Transparent proxy с фильтрацией. Наверное можно прикрутить. Говорю чисто теоретически - ищите, может, и обрящите ;-)
всем привет.
дома на роутере как раз стоит эта прошивка. вопрос такой: можно ли (и если можно, то как?) перенаправлять запрос из сети с одного сайта на другой. лучше, попробую объяснить на примере. в домашней сети есть некое устройство, которое обращается к сайту (по имени). Нужно, чтобы роутер автоматически переадресовывал этот запрос к другому сайту. То есть нужно, чтобы роутер модифицировал http запрос. Возможно ли это? где почитать примеры? нужно именно по имени. Примеров пока нигде не нашел... :-(
Transparent proxy с фильтрацией. Наверное можно прикрутить. Говорю чисто теоретически - ищите, может, и обрящите ;-)
уже ночью понял (товарищи объяснили), что iptables только для манипуляции заголовками пакетов, но не для модификации http запросов.
вот еще как вариант - может, можно средствами встроенного веб-сервера переадресацию делать на внешний сервер? ну то есть если бы там работал php и можно бы было залить php файл в веб-каталог роутера - наверное, задача была бы решена. такое возможно?
Первое, что приходит на ум - поставить прозрачный прокси на роутере, тут пробегало несколько. squid нормально встает на роутер, он наверняка может модифицировать любые http-заголовки.
Как вариант - настроить файл hosts в устройстве на связку внешнего dns с внутренним ip и на сервере с этим ip настроить virtual hosts в настройках Web сервера. Но это для случая если нужно перенаправлять именно на свой сайт. А если на чужой, тогда через прокси.
Боюсь что squid для меня сложен и невозможен (у меня поставлена прошивка на другой роутер). Впрочем, как и любой другой пакет - элементарно не хватит памяти.
Файлы настроек веб-севера не позволит менять провайдер :-(
Сейчас подумал о другом: встроенный веб-сервер поддерживает php или cgi скрипты?
Если поддерживает php - как узнать, где находится веб-папка, как в нее поместить свой файл с его сохранением после перезагрузки роутера?
Если поддерживает cgi - вдобавок в предыдущим двум вопросам - как добавить в настройки сервера еще одну cgi-папку и как заставить сервер обрабатывать php файл как если бы это был файл cgi?
добрый день!
есть кусок правил в таблице nat:
Chain VSERVER (2 references)
num target prot opt source destination
1 DNAT tcp -- anywhere anywhere tcp dpt:webcache to:192.168.1.1:80
2 DNAT tcp -- anywhere anywhere tcp dpt:57698 to:192.168.171.1:57698
3 DNAT tcp -- anywhere anywhere tcp dpt:5190 to:192.168.1.2:5190
4 DNAT tcp -- anywhere anywhere tcp dpt:46928 to:192.168.171.1:46928
мне нужно прибить 2 и 4 правило из пользовательской цепочки делаю iptables -t nat -D VSERVER 2, iptables -t nat -D VSERVER 4 отлично правил нет.
все бы хорошо но правила после рестарта роутера появляются загадочным образом вновь.
Как я пробовал играться удалял напрямую из vi путем редактирования файла /tmp/nat_rules с последующими командами
flashfs save
flashfs commit
flashfs enable
пробовал делать iptables-save правда куда он сохраняет я так и не понял или это тока вывод на консоль, перенаправление > в файл я не делал.
Собственно вопрос откуда берет настройки правил iptables при старте коробки с какого файла считывает видимо iptables-restore?
И как же мне по итогу прибить эти 2 правила из разряда полтергейст?
Как вариант уже расматриваю сохранение новых правил iptables-save > fileblabla c последующим востановлением из cat fileblabla | iptables-restore -c прописанных в /usr/local/sbin/post-firewall
P.S. дайте правильный бубен
Файлы /tmp/*_rules генерируются прошивкой после поднятия интерфейсов на основе данных из веб-морды и внутренних установок, а затем импортируются с помощью iptables-restore. Сохранять эти файлы смысла нет, т.к. каждый раз они создаются заново.
iptables-save не поможет по этой же причине.
Вам нужно просто удалить ненужные правила из таблицы Virtual Server List на странице NAT Setting - Virtual Server в веб-морде.
В том то и дело, что в веб морде таких правил давно нет, тока правила остались по факту, а в веб морде не отражаются среди других.
Посмотрите
там UPnP прописывает проброс портов и иногда криво удаляет.И отключите его в вебморде.Code:nvram show|grep forw
О спасибо большое именно Вы дали хорошую наводку куда копать.
сделал получил то что искал
nvram show|grep forw
forward_port0=57698-57698>192.168.171.1:57698-57698,tcp,on,PURPLE_UPNP_PORT_FORWARD
forward_port1=5190-5190>192.168.1.2:5190-5190,tcp,on,PURPLE_UPNP_PORT_FORWARD
forward_port2=46928-46928>192.168.171.1:46928-46928,tcp,on,PURPLE_UPNP_PORT_FORWARD
size: 15272 bytes (17496 left)
ну дальше поисков по форуму слово nvram и о чудо nvram unset forward_portX
Всех благодарю за помощь, удачи!
только что поставил dd-wrt mega generic прошивку. Очень не нравится как настроен iptables по дефолту там. Прилагаю цепочку INPUT.
Что за дела с первыми двумя разрешенними сабнетами? И почему несколько повторяющихся строк с dpt 520?
Я хочу последовать совету из етой статьи:
http://www.dd-wrt.com/wiki/index.php/Firewall_Builder
и сделать мою собственную конфигурацию на jffs
Может кто-нибудь поделится хорошей базовой iptables конфигурацией? или придется пользоваться firewall builder?
Еще вопрос, если я так сделаю, смогу ли я по прежнему пользоваться веб-интерфейсом чтобы например добавить port forwarding, или все придется через консоль добавлять??
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT 0 -- 194.231.229.20 0.0.0.0/0
ACCEPT 0 -- 212.65.2.116 0.0.0.0/0
ACCEPT 0 -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:520
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:520
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:520
logaccept tcp -- 0.0.0.0/0 192.168.123.254 tcp dpt:22
logdrop icmp -- 0.0.0.0/0 0.0.0.0/0
logdrop 2 -- 0.0.0.0/0 0.0.0.0/0
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:5060
ACCEPT 0 -- 0.0.0.0/0 0.0.0.0/0 state NEW
logaccept 0 -- 0.0.0.0/0 0.0.0.0/0 state NEW
logdrop 0 -- 0.0.0.0/0 0.0.0.0/0
Нерепрезентативный вывод iptables. Нужно использовать ключ -v или вообще запускать iptables-save, если таковой в этой прошивке имеется.
Last edited by Power; 22-11-2008 at 00:46.
Прошу помощи в создании правил в iptables. Для блокировки Контакта, ICQ, Mail.
до коле будут задавать тупые вопросы!!!!
удалите тему