Добрый день!
Недавно приобрел ASUS WL-500gP. Обновил прошивку на альтернативную 1.9.2.7-9
По многочисленным мануалам и хелпам на сайте настроил все что нужно для жизни.
В разделе Internet Firewall - Basic Config следующие настройки:
Enable Firewall? - YES
Enable Web Access from WAN? - YES
Port of Web Access from WAN: - 8080
Respond Ping Request from WAN? - YES
Набирая из внешней сети http://xxx.xxx.xxx.xxx:8080 и прекрасно вхожу в web-интерфейс роутера.
Решил ради эксперимента набрать из внешней сети: http://xxx.xxx.xxx.xxx (по умолчанию 80 порт)
И вижу эту же вэб-морду!!
Вхожу в Internet Firewall - Basic Config и снимаю галки с пунктов Enable Web Access from WAN? и Port of Web Access from WAN:
В итоге на порту 8080, вэб-морда перестала открываться, но по стандартному порту все замечательно открывает!!
Не совсем понятно, это специально открытый "черный ход" и что еще открыто для несанкционированного доступа из внешней сети?
так же дело обстоит и с пунктом Respond Ping Request from WAN? В любом из двух положений, пинг свободно проходит до роутера.
Last edited by michaelV; 20-10-2008 at 21:01.
Было: WL500gP (fw 1.9.2.7-10-USB-1.71) + Toshiba TravelStar 250Gb 2.5" inside router.
(ADOS + rTorrent WebUI+rtorrent + samba + rrdtool + XMail + QuiXplorer + ClamAV)
> Мои инструкции < Для новичков и ленивых > Wiki переехало сюда < "Ночные" сборки >
А Вы случайно не сидя в LAN'е, т.е. находясь внутри, ломитесь в интнрфейс? Или все-таки действительно, пытаетесь войти снаружи?
Intel 2200BG (v.9.0.4.39) + Asus WL500g Premium (1.9.2.7-10.7) + ONLIME / [Corbina L2TP] / [MGTS + ZTE 831AII]
Отвечаю по порядку.
Нет конечно, пробовал со стороней машины находящейся далеко за пределами сегмента. 80 открыт.А Вы случайно не сидя в LAN'е, т.е. находясь внутри, ломитесь в интнрфейс? Или все-таки действительно, пытаетесь войти снаружи?
Вы имеете ввиду APPLY и FINISH ?
Можно сразу Finish. А после возникнет Save&Restart.
Но после Apply следуед обязательно дать команду nvram commit && reboot.
Intel 2200BG (v.9.0.4.39) + Asus WL500g Premium (1.9.2.7-10.7) + ONLIME / [Corbina L2TP] / [MGTS + ZTE 831AII]
К счастью, я выполнял эти команды через telnet.Можно сразу Finish. А после возникнет Save&Restart.
Но после Apply следуед обязательно дать команду nvram commit && reboot.
Пытался найти всю информацию по post-firewall, увы на форуме полно тем где упоминается или отрывков кода, но отдельной темы по post-firewall я не нашел
Простите за оффтоп, подскажите прямую ссылку на форуме.
еще.
Составляю правило запрета доступа с внешнего адреса на 80 порт. Взгляните пожалуйста, верно ли подобное правило?
iptables -i vlan1 -I INPUT -p tcp --dport 80 -j DROP
nvram commit
reboot
[/I][/B]
vlan0ports=1 2 3 5*
vlan1ports=0 4 5
vlan1ports - это WAN + IPTV.
Заранее спасибо!
Last edited by michaelV; 22-10-2008 at 17:17.
пропиши nvram set http_lanport=8080 && nvram commit
тогда 80 вообще отвечать перестанет (пока веб сервер не настроишь на него)
ок, попробуем.
Но я стал копать глубже, теперь это iptables.
Вот что прописал:
#разрешить доступ по 80 порту на IP 192.168.40.1
iptables -I INPUT -p tcp -d 192.168.40.1 --dport 80 -j ACCEPT
#запретить доступ по 80 порту на IP ххх.ххх.ххх.ххх (внешний IP WAN)
iptables -I INPUT -p tcp -d ххх.ххх.ххх.ххх --dport 80 -j DROP
# запомнить
flashfs save && flashfs commit && flashfs enable
Кажется все встало на свои месте, но как только перегружаю прибор командой reboot, все капец! таблица пустая. Куда копать?
Last edited by michaelV; 22-10-2008 at 22:24.
michaelV, это ерунда какая-то.
По умолчанию доступа со стороны WAN на порты 80 и 8080 НЕТ.
Если он в вэб-интерфейсе не включен, но все-таки ЕСТЬ - разбирайтесь с настройками.
Возможно, следует сбросить роутер в factory settings (как и требуется после прошивки) и настроить снова.
Вообще, к чему эти гадания. Покажите вывод iptables -L и все станет ясно.
Собственно, вот
login as: AdminS
AdminS@xxx.xxx.xxx.xxx's password:
[admin@500G root]$ iptables -L INPUT -nv
Chain INPUT (policy ACCEPT 57719 packets, 4818K bytes)
pkts bytes target prot opt in out source destination
93584 5617K ACCEPT icmp -- * * 0.0.0.0/0 123.123.123.123 (WAN)
4650 231K ACCEPT all -- * * 192.168.40.2 192.168.40.1
6595 799K DROP all -- * * 0.0.0.0/0 123.123.123.123 (WAN)
[AdminS@500G root]$
Странную закономерность заметил.
Скинул роутер FACTORY DEFAULT, настроил еще раз заново. Вот и 80 порт невидно снаружи, и все остальное корректно работает. Начал копаться с iptables, сохранил-применил-ребутнул роутер и все пошло заново: 80 наружу торчит открытым. Ничего не понимаю