926) + RT-N12C1 (7.1.1.1.32)
его вообщет можно заменить другими.
какая именно задача?
ASUS WL5xx: FW 1.9.2.7-d-rXXXX / обсуждение прошивки [RU] / firmware discussion [EN] | bip irc proxy
ASUS RT-N1x: FW 1.9.2.7-rtn-rXXXX / обсуждение прошивки [RU] / firmware discussion [EN] | fake ident daemon
Member
Спасибо за ответы!
1) Задача - дропать броадкасты дабы не засорять лог (уж очень много их у нас в сети), как-то так:
причем броадкасты разные: 255.255.255.255, 46.188.хх.255, 10.122.хх.255, IP-шники динамическиеCode:iptables -I logdrop -i vlan1 -p udp -m addrtype --dst-type BROADCAST -m multiport --dports 67,137,138 -j DROP
Что посоветуете?
2) Давно волнует вопрос - как проще и желательно без usb-flash выводить iptables-лог в отдельный файл вместо syslog.log, желательно с настройкой его размера и log-rotate-ом?
Слышал вроде ulogd это умеет или syslog-ng?
Или еще какие варианты?
Registered User
Доброго времени суток) Как Я могу на роутере сделать Open NAT? Заранее спасибо.
Posting Permissions
