прошивка пре9
в настройке Enable Web Access from WAN? стоит NO!
набираю в броузере свой внешний айпишник и вылетает запрос логинпароля на доступ к вл500 ввожу и попадаю на него
как быть???
прошивка пре9
в настройке Enable Web Access from WAN? стоит NO!
набираю в броузере свой внешний айпишник и вылетает запрос логинпароля на доступ к вл500 ввожу и попадаю на него
как быть???
Снаружи посмотреть, а не изнутри.
У меня тоже есть роутер!
У кого веб сервер lighttp доступен с WAN на 80 порту? Подскажите решение.
У меня стандартный асусовский http поставлен на 8080 порт:
Веб сервер lighttp установлен на 80 порт (в lighttpd.conf):Code:nvram set http_lanport=8080 nvram set http_wanport=8080
В post-boot есть:Code:## bind to port (default: 80) server.port = 80
В фаерволе открыты 22, 80 порты и разрешено icmp (ping).Code:insmod ipt_recent
В post-firewall прописано:
Сервера http и lighttp запускаются, работают и доступны с VAN по портам 80 и 8080 соответственно. Со стороны WAN сервер lighttp недоступен на 80 порту (доступ к серверу http не открывал).Code:iptables -I INPUT -p tcp --dport 22 -j ACCEPT iptables -I INPUT -p tcp --dport 80 -j ACCEPT
Скан портов (Nmap) с запущенным http и остановленным lighttp:
Скан портов (Nmap) - запущены http и lighttp:Code:Interesting ports on al.router (192.168.177.1): Not shown: 1691 closed ports PORT STATE SERVICE 21/tcp open ftp 22/tcp open ssh 23/tcp open telnet 53/tcp open domain 8080/tcp open http-proxy Nmap finished: 1 IP address (1 host up) scanned in 1.704 seconds
Запущены http и lighttp - netstat показывает:Code:Interesting ports on al.router (192.168.177.1): Not shown: 1691 closed ports PORT STATE SERVICE 21/tcp open ftp 22/tcp open ssh 23/tcp open telnet 53/tcp open domain 80/tcp open http 8080/tcp open http-proxy Nmap finished: 1 IP address (1 host up) scanned in 1.699 seconds
При этом iptables говорит:Code:netstat -l Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 *:61026 *:* LISTEN tcp 0 0 *:www *:* LISTEN tcp 0 0 *:webcache *:* LISTEN tcp 0 0 *:ftp *:* LISTEN tcp 0 0 *:domain *:* LISTEN tcp 0 0 *:5431 *:* LISTEN tcp 0 0 *:ssh *:* LISTEN tcp 0 0 *:telnet *:* LISTEN udp 0 0 *:1024 *:* udp 0 0 localhost.localdo:34954 *:* udp 0 0 *:domain *:* udp 0 0 *:bootps *:* udp 0 0 *:upnp *:* raw 0 0 *:1 *:* 0 raw 0 0 *:255 *:* 0 Active UNIX domain sockets (only servers) Proto RefCnt Flags Type State I-Node Path unix 2 [ ACC ] STREAM LISTENING 1267 /var/run/pptp/255.255.255.255:194.242.53.3
Первая выделенная строка - блок по 22 порту прописан в скрипте.Code:iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination DROP tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 recent: UPDATE seconds: 600 hit_count: 3 name: SSH_ATTACKER side: source ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state NEW ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state NEW ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68 ACCEPT tcp -- 0.0.0.0/0 192.168.177.1 tcp dpt:80 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 DROP all -- 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy ACCEPT) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID TCPMSS tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x16/0x02 TCPMSS clamp to PMTU ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED DROP all -- 0.0.0.0/0 0.0.0.0/0 DROP all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ctstate DNAT DROP all -- 0.0.0.0/0 0.0.0.0/0 Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain MACS (0 references) target prot opt source destination Chain SECURITY (0 references) target prot opt source destination RETURN tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x16/0x02 limit: avg 1/sec burst 5 RETURN tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x04 limit: avg 1/sec burst 5 RETURN udp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5 RETURN icmp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5 DROP all -- 0.0.0.0/0 0.0.0.0/0 Chain logaccept (0 references) target prot opt source destination LOG all -- 0.0.0.0/0 0.0.0.0/0 state NEW LOG flags 7 level 4 prefix `ACCEPT ' ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 Chain logdrop (0 references) target prot opt source destination LOG all -- 0.0.0.0/0 0.0.0.0/0 state NEW LOG flags 7 level 4 prefix `DROP ' DROP all -- 0.0.0.0/0 0.0.0.0/0
Вторая выделенная строка появляеться автоматически в filter_rules
после выполения:Code:*filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :MACS - [0:0] :SECURITY - [0:0] :logaccept - [0:0] :logdrop - [0:0] -A SECURITY -p tcp --syn -m limit --limit 1/s -j RETURN -A SECURITY -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j RETURN -A SECURITY -p udp -m limit --limit 5/s -j RETURN -A SECURITY -p icmp -m limit --limit 5/s -j RETURN -A SECURITY -j DROP -A INPUT -m state --state INVALID -j DROP -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -i lo -m state --state NEW -j ACCEPT -A INPUT -i br0 -m state --state NEW -j ACCEPT -A INPUT -p udp --sport 67 --dport 68 -j ACCEPT -A INPUT -p tcp -m tcp -d 192.168.177.1 --dport 80 -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -j DROP -A FORWARD -i br0 -o br0 -j ACCEPT -A FORWARD -m state --state INVALID -j DROP -A FORWARD -p tcp --syn -j TCPMSS --clamp-mss-to-pmtu -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT -A FORWARD -o ppp0 ! -i br0 -j DROP -A FORWARD -o vlan1 ! -i br0 -j DROP -A FORWARD -m conntrack --ctstate DNAT -j ACCEPT -A FORWARD -o br0 -j DROP -A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options -A logaccept -j ACCEPT -A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options -A logdrop -j DROP COMMIT
ЕСЛИ ПРОПИСАТЬ -Code:nvram set http_lanport=8080 nvram commit reboot
В lighttpd.conf:
В post-firewall прописать:Code:## bind to port (default: 80) server.port = (не 80 а любой другой порт, к примеру 82)
ТО ВЕБ СЕРВЕР LIGHTTP БУДЕТ ДОСТУПЕН С WAN!Code:iptables -I INPUT -p tcp --dport (порт как в lighttpd.conf) -j ACCEPT
Как сделать на 80 порту???
Скан портов (Nmap) какого интерфейса? Что говорит команда iptables -L -vnt nat?
Nmap запускаю на роутере по трём IP (указываю текущие на момент последнего тестирования):
1. Статический IP роутера (интерфейс br0) - 192.168.177.1;
2. Динамический IP (основной) получаемый от провайдера (интерфейс vlan1) - 77.123.2.118 (шлюз 77.123.0.1);
3. Динамический IP - VPN на транспорте основного (интерфейс ppp0) - 194.242.53.180 (статический IP VPN сервера 194.242.53.3).
Результат одинаковый для всех 3-х адресов (интерфейсов). Во время проведения теста останавливается/запускается lighttp сервер. Вот логи:
Наверное правильно было бы просканировать порты из интернета (wan).Code:[root@al root]$ sweb PHP DAEMON - usage start|stop : Miss... LIGHTTP DAEMON - usage start|stop|restart|usage : stop Stopping web server: lighttpd [root@al root]$ [root@al root]$ nmap 192.168.177.1 Starting Nmap 4.20 ( http://insecure.org ) at 2007-11-13 23:29 EET Interesting ports on al.router (192.168.177.1): Not shown: 1692 closed ports PORT STATE SERVICE 21/tcp open ftp 22/tcp open ssh 23/tcp open telnet 53/tcp open domain 8080/tcp open http-proxy Nmap finished: 1 IP address (1 host up) scanned in 1.640 seconds [root@al root]$ nmap 77.123.2.118 Starting Nmap 4.20 ( http://insecure.org ) at 2007-11-13 23:29 EET Interesting ports on alarmed-acceder.volia.net (77.123.2.118): Not shown: 1692 closed ports PORT STATE SERVICE 21/tcp open ftp 22/tcp open ssh 23/tcp open telnet 53/tcp open domain 8080/tcp open http-proxy Nmap finished: 1 IP address (1 host up) scanned in 1.656 seconds [root@al root]$ nmap 194.242.53.180 Starting Nmap 4.20 ( http://insecure.org ) at 2007-11-13 23:30 EET Interesting ports on 194-242-53-180.ukrtel.com (194.242.53.180): Not shown: 1692 closed ports PORT STATE SERVICE 21/tcp open ftp 22/tcp open ssh 23/tcp open telnet 53/tcp open domain 8080/tcp open http-proxy Nmap finished: 1 IP address (1 host up) scanned in 1.661 seconds [root@al root]$ [root@al root]$ sweb PHP DAEMON - usage start|stop : Miss... LIGHTTP DAEMON - usage start|stop|restart|usage : start Starting web server: lighttpd [root@al root]$ [root@al root]$ nmap 192.168.177.1 Starting Nmap 4.20 ( http://insecure.org ) at 2007-11-13 23:33 EET Interesting ports on al.router (192.168.177.1): Not shown: 1691 closed ports PORT STATE SERVICE 21/tcp open ftp 22/tcp open ssh 23/tcp open telnet 53/tcp open domain 80/tcp open http 8080/tcp open http-proxy Nmap finished: 1 IP address (1 host up) scanned in 1.644 seconds [root@al root]$ [root@al root]$ nmap 77.123.2.118 Starting Nmap 4.20 ( http://insecure.org ) at 2007-11-13 23:34 EET Interesting ports on alarmed-acceder.volia.net (77.123.2.118): Not shown: 1691 closed ports PORT STATE SERVICE 21/tcp open ftp 22/tcp open ssh 23/tcp open telnet 53/tcp open domain 80/tcp open http 8080/tcp open http-proxy Nmap finished: 1 IP address (1 host up) scanned in 1.659 seconds [root@al root]$ [root@al root]$ nmap 194.242.53.180 Starting Nmap 4.20 ( http://insecure.org ) at 2007-11-13 23:34 EET Interesting ports on 194-242-53-180.ukrtel.com (194.242.53.180): Not shown: 1691 closed ports PORT STATE SERVICE 21/tcp open ftp 22/tcp open ssh 23/tcp open telnet 53/tcp open domain 80/tcp open http 8080/tcp open http-proxy Nmap finished: 1 IP address (1 host up) scanned in 1.657 seconds [root@al root]$
Iptables говорит:
Code:[root@al root]$ iptables -L -vnt nat Chain PREROUTING (policy ACCEPT 57 packets, 9380 bytes) pkts bytes target prot opt in out source destination 2 120 tcp -- !br0 * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 recent: SET name: SSH_ATTACKER side: source 1 48 VSERVER all -- * * 0.0.0.0/0 194.242.53.180 8 2429 VSERVER all -- * * 0.0.0.0/0 77.123.2.118 Chain POSTROUTING (policy ACCEPT 17124 packets, 756K bytes) pkts bytes target prot opt in out source destination 27 1296 MASQUERADE all -- * ppp0 !194.242.53.180 0.0.0.0/0 0 0 MASQUERADE all -- * vlan1 !77.123.2.118 0.0.0.0/0 0 0 MASQUERADE all -- * br0 192.168.177.0/24 192.168.177.0/24 Chain OUTPUT (policy ACCEPT 17124 packets, 756K bytes) pkts bytes target prot opt in out source destination Chain VSERVER (2 references) pkts bytes target prot opt in out source destination [root@al root]$
не проще http-роутера перенаправить в веб инерфейсе?
на старничке Internet Firewall - Basic Config, ставишь 8080, афтоматом добавляется все, 80 порт освобождается...в lighttp прописываешь 80, открываешь его и все работает...
Интересно с чего он освободится то? Ведь процесс веб-морды не трогается же, он так и остаётся на 80 порту висеть.
Ебстественно. http://nmap-online.com/. А пока выложи iptables -L INPUT -vn посмотрим по-подробнее.
upd
Кстати я сейчас замечательно законнектился и получил "Тестовая страница" с хытытыпы://194.242.53.180/
Last edited by Mam(O)n; 13-11-2007 at 23:32.
Результаты сканирования из вне (видно что порт открыт):
Лог iptables:Code:Nmap Options: -F -T5 -sS 194.242.53.180 Starting Nmap 4.11 ( http://www.insecure.org/nmap ) at 2007-11-14 00:19 Central Europe Standard Time Interesting ports on 194-242-53-180.ukrtel.com (194.242.53.180): Not shown: 1237 filtered ports PORT STATE SERVICE 22/tcp open ssh 80/tcp open http Nmap finished: 1 IP address (1 host up) scanned in 490.594 seconds
Если удалось получить "Тестовая страница" с хттп://194.242.53.180/ то значит работает!? Ломаю голову - что не так. Где... :Code:[root@al root]$ iptables -L INPUT -vn Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 90 3960 DROP tcp -- !br0 * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 recent: UPDATE seconds: 600 hit_count: 3 name: SSH_ATTACKER side: source 60 4792 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 25 1092 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID 45386 5211K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 18122 816K ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 state NEW 6875 2515K ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0 state NEW 51 16824 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68 0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.177.1 tcp dpt:80 4 280 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 5573 301K DROP all -- * * 0.0.0.0/0 0.0.0.0/0 [root@al root]$
1. Провайдеры? - тестирую с букиса. Подключаюсь по DialUp. Попробовал от 4-х разных - наверное не здесь.
2. Сам букис? - Фаерволы поотключал. Таблицы маршрутизации очистил. В интернет ходит нормально - наверное не здесь.
3. Дело в маршрутизации? В списке маршрутов более 2000 сетей. Может ответ уходит не на адрес источника запроса? Как проследить?
Всем кто не входит в зону UA-IX роутер будет виден на IP:194.242.53.180
Всем кто входит в зону UA-IX роутер будет виден на IP:77.123.Х.Х (динамический - может полгода не меняться, а может изменяться по несколку раз в сутки).
поиск не дал необходимых результатов!
Тут даже поиск не нужен - непосредственно в веб-морде.
всё правильно, через nvram делать надо............
Vofik если ты узнал для себя что-то новое, это не значит что другим надо именно это!!!
что ты тут http://wl500g.info/showthread.php?t=13046 людей с толку сбиваешь?
почитай внимательно о чем там вопрос...
ага, ты знал, ты знал...всё правильно, через nvram делать надо............
спасибо пишется по другому
С уважением, lex.
Last edited by CattheBlack; 23-03-2010 at 01:47.
Всем привет
У меня такая проблема, не получается открыть 80 порт и пробросить его на внутренний веб-сервер. Пытался и настраивать Virtual Server, и шаманить с отключение файерволла, с wan-lan фильтром. Все бестолку. Роутер wl-500gP V2 с прошивкой 1.9.2.7-10(http://oleg.wl500g.info/1.9.2.7-10/). В локалке сервер виден.