Page 2 of 3 FirstFirst 123 LastLast
Results 16 to 30 of 39

Thread: Enable Web Access from WAN? YES-NO. Работает ли защита?

  1. #16
    Спустя неделю, за которое пришлось порядочно посидеть на форуме за чтением сообщений и мануалов, хочу вернуться к теме. Хотя прочитав некоторое количество информации понял, что заголовок у поста неверный, надо было задать вопрос по другому:
    "почему после команды flashfs save && flashfs commit && flashfs enable
    reboot"
    iptables возвращается к исходным параметрам в таблице?"

    Я перепробовал все способы указанные в теме: сбрасывал, перепрошивал и ПРАВИЛЬНО перезапускал роутер, но не помогает ничего.

    К примеру, вэб-морда роутера по-умолчанию висит на 80 порту. Я параноик, сразу захотел перевести на нестандартный порт, в моем случае 8080. Но после команды команды flashfs save && flashfs commit && flashfs enable reboot все возвращается в исходное положение.

    Теперь сама таблица подправленная мной до REBOOT:

    # Generated by iptables-save v1.2.7a
    *nat
    :PREROUTING ACCEPT [10079:982493]
    :POSTROUTING ACCEPT [420:22153]
    :OUTPUT ACCEPT [47:3532]
    :VSERVER - [0:0]
    -A PREROUTING -d 123.123.123.123 -j VSERVER
    -A PREROUTING -d 123.123.123.123 -j VSERVER
    -A POSTROUTING -s ! 123.123.123.123 -o ppp0 -j MASQUERADE
    -A POSTROUTING -s ! 172.19.187.32 -o vlan1 -j MASQUERADE
    -A POSTROUTING -s 192.168.40.0/255.255.255.0 -d 192.168.40.0/255.255.255.0 -o br0 -j MASQUERADE
    -A VSERVER -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.40.1:80
    -A VSERVER -p tcp -m tcp --dport 20:21 -j DNAT --to-destination 192.168.40.10

    COMMIT
    # Completed on Fri Oct 31
    # Generated by iptables-save v1.2.7a
    *mangle
    :PREROUTING ACCEPT [153459:66476247]
    :INPUT ACCEPT [6248:621672]
    :FORWARD ACCEPT [146925:65803494]
    :OUTPUT ACCEPT [4499:2361222]
    :POSTROUTING ACCEPT [151368:68160524]
    COMMIT
    # Completed on Fri Oct 31
    # Generated by iptables-save v1.2.7a on Fri Oct 31
    *filter
    :INPUT DROP [2432:280016]
    :FORWARD ACCEPT [146925:65803494]
    :OUTPUT ACCEPT [4451:2358078]

    -A INPUT -d 192.168.40.1 -i ppp0 -p tcp -m tcp --dport 8080 -j ACCEPT
    -A INPUT -d 192.168.40.1 -i br0 -j ACCEPT
    COMMIT
    # Completed on Fri Oct 31


    Как видно, я поправил политику INPUT c ACCEPT на DROP. Иначе, вэб-морда доступна снаружи по 80 и по 8080.

    Потом даю команду :
    iptables-save
    flashfs save && flashfs commit && flashfs enable


    вот что вижу:


    [user@500G root]$ flashfs save && flashfs commit && flashfs enable
    tar: Removing leading '/' from member names
    tmp/local/
    tmp/local/sbin/
    tmp/local/sbin/post-boot
    tmp/local/sbin/post-firewall
    tmp/local/sbin/post-mount
    tmp/local/sbin/pre-shutdown
    tmp/local/etc/
    tmp/local/etc/dropbear/
    tmp/local/etc/dropbear/dropbear_dss_host_key
    tmp/local/etc/dropbear/dropbear_rsa_host_key
    tmp/local/root/
    tmp/local/root/.profile
    -rw-r--r-- 1 Admin root 1567 Oct 31 00:00 /tmp/flash.tar.gz
    Check saved image and type "/sbin/flashfs commit" to commit changes
    .
    Committed.
    [user@500G root]$ flashfs enable
    [user@500G root]$


    и как только даю команду REBOOT.

    Ничего не сохраняется и вот что вижу в таблице:

    [user@500G root]$ iptables-save
    # Generated by iptables-save v1.2.7a
    *nat
    :PREROUTING ACCEPT [235:38536]
    :POSTROUTING ACCEPT [29:1661]
    :OUTPUT ACCEPT [7:448]
    :VSERVER - [0:0]
    -A PREROUTING -d 123.123.123.123 -j VSERVER
    -A PREROUTING -d 172.19.187.32 -j VSERVER
    -A POSTROUTING -s ! 123.123.123.123 -o ppp0 -j MASQUERADE
    -A POSTROUTING -s ! 172.19.187.32 -o vlan1 -j MASQUERADE
    -A POSTROUTING -s 192.168.40.0/255.255.255.0 -d 192.168.40.0/255.255.255.0 -o br0 -j MASQUERADE
    -A VSERVER -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.40.1:80
    -A VSERVER -p tcp -m tcp --dport 20:21 -j DNAT --to-destination 192.168.40.10

    COMMIT
    # Completed on Fri Oct
    # Generated by iptables-save v1.2.7a on Fri Oct
    *mangle
    :PREROUTING ACCEPT [1632:569595]
    :INPUT ACCEPT [183:24782]
    :FORWARD ACCEPT [1428:534584]
    :OUTPUT ACCEPT [134:14294]
    :POSTROUTING ACCEPT [1561:548802]
    COMMIT
    # Completed on Fri Oct 31
    # Generated by iptables-save v1.2.7a on Fri Oct 31
    *filter
    :INPUT ACCEPT [183:24782]
    :FORWARD ACCEPT [1428:534584]
    :OUTPUT ACCEPT [133:14218]
    COMMIT
    # Completed on Fri Oct 31
    [user@500G root]$


    Если политику INPUT переправить на DROP, то правило VSERVER 20:21 попрежнему доступно из интернета, но правило VSERVER:8080 (web-интерфейс) недоступен из интернета как по 80, так и по 8080.
    Если фаервол роутера основан на iptables, как полностью управлять всеми правилами и политиками iptables?
    Вот в чем вопрос, как это сохранить таблицу iptables *filter?
    Last edited by michaelV; 31-10-2008 at 18:33.

  2. #17
    Извините, я не понял, в каком месте вы сохраняли файл post-firewall .

    Если Вы решили менять дефолтную таблицу файервола в прошивке, то, видимо, нужно было эту прошивку пересобрать под себя.

    Вобще-то правила файерволла меняют путем запуска файла post-firewall при загрузке роутера, который и вносит необходимые коррекции в дефолтную таблицу.

    P.S. А что делает команда iptables-save, можно посмотреть, например, здесь: http://jug.org.ua/cgi-bin/man.cgi?iptables-save
    Last edited by bbsc; 31-10-2008 at 18:59.

  3. #18
    Join Date
    Feb 2007
    Location
    Moscow, Russia
    Posts
    3,805
    Потом даю команду :
    iptables-save
    flashfs save && flashfs commit && flashfs enable
    iptables-save is used to dump the contents of an IP Table in easily
    parseable format to STDOUT.

    сохранять настройки с помощью iptables-save можно. Для этого надо:
    1) сохранить их куда-то кроме экрана
    2) восстановить их оттуда при загрузке с помощью iptables-restore, запускаемого все из того же post-firewall

  4. #19
    в последней прошивке, от энтузиастов вообще пропала вкладка Enable Web Access from WAN.
    как можно сделать доступ из внешней сети на роутер?

  5. #20
    Join Date
    Mar 2009
    Location
    Moscow
    Posts
    968
    Quote Originally Posted by AlekseyM View Post
    в последней прошивке, от энтузиастов вообще пропала вкладка Enable Web Access from WAN.
    как можно сделать доступ из внешней сети на роутер?
    ssh...
    D-Link DIR-320 A1/A2, DIR-620 C1, Netgear WNR3500L v1 v2

  6. #21
    Quote Originally Posted by Vampik View Post
    ssh...
    можно ткнуть носом где посмотреть и почитать?

  7. #22
    Quote Originally Posted by AlekseyM View Post
    в последней прошивке, от энтузиастов вообще пропала вкладка Enable Web Access from WAN.
    как можно сделать доступ из внешней сети на роутер?
    всмысле пропала?
    Name:  e061d7b739301d75746a1e7a4d107b8a.png
Views: 460
Size:  15.8 KB

  8. #23
    Join Date
    Mar 2009
    Location
    Moscow
    Posts
    968
    Quote Originally Posted by theMIROn View Post
    всмысле пропала?
    Телепатирую, что имеется в виду моя сборка. В моей сборке нет этой дыры.
    D-Link DIR-320 A1/A2, DIR-620 C1, Netgear WNR3500L v1 v2

  9. #24
    А что, совсем никак нельзя открыть 80 порт в прошивке 3.0.6.5212 для RT-N10U ??? (Самому смешно, когда читаю )
    Помогите, пожалуйста. Очень надо для сайта. Не получается никак даже пропинговать внешний IP, не то чтоб открыть порты .
    Для выхода в интернет используется 3G модем. Пингую онлайн службой http://ping.eu/ping/ .

    По dyndns внешний IP такой:
    Code:
    Oct  5 20:05:00 inadyn[619]: Successful alias table update for klass.dyndns.tv => new IP# 213.87.240.156
    Oct  5 20:05:01 ddns: ddns update ok
    А по ifconfig и Status IP другой:
    Code:
    ppp0      Link encap:Point-to-Point Protocol
              inet addr:172.27.133.154  P-t-P:10.64.64.64  Mask:255.255.255.255
    Почему, объясните, пожалуйста.
    Файл /usr/local/sbin/post-firewall вот такой:
    Code:
    cat 
    #!/bin/sh
    
    ## FIREWALL
    
    ## set default policy
    iptables -P INPUT DROP
    
    ## deny ftp access from WAN
    #iptables -I INPUT 1 -p tcp -i "$1" --syn --dport 21 -j DROP
    
    ## Allow access to various router services from WAN
    for P in 443 80 81 8080 8081; do
      iptables -I INPUT 1 -p tcp --syn -i "$1" --dport $P -j ACCEPT
    done
    
    ## NAT
    iptables -t nat -I PREROUTING -p tcp --dport 443 -i vlan1 -j DNAT --to 192.168.1.95:1347
    iptables -t nat -I PREROUTING -p tcp --dport 8080 -i vlan1 -j DNAT --to 192.168.0.185:80
    iptables -t nat -I PREROUTING -p tcp --dport 8081 -i vlan1 -j DNAT --to 192.168.0.185:21
    
    iptables -t nat -I PREROUTING -p tcp --dport 443 -i ppp0 -j DNAT --to 192.168.1.95:1347
    iptables -t nat -I PREROUTING -p tcp --dport 8080 -i ppp0 -j DNAT --to 192.168.0.185:80
    iptables -t nat -I PREROUTING -p tcp --dport 8081 -i ppp0 -j DNAT --to 192.168.0.185:21
    Ни один не пингуется. Уже по-всякому менял. Отключал в веб морде Firewall и защиту от атак, включил обратно. Ни в какую. Respond Ping Request from WAN только стоит Yes.
    Last edited by Regulirovschik; 05-10-2013 at 15:50.
    DIR-320 1.9.2.7-d-r3591 - http://alesens.dyndns.tv

  10. #25
    Join Date
    Mar 2009
    Location
    Moscow
    Posts
    968
    Для сайта? Доступ к веб-морде роутера?? Который выходит в инет через 3G-модем??? О боги...
    D-Link DIR-320 A1/A2, DIR-620 C1, Netgear WNR3500L v1 v2

  11. #26
    Quote Originally Posted by Vampik View Post
    Телепатирую, что имеется в виду моя сборка. В моей сборке нет этой дыры.
    мда, гениально, возможность администрирования считать дырой.
    можно тогда пойти дальше, выпилить отключение файрвола, отключение ната, включение telnet, выпилить httpd совсем, это значительно проще, чем сделать whiete-list на доступ к интерфейсу и/или прикрутить https, да?
    fyi, далеко не всегда и не все используют роутеры 1) в режиме gateway 2) с WAN в публичный интернет

  12. #27
    michaelV,

    сохранить другой порт к веб-интерфейсу:
    nvram set http_lanport=8889, например
    nvram commit

    Vampik,
    к веб-интерфейсу доступ не обязателен, вопрос - как добиться отклика на ping?
    Last edited by Regulirovschik; 05-10-2013 at 17:37.
    DIR-320 1.9.2.7-d-r3591 - http://alesens.dyndns.tv

  13. #28
    Join Date
    Mar 2009
    Location
    Moscow
    Posts
    968
    Выставлять ЭТО (httpd) в WAN - дыра. Многие так делают, а потом появляются статьи про уязвимости роутеров и ботнеты
    Тем более кто знает, может сделать как было одной строчкой.

    https тоже нужен, не говоря уже о том, что httpd даже POST-запросы не поддерживает, а от длинных GET падает.

    Regulirovschik, получите у своего сотового оператора внешний IP (с абонентской платой и помегабайтной тарификацией трафика), тогда сможете пинговать. Сейчас вы находитесь за NAT и свой роутер пинговать не можете.
    Last edited by Vampik; 05-10-2013 at 18:37.
    D-Link DIR-320 A1/A2, DIR-620 C1, Netgear WNR3500L v1 v2

  14. #29
    Quote Originally Posted by Vampik View Post
    Выставлять ЭТО (httpd) в WAN - дыра. Многие так делают, а потом появляются статьи про уязвимости роутеров и ботнеты
    Тем более кто знает, может сделать как было одной строчкой.

    Regulirovschik, получите у своего сотового оператора внешний IP (с абонентской платой и помегабайтной тарификацией трафика), тогда сможете пинговать. Сейчас вы находитесь за NAT и свой роутер пинговать не можете.
    а как сделать правильно?

  15. #30
    Join Date
    Mar 2009
    Location
    Moscow
    Posts
    968
    Quote Originally Posted by AlekseyM View Post
    а как сделать правильно?
    Я не параноик, хотя бы SSH с хорошим паролем. Подключившись к нему, можно получить доступ к чему угодно, не только к веб-морде.

    Дальше зависит только от степени параноидальности - нестандартный порт, запрет логина по паролю, бан подборщиков паролей по IP, portknocking и т.д.
    D-Link DIR-320 A1/A2, DIR-620 C1, Netgear WNR3500L v1 v2

Page 2 of 3 FirstFirst 123 LastLast

Similar Threads

  1. with Access point no web interface
    By Ternet in forum WL-500w Q&A
    Replies: 0
    Last Post: 16-03-2008, 14:34
  2. configuring second wan
    By ILYAki in forum WL-500gP Q&A
    Replies: 1
    Last Post: 28-08-2007, 10:37

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •