Прошу прощения за, возможно, очевидную вещь, но никак не могу разобраться...
Роут Wl-500g Premium v2, прошивка http://code.google.com/p/wl500g/. Хочу закрыть доступ к веб-интерфейсу со внешки - сейчас он успешно открывается по айпишнику. Enable Web Access from WAN? - No, если Yes, доступ появляется по ещё одному порту....
Last edited by LnrMn; 21-04-2011 at 19:19.
Asus RT-AC66U, Xerox Phaser 3160B, on the shelf RT-N16 (Killed by lightning)
WL-500gPv1 128MB, WL-500W 300MHz/128M, LCD 40x4, DIR-320 8Mb/64MB
WL-700g 128MB, MNV25E2+ and more and more devices. provod.beeline.ru
-------------------------------------------
Computers. Since 1984. First one - "МИР-1"
Вы откуда проверяете?
Через LAN и WIFI доступ к интерфейсу открыт всегда.
За доступ через WAN отвечает галка Enable Web Access from WAN?.
Так что варианта три
- либо вы проверяете с компьютера, подключенного к LAN или WIFI
- либо вы вручную открывали порт с помощью iptables или virtualserver и вы сам себе злобный дятел.
- у вас аура не располагает и звезды над вашим домом не в той позиции. Либо ваш роутер проклят.
Sorry for my bad English.
Покупайте Отечественных Слонов!!!
достаточно показать вывод
при выключенном Enable Web Access from WANCode:iptables-save | grep INPUT
Здравствуйте. Прошу помощи в решении следующего вопроса:
В данный момент роутер доступен из wan по домену (домен направлен на статический айпишник провайдера). В локалке имеется также сервер, для него также зареген домен и направлен на айпишник провайдера.
В результате если прописать в virtual server правило для 80 порта на локальный айпи сервера, то сервер доступен по домену, но не попасть на роутерский сайт. Соответственно если правило убрать доступен только сайт на роутере.
Необходимо иметь доступ к сайту расположенному на роутере по домену, а также доступ к сайту на серваке, так же по домену (крайне желательно без указания доп. порта). Подскажите пожалуйста как решить проблему.
Добрый день,
Установил сию прошивку, настроил шикарно. Но вот одна проблема - не могу найти, где поменять порт httpd, который идет в комплекте.
Не подскажете, как изменить? Хочу на 80ый порт повесить lighttpd. (может, легче будет перенести веб настройки роутера на lighttpd, а httpd вааще снести?)
Спасибо
Кажется, я нашел как это сделать :-)
nvram set http_lanport=
Всем спасибо :-))
Как открыть 80 порт наружу (сначала нужен был досуп к веб интефейу роутера,в веб моде поставил галку в пункте Port of Web Access from WAN:8080, и смог захдить из вне через 8080, сейчас на отдельном устройстве хочу сделать интернет страничку, т.е прбросил нанего 80 порт + сделал так "nvram set http_lanport=8080 ", но доступа к этому порту снаружи нет, провадер говорит что порты открты ), поиском по форуму все ссылаются на post-firewall, что там нужно прописть правила "
iptables -I INPUT -p tcp --dport 80 -j ACCEPT
".
Так чтобы эти правила прописать его, что нужно сначала создать или как?
Code:[root@WL-0018F38568A7 root]$ cat /usr/local/sbin/post-firewall cat: can't open '/usr/local/sbin/post-firewall': Not a directoryPS WL500gp ;1.9.2.7-rtn-r2972Code:[root@WL-0018F38568A7 root]$ iptables-save # Generated by iptables-save v1.4.3.2 on Fri Jun 10 23:59:10 2011 *nat :PREROUTING ACCEPT [224:19670] :POSTROUTING ACCEPT [11:769] :OUTPUT ACCEPT [11:769] :VSERVER - [0:0] -A PREROUTING -d 46.243.196.15/32 -j VSERVER -A PREROUTING -d 10.28.226.174/32 -j VSERVER -A POSTROUTING ! -s 46.243.196.15/32 -o ppp0 -j MASQUERADE -A POSTROUTING ! -s 10.28.226.174/32 -o vlan1 -j MASQUERADE -A POSTROUTING -s 192.168.1.0/24 -d 192.168.1.0/24 -o br0 -j MASQUERADE -A VSERVER -p tcp -m tcp --dport 30108 -j DNAT --to-destination 192.168.1.115:30 108 -A VSERVER -p udp -m udp --dport 32016 -j DNAT --to-destination 192.168.1.115:32 016 -A VSERVER -p tcp -m tcp --dport 5000 -j DNAT --to-destination 192.168.1.251:500 0 -A VSERVER -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.251:80 COMMIT # Completed on Fri Jun 10 23:59:10 2011 # Generated by iptables-save v1.4.3.2 on Fri Jun 10 23:59:10 2011 *mangle :PREROUTING ACCEPT [860:94397] :INPUT ACCEPT [668:77832] :FORWARD ACCEPT [72:3403] :OUTPUT ACCEPT [654:215854] :POSTROUTING ACCEPT [716:218641] COMMIT # Completed on Fri Jun 10 23:59:10 2011 # Generated by iptables-save v1.4.3.2 on Fri Jun 10 23:59:10 2011 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [59:2811] :OUTPUT ACCEPT [509:73800] :BRUTE - [0:0] :MACS - [0:0] :SECURITY - [0:0] :logaccept - [0:0] :logdrop - [0:0] -A INPUT -m conntrack --ctstate INVALID -j DROP -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT -A INPUT -i br0 -m conntrack --ctstate NEW -j ACCEPT -A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT -A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -j BRUTE -A INPUT -d 192.168.1.1/32 -p tcp -m tcp --dport 80 -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -p udp -m udp --dport 33434:33534 -j ACCEPT -A INPUT -j DROP -A FORWARD -i br0 -o br0 -j ACCEPT -A FORWARD -m conntrack --ctstate INVALID -j DROP -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A FORWARD ! -i br0 -o ppp0 -j DROP -A FORWARD ! -i br0 -o vlan1 -j DROP -A FORWARD -m conntrack --ctstate DNAT -j ACCEPT -A FORWARD -o br0 -j DROP -A BRUTE -m recent --update --seconds 600 --hitcount 3 --name BRUTE --rsource -j DROP -A BRUTE -m recent --set --name BRUTE --rsource -j ACCEPT -A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN -A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN -A SECURITY -p udp -m limit --limit 5/sec -j RETURN -A SECURITY -p icmp -m limit --limit 5/sec -j RETURN -A SECURITY -j DROP -A logaccept -m conntrack --ctstate NEW -j LOG --log-prefix "ACCEPT " --log-tcp- sequence --log-tcp-options --log-ip-options --log-macdecode -A logaccept -j ACCEPT -A logdrop -m conntrack --ctstate NEW -j LOG --log-prefix "DROP " --log-tcp-sequ ence --log-tcp-options --log-ip-options --log-macdecode -A logdrop -j DROP COMMIT # Completed on Fri Jun 10 23:59:10 2011
Last edited by Bolek; 10-06-2011 at 21:29. Reason: указал прошивку
/usr/local/sbin/post-firewall располагается во flashfs. После перепрошивки или сброса в дефолт, доступ к этой области памяти закрыт и его нужно открывать:
flashfs enable
Добавить правило можно так:
echo 'правило' >> /usr/local/sbin/post-firewall
А чтобы изменения при перезагрузке не слетели, потребуется:
flashfs save && flashfs commit
DIR-320 & RTN-r3297 from USB>r3478>r3539>r3722>r3815>r3877>r4051>r4990>r5163
Может я что то не то делаю, но пишет что нет post-firewall
[root@WL-0018F38568A7 root]$ flashfs enable
[root@WL-0018F38568A7 root]$ echo iptables -I INPUT -p tcp --dport 80 -j ACCEPT
>> /usr/local/sbin/post-firewall
-sh: can't create /usr/local/sbin/post-firewall: nonexistent directory
[root@WL-0018F38568A7 root]$ login as: root
Ругается, потому что нет диры sbin. Ее нуно создать.
Я бы не полез так глубоко с настройками веб-сервера, не изучив азов.Code:mkdir /usr/local/sbin #создать диру echo '#!/bin/sh' >/usr/local/sbin/post-firewall #исполняемый скрипт всегда начинается с имени интерпретатора echo 'правило' >>/usr/local/sbin/post-firewall chmod +x /usr/local/sbin/post-firewall #разрешение на исполнение скрипта flashfs save && flashfs commit #записываем
И обратите внимание на одиночные кавычки, блин.
DIR-320 & RTN-r3297 from USB>r3478>r3539>r3722>r3815>r3877>r4051>r4990>r5163
Так и дира sbin не создается.
Code:[root@VITLAN root]$ mkdir /usr/local/sbin mkdir: can't create directory '/usr/local/sbin': File exists