Конечно, из WAN.
Отвечаю на этот вопрос не в первый раз - но после вчерашнего флейма не удивительно, что Вы пропустили ответ
И вот, двумя сообщениями выше:
Как проверить судьбу входящих из WAN:22322 tcp пакетов?
Во, нашёл краткое введение в иптаблес, без "многабуков":
http://ornellas.apanela.com/dokuwiki...nd_adv_routing
Кстати, то, что там внизу описано (target MARK) в Олеговой прошивке будет работать?
Основная проблема решена
Chain VSERVER (1 references)
pkts bytes target prot opt in out source destination
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080 to:10.10.10.2:80
3 144 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22322 to:10.10.10.2:22
Это результат неверного использования вебморды. Удалил правило из вебморды же - заработало.
На побочные вопросы жду ответов.
Ещё один побочный вопрос: нужно ли/можно ли заставить роутер слушать 22322 порт только на LAN интерфейсе? Если да - то как?
Из 600+ заглядывателей в эту тему косяк не углядел НИКТО. Показательно
Last edited by vectorm; 11-04-2009 at 19:02. Reason: Making new posts instead of "Edit" in first one, offtopic
Не подскажет ли уважаемый кто-нибудь, зачем нужна проверка -s !$localIP при маскарадинге?
Я уже мозг сломал, пытаясь придумать ситуацию, когда она сработает (в смысле, когда она даст отрицательный результат). Пакеты с самого роутера в POSTROUTING не идут. Ответы от VSERVER не идут через таблицу nat... Кто, ёлы-палы, может сгенерировать пакет с моего адреса, и при этом так, чтобы он попал в nat-POSTROUTING и занатился бы, если не проверять? Разве что NETMAP какой-нибудь?Code:Chain POSTROUTING (policy ACCEPT 505 packets, 30836 bytes) pkts bytes target prot opt in out source destination 339 20983 MASQUERADE all -- * ppp0 !95.31.130.1 0.0.0.0/0 8 552 MASQUERADE all -- * vlan1 !10.209.194.175 0.0.0.0/0 31 1860 SNAT all -- * br0 192.168.1.0/24 192.168.1.0/24 to:192.168.1.170
Вопрос не праздный: делаю развесистое решение для multi-wan (то, что здесь пролетало, очень помогло, но само оно недостаточно развесистое); по определённым причинам хотелось бы вообще не трогать правила iptables при реконнектах, а это чуть ли не единственное место, где их потенциально надо трогать (если я хочу сохранить проверку --src; надеюсь, правда, что если узнаю, для чего она нужна - придумаю другой способ добиться того же самого).
Интересно, что это меня проглючило, что через POSTROUTING не идут локальные пакеты (сам ведь на этом прокалывался когда-то)? В общем, всё понятно.
Вечер добрый!
Почему при выводе iptables-save роутера wl500gP отсутствуют правила, прописанные в post-firewall?
Дико извиняюсь, но пытаюсь запретить доступ с конкретного IP но результат нулевой.
iptables -A INPUT -s 10.168.51.17 -i vlan1 -j DROP
Вопрос: Как это сделать правильно?
Спасибо.
iptables -I INPUT -s 10.168.51.17 -j DROP
wl-500gp + AGESTAR IUBCP + HDD Seagete 80 GB = 1.9.2.7-10 + lighttp + perl + sqlite2 + php + ados + rtorrent + Kaspersky update + squid(–enable-delay-pools) + rrd + smb + ntp + ftp + half-dynamic shaping...
Смотря что Вы пытаетесь запретить. Возможно Вам правило надо в FORWARD добавлять, а не в INPUT. Возможно до этого там уже есть правило разрешающее доступ.
iptables -L -v -n
пришлите после того как добавите правило и попытаетесь что-нибудь сделать с того компьютера, который нужно запретить.
Попробуйте как написал 2bars, через несколько минут вывод iptables -L -v -n посмотрите. Будут ли пакеты попадать в это правило. Вывод если сюда пришлете - будет проще понять почему не работает, если не заработает.
ситуация такова.
есть dir 320 прошитый олеговской прошивкой.
роутер в режиме AP.
задача состоит в том чтобы юзверям с вай фая разрешать доступ только на определённый ай-пи адрес (172.30.62.254). на сетевушке точки: адрес 172.30.62.253.
просто с никогда не работал с AP.
или можно просто указать FORWARD -j DROP
ifconfig
br0 Link encap:Ethernet HWaddr 00:90:4C:C0:00:00
inet addr:172.30.62.253 Bcast:172.30.63.255 Mask:255.255.252.0
inet6 addr: fe80::290:4cff:fec0:0/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:180565 errors:0 dropped:0 overruns:0 frame:0
TX packets:803 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:12574615 (11.9 MiB) TX bytes:107146 (104.6 KiB)
eth0 Link encap:Ethernet HWaddr 00:90:4C:C0:00:00
inet6 addr: fe80::290:4cff:fec0:0/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:181769 errors:0 dropped:0 overruns:0 frame:0
TX packets:181093 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:17112484 (16.3 MiB) TX bytes:16018861 (15.2 MiB)
Interrupt:4 Base address:0x1000
eth1 Link encap:Ethernet HWaddr 00:90:4C:C1:00:00
inet6 addr: fe80::290:4cff:fec1:0/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:546 errors:0 dropped:0 overruns:0 frame:93997
TX packets:180126 errors:228 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:121617 (118.7 KiB) TX bytes:16910084 (16.1 MiB)
Interrupt:13 Base address:0x5000
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MULTICAST MTU:16436 Metric:1
RX packets:4826 errors:0 dropped:0 overruns:0 frame:0
TX packets:4826 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:416960 (407.1 KiB) TX bytes:416960 (407.1 KiB)
vlan0 Link encap:Ethernet HWaddr 00:90:4C:C0:00:00
inet6 addr: fe80::290:4cff:fec0:0/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:181761 errors:0 dropped:0 overruns:0 frame:0
TX packets:1354 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:13840210 (13.1 MiB) TX bytes:234487 (228.9 KiB)
vlan2 Link encap:Ethernet HWaddr 00:90:4C:C0:00:00
inet6 addr: fe80::290:4cff:fec0:0/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:179735 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:15784086 (15.0 MiB)
route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
172.30.60.0 0.0.0.0 255.255.252.0 U 0 0 0 br0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 br0
Last edited by dnk2009; 12-05-2009 at 12:03.
Доброго времени суток всем!
Необходима помощь с настройкой iptables для работы с интерфейсом tun.
Описание: роутер подключенный по openvpn через интерфейс tun видит другую сеть. Здесь он выступает в роли клиента. На роутере уже имеется подключение по PPTP и все настроено по веб интерфейсу.
Требуется: направлять пакеты из сети за роутером через tun в другую сеть и получать их обратно. Нужно, как я понял, использовать NAT. При этом, возможно, что будет несколько tun интерфейсов.
| Asus WL-500gP V2 | WL500gPv2-rtn-11.10.3495 code.google.com/p/wl500g/ core.dumped.ru |
В скриптах не силен, помогите пожалуйста соорудить решение.
Думаю для профи, это будет легко.
Кроме всего прочего (ppp0 и vlan1) у меня установлен клиент openvpn (tap0). IP на tap0 раздает dhcp-сервер.
udhcpc я научил получать этот ip и прописывать маршруты.
Запнулся я на iptables.
Время аренды IP установлено 600 сек, и по моим наблюдениям но действительно может поменяться :-(
В общем я хочу следующее:
при получении IP добавлять следующее правило:
в таблицу nat PREROUTING -d <мой IP> -j VSERVER
а старое правило со старым IP удалять
PS: Я так понимял это правило нужно для работы uPnP.
[ASUS wl-500gP (v1) 1.9.2.7-rtn-r7438M 128Mb 300MHz 2+2usb] + [2Гб USBFlash] + [USB-HDD] + [xinetd] + [samba3] + [Download Engine] + [rTorrent] + [3proxy] + [nShaper] + [mcabber] + [apcupsd] + [mpd]; Было: [openvpn&udhcpc]; [privoxy] + [polipo];
iptables -t nat -A PREROUTING -i tap0 -j VSERVER
статическое не пойдет?
wl-500gp + AGESTAR IUBCP + HDD Seagete 80 GB = 1.9.2.7-10 + lighttp + perl + sqlite2 + php + ados + rtorrent + Kaspersky update + squid(–enable-delay-pools) + rrd + smb + ntp + ftp + half-dynamic shaping...