Enable Web Access from WAN? YES-NO. Ðàáîòàåò ëè çàùèòà?

**michaelV** · 20-10-2008, 20:55

Добрый день!

Недавно приобрел ASUS WL-500gP. Обновил прошивку на альтернативную 1.9.2.7-9

По многочисленным мануалам и хелпам на сайте настроил все что нужно для жизни.
В разделе Internet Firewall - Basic Config следующие настройки:
Enable Firewall? - YES
Enable Web Access from WAN? - YES
Port of Web Access from WAN: - 8080
Respond Ping Request from WAN? - YES

Набирая из внешней сети http://xxx.xxx.xxx.xxx:8080 и прекрасно вхожу в web-интерфейс роутера.

Решил ради эксперимента набрать из внешней сети: http://xxx.xxx.xxx.xxx (по умолчанию 80 порт)
И вижу эту же вэб-морду!!
Вхожу в Internet Firewall - Basic Config и снимаю галки с пунктов Enable Web Access from WAN? и Port of Web Access from WAN:
В итоге на порту 8080, вэб-морда перестала открываться, но по стандартному порту все замечательно открывает!!
Не совсем понятно, это специально открытый "черный ход" и что еще открыто для несанкционированного доступа из внешней сети?

так же дело обстоит и с пунктом Respond Ping Request from WAN? В любом из двух положений, пинг свободно проходит до роутера.

**vectorm** · 20-10-2008, 21:28

Originally Posted by michaelV

Äîáðûé äåíü!

Íåäàâíî ïðèîáðåë ASUS WL-500gP. Îáíîâèë ïðîøèâêó íà àëüòåðíàòèâíóþ 1.9.2.7-9

Ïî ìíîãî÷èñëåííûì ìàíóàëàì è õåëïàì íà ñàéòå íàñòðîèë âñå ÷òî íóæíî äëÿ æèçíè.
Â ðàçäåëå Internet Firewall - Basic Config ñëåäóþùèå íàñòðîéêè:
Enable Firewall? - YES
Enable Web Access from WAN? - YES
Port of Web Access from WAN: - 8080
Respond Ping Request from WAN? - YES

Íàáèðàÿ èç âíåøíåé ñåòè http://xxx.xxx.xxx.xxx:8080 è ïðåêðàñíî âõîæó â web-èíòåðôåéñ ðîóòåðà.

Ðåøèë ðàäè ýêñïåðèìåíòà íàáðàòü èç âíåøíåé ñåòè: http://xxx.xxx.xxx.xxx (ïî óìîë÷àíèþ 80 ïîðò)
È âèæó ýòó æå âýá-ìîðäó!!
Âõîæó â Internet Firewall - Basic Config è ñíèìàþ ãàëêè ñ ïóíêòîâ Enable Web Access from WAN? è Port of Web Access from WAN:
Â èòîãå íà ïîðòó 8080, âýá-ìîðäà ïåðåñòàëà îòêðûâàòüñÿ, íî ïî ñòàíäàðòíîìó ïîðòó âñå çàìå÷àòåëüíî îòêðûâàåò!!
Íå ñîâñåì ïîíÿòíî, ýòî ñïåöèàëüíî îòêðûòûé "÷åðíûé õîä" è ÷òî åùå îòêðûòî äëÿ íåñàíêöèîíèðîâàííîãî äîñòóïà èç âíåøíåé ñåòè?

òàê æå äåëî îáñòîèò è ñ ïóíêòîì Respond Ping Request from WAN? Â ëþáîì èç äâóõ ïîëîæåíèé, ïèíã ñâîáîäíî ïðîõîäèò äî ðîóòåðà.

Âû ôàéë post-firewall èñïîëüçóåòå? Åñëè äà, òî íàñòðîéòå áëîêèðîâàíèå 80 ïîðòà äëÿ âíåøíèõ ïîäêëþ÷åíèé â íåì.

**avk** · 20-10-2008, 22:20

À Âû ñëó÷àéíî íå ñèäÿ â LAN'å, ò.å. íàõîäÿñü âíóòðè, ëîìèòåñü â èíòíðôåéñ? Èëè âñå-òàêè äåéñòâèòåëüíî, ïûòàåòåñü âîéòè ñíàðóæè?

**EugeenB** · 21-10-2008, 18:26

Originally Posted by michaelV

Ðåøèë ðàäè ýêñïåðèìåíòà íàáðàòü èç âíåøíåé ñåòè: http://xxx.xxx.xxx.xxx (ïî óìîë÷àíèþ 80 ïîðò)
È âèæó ýòó æå âýá-ìîðäó!!
Âõîæó â Internet Firewall - Basic Config è ñíèìàþ ãàëêè ñ ïóíêòîâ Enable Web Access from WAN? è Port of Web Access from WAN:
Â èòîãå íà ïîðòó 8080, âýá-ìîðäà ïåðåñòàëà îòêðûâàòüñÿ, íî ïî ñòàíäàðòíîìó ïîðòó âñå çàìå÷àòåëüíî îòêðûâàåò!!
Íå ñîâñåì ïîíÿòíî, ýòî ñïåöèàëüíî îòêðûòûé "÷åðíûé õîä" è ÷òî åùå îòêðûòî äëÿ íåñàíêöèîíèðîâàííîãî äîñòóïà èç âíåøíåé ñåòè?

Äóìàþ - Âàøà ïðîáëåìà ñâÿçàíà ñ òåì, ÷òî Âû íå âûïîëíèëè Commit è Reboot ïîñëå ñäåëàíûõ èçìåíåíèé.

**michaelV** · 21-10-2008, 22:23

Îòâå÷àþ ïî ïîðÿäêó.

À Âû ñëó÷àéíî íå ñèäÿ â LAN'å, ò.å. íàõîäÿñü âíóòðè, ëîìèòåñü â èíòíðôåéñ? Èëè âñå-òàêè äåéñòâèòåëüíî, ïûòàåòåñü âîéòè ñíàðóæè?

Íåò êîíå÷íî, ïðîáîâàë ñî ñòîðîíåé ìàøèíû íàõîäÿùåéñÿ äàëåêî çà ïðåäåëàìè ñåãìåíòà. 80 îòêðûò.

Originally Posted by EugeenB

Äóìàþ - Âàøà ïðîáëåìà ñâÿçàíà ñ òåì, ÷òî Âû íå âûïîëíèëè Commit è Reboot ïîñëå ñäåëàíûõ èçìåíåíèé.

Âû èìååòå ââèäó APPLY è FINISH ?

**avk** · 21-10-2008, 22:33

Ìîæíî ñðàçó Finish. À ïîñëå âîçíèêíåò Save&Restart.
Íî ïîñëå Apply ñëåäóåä îáÿçàòåëüíî äàòü êîìàíäó nvram commit && reboot.

**michaelV** · 22-10-2008, 16:47

Можно сразу Finish. А после возникнет Save&Restart.
Но после Apply следуед обязательно дать команду nvram commit && reboot.

К счастью, я выполнял эти команды через telnet.

Originally Posted by vectorm

Âû ôàéë post-firewall èñïîëüçóåòå? Åñëè äà, òî íàñòðîéòå áëîêèðîâàíèå 80 ïîðòà äëÿ âíåøíèõ ïîäêëþ÷åíèé â íåì.

Пытался найти всю информацию по post-firewall, увы на форуме полно тем где упоминается или отрывков кода, но отдельной темы по post-firewall я не нашел

Простите за оффтоп, подскажите прямую ссылку на форуме.

еще.
Составляю правило запрета доступа с внешнего адреса на 80 порт. Взгляните пожалуйста, верно ли подобное правило?

iptables -i vlan1 -I INPUT -p tcp --dport 80 -j DROP
nvram commit
reboot
[/I][/B]

vlan0ports=1 2 3 5*
vlan1ports=0 4 5

vlan1ports - это WAN + IPTV.

Заранее спасибо!

**nightrus** · 22-10-2008, 21:59

ïðîïèøè nvram set http_lanport=8080 && nvram commit
òîãäà 80 âîîáùå îòâå÷àòü ïåðåñòàíåò (ïîêà âåá ñåðâåð íå íàñòðîèøü íà íåãî)

**michaelV** · 22-10-2008, 22:19

Originally Posted by nightrus

ïðîïèøè nvram set http_lanport=8080 && nvram commit
òîãäà 80 âîîáùå îòâå÷àòü ïåðåñòàíåò (ïîêà âåá ñåðâåð íå íàñòðîèøü íà íåãî)

îê, ïîïðîáóåì.
Íî ÿ ñòàë êîïàòü ãëóáæå, òåïåðü ýòî iptables.
Âîò ÷òî ïðîïèñàë:

#ðàçðåøèòü äîñòóï ïî 80 ïîðòó íà IP 192.168.40.1
iptables -I INPUT -p tcp -d 192.168.40.1 --dport 80 -j ACCEPT

#çàïðåòèòü äîñòóï ïî 80 ïîðòó íà IP õõõ.õõõ.õõõ.õõõ (âíåøíèé IP WAN)
iptables -I INPUT -p tcp -d õõõ.õõõ.õõõ.õõõ --dport 80 -j DROP

# çàïîìíèòü
flashfs save && flashfs commit && flashfs enable

Êàæåòñÿ âñå âñòàëî íà ñâîè ìåñòå, íî êàê òîëüêî ïåðåãðóæàþ ïðèáîð êîìàíäîé reboot, âñå êàïåö! òàáëèöà ïóñòàÿ. Êóäà êîïàòü?

**Sashunya** · 23-10-2008, 05:50

Originally Posted by michaelV

îê, ïîïðîáóåì.
Íî ÿ ñòàë êîïàòü ãëóáæå, òåïåðü ýòî iptables.
Âîò ÷òî ïðîïèñàë:

#ðàçðåøèòü äîñòóï ïî 80 ïîðòó íà IP 192.168.40.1
iptables -I INPUT -p tcp -d 192.168.40.1 --dport 80 -j ACCEPT

#çàïðåòèòü äîñòóï ïî 80 ïîðòó íà IP õõõ.õõõ.õõõ.õõõ (âíåøíèé IP WAN)
iptables -I INPUT -p tcp -d õõõ.õõõ.õõõ.õõõ --dport 80 -j DROP

# çàïîìíèòü
flashfs save && flashfs commit && flashfs enable

Êàæåòñÿ âñå âñòàëî íà ñâîè ìåñòå, íî êàê òîëüêî ïåðåãðóæàþ ïðèáîð êîìàíäîé reboot, âñå êàïåö! òàáëèöà ïóñòàÿ. Êóäà êîïàòü?

Äûê ýòî âñå íóæíî ïðîïèñàòü â post-firewall. IPTABLES àâòîìàòîì áóäåò âûïîëíÿòñÿ òîëüêî îòòóäà

**bbsc** · 23-10-2008, 06:47

michaelV, ýòî åðóíäà êàêàÿ-òî.

Ïî óìîë÷àíèþ äîñòóïà ñî ñòîðîíû WAN íà ïîðòû 80 è 8080 ÍÅÒ.
Åñëè îí â âýá-èíòåðôåéñå íå âêëþ÷åí, íî âñå-òàêè ÅÑÒÜ - ðàçáèðàéòåñü ñ íàñòðîéêàìè.
Âîçìîæíî, ñëåäóåò ñáðîñèòü ðîóòåð â factory settings (êàê è òðåáóåòñÿ ïîñëå ïðîøèâêè) è íàñòðîèòü ñíîâà.

**al37919** · 23-10-2008, 06:54

Âîîáùå, ê ÷åìó ýòè ãàäàíèÿ. Ïîêàæèòå âûâîä iptables -L è âñå ñòàíåò ÿñíî.

**michaelV** · 23-10-2008, 08:59

Originally Posted by al37919

Âîîáùå, ê ÷åìó ýòè ãàäàíèÿ. Ïîêàæèòå âûâîä iptables -L è âñå ñòàíåò ÿñíî.

Ñîáñòâåííî, âîò
login as: AdminS
AdminS@xxx.xxx.xxx.xxx's password:
[admin@500G root]$ iptables -L INPUT -nv
Chain INPUT (policy ACCEPT 57719 packets, 4818K bytes)
pkts bytes target prot opt in out source destination
93584 5617K ACCEPT icmp -- * * 0.0.0.0/0 123.123.123.123 (WAN)
4650 231K ACCEPT all -- * * 192.168.40.2 192.168.40.1
6595 799K DROP all -- * * 0.0.0.0/0 123.123.123.123 (WAN)
[AdminS@500G root]$

**michaelV** · 24-10-2008, 07:39

Ñòðàííóþ çàêîíîìåðíîñòü çàìåòèë.
Ñêèíóë ðîóòåð FACTORY DEFAULT, íàñòðîèë åùå ðàç çàíîâî. Âîò è 80 ïîðò íåâèäíî ñíàðóæè, è âñå îñòàëüíîå êîððåêòíî ðàáîòàåò. Íà÷àë êîïàòüñÿ ñ iptables, ñîõðàíèë-ïðèìåíèë-ðåáóòíóë ðîóòåð è âñå ïîøëî çàíîâî: 80 íàðóæó òîð÷èò îòêðûòûì. Íè÷åãî íå ïîíèìàþ

**bbsc** · 24-10-2008, 08:08

Originally Posted by michaelV

Íà÷àë êîïàòüñÿ ñ iptables

Âèäèìî, äåëî â ñìûñëå ýòî "êîïàíèÿ".
Chain INPUT (policy ACCEPT 57719 packets, 4818K bytes)
Ïîëèòèêó ñàìè äîáàâëÿåòå?
Èëè óäàëÿåòå ïîñëåäíåå ïðàâèëî è ïîëèòèêó íå ìåíÿåòå?

Thread: Enable Web Access from WAN? YES-NO. Ðàáîòàåò ëè çàùèòà?

Thread Tools

Rate This Thread

Display

Enable Web Access from WAN? YES-NO. Ðàáîòàåò ëè çàùèòà?

Similar Threads

with Access point no web interface

configuring second wan

Tags for this Thread

Posting Permissions