смотреть вывод iptables -L
значит post-firewall не выполняется
А после перезагрузки post-firewall сождержит все изменения?
post-farewall точно исполняемый? первая строка какая в этом файле?
если вполнять команды, которые прописаны в post-farewall, вручную, они срабатывают? (лучше проверять копируя то, что написано в файле, что бы проверить и синтаксис)
Да post-firewall после перезагрузки сохраняет изменения, исполняемый ли он я если честно не знаю и не знаю как проверить это.
первая строка #!/bin/sh
да строчки которые в нём копи-пастом срабатывают без проблем, ни каких больше идей что может быть ? Только вот ещё проблема 1-2 раза в сутки эти правила слетают сами по себе даже если роутер не перезагружался и самое обидное - слетают только для wan для lana всё пашет, и в iptables -L эти правила также существуют (когда слетели), но не выполняются, допустим - я заметил что правила слетели - загоняю их через командную строку снова, вывожу опять iptables -L и вижу как эти правила успешно задублировались в таблице - бред какойто.
я уже всю голову сломал что может быть такое , отключений эл-ва при этом нет ...
Сами правила выглядят так:
iptables -I INPUT -p tcp --dport 411 -j ACCEPT
iptables -I INPUT -p tcp --dport 2120 -j ACCEPT
и тоже самое
iptables -A INPUT -p tcp --syn --dport 411 -j ACCEPT
iptables -A INPUT -p tcp --syn --dport 2120 -j ACCEPT
или не тоже самое? вобщем пробовал итак и эдак.
Привет. Я хочу в эксп. целях сделать так, чтобы на 9901 порту у меня открывалась страничка яндекса, и чтобы к этому порту можно было подключиться снаружи. Не получается. Может быть это потому, что у пакетов источник не меняется, и их провайдер не пускает?
Мой внешний интерфейс vlan1
Code:iptables -i vlan1 -I INPUT -p tcp --dport 9900:9999 -j ACCEPT iptables -t nat -I PREROUTING -i vlan1 -p tcp --dport 9901 -j DNAT --to 213.180.204.8:80
Last edited by leniviy; 04-06-2008 at 13:39.
Читаем внимательно http://www.opennet.ru/docs/RUS/iptables/#DNATTARGET
Дело в том что адрес получателя Вы заменили, а адрес отправителя нет, пакет ушел яндексу и от ответ отправил не Вашему асусу, а реальному отправителю пакета. Нужно еще сделать SNAT, в указанном выше руководстве это все хорошо описано.
Что-то вроде
Code:iptables -t nat -A POSTROUTING -p tcp --dst 213.180.204.8 --dport 80 \ -j MASQUERADE
Last edited by Ilmarinen; 04-06-2008 at 18:13.
получается пробрасывать порты либо изнутри наружу, либо снаружи внутрь. А снаружи наружу не получается.
А Вы читали IPTables Tutorial, пробовали описанный рецепт?
Обращаю внимание на то, что нужны два правила -- первое для замены адреса получателя пакета (DNAT) и второе для замены адреса отправителя (SNAT).
У меня работает
Code:iptables -i vlan1 -I INPUT -p tcp --dport 9900 -j ACCEPT iptables -t nat -I PREROUTING -i vlan1 -p tcp --dport 9900 -j DNAT --to IP-адрес-сайта:80 iptables -t nat -I POSTROUTING -p tcp --dst IP-адрес-сайта --dport 80 -j MASQUERADE
Last edited by Ilmarinen; 05-06-2008 at 13:10.
Привет All
Извиняюсь за глупый вопрос.
У меня следующая проблема: я получил внешний IP, соответственно с компа за пределами моей локальной сети он пингуется, а вот внутри самой локальной сети нет. Из-за этого возникают проблемы: например отлаживая web сайт на своём компе внутри сети идёт запрос на получение рисунка по внешнему IP, соответственно URL не находится и рисунок не грузиться.
Как я понял поискав по этому форуму проблема с NAT.
Помогите пожалуйсто его настроить или поделитесь ссылкой на описание решения моей проблемы (я думаю она возникает довольно часто и уже где-то описано что нужно делать в такой ситуации).
Заранее спасибо
P.S.
Если для решения необходима дополнительная информация, то я готов её предоставить.
Было: WL500gP (fw 1.9.2.7-10-USB-1.71) + Toshiba TravelStar 250Gb 2.5" inside router.
(ADOS + rTorrent WebUI+rtorrent + samba + rrdtool + XMail + QuiXplorer + ClamAV)
> Мои инструкции < Для новичков и ленивых > Wiki переехало сюда < "Ночные" сборки >
Потому как приложение под Facebook. И относительные URL Facebook не хавает, ему нужны полные. Соответственно и он и я должны эти внешние IP видеть. Настроить так чтобы он видел внешние, а я внутренние я тоже не могу. Да даже если и смогу то при каждом деплое приложения прийдётся перелопачивать все локальные адреса.
Вобщем ИМХО проще разобраться раз и навсегда с внешним IP.
---
Я вот тут ещё ссылку нашол: http://wl500g.info/showthread.php?t=12348
Прочитал его и часть статьи на opennet, но так и не понял что конкретно надо сделать, а эксперементировать боюсь...
Правило с POSTROUTING у меня есть:
Соответственно здест 192.168.1.13 это комп в локальной сети.Code:*nat :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :VSERVER - [0:0] -A PREROUTING -d 10.125.20.203 -j VSERVER -A VSERVER -p tcp -m tcp --dport 5000 -j DNAT --to-destination 192.168.1.13:5000 -A POSTROUTING -o vlan1 ! -s 10.125.20.203 -j MASQUERADE -A POSTROUTING -o br0 -s 192.168.1.0/24 -d 192.168.1.0/24 -j MASQUERADE COMMIT
ИМХО надо всего лишь выполнить на роутере команду (судя по статье на opennet):
Так?Code:iptables -t nat -A POSTROUTING -p tcp --dst 192.168.1.13 --dport 5000 -j SNAT --to-source 192.168.1.1
Вобщем всё те предположения что я написал до этого не верны Прочитав мануал по iptables и посматрев на таблицу nat я пришел к следующему правилу которое решает мою проблему:
т.е. все пакеты которые идут на <EXTERNAL_IP> передаются в цепочку VSERVER которая в свою очередь передаёт их на компьютеры в моей локальной сети(в том числе и на мой комп если он прописан в VSERVER).Code:iptables -t nat -A PREROUTING -d <EXTERNAL_IP> -j VSERVER
Вобщем получилось то что мне надо
всем привет.
дома на роутере как раз стоит эта прошивка. вопрос такой: можно ли (и если можно, то как?) перенаправлять запрос из сети с одного сайта на другой. лучше, попробую объяснить на примере. в домашней сети есть некое устройство, которое обращается к сайту (по имени). Нужно, чтобы роутер автоматически переадресовывал этот запрос к другому сайту. Возможно ли это? где почитать примеры? нужно именно по имени. Примеров пока нигде не нашел... :-(