Телепатирую, что имеется в виду моя сборка. В моей сборке нет этой дыры.Originally Posted by theMIROn
Forum Guru
Junior Member
А что, совсем никак нельзя открыть 80 порт в прошивке 3.0.6.5212 для RT-N10U ??? (Самому смешно, когда читаю)
Помогите, пожалуйста. Очень надо для сайта. Не получается никак даже пропинговать внешний IP, не то чтоб открыть порты.
Для выхода в интернет используется 3G модем. Пингую онлайн службой http://ping.eu/ping/ .
По dyndns внешний IP такой:
А по ifconfig и Status IP другой:Code:Oct 5 20:05:00 inadyn[619]: Successful alias table update for klass.dyndns.tv => new IP# 213.87.240.156 Oct 5 20:05:01 ddns: ddns update ok
Почему, объясните, пожалуйста.Code:ppp0 Link encap:Point-to-Point Protocol inet addr:172.27.133.154 P-t-P:10.64.64.64 Mask:255.255.255.255
Файл /usr/local/sbin/post-firewall вот такой:
Ни один не пингуется. Уже по-всякому менял. Отключал в веб морде Firewall и защиту от атак, включил обратно. Ни в какую. Respond Ping Request from WAN только стоит Yes.Code:cat #!/bin/sh ## FIREWALL ## set default policy iptables -P INPUT DROP ## deny ftp access from WAN #iptables -I INPUT 1 -p tcp -i "$1" --syn --dport 21 -j DROP ## Allow access to various router services from WAN for P in 443 80 81 8080 8081; do iptables -I INPUT 1 -p tcp --syn -i "$1" --dport $P -j ACCEPT done ## NAT iptables -t nat -I PREROUTING -p tcp --dport 443 -i vlan1 -j DNAT --to 192.168.1.95:1347 iptables -t nat -I PREROUTING -p tcp --dport 8080 -i vlan1 -j DNAT --to 192.168.0.185:80 iptables -t nat -I PREROUTING -p tcp --dport 8081 -i vlan1 -j DNAT --to 192.168.0.185:21 iptables -t nat -I PREROUTING -p tcp --dport 443 -i ppp0 -j DNAT --to 192.168.1.95:1347 iptables -t nat -I PREROUTING -p tcp --dport 8080 -i ppp0 -j DNAT --to 192.168.0.185:80 iptables -t nat -I PREROUTING -p tcp --dport 8081 -i ppp0 -j DNAT --to 192.168.0.185:21
Last edited by Regulirovschik; 05-10-2013 at 15:50.
DIR-320 1.9.2.7-d-r3591 - http://alesens.dyndns.tv
Forum Guru
мда, гениально, возможность администрирования считать дырой.
можно тогда пойти дальше, выпилить отключение файрвола, отключение ната, включение telnet, выпилить httpd совсем, это значительно проще, чем сделать whiete-list на доступ к интерфейсу и/или прикрутить https, да?
fyi, далеко не всегда и не все используют роутеры 1) в режиме gateway 2) с WAN в публичный интернет
ASUS WL5xx: FW 1.9.2.7-d-rXXXX / обсуждение прошивки [RU] / firmware discussion [EN] | bip irc proxy
ASUS RT-N1x: FW 1.9.2.7-rtn-rXXXX / обсуждение прошивки [RU] / firmware discussion [EN] | fake ident daemon
Junior Member
michaelV,
сохранить другой порт к веб-интерфейсу:
nvram set http_lanport=8889, например
nvram commit
Vampik,
к веб-интерфейсу доступ не обязателен, вопрос - как добиться отклика на ping?
Last edited by Regulirovschik; 05-10-2013 at 17:37.
DIR-320 1.9.2.7-d-r3591 - http://alesens.dyndns.tv
Forum Guru
Выставлять ЭТО (httpd) в WAN - дыра. Многие так делают, а потом появляются статьи про уязвимости роутеров и ботнеты
Тем более кто знает, может сделать как было одной строчкой.
https тоже нужен, не говоря уже о том, что httpd даже POST-запросы не поддерживает, а от длинных GET падает.
Regulirovschik, получите у своего сотового оператора внешний IP (с абонентской платой и помегабайтной тарификацией трафика), тогда сможете пинговать. Сейчас вы находитесь за NAT и свой роутер пинговать не можете.
Last edited by Vampik; 05-10-2013 at 18:37.
Junior Member
а как сделать правильно?Выставлять ЭТО (httpd) в WAN - дыра. Многие так делают, а потом появляются статьи про уязвимости роутеров и ботнеты
Тем более кто знает, может сделать как было одной строчкой.
Regulirovschik, получите у своего сотового оператора внешний IP (с абонентской платой и помегабайтной тарификацией трафика), тогда сможете пинговать. Сейчас вы находитесь за NAT и свой роутер пинговать не можете.
Forum Guru
Я не параноик, хотя бы SSH с хорошим паролем. Подключившись к нему, можно получить доступ к чему угодно, не только к веб-морде.
Дальше зависит только от степени параноидальности - нестандартный порт, запрет логина по паролю, бан подборщиков паролей по IP, portknocking и т.д.
Junior Member
будем пробовать, весь смысл в том, что бы увидеть из внешней сети подключилось ли устройство к вай фаю.
выставлять в публичный интернет на постоянно - да, небезопасно, а вот иметь такую возможность - полезно.Выставлять ЭТО (httpd) в WAN - дыра. Многие так делают, а потом появляются статьи про уязвимости роутеров и ботнеты
Тем более кто знает, может сделать как было одной строчкой.
https тоже нужен, не говоря уже о том, что httpd даже POST-запросы не поддерживает, а от длинных GET падает.
дело твое, конечно, лишь бы твой мод в плане таких спорных изменений не ассоциировали с оригиналом.
ASUS WL5xx: FW 1.9.2.7-d-rXXXX / обсуждение прошивки [RU] / firmware discussion [EN] | bip irc proxy
ASUS RT-N1x: FW 1.9.2.7-rtn-rXXXX / обсуждение прошивки [RU] / firmware discussion [EN] | fake ident daemon
Forum Guru
По мне и так и эдак правильно. Но дырой ту возможность в WebUI я бы никак не назвал.
Posting Permissions
Reply With Quote