Senior Member
man "/tmp/local/sbin/post-firewall" на предмет его вызова и передачи ДЕЙСТВУЮЩИХ IPадресов при КАЖДОМ реконекте.Originally Posted by DarthSemafor
IP динамический
P.S. какой $х, на какой интерфейс назначен - точно не помню, а искать инфу некогда....
С уважением, Евгений.
[ASUS WL500g Premium (v1) 1.9.2.7-10] + [512MB USBFlash] + [8GB USBFlash] + [USB BlueTooth DBT-122] + [USB->RS232]
Senior Member
Спасибо! Долго же я искал по форуму эти $х, но так и не нашел! Методом научного тыка подобрал следующий конфиг, после которого все заработало
и обязательно удалить из /etc/hosts запись о diddns!Code:iptables -t nat -I PREROUTING 1 -p tcp -d "$2" --dport 80 -j DNAT --to 192.168.0.2:8081 iptables -t nat -D PREROUTING -i "$1" -p tcp --dport 80 -j DROP iptables -t nat -I PREROUTING 2 -i "$1" -p tcp --dport 8081 -j DROP
Может кому и пригодиться
Last edited by DarthSemafor; 13-07-2009 at 14:37. Reason: очепятка
Member
Добрый день, есть вот такое правило в /usr/local/sbin/post-firewall
Подскажите пожалуйста какое нужно добавить правило , чтобы доступ к этому порту имелся только с диапазонов ip 192.168.0.0/24 и с ip 78.106.X.X .Code:iptables -I INPUT -p tcp --dport 22 -j ACCEPT
Какой командой можно удалить все созданные правила в /usr/local/sbin/post-firewall? Заранее спасибо.
Last edited by zen1985; 15-07-2009 at 11:08.
Senior Member
ВместопишемCode:iptables -I INPUT -p tcp --dport 22 -j ACCEPTпомоему так... только с масками мог напутатьCode:iptables -I INPUT -s 192.168.0.0/24 -p tcp --dport 22 -j ACCEPT iptables -I INPUT -s 78.106.0.0/16 -p tcp --dport 22 -j ACCEPT
Member
Спасибо большое, а как можно удалить старое?ВместопишемCode:iptables -I INPUT -p tcp --dport 22 -j ACCEPTпомоему так... только с масками мог напутатьCode:iptables -I INPUT -s 192.168.0.0/24 -p tcp --dport 22 -j ACCEPT iptables -I INPUT -s 78.106.0.0/16 -p tcp --dport 22 -j ACCEPT
Junior Member
Синтаксис удаления правила такой-же, как и его создание, только вместо -I (или -A) надо использовать -D
Например:
iptables -D INPUT -p tcp --dport 22 -j ACCEPT
Удаление _всех_ правил: iptables -F
wl-500gp user
Если под "удалением старого" понималось удаление из файла post-firewall, то нужно открыть файл редактором (vi, или, если установлен, nano) и удалить соответствующие строчки.
И ещё, если под 78.106.X.X имелся в виду конкретный адрес, а не диапазон, то и вводить его надо так же:
Code:iptables -I INPUT -s 78.106.X.X -p tcp --dport 22 -j ACCEPT
Everybody stand back. I know iptables.
Мой вариант правильного выключения роутера.
Junior Member
И, если идти до конца, выполнить тройку команд:
flashfs save && flashfs commit && flashfs enable
Member
Спасибо всем большое за помощь, все получилось ))
Registered User
Появилась необходимость использовать расширение owner, чтобы составить правило вида:
iptables -A OUTPUT -m owner --uid-owner 500 -j MARK --set-mark 0x2e
Однако в прошивке Олега такое расширение отсутствует. В польской ветке нашел скомпилированное модули для этого расширения:
Модуль ядра загружается без проблем, а расширение libipt_owner.so должно лежать в директории /usr/lib/iptables которая находится во флеш памяти роутера. Соответственно система ругается: Read-only file systemhttp://lesiuk.ath.cx/dysk/libipt_owner.so -> / usr / lib / iptables (match)
http://lesiuk.ath.cx/dysk/ipt_owner.o -> insmod / path / to / ipt_owner.o (kernel module)
Есть ли возможность положить библиотеку в эту директорию (записать ее или хотя бы симлинк во флеш)? Или можно каким-то образом заставить iptables искать эту библиотеку в другой директории?
Заранее спасибо.
Junior Member
Помогите с настройкой iptables пожалуйста
Доброго времени суток!
Помогите пожалуйста правильно post-firewall организовать, замаялся уже
Есть - роутер на котором стоит rTorrent (порт 52ХХХ), за ним стоит компьютер с uTorrent (порт 51ХХХ) и StrongDC (порт 16ХХХ).
В веб морде прописаны в virtual server проброски к uTorrent и StrongDC (both). Имеется реальный статический внешний IP.
Для стронга брал из одной статьи:
Это брал из "настройки с нуля":Code:IPTABLES -I SECURITY -p udp --dport 16XXX -j RETURN IPTABLES -D INPUT -j DROP
Для uTorrent написал:Code:IPTABLES -A OUTPUT -s wan_адрес/255.255.255.255 -o vlan1 -j ACCEPT IPTABLES -A OUTPUT -o vlan1 -j DROP
Для rTorrent (по советам форума торрентс.ру где аналогичное обсуждалось):Code:IPTABLES -I FORWARD -j ACCEPT IPTABLES -I FORWARD -p all --dport 51xxx -j ACCEPT
Вроде всё логично, но rTorrent ни в какую не хочет раздавать на Торрентс.ру, при этом uTorrent раздаёт на ураCode:iptables -P INPUT ACCEPT iptables -A INPUT -p tcp --dport 52xxx -j ACCEPT, правда так - скорость скачком дёрнется, затем падает, потом опять и так далее. Но что больше всего смущает - в логах веб морды вижу:
И таких подобных там - чуть ли не каждую секунду штук по 5 (явно ломятся). Что меня явно не радуетCode:Aug 21 03:04:46 dropbear[348]: Child connection from ::ffff:213.87.81.74:38078 Aug 21 03:05:20 dropbear[348]: login attempt for nonexistent user from ::ffff:213.87.81.74:38078 Aug 21 03:05:32 dropbear[348]: login attempt for nonexistent user from ::ffff:213.87.81.74:38078 Aug 21 03:05:39 dropbear[348]: login attempt for nonexistent user from ::ffff:213.87.81.74:38078 Aug 21 03:05:41 dropbear[348]: login attempt for nonexistent user from ::ffff:213.87.81.74:38078 Aug 21 03:05:46 dropbear[348]: login attempt for nonexistent user from ::ffff:213.87.81.74:38078 Aug 21 03:05:47 dropbear[348]: exit before auth: Max auth tries reached - user 'is invalid' from ::ffff:213.87.81.74:38078. Ставя вместо ...INPUT ACCEPT > DROP они прекращаются, но rTorrent всё-равно молчит и uTorrent перестаёт раздавать.
Помогите пожалуйста организовать всё как надо, и чтобы можно было самому из инета заходить на роутер (через PuTTY-SSH (22) и на веб морду rTorrent-a (8081) )
Senior Member
ssh server на другом порту поднять и все...Но что больше всего смущает - в логах веб морды вижу:
И таких подобных там - чуть ли не каждую секунду штук по 5 (явно ломятся). Что меня явно не радуетCode:Aug 21 03:04:46 dropbear[348]: Child connection from ::ffff:213.87.81.74:38078 Aug 21 03:05:20 dropbear[348]: login attempt for nonexistent user from ::ffff:213.87.81.74:38078 Aug 21 03:05:32 dropbear[348]: login attempt for nonexistent user from ::ffff:213.87.81.74:38078 Aug 21 03:05:39 dropbear[348]: login attempt for nonexistent user from ::ffff:213.87.81.74:38078 Aug 21 03:05:41 dropbear[348]: login attempt for nonexistent user from ::ffff:213.87.81.74:38078 Aug 21 03:05:46 dropbear[348]: login attempt for nonexistent user from ::ffff:213.87.81.74:38078 Aug 21 03:05:47 dropbear[348]: exit before auth: Max auth tries reached - user 'is invalid' from ::ffff:213.87.81.74:38078
Помогите пожалуйста организовать всё как надо, и чтобы можно было самому из инета заходить на роутер (через PuTTY-SSH (22) и на веб морду rTorrent-a (8081) )
Last edited by vectorm; 21-08-2009 at 09:05. Reason: Не стоит лишнее оставлять при цитировании.
Junior Member
А можно чуть поподробнее? :-)
настраивал по инструкции с нуля, а именно:
что нужно добавить/изменить?Code:mkdir -p /usr/local/etc/dropbear dropbearkey -t dss -f /usr/local/etc/dropbear/dropbear_dss_host_key dropbearkey -t rsa -f /usr/local/etc/dropbear/dropbear_rsa_host_key mkdir -p /usr/local/sbin/ echo "#!/bin/sh" >> /usr/local/sbin/post-boot cp /usr/local/sbin/post-boot /usr/local/sbin/post-firewall cp /usr/local/sbin/post-boot /usr/local/sbin/post-mount cp /usr/local/sbin/post-boot /usr/local/sbin/pre-shutdown chmod +x /usr/local/sbin/p* echo "dropbear > /dev/null 2>&1" >> /usr/local/sbin/post-boot dropbear > /dev/null 2>&1
Last edited by BDMN; 21-08-2009 at 11:01.
Лужу, паяю, АВМ починяю
Вот так сделать.
1234 - любой порт на усмотрение, рекомендуют обычно порты выше 1024 делать.
Было: WL500gP (fw 1.9.2.7-10-USB-1.71) + Toshiba TravelStar 250Gb 2.5" inside router.
(ADOS + rTorrent WebUI+rtorrent + samba + rrdtool + XMail + QuiXplorer + ClamAV)
> Мои инструкции < Для новичков и ленивых > Wiki переехало сюда < "Ночные" сборки >
Junior Member
Спасибо большое
Posting Permissions
Reply With Quote
