Page 3 of 4 FirstFirst 1234 LastLast
Results 31 to 45 of 53

Thread: Странное поведение файрвола

  1. #31
    неправильно, эти правила блокируют всё нафиг, полностью, кроме того, что явно прописано.

    А ведь логичным поведением является:
    а) полная свобода внутри домашней локалки
    б) если какой-то пакет идёт изнутри (т.е. попадает на br0) по ЛЮБОМУ порту хоть в инет (ppp0), хоть в локалку прова(vlan1), то он должен быть пропущен, а также обратных.
    г) допуск входящих со стороны ppp0 или vlan1 по портам ssh (22) на сам роутер, rtorrent(10000) на сам роутер, utorrent 10000 на 192.168.1.2:10001 т.е на комп.

    Ваши правила смогут обеспечить только а) и г) как ((

    Как-то так.

  2. #32

    Question Странное поведение iptables

    Я в ступоре.
    Или я чего-то не понимаю, или лыжи не едут.

    Роутер RT-16N
    прошивка RT-N16-1.9.2.7-rtn-r2895

    [cocos@RT-16N root]$ robocfg show
    Switch: enabled gigabit
    Port 0: 100FD enabled stp: none vlan: 2 jumbo: off mac: 00:0f:e2:8e:c3:cf
    Port 1: 100FD enabled stp: none vlan: 2 jumbo: off mac: 00:02:02:1c:d7:35
    Port 2: DOWN enabled stp: none vlan: 1 jumbo: off mac: 00:06:dc:46:cc:87
    Port 3: 1000FD enabled stp: none vlan: 1 jumbo: off mac: 00:16:17:9b:d8:67
    Port 4: 1000FD enabled stp: none vlan: 1 jumbo: off mac: 90:e6:ba:3a:6b:44
    Port 8: 1000FD enabled stp: none vlan: 1 jumbo: off mac: 20:cf:30:ce:af:99
    VLANs: BCM53115 enabled mac_check mac_hash
    1: vlan1: 2 3 4 8t
    2: vlan2: 0 1 8t

    vlan2 - провайдер (ip адрес из сети 10.160.101.0/24)
    vlan1 - комп в локальной сети (ip адрес из сети 192.168.133.0/24)

    На компьютере запускается закачка с сайта провайдера файла размером 100MB.
    Закачка идет, но вот пакетов этой закачки ни в одной из таблиц iptables нет.

    Например нет здесь после того как было закачено 50M bytes:

    [cocos@RT-16N root]$ iptables -t mangle -L -nv
    Chain PREROUTING (policy ACCEPT 1832 packets, 455K bytes)
    pkts bytes target prot opt in out source destination
    0 0 MARK udp -- * * 192.168.133.6 0.0.0.0/0 udp spts:16384:16482 MARK set 0x6
    0 0 MARK udp -- * * 192.168.133.6 0.0.0.0/0 udp dpt:5060 MARK set 0x6

    Chain INPUT (policy ACCEPT 1558 packets, 430K bytes)
    pkts bytes target prot opt in out source destination

    Chain FORWARD (policy ACCEPT 108 packets, 5950 bytes)
    pkts bytes target prot opt in out source destination

    Chain OUTPUT (policy ACCEPT 1342 packets, 247K bytes)
    pkts bytes target prot opt in out source destination

    Chain POSTROUTING (policy ACCEPT 1472 packets, 254K bytes)
    pkts bytes target prot opt in out source destination

    Кто-нибудь сталкивался с подобным? Почему пакеты ходят мимо iptables?
    Last edited by CocosI; 23-04-2011 at 04:56. Reason: дополнительные сведения

  3. #33
    Ага!

    Разобрался.
    Проблема была во включенном fastnat, которая по всей видимости заставляет ходить транзитные пакеты мимо netfilter.
    После отключения опциии
    #nvram set misc_fastnat_x=0
    #flashfs save && flashfs commit && flashfs enable && reboot

    все встало на свои места.

  4. #34

    Игнор значений фаервола

    Добрый день всем. Есть 2 одинаковых рутера WL500G Premium.

    Один находится в сети himki.net, имеет внешний выделенный IP, прошивку от Олега 1.9.2.7-8

    Настройки фаервола такие:

    Code:
    Enable Firewall? 	               Yes No
    Enable DoS protection? 	               Yes No
    Logged packets type: 	                 none
    Enable Web Access from WAN? 	       Yes No
    Port of Web Access from WAN: 	         8080
    Respond LPR Request from WAN? 	       Yes No
    Respond Ping Request from WAN? 	       Yes No
    Number of connections to track: 	 4096
    При этом рутер пингуется, трассируется и доступ по http возможен.

    Другой находится в сети Корбина (подсеть не знаю, улица Большая Марьинская), имеет внешний выделенный IP, прошивку от Олега 1.9.2.7-10

    Настройки фаервола (были):

    Code:
    Enable Firewall? 	               Yes No
    Enable DoS protection? 	               Yes No
    Logged packets type: 	                 none
    Enable Web Access from WAN? 	       Yes No
    Port of Web Access from WAN: 	         8080
    Respond LPR Request from WAN? 	       Yes No
    Respond Ping Request from WAN? 	       Yes No
    Number of connections to track: 	 4096
    При этом пинг и трассировка проходили, но доступ по http не работал

    Настройки фаервола (стали):

    Code:
    Enable Firewall? 	               Yes No
    Enable DoS protection? 	               Yes No
    Logged packets type: 	                 none
    Enable Web Access from WAN? 	       Yes No
    Port of Web Access from WAN: 	         1024
    Respond LPR Request from WAN? 	       Yes No
    Respond Ping Request from WAN? 	       Yes No
    Number of connections to track: 	 4096
    Пинг, трассировка – ок. И доступ по http заработал. Что, собственно, мне и было нужно.

    Однако вопрос возник такой. Выходит, что в случае с химкинским роутером значения Enable Web Access from WAN и Respond Ping Request from WAN игнорируются, а в случае с роутером в сети корбина игнорируется значение параметра Respond Ping Request from WAN. Может кто-нибудь объяснить почему так? Мне для собственного развития пригодится. Заранее спасибо.
    Last edited by Omega; 07-07-2011 at 02:13. Reason: Сначала обновите прошивки ... и не нужно здесь ничего выделять красным цветом - на первый раз устное предупреждение ;)

  5. #35

    Lightbulb rt-n16

    Пытаюсь произвести замену WL500P на RT-N16. Возникает следующая проблема:
    есть следующий post-firewall, прекрасно работающий на многих, мной настроенных, WL500х:
    Code:
    #!/bin/sh
    
    iptables -P INPUT DROP
    iptables -F INPUT
    iptables -P OUTPUT DROP
    iptables -F OUTPUT
    iptables -F logaccept
    iptables -A logaccept -j ACCEPT
    
    #OpenVPN
    iptables -A OUTPUT -p udp -o $1 --destination-port 2294 -j logaccept
    iptables -A INPUT -p udp -i $1 --source-port 2294 -j logaccept
    iptables -I INPUT -i tun0 -j logaccept
    iptables -I FORWARD -i tun0 -j logaccept
    iptables -I FORWARD -o tun0 -j logaccept
    iptables -I OUTPUT -o tun0 -j logaccept
    #SSH
    iptables -A INPUT -p tcp -i! $1 --destination-port 22 -j logaccept
    iptables -A OUTPUT -p tcp -o! $1 --source-port 22 -j logaccept
    #WEB Console
    iptables -A INPUT -p tcp -s 127.0.0.1 -d 127.0.0.1 --destination-port 80 -j logaccept
    iptables -A INPUT -p tcp -s 127.0.0.1 -d 127.0.0.1 --source-port 80 -j logaccept
    iptables -A OUTPUT -p tcp -s 127.0.0.1 -d 127.0.0.1 --source-port 80 -j logaccept
    iptables -A OUTPUT -p tcp -s 127.0.0.1 -d 127.0.0.1 --destination-port 80 -j logaccept
    #DNS
    iptables -A OUTPUT -p udp --source-port 53 -j logaccept
    iptables -A OUTPUT -p udp --destination-port 53 -j logaccept
    iptables -A INPUT -p udp --source-port 53 -j logaccept
    iptables -A INPUT -p udp --destination-port 53 -j logaccept
    #NTP
    iptables -A OUTPUT -p tcp -m state --state ESTABLISHED,RELATED --source-port 123 -j logaccept
    iptables -A OUTPUT -p tcp --destination-port 123 -j logaccept
    iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED --source-port 123 -j logaccept
    iptables -A INPUT -p tcp --destination-port 123 -j logaccept
    iptables -A OUTPUT -p udp --source-port 123 -j logaccept
    iptables -A OUTPUT -p udp --destination-port 123 -j logaccept
    iptables -A INPUT -p udp --source-port 123 -j logaccept
    iptables -A INPUT -p udp --destination-port 123 -j logaccept
    #DHCP
    iptables -A INPUT -p udp --source-port 68 --destination-port 67 -j logaccept
    iptables -A OUTPUT -p udp --source-port 67 --destination-port 68 -j logaccept
    #ROUTD
    iptables -A INPUT -p udp --source-port 520 --destination-port 520 -j logaccept
    iptables -A OUTPUT -p udp --source-port 520 --destination-port 520 -j logaccept
    #Drop incoming UPnP silently
    iptables -A INPUT -p udp --destination-port 1900 -j DROP
    После выполнения скрипта машины по Wifi не могут соединиться с узлом, не могут получить IP адрес, при этом машины на LAN портах прекрасно работают, OpenVPN работает. После проведенных исследований выяснилось, что проблема пропадает, если iptables -P INPUT DROP и iptables -P OUTPUT DROP заменить на iptables -P INPUT ACCEPT и iptables -P OUTPUT ACCEPT.

    Пробовал на прошивках начиная с RT-N16-1.9.2.7-rtn-r3497.trx и до RT-N16-1.9.2.7-rtn-r3668.trx.
    Что изменилось в -rtn прошивках или, что я делаю не так?
    Last edited by vectorm; 14-12-2011 at 11:44.

  6. #36
    Quote Originally Posted by stvladimir View Post
    Пробовал на прошивках начиная с RT-N16-1.9.2.7-rtn-r3497.trx и до RT-N16-1.9.2.7-rtn-r3668.trx.
    Что изменилось в -rtn прошивках или, что я делаю не так?
    FASTNAT пробовали отключать?
    Мне помогло.
    nvram set misc_fastnat_x=0 && nvram commit && reboot

  7. #37
    Quote Originally Posted by Spartach View Post
    FASTNAT пробовали отключать?
    Мне помогло.
    nvram set misc_fastnat_x=0 && nvram commit && reboot
    Пробовал. Не помогло

    P.S. Спасибо vectorm за оформление моего вопроса.

  8. #38
    Quote Originally Posted by stvladimir View Post
    Пробовал. Не помогло

    P.S. Спасибо vectorm за оформление моего вопроса.
    а может лучше убрать
    Code:
    iptables -F INPUT
    iptables -F OUTPUT
    заменив на
    # remove last default rule
    iptables -D INPUT -j DROP
    iptables -D OUTPUT-j DROP

  9. #39
    Quote Originally Posted by BcTpe4HbIu View Post
    а может лучше убрать
    Code:
    iptables -F INPUT
    iptables -F OUTPUT
    заменив на
    Code:
    # remove last default rule
    iptables -D INPUT -j DROP
    iptables -D OUTPUT-j DROP
    Это не помогает, так как политика остается DROP.

  10. #40
    Quote Originally Posted by stvladimir View Post
    Это не помогает, так как политика остается DROP.
    Вам скрипт в таком виде убирает все стандартные правила из этих таблиц.
    Например там есть
    Code:
    -A INPUT -m conntrack --ctstate INVALID -j DROP
    -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
    -A INPUT -i br0 -m conntrack --ctstate NEW -j ACCEPT
    А вообще хотелось бы вывод iptables-save посмотреть...
    Last edited by BcTpe4HbIu; 15-12-2011 at 13:38.

  11. #41
    Quote Originally Posted by BcTpe4HbIu View Post
    А вообще хотелось бы вывод iptables-save посмотреть...
    Code:
    *nat
    :PREROUTING ACCEPT [2003:216116]
    :POSTROUTING ACCEPT [112:7988]
    :OUTPUT ACCEPT [142:13942]
    :UPNP - [0:0]
    :VSERVER - [0:0]
    -A PREROUTING -d 192.168.1.190/32 -j VSERVER 
    -A POSTROUTING ! -s 192.168.1.190/32 -o vlan2 -j MASQUERADE 
    -A POSTROUTING -s 192.168.2.0/24 -d 192.168.2.0/24 -o br0 -j MASQUERADE 
    COMMIT
    *mangle
    :PREROUTING ACCEPT [4124:374249]
    :INPUT ACCEPT [1326:114744]
    :FORWARD ACCEPT [2178:141795]
    :OUTPUT ACCEPT [1438:219590]
    :POSTROUTING ACCEPT [3458:346376]
    COMMIT
    *filter
    :INPUT DROP [50:2796]
    :FORWARD ACCEPT [2164:140147]
    :OUTPUT DROP [55:5146]
    :BRUTE - [0:0]
    :MACS - [0:0]
    :SECURITY - [0:0]
    :UPNP - [0:0]
    :logaccept - [0:0]
    :logdrop - [0:0]
    -A INPUT -i tun0 -j logaccept 
    -A INPUT -i vlan2 -p udp -m udp --sport 2294 -j logaccept 
    -A INPUT ! -i vlan2 -p tcp -m tcp --dport 22 -j logaccept 
    -A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -p tcp -m tcp --dport 80 -j logaccept 
    -A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -p tcp -m tcp --sport 80 -j logaccept 
    -A INPUT -p udp -m udp --sport 53 -j logaccept 
    -A INPUT -p udp -m udp --dport 53 -j logaccept 
    -A INPUT -p tcp -m tcp --dport 123 -j logaccept 
    -A INPUT -p udp -m udp --sport 123 -j logaccept 
    -A INPUT -p udp -m udp --dport 123 -j logaccept 
    -A INPUT -p udp -m udp --sport 68 --dport 67 -j logaccept 
    -A INPUT -p udp -m udp --sport 520 --dport 520 -j logaccept 
    -A INPUT -p udp -m udp --dport 1900 -j DROP 
    -A FORWARD -o tun0 -j logaccept 
    -A FORWARD -i tun0 -j logaccept 
    -A FORWARD -i br0 -o br0 -j ACCEPT 
    -A FORWARD -m conntrack --ctstate INVALID -j DROP 
    -A FORWARD -d 224.0.0.0/4 -p udp -j ACCEPT 
    -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT 
    -A FORWARD ! -i br0 -o vlan2 -j DROP 
    -A FORWARD -m conntrack --ctstate DNAT -j ACCEPT 
    -A FORWARD -o br0 -j DROP 
    -A OUTPUT -o tun0 -j logaccept 
    -A OUTPUT -o vlan2 -p udp -m udp --dport 2294 -j logaccept 
    -A OUTPUT ! -o vlan2 -p tcp -m tcp --sport 22 -j logaccept 
    -A OUTPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -p tcp -m tcp --sport 80 -j logaccept 
    -A OUTPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -p tcp -m tcp --dport 80 -j logaccept 
    -A OUTPUT -p udp -m udp --sport 53 -j logaccept 
    -A OUTPUT -p udp -m udp --dport 53 -j logaccept 
    -A OUTPUT -p tcp -m tcp --dport 123 -j logaccept 
    -A OUTPUT -p udp -m udp --sport 123 -j logaccept 
    -A OUTPUT -p udp -m udp --dport 123 -j logaccept 
    -A OUTPUT -p udp -m udp --sport 67 --dport 68 -j logaccept 
    -A OUTPUT -p udp -m udp --sport 520 --dport 520 -j logaccept 
    -A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN 
    -A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN 
    -A SECURITY -p udp -m limit --limit 5/sec -j RETURN 
    -A SECURITY -p icmp -m limit --limit 5/sec -j RETURN 
    -A SECURITY -j DROP 
    -A logaccept -j ACCEPT 
    -A logdrop -m conntrack --ctstate NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options --log-macdecode 
    -A logdrop -j DROP 
    COMMIT
    А теперь описываю интересный эксперимент. Комп по Wifi не может получить IP и, соответственно, не соединяется с сеткой. Захожу на узел с машины подключенной по проводам, которая так же получает динамический IP. Даю команды:
    Code:
    iptables -P INPUT ACCEPT
    iptables -P OUTPUT ACCEPT
    Комп по WiFi получает свой IP, все сервисы начинают работать на ура. Далее на узле даю команды:
    Code:
    iptables -P INPUT DROP
    iptables -P OUTPUT DROP
    Все продолжает работать до момента renew IP на WiFi компе. Кто сможет объяснить такое поведение.

  12. #42
    Quote Originally Posted by stvladimir View Post
    Code:
    *nat
    :PREROUTING ACCEPT [2003:216116]
    :POSTROUTING ACCEPT [112:7988]
    :OUTPUT ACCEPT [142:13942]
    :UPNP - [0:0]
    :VSERVER - [0:0]
    -A PREROUTING -d 192.168.1.190/32 -j VSERVER 
    -A POSTROUTING ! -s 192.168.1.190/32 -o vlan2 -j MASQUERADE 
    -A POSTROUTING -s 192.168.2.0/24 -d 192.168.2.0/24 -o br0 -j MASQUERADE 
    COMMIT
    *mangle
    :PREROUTING ACCEPT [4124:374249]
    :INPUT ACCEPT [1326:114744]
    :FORWARD ACCEPT [2178:141795]
    :OUTPUT ACCEPT [1438:219590]
    :POSTROUTING ACCEPT [3458:346376]
    COMMIT
    *filter
    :INPUT DROP [50:2796]
    :FORWARD ACCEPT [2164:140147]
    :OUTPUT DROP [55:5146]
    :BRUTE - [0:0]
    :MACS - [0:0]
    :SECURITY - [0:0]
    :UPNP - [0:0]
    :logaccept - [0:0]
    :logdrop - [0:0]
    -A INPUT -i tun0 -j logaccept 
    -A INPUT -i vlan2 -p udp -m udp --sport 2294 -j logaccept 
    -A INPUT ! -i vlan2 -p tcp -m tcp --dport 22 -j logaccept 
    -A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -p tcp -m tcp --dport 80 -j logaccept 
    -A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -p tcp -m tcp --sport 80 -j logaccept 
    -A INPUT -p udp -m udp --sport 53 -j logaccept 
    -A INPUT -p udp -m udp --dport 53 -j logaccept 
    -A INPUT -p tcp -m tcp --dport 123 -j logaccept 
    -A INPUT -p udp -m udp --sport 123 -j logaccept 
    -A INPUT -p udp -m udp --dport 123 -j logaccept 
    -A INPUT -p udp -m udp --sport 68 --dport 67 -j logaccept 
    -A INPUT -p udp -m udp --sport 520 --dport 520 -j logaccept 
    -A INPUT -p udp -m udp --dport 1900 -j DROP 
    -A FORWARD -o tun0 -j logaccept 
    -A FORWARD -i tun0 -j logaccept 
    -A FORWARD -i br0 -o br0 -j ACCEPT 
    -A FORWARD -m conntrack --ctstate INVALID -j DROP 
    -A FORWARD -d 224.0.0.0/4 -p udp -j ACCEPT 
    -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT 
    -A FORWARD ! -i br0 -o vlan2 -j DROP 
    -A FORWARD -m conntrack --ctstate DNAT -j ACCEPT 
    -A FORWARD -o br0 -j DROP 
    -A OUTPUT -o tun0 -j logaccept 
    -A OUTPUT -o vlan2 -p udp -m udp --dport 2294 -j logaccept 
    -A OUTPUT ! -o vlan2 -p tcp -m tcp --sport 22 -j logaccept 
    -A OUTPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -p tcp -m tcp --sport 80 -j logaccept 
    -A OUTPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -p tcp -m tcp --dport 80 -j logaccept 
    -A OUTPUT -p udp -m udp --sport 53 -j logaccept 
    -A OUTPUT -p udp -m udp --dport 53 -j logaccept 
    -A OUTPUT -p tcp -m tcp --dport 123 -j logaccept 
    -A OUTPUT -p udp -m udp --sport 123 -j logaccept 
    -A OUTPUT -p udp -m udp --dport 123 -j logaccept 
    -A OUTPUT -p udp -m udp --sport 67 --dport 68 -j logaccept 
    -A OUTPUT -p udp -m udp --sport 520 --dport 520 -j logaccept 
    -A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN 
    -A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN 
    -A SECURITY -p udp -m limit --limit 5/sec -j RETURN 
    -A SECURITY -p icmp -m limit --limit 5/sec -j RETURN 
    -A SECURITY -j DROP 
    -A logaccept -j ACCEPT 
    -A logdrop -m conntrack --ctstate NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options --log-macdecode 
    -A logdrop -j DROP 
    COMMIT
    А теперь описываю интересный эксперимент. Комп по Wifi не может получить IP и, соответственно, не соединяется с сеткой. Захожу на узел с машины подключенной по проводам, которая так же получает динамический IP. Даю команды:
    Code:
    iptables -P INPUT ACCEPT
    iptables -P OUTPUT ACCEPT
    Комп по WiFi получает свой IP, все сервисы начинают работать на ура.
    "Все" это какие? роутер пингуется?
    Далее на узле даю команды:
    Code:
    iptables -P INPUT DROP
    iptables -P OUTPUT DROP
    Все продолжает работать до момента renew IP на WiFi компе. Кто сможет объяснить такое поведение.
    Роутер уже не пингуется?
    в iptables нет правил для доступа к роутеру из локальной сети (это после очистки таблиц в самом начале). и я кстати не понимаю как по проводу комп ip получает...

    Как сам роутер настроен? подключение какое?

    Пробовали это делать все таки? Зачем вообще очищать таблицы эти..?

  13. #43
    Quote Originally Posted by BcTpe4HbIu View Post
    "Все" это какие? роутер пингуется?
    Я имел ввиду, что компьютер, подключенный по Wifi, имеет полный доступ в интернет, т.е. пингует все внешние адреса, через OpenVPN можно попасть в другую дружественную сеть, работает доступ к системе доменных имен и т.д. Работает так, как и задумано. Сам роутер не пингуется, но на нем открыто все, что требуется для обеспечения всего указанного и я могу зайти на него по SSH. Посмотрите внимательнее на скрипт, там есть небольшие комментарии от том, за что отвечает тот или иной блок правил: #DNS, #NTP, #SSH, #OpenVPN...

    Quote Originally Posted by BcTpe4HbIu View Post
    я кстати не понимаю как по проводу комп ip получает...
    Ну, это вообще просто. Благодаря правилу:
    Code:
    #DHCP
    iptables -A INPUT -p udp --source-port 68 --destination-port 67 -j logaccept
    iptables -A OUTPUT -p udp --source-port 67 --destination-port 68 -j logaccept
    Я еще раз скажу, что этот скрипт работает, с небольшими изменениями, не только на роутерах с Oleg'овой прошивкой, но и на других firewall уже не один год.

    Скрипт построен "по блочному" принципу. Например, вам не нужен OpenVPN, тогда комментируете строки относящиеся к OpenVPN. У вас соединение к провайдеру с использованием PPTP, тогда добавляются следующий блок правил:
    Code:
    #PPTP
    iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED --source-port 1723 -j logaccept
    iptables -A OUTPUT -p tcp --source-port 1024:65535 --destination-port 1723 -j logaccept
    iptables -A OUTPUT -p 47 -j logaccept
    iptables -A INPUT -p 47 -j logaccept
    Quote Originally Posted by BcTpe4HbIu View Post
    Пробовали это делать все таки?
    Да.

    Quote Originally Posted by BcTpe4HbIu View Post
    Зачем вообще очищать таблицы эти..?
    Считайте меня параноиком.
    Last edited by stvladimir; 16-12-2011 at 00:01.

  14. #44
    Quote Originally Posted by stvladimir View Post
    Ну, это вообще просто. Благодаря правилу:
    Code:
    #DHCP
    iptables -A INPUT -p udp --source-port 68 --destination-port 67 -j logaccept
    iptables -A OUTPUT -p udp --source-port 67 --destination-port 68 -j logaccept
    проглядел...

    можно для теста добавить в конец скрипта
    Code:
    iptables -A INPUT -j logdrop
    ну и логи смотреть... может что и прояснится
    Считайте меня параноиком.
    ок...

  15. #45
    Quote Originally Posted by BcTpe4HbIu View Post
    можно для теста добавить в конец скрипта
    Code:
    iptables -A INPUT -j logdrop
    ну и логи смотреть... может что и прояснится
    Добавил:
    Code:
    iptables -A INPUT -j logdrop
    iptables -A OUTPUT -j logdrop
    И...тишина. Такое ощущение, что нет запросов к DHCP серверу от Wifi клиента.
    Для теста убираю:
    Code:
    #iptables -A INPUT -p udp --source-port 68 --destination-port 67 -j logaccept
    Получаю ругань для клиента на LAN'е, а с Wifi запросов вообще не видно
    Code:
    Dec 20 03:20:14 kernel: DROP IN=br0 OUT= MACSRC=00:1e:33:94:44:5b MACDST=ff:ff:ff:ff:ff:ff MACPROTO=0800 SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=128 ID=23155 PROTO=UDP SPT=68 DPT=67 LEN=308 
    Dec 20 03:20:18 kernel: DROP IN=br0 OUT= MACSRC=00:1e:33:94:44:5b MACDST=ff:ff:ff:ff:ff:ff MACPROTO=0800 SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=128 ID=23156 PROTO=UDP SPT=68 DPT=67 LEN=308
    Ничего не понимаю

    P.S. Вчера поменяли по гарантии железку. В пятницу предыдущая приказала долго жить. После очередной перезагрузки индикаторы PWD и Wifi потухли и больше не зажглись. Остальные индикаторы зажигались, когда вставлялся кабель в соответствующий порт.

Page 3 of 4 FirstFirst 1234 LastLast

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •