Page 2 of 4 FirstFirst 1234 LastLast
Results 16 to 30 of 53

Thread: Странное поведение файрвола

  1. #16
    Quote Originally Posted by EugeenB View Post
    А ещё нужно бы занть, как происходит подключение к и-нету, что говорят ifconfig -a и iptables -vnL (мне так будет привычнее, чем ...-save).
    Да нивапрос, хотя там ничего интересного нету...


    [admin@Router root]$ ifconfig -a
    br0 Link encap:Ethernet HWaddr 00:18:F31:46:3A
    inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
    inet6 addr: fe80::218:f3ff:fed1:463a/10 Scope:Link
    UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
    RX packets:494082 errors:0 dropped:0 overruns:0 frame:0
    TX packets:358703 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:0
    RX bytes:312921835 (298.4 MiB) TX bytes:61362653 (58.5 MiB)

    eth0 Link encap:Ethernet HWaddr 00:18:F31:46:3A
    inet6 addr: fe80::218:f3ff:fed1:463a/10 Scope:Link
    UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
    RX packets:407956 errors:0 dropped:0 overruns:0 frame:0
    TX packets:512638 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:100
    RX bytes:80842619 (77.0 MiB) TX bytes:341072235 (325.2 MiB)
    Interrupt:4 Base address:0x1000

    eth1 Link encap:Ethernet HWaddr 00:18:F31:46:3A
    inet6 addr: fe80::218:f3ff:fed1:463a/10 Scope:Link
    UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
    RX packets:494069 errors:0 dropped:0 overruns:0 frame:37608
    TX packets:358709 errors:12 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:100
    RX bytes:319837263 (305.0 MiB) TX bytes:67103049 (63.9 MiB)
    Interrupt:12 Base address:0x2000

    lo Link encap:Local Loopback
    inet addr:127.0.0.1 Mask:255.0.0.0
    inet6 addr: ::1/128 Scope:Host
    UP LOOPBACK RUNNING MULTICAST MTU:16436 Metric:1
    RX packets:3826 errors:0 dropped:0 overruns:0 frame:0
    TX packets:3826 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:0
    RX bytes:354383 (346.0 KiB) TX bytes:354383 (346.0 KiB)

    ppp0 Link encap:Point-Point Protocol
    inet addr:<inte ip> P-t-P:<vpn.corbina.net> Mask:255.255.255.255
    UP POINTOPOINT RUNNING MULTICAST MTU:1400 Metric:1
    RX packets:356414 errors:0 dropped:0 overruns:0 frame:0
    TX packets:490962 errors:0 dropped:163 overruns:0 carrier:0
    collisions:0 txqueuelen:3
    RX bytes:54411342 (51.8 MiB) TX bytes:312381971 (297.9 MiB)

    sit0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
    NOARP MTU:1480 Metric:1
    RX packets:0 errors:0 dropped:0 overruns:0 frame:0
    TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:0
    RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

    vlan0 Link encap:Ethernet HWaddr 00:18:F31:46:3A
    inet6 addr: fe80::218:f3ff:fed1:463a/10 Scope:Link
    UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
    RX packets:0 errors:0 dropped:0 overruns:0 frame:0
    TX packets:1129 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:0
    RX bytes:0 (0.0 B) TX bytes:223483 (218.2 KiB)

    vlan1 Link encap:Ethernet HWaddr 00:18:F31:46:3A
    inet addr:<my lan ip> Bcast:<lan gateway> Mask:255.255.248.0
    inet6 addr: fe80::218:f3ff:fed1:463a/10 Scope:Link
    UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
    RX packets:407931 errors:0 dropped:0 overruns:0 frame:0
    TX packets:511507 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:0
    RX bytes:73498119 (70.0 MiB) TX bytes:340848604 (325.0 MiB)

    [admin@Router root]$



    ну а тут всё плохо (

    [admin@Router root]$ iptables -vnL
    Chain INPUT (policy ACCEPT 422K packets, 75M bytes)
    pkts bytes target prot opt in out source destination

    Chain FORWARD (policy ACCEPT 975K packets, 436M bytes)
    pkts bytes target prot opt in out source destination

    Chain OUTPUT (policy ACCEPT 600K packets, 405M bytes)
    pkts bytes target prot opt in out source destination

  2. #17
    Quote Originally Posted by vectorm View Post
    Типа вот этого должно быть в конце:
    Code:
     iptables -A INPUT -j DROP
    Хм, а если я хочу по 22-му порту например, ssh доступ что-бы из вне был открыт, мне как написать? или надо доп правило создавать?

  3. #18
    Join Date
    Apr 2008
    Location
    Географический центр Европы
    Posts
    263
    Quote Originally Posted by skelet View Post
    Да нивапрос, хотя там ничего интересного нету...


    [admin@Router root]$ ifconfig -a
    [...]
    Тааак, ппп у Вас действительно нет. Хорошо.
    Quote Originally Posted by skelet
    ну а тут всё плохо (

    [admin@Router root]$ iptables -vnL
    Chain INPUT (policy ACCEPT 422K packets, 75M bytes)
    pkts bytes target prot opt in out source destination

    Chain FORWARD (policy ACCEPT 975K packets, 436M bytes)
    pkts bytes target prot opt in out source destination

    Chain OUTPUT (policy ACCEPT 600K packets, 405M bytes)
    pkts bytes target prot opt in out source destination
    Даже более чем плохо! Файрвол у Вас вообще не включён никакой. Смотрите что-нибудь вроде WAN2LAN фильтра в ВЕБинтерфейсе.
    Quote Originally Posted by vectorm
    Типа вот этого должно быть в конце:
    Code:
    iptables -A INPUT -j DROP
    А вот это, при пустом фильтре INPUT - так просто вредный совет. Если это правило будет единственным в таблице, то тут Вы сразу потеряете всякую возможность управлять роутером: хоть через ВЕБ, хоть через телнет, хоть через SSH.
    С уважением, Евгений.
    [ASUS WL500g Premium (v1) 1.9.2.7-10] + [512MB USBFlash] + [8GB USBFlash] + [USB BlueTooth DBT-122] + [USB->RS232]

  4. #19
    И странно, что на действия в вебе не реагирует ((
    В Олеговской прошивке очень специфичный веб-интерфейс. Если не помогает сброс кеша - меняйте браузер на Оперу. С последними заплатками на IE6 я с этим столкнулся.
    После этого включается все, и wi-fi в любой режим и фаервол и проброс портов.

  5. #20
    Quote Originally Posted by EugeenB View Post
    Тааак, ппп у Вас действительно нет. Хорошо.
    Даже более чем плохо! Файрвол у Вас вообще не включён никакой. Смотрите что-нибудь вроде WAN2LAN фильтра в ВЕБинтерфейсе.
    Да не реагирует оно на действия в вебке (, хоть включай хоть выключай фаер
    Quote Originally Posted by EugeenB View Post
    А вот это, при пустом фильтре INPUT - так просто вредный совет. Если это правило будет единственным в таблице, то тут Вы сразу потеряете всякую возможность управлять роутером: хоть через ВЕБ, хоть через телнет, хоть через SSH.
    угу это я уже заметил , пришлось сбрасывать настройки

    упд: так а как включить-то его? )

  6. #21
    Join Date
    Feb 2008
    Location
    Moscow, Tver
    Posts
    3,962
    Quote Originally Posted by EugeenB View Post
    А вот это, при пустом фильтре INPUT - так просто вредный совет. Если это правило будет единственным в таблице, то тут Вы сразу потеряете всякую возможность управлять роутером: хоть через ВЕБ, хоть через телнет, хоть через SSH.
    Ну так я же и написал: добавлять в конце, подразумевая, что сверху будут разрешающие правила
    Простое указание данного правила сродни включения MAC фильтра без указания разрешенных компов.

  7. #22
    эхх, вы можете сказать какие должны быть эти правила, если я хочу из вне ТОЛЬКО доступ по ssh по 22-му порту?

  8. #23
    Join Date
    Feb 2008
    Location
    Moscow, Tver
    Posts
    3,962
    Quote Originally Posted by skelet View Post
    эхх, вы можете сказать какие должны быть эти правила, если я хочу из вне ТОЛЬКО доступ по ssh по 22-му порту?
    Вот примерно такой post-firewall должен быть:
    Code:
    #! /bin/sh
    
    ## FIREWALL
    ## set default policy
     iptables -P INPUT DROP
    # remove last default rule
     iptables -D INPUT -j DROP
    # Для rtorrent, почты, веб серверов, etc:
    for P in 25 110 443 8081 50550 51777 51778 51779 51780 65534; do
    iptables -A INPUT -p tcp -m tcp -d 192.168.10.1 --dport $P -j ACCEPT
    iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport $P -j DNAT --to-destination 192.168.10.1:$P
    done
    # доступ по SSH:
    iptables -A INPUT -p tcp -m tcp -d 192.168.10.1 --dport 22 -j ACCEPT
    iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 22 -j DNAT --to-destination 192.168.10.1:22
    
    # Для rtorrent
    for P in 6881; do
    iptables -A INPUT -p udp -m udp -d 192.168.10.1 --dport $P -j ACCEPT
    iptables -t nat -A PREROUTING -i ppp0 -p udp --dport $P -j DNAT --to-destination 192.168.10.1:$P
    done
    
     iptables -A INPUT -j DROP

  9. #24
    Тогда уж примерно

    iptables -A INPUT -p tcp -m tcp -d 192.168.1.1 --dport 22 -j ACCEPT
    iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 22 -j DNAT --to-destination 192.168.1.1:22


    ssh же на роутере находится )


    В целом конструкцию понял, за исключением -m tcp и -j DNAT

  10. #25
    Join Date
    Feb 2008
    Location
    Moscow, Tver
    Posts
    3,962
    Quote Originally Posted by skelet View Post
    Тогда уж примерно

    iptables -A INPUT -p tcp -m tcp -d 192.168.1.1 --dport 22 -j ACCEPT
    iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 22 -j DNAT --to-destination 192.168.1.1:22


    ssh же на роутере находится )


    В целом конструкцию понял, за исключением -m tcp и -j DNAT
    iptables --help спасет отца русской демократии
    А адресация роутера у каждого своя, тут для примера была.

  11. #26
    Ладно спасибо, rtfm проглотил
    Даже и не знаю, стоит ли с работы пробовать удалённо эти комманды вводить, или потеряю роутер до вечера?

    Да и ещё, эти правили применяются уже ПОСЛЕ того, как будут сгенерены правила на основании данных, введённых в веб-интерфейсе?
    Last edited by skelet; 04-09-2008 at 08:53.

  12. #27
    Join Date
    Feb 2008
    Location
    Moscow, Tver
    Posts
    3,962
    Quote Originally Posted by skelet View Post
    Ладно спасибо, rtfm проглотил
    Даже и не знаю, стоит ли с работы пробовать удалённо эти комманды вводить, или потеряю роутер до вечера?

    Да и ещё, эти правили применяются уже ПОСЛЕ того, как будут сгенерены правила на основании данных, введённых в веб-интерфейсе?
    Если почитать тему с нуля и FAQ, то будет понятно, что файлики pre- и post- не зря так названы post-firewall выполняется после выполнения правил, забитых в веб интерфейсе, соответственно можно настройки firewall в вебе не делать.

  13. #28
    Quote Originally Posted by vectorm View Post
    Если почитать тему с нуля и FAQ, то будет понятно, что файлики pre- и post- не зря так названы post-firewall выполняется после выполнения правил, забитых в веб интерфейсе, соответственно можно настройки firewall в вебе не делать.
    вообще-то и веб не делает flush, так что если переписывать с нуля не надо, можно и в post-boot. результат будет тот же (похоже веб добавляет все правила по номерам с #1)

  14. #29
    Quote Originally Posted by vectorm View Post
    Если почитать тему с нуля и FAQ, то будет понятно, что файлики pre- и post- не зря так названы post-firewall выполняется после выполнения правил, забитых в веб интерфейсе, соответственно можно настройки firewall в вебе не делать.
    АГа, и ещё если почитать эту тему, то станет ясно, что фаер должен включаться при установке соотв галочки в вебе , а у меня это не так.

    А целом ясно, я так и предполагал...

  15. #30
    Join Date
    Apr 2008
    Location
    Географический центр Европы
    Posts
    263
    Quote Originally Posted by skelet View Post
    АГа, и ещё если почитать эту тему, то станет ясно, что фаер должен включаться при установке соотв галочки в вебе , а у меня это не так.

    А целом ясно, я так и предполагал...
    Поскольку у всех (и у меня в том числе) фаервол включается "нажатием галочи в ВЕБинтерфейсе", то предполагаю, что либо у Вас в роутере что-то поломалось (в программном смысле), либо Вы не полностью выполнили инструкции при перепрошивке и настройке роутера (например: не выполнили сброс в ФакториДефаулт).
    Соответственно, можно будет ждать от роутера всяческих неприятных сюрпризов и в будующем. Поэтому, предлагаю Вам перепрошить роутер с самого начала, выполнив досконально рекомендации по его настройке "с нуля".
    С уважением, Евгений.
    [ASUS WL500g Premium (v1) 1.9.2.7-10] + [512MB USBFlash] + [8GB USBFlash] + [USB BlueTooth DBT-122] + [USB->RS232]

Page 2 of 4 FirstFirst 1234 LastLast

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •