Page 15 of 36 FirstFirst ... 5131415161725 ... LastLast
Results 211 to 225 of 532

Thread: Настройка IPTables

  1. 10-04-2009, 16:41 #211
    LevT
    LevT is offline Senior Member
    Join Date
    Nov 2008
    Posts
    149
    Конечно, из WAN.
    Отвечаю на этот вопрос не в первый раз - но после вчерашнего флейма не удивительно, что Вы пропустили ответ

    И вот, двумя сообщениями выше:
    Как проверить судьбу входящих из WAN:22322 tcp пакетов?

    Во, нашёл краткое введение в иптаблес, без "многабуков":
    http://ornellas.apanela.com/dokuwiki...nd_adv_routing

    Кстати, то, что там внизу описано (target MARK) в Олеговой прошивке будет работать?

    Основная проблема решена

    Chain VSERVER (1 references)
    pkts bytes target prot opt in out source destination
    0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080 to:10.10.10.2:80
    3 144 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22322 to:10.10.10.2:22

    Это результат неверного использования вебморды. Удалил правило из вебморды же - заработало.


    На побочные вопросы жду ответов.

    Ещё один побочный вопрос: нужно ли/можно ли заставить роутер слушать 22322 порт только на LAN интерфейсе? Если да - то как?

    Из 600+ заглядывателей в эту тему косяк не углядел НИКТО. Показательно
    Last edited by vectorm; 11-04-2009 at 19:02. Reason: Making new posts instead of "Edit" in first one, offtopic
    Reply With Quote Reply With Quote
  2. 12-04-2009, 14:49 #212
    EMan
    EMan is offline Registered User
    Join Date
    Apr 2009
    Posts
    1
    Quote Originally Posted by brv555 View Post
    сервер dropbear не умеет назначать пришедший по ссш туннелю порт, всем интерфейсам роутера
    Если в post-boot запускать dropbear с ключом "-a" (dropbear -a), то он тоже отлично справляется с задачей прослушивания порта для всех интерфейсов (0.0.0.0) и не нужно заморачиваться с DNAT (с ним у меня тоже данную задачу почему-то не получилось решить).
    Reply With Quote Reply With Quote
  3. 13-04-2009, 01:53 #213
    akovalenko
    akovalenko is offline Registered User
    Join Date
    Apr 2009
    Posts
    2

    Подскажите, зачем в правилах MASQUERADE проверяется источни

    Не подскажет ли уважаемый кто-нибудь, зачем нужна проверка -s !$localIP при маскарадинге?
    Code:
    Chain POSTROUTING (policy ACCEPT 505 packets, 30836 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  339 20983 MASQUERADE  all  --  *      ppp0   !95.31.130.1          0.0.0.0/0           
    8   552 MASQUERADE  all  --  *      vlan1  !10.209.194.175       0.0.0.0/0           
   31  1860 SNAT       all  --  *      br0     192.168.1.0/24       192.168.1.0/24      to:192.168.1.170
    Я уже мозг сломал, пытаясь придумать ситуацию, когда она сработает (в смысле, когда она даст отрицательный результат). Пакеты с самого роутера в POSTROUTING не идут. Ответы от VSERVER не идут через таблицу nat... Кто, ёлы-палы, может сгенерировать пакет с моего адреса, и при этом так, чтобы он попал в nat-POSTROUTING и занатился бы, если не проверять? Разве что NETMAP какой-нибудь?

    Вопрос не праздный: делаю развесистое решение для multi-wan (то, что здесь пролетало, очень помогло, но само оно недостаточно развесистое); по определённым причинам хотелось бы вообще не трогать правила iptables при реконнектах, а это чуть ли не единственное место, где их потенциально надо трогать (если я хочу сохранить проверку --src; надеюсь, правда, что если узнаю, для чего она нужна - придумаю другой способ добиться того же самого).
    Reply With Quote Reply With Quote
  4. 13-04-2009, 02:15 #214
    akovalenko
    akovalenko is offline Registered User
    Join Date
    Apr 2009
    Posts
    2

    Вопрос снят

    Интересно, что это меня проглючило, что через POSTROUTING не идут локальные пакеты (сам ведь на этом прокалывался когда-то)? В общем, всё понятно.
    Reply With Quote Reply With Quote
  5. 14-04-2009, 15:51 #215
    MrGalaxy
    MrGalaxy is offline Вечный студент
    Join Date
    Apr 2008
    Location
    город самоваров и пряников
    Posts
    1,492
    Вечер добрый!
    Почему при выводе iptables-save роутера wl500gP отсутствуют правила, прописанные в post-firewall?
    Reply With Quote Reply With Quote
  6. 03-05-2009, 17:07 #216
    BlackCat
    BlackCat is offline Member
    Join Date
    Jul 2007
    Posts
    97

    Что я делаю не так (iptables)

    Дико извиняюсь, но пытаюсь запретить доступ с конкретного IP но результат нулевой.

    iptables -A INPUT -s 10.168.51.17 -i vlan1 -j DROP

    Вопрос: Как это сделать правильно?

    Спасибо.
    Reply With Quote Reply With Quote
  7. 03-05-2009, 19:08 #217
    2bars
    2bars is offline Senior Member
    Join Date
    May 2008
    Posts
    126
    iptables -I INPUT -s 10.168.51.17 -j DROP
    wl-500gp + AGESTAR IUBCP + HDD Seagete 80 GB = 1.9.2.7-10 + lighttp + perl + sqlite2 + php + ados + rtorrent + Kaspersky update + squid(–enable-delay-pools) + rrd + smb + ntp + ftp + half-dynamic shaping...
    Reply With Quote Reply With Quote
  8. 03-05-2009, 21:16 #218
    dadittoz
    dadittoz is offline Member
    Join Date
    Apr 2008
    Posts
    39
    Смотря что Вы пытаетесь запретить. Возможно Вам правило надо в FORWARD добавлять, а не в INPUT. Возможно до этого там уже есть правило разрешающее доступ.

    iptables -L -v -n

    пришлите после того как добавите правило и попытаетесь что-нибудь сделать с того компьютера, который нужно запретить.
    Reply With Quote Reply With Quote
  9. 04-05-2009, 04:09 #219
    BlackCat
    BlackCat is offline Member
    Join Date
    Jul 2007
    Posts
    97
    Quote Originally Posted by dadittoz View Post
    Смотря что Вы пытаетесь запретить. Возможно Вам правило надо в FORWARD добавлять, а не в INPUT. Возможно до этого там уже есть правило разрешающее доступ.

    iptables -L -v -n

    пришлите после того как добавите правило и попытаетесь что-нибудь сделать с того компьютера, который нужно запретить.
    Хочу полностью запретить доступ с этого компьютера. Достал он уже - StrongDC аж моргает весь (уж не знаю что там с этого IP идет за хлам).
    Ну и соответственно я сам что-нибудь сделать с этого компьютера не в силах.
    Reply With Quote Reply With Quote
  10. 04-05-2009, 21:55 #220
    dadittoz
    dadittoz is offline Member
    Join Date
    Apr 2008
    Posts
    39
    Попробуйте как написал 2bars, через несколько минут вывод iptables -L -v -n посмотрите. Будут ли пакеты попадать в это правило. Вывод если сюда пришлете - будет проще понять почему не работает, если не заработает.
    Reply With Quote Reply With Quote
  11. 11-05-2009, 18:41 #221
    dnk2009
    dnk2009 is offline Junior Member
    Join Date
    Jan 2009
    Posts
    14

    iptables drop

    ситуация такова.
    есть dir 320 прошитый олеговской прошивкой.
    роутер в режиме AP.
    задача состоит в том чтобы юзверям с вай фая разрешать доступ только на определённый ай-пи адрес (172.30.62.254). на сетевушке точки: адрес 172.30.62.253.
    просто с никогда не работал с AP.
    или можно просто указать FORWARD -j DROP

    ifconfig
    br0 Link encap:Ethernet HWaddr 00:90:4C:C0:00:00
    inet addr:172.30.62.253 Bcast:172.30.63.255 Mask:255.255.252.0
    inet6 addr: fe80::290:4cff:fec0:0/10 Scope:Link
    UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
    RX packets:180565 errors:0 dropped:0 overruns:0 frame:0
    TX packets:803 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:0
    RX bytes:12574615 (11.9 MiB) TX bytes:107146 (104.6 KiB)

    eth0 Link encap:Ethernet HWaddr 00:90:4C:C0:00:00
    inet6 addr: fe80::290:4cff:fec0:0/10 Scope:Link
    UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
    RX packets:181769 errors:0 dropped:0 overruns:0 frame:0
    TX packets:181093 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:100
    RX bytes:17112484 (16.3 MiB) TX bytes:16018861 (15.2 MiB)
    Interrupt:4 Base address:0x1000

    eth1 Link encap:Ethernet HWaddr 00:90:4C:C1:00:00
    inet6 addr: fe80::290:4cff:fec1:0/10 Scope:Link
    UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
    RX packets:546 errors:0 dropped:0 overruns:0 frame:93997
    TX packets:180126 errors:228 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:100
    RX bytes:121617 (118.7 KiB) TX bytes:16910084 (16.1 MiB)
    Interrupt:13 Base address:0x5000

    lo Link encap:Local Loopback
    inet addr:127.0.0.1 Mask:255.0.0.0
    inet6 addr: ::1/128 Scope:Host
    UP LOOPBACK RUNNING MULTICAST MTU:16436 Metric:1
    RX packets:4826 errors:0 dropped:0 overruns:0 frame:0
    TX packets:4826 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:0
    RX bytes:416960 (407.1 KiB) TX bytes:416960 (407.1 KiB)

    vlan0 Link encap:Ethernet HWaddr 00:90:4C:C0:00:00
    inet6 addr: fe80::290:4cff:fec0:0/10 Scope:Link
    UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
    RX packets:181761 errors:0 dropped:0 overruns:0 frame:0
    TX packets:1354 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:0
    RX bytes:13840210 (13.1 MiB) TX bytes:234487 (228.9 KiB)

    vlan2 Link encap:Ethernet HWaddr 00:90:4C:C0:00:00
    inet6 addr: fe80::290:4cff:fec0:0/10 Scope:Link
    UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
    RX packets:0 errors:0 dropped:0 overruns:0 frame:0
    TX packets:179735 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:0
    RX bytes:0 (0.0 B) TX bytes:15784086 (15.0 MiB)

    route -n
    Kernel IP routing table
    Destination Gateway Genmask Flags Metric Ref Use Iface
    172.30.60.0 0.0.0.0 255.255.252.0 U 0 0 0 br0
    127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
    0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 br0
    Last edited by dnk2009; 12-05-2009 at 12:03.
    Reply With Quote Reply With Quote
  12. 15-05-2009, 12:02 #222
    ANVIL
    ANVIL is offline Junior Member
    Send a message via ICQ to ANVIL
    Join Date
    Oct 2007
    Posts
    22

    Question Настройка iptables

    Доброго времени суток всем!

    Необходима помощь с настройкой iptables для работы с интерфейсом tun.
    Описание: роутер подключенный по openvpn через интерфейс tun видит другую сеть. Здесь он выступает в роли клиента. На роутере уже имеется подключение по PPTP и все настроено по веб интерфейсу.
    Требуется: направлять пакеты из сети за роутером через tun в другую сеть и получать их обратно. Нужно, как я понял, использовать NAT. При этом, возможно, что будет несколько tun интерфейсов.
    Reply With Quote Reply With Quote
  13. 15-05-2009, 13:40 #223
    oleg71
    oleg71 is offline Everything will be fine!
    Send a message via ICQ to oleg71 Send a message via AIM to oleg71
    Join Date
    Jan 2009
    Posts
    428
    Руководство по iptables (Iptables Tutorial)
    | Asus WL-500gP V2 | WL500gPv2-rtn-11.10.3495 code.google.com/p/wl500g/ core.dumped.ru |
    Reply With Quote Reply With Quote
  14. 15-05-2009, 21:41 #224
    igor77777
    igor77777 is offline Senior Member
    Join Date
    Aug 2008
    Location
    Taganrog, Rostov Region
    Posts
    397

    Помогите написать скрипт для динамического обновления iptables

    В скриптах не силен, помогите пожалуйста соорудить решение.
    Думаю для профи, это будет легко.

    Кроме всего прочего (ppp0 и vlan1) у меня установлен клиент openvpn (tap0). IP на tap0 раздает dhcp-сервер.
    udhcpc я научил получать этот ip и прописывать маршруты.
    Запнулся я на iptables.
    Время аренды IP установлено 600 сек, и по моим наблюдениям но действительно может поменяться :-(
    В общем я хочу следующее:
    при получении IP добавлять следующее правило:
    в таблицу nat PREROUTING -d <мой IP> -j VSERVER
    а старое правило со старым IP удалять

    PS: Я так понимял это правило нужно для работы uPnP.
    [ASUS wl-500gP (v1) 1.9.2.7-rtn-r7438M 128Mb 300MHz 2+2usb] + [2Гб USBFlash] + [USB-HDD] + [xinetd] + [samba3] + [Download Engine] + [rTorrent] + [3proxy] + [nShaper] + [mcabber] + [apcupsd] + [mpd]; Было: [openvpn&udhcpc]; [privoxy] + [polipo];
    Reply With Quote Reply With Quote
  15. 16-05-2009, 16:53 #225
    2bars
    2bars is offline Senior Member
    Join Date
    May 2008
    Posts
    126
    iptables -t nat -A PREROUTING -i tap0 -j VSERVER

    статическое не пойдет?
    wl-500gp + AGESTAR IUBCP + HDD Seagete 80 GB = 1.9.2.7-10 + lighttp + perl + sqlite2 + php + ados + rtorrent + Kaspersky update + squid(–enable-delay-pools) + rrd + smb + ntp + ftp + half-dynamic shaping...
    Reply With Quote Reply With Quote
Page 15 of 36 FirstFirst ... 5131415161725 ... LastLast
« Previous Thread | Next Thread »

Similar Threads

  1. Help with IPTABLES
    By tomv in forum WL-500gP Q&A
    Replies: 1
    Last Post: 14-01-2008, 20:43
  2. Iptables
    By byteZero in forum WL-500g Q&A
    Replies: 2
    Last Post: 07-11-2006, 19:23
  3. How to configure Firewall/iptables
    By samoht in forum WL-500g/WL-500gx Tutorials
    Replies: 3
    Last Post: 14-08-2005, 01:28
  4. iptables vs web interface
    By bomberman in forum WL-500g Q&A
    Replies: 0
    Last Post: 20-05-2005, 08:06
  5. Iptables
    By barsju in forum WL-500g Q&A
    Replies: 15
    Last Post: 01-03-2005, 01:36

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •  

Forum Rules