Как всегда, после благополучного решения большой проблемы возникают новые потребности...
Можно ли настроить роутер так, чтобы через VPN шла только почта (pop3/smtp) и доступ к ресурсам удаленной сети из проводника или TotalCommander? Всё остальное безусловно пропускать мимо VPN - поскольку иначе весь трафик начинает считаться для учетной записи в корпоративной сети, имеющей очень жесткие ограничения и серьезные наказания за превышение лимитов.
Наконец-то вы приведете табдицу маршрутизации с роутера?
Еще нужны пинги ваших pop/smtp серверов с роутером и без
ASUS RT-N16 1.9.2.7-rtn, Zotac ZBOX (rtorrent@Ubuntu 13.10)
отправил логи в приват
Имею роутер WL500gx, на котором организована домашняя сетка и через который раздаю Инет.
Имею роутер WL500gP, который использую как маленький бесшумный комп с Linux к которому подключен HDD и на котором работает rTorrent.
Из запущенных на WL500gP процессов:
На WL500gx ведется лог попыток обращения по внешним адресам к порту 25 (SMTP) и соответственно блокируется. Я это сделал после того как мой провайдер заблокировал мне доступ на этот порт из-за спама (у дочки на компе завелась зараза).Code:PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 552 p2p 14 0 17984 8248 6408 S 25.1 27.3 72:24.02 rtorrent 593 admin 13 0 632 632 492 R 2.3 2.1 0:00.38 top 585 admin 9 0 672 660 496 R 0.3 2.2 0:01.18 dropbear 4 admin 9 0 0 0 0 S 0.0 0.0 8:43.58 kswapd 5 admin 9 0 0 0 0 S 0.0 0.0 0:02.91 bdflush 2 admin 9 0 0 0 0 S 0.0 0.0 0:00.07 keventd 7 admin 9 0 0 0 0 S 0.0 0.0 0:18.58 mtdblockd 66 admin 9 0 80 0 0 S 0.0 0.0 0:00.00 telnetd 73 admin 8 0 108 4 4 S 0.0 0.0 0:02.29 udhcpc 6 admin 9 0 0 0 0 S 0.0 0.0 0:36.64 kupdated 80 admin 9 0 76 0 0 S 0.0 0.0 0:03.75 klogd 81 admin 9 0 0 0 0 S 0.0 0.0 0:00.00 khubd 90 admin 9 0 68 0 0 S 0.0 0.0 0:00.10 lpd 79 admin 9 0 188 120 120 S 0.0 0.4 0:03.53 syslogd 95 admin 9 0 124 0 0 S 0.0 0.0 0:00.04 waveservermain 98 admin 9 0 124 0 0 S 0.0 0.0 0:00.03 rcamdmain 102 admin 9 0 0 0 0 S 0.0 0.0 24:52.50 usb-storage-0 103 admin 9 0 0 0 0 S 0.0 0.0 0:00.00 scsi_eh_0 104 admin 9 0 0 0 0 S 0.0 0.0 0:52.68 usb-storage-1 105 admin 9 0 0 0 0 S 0.0 0.0 0:00.00 scsi_eh_1 107 admin 9 0 124 16 16 S 0.0 0.1 0:01.39 infosvr 108 admin 9 0 244 132 128 S 0.0 0.4 3:03.75 watchdog 110 admin 8 0 124 0 0 S 0.0 0.0 0:00.19 ntp 119 admin 9 0 200 132 128 S 0.0 0.4 0:01.54 dropbear 127 admin 9 0 0 0 0 S 0.0 0.0 0:00.01 kjournald 128 admin 9 0 0 0 0 S 0.0 0.0 0:07.78 kjournald 92 admin 9 0 60 0 0 S 0.0 0.0 0:00.00 p910nd 132 admin 8 0 84 0 0 S 0.0 0.0 0:00.09 vsftpd 145 admin 9 0 1088 632 632 S 0.0 2.1 0:24.35 nmbd 147 admin 8 0 692 60 60 S 0.0 0.2 0:01.42 smbd
В последние дни я вдруг стал обнаруживать в логе следующие строчки:
Дело в том что IP=192.168.1.10 это адрес WL500gPCode:Jan 27 16:05:27 kernel: IN=br0 OUT=vlan1 SRC=192.168.1.10 DST=89.19.168.23 LEN=60 TOS=0x08 PREC=0x00 TTL=63 ID=28639 DF PROTO=TCP SPT=3491 DPT=25 WINDOW=5840 RES=0x00 SYN URGP=0 Jan 27 18:52:57 kernel: IN=br0 OUT=vlan1 SRC=192.168.1.10 DST=89.19.168.23 LEN=60 TOS=0x08 PREC=0x00 TTL=63 ID=35446 DF PROTO=TCP SPT=1086 DPT=25 WINDOW=5840 RES=0x00 SYN URGP=0 Jan 28 12:13:52 kernel: IN=br0 OUT=vlan1 SRC=192.168.1.10 DST=89.19.168.23 LEN=60 TOS=0x08 PREC=0x00 TTL=63 ID=38473 DF PROTO=TCP SPT=2036 DPT=25 WINDOW=5840 RES=0x00 SYN URGP=0
Как поймать на WL500gP приложение, которое лезет на порт SMTP? И что бы это значило?
P.S. My router WL500g.Deluxe + WL500g.Premium
Торрент вполне может ломиться туда, если пир на другом конце скажет, что открыл порт 25 для входящих соединений. В uTorrent, например, есть опция, позволяющая запретить попытки соединения на определённые порты (по умолчанию, на 25 и 110).
Другой случай: если к WL500gP ещё что-то подключено и он настроен не точкой доступа, то эти пакеты вообще могут быть не от него, а просто форвардиться им.
Everybody stand back. I know iptables.
Мой вариант правильного выключения роутера.
Покажите правила iptables-save а точнее то как вы логируете и дропаете пакеты не 25 порт.
Дело в том что в роутере в правилах по умолчанию есть вот такое правило
Code:-A POSTROUTING -s 192.168.1.0/255.255.255.0 -d 192.168.1.0/255.255.255.0 -o br0 -j SNAT --to-source 192.168.1.1
wl500gp-1.9.2.7-d-r1222 + StoreJet 35 Ultra >>> rtorrent+rutorrent -|- lighhtpd + ssl + auth -|- vnStat + vnStat PHP frontend -|- vsftpd -|- squid + lightsquid...
К WL500gP (192.168.1.10) ничего внешнего кроме флешки и HDD не подключено. Wi-Fi выключен.
Code:# Generated by iptables-save v1.2.7a on Thu Jan 28 20:58:42 2010 *nat :PREROUTING ACCEPT [5808430:615067518] :POSTROUTING ACCEPT [335299:17952050] :OUTPUT ACCEPT [136880:8709035] :VSERVER - [0:0] -A PREROUTING -p tcp -m tcp --dport XXX21 -j DNAT --to-destination 192.168.1.10:21 -A PREROUTING -i vlan1 -p tcp -m tcp --dport XXX80 -j DNAT --to-destination 192.168.1.10:80 -A PREROUTING -i vlan1 -p tcp -m tcp --dport XXX22 -j DNAT --to-destination 192.168.1.10:XXX22 -A PREROUTING -d 212.80.XX.XX -j VSERVER -A POSTROUTING -s ! 212.80.XX.XX -o vlan1 -j SNAT --to-source 212.80.XX.XX -A POSTROUTING -s 192.168.1.0/255.255.255.0 -d 192.168.1.0/255.255.255.0 -o br0 -j SNAT --to-source 192.168.1.1 -A POSTROUTING -o ppp0 -j MASQUERADE -A VSERVER -p tcp -m tcp --dport 28957 -j DNAT --to-destination 192.168.1.2:28957 -A VSERVER -p udp -m udp --dport 28967 -j DNAT --to-destination 192.168.1.2:28967 -A VSERVER -p tcp -m tcp --dport 16002 -j DNAT --to-destination 192.168.1.2:16002 -A VSERVER -p udp -m udp --dport 16002 -j DNAT --to-destination 192.168.1.2:16002 -A VSERVER -p tcp -m tcp --dport 41958 -j DNAT --to-destination 192.168.1.10:41958 -A VSERVER -p tcp -m tcp --dport 41960 -j DNAT --to-destination 192.168.1.20:41960 COMMIT # Completed on Thu Jan 28 20:58:42 2010 # Generated by iptables-save v1.2.7a on Thu Jan 28 20:58:42 2010 *mangle :PREROUTING ACCEPT [198334866:168306085740] :INPUT ACCEPT [6997541:765534806] :FORWARD ACCEPT [190542788:167460657996] :OUTPUT ACCEPT [2237073:194187968] :POSTROUTING ACCEPT [192774819:167654831922] COMMIT # Completed on Thu Jan 28 20:58:42 2010 # Generated by iptables-save v1.2.7a on Thu Jan 28 20:58:42 2010 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [746083:51648980] :OUTPUT ACCEPT [2227472:193315504] :MACS - [0:0] :SECURITY - [0:0] :logaccept - [0:0] :logdrop - [0:0] -A INPUT -i ppp0 -j ACCEPT -A INPUT -i vlan1 -p tcp -m tcp --dport 21 -j DROP -A INPUT -m state --state INVALID -j DROP -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -i lo -m state --state NEW -j ACCEPT -A INPUT -i br0 -m state --state NEW -j ACCEPT -A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT -A INPUT -p tcp -m tcp --dport XXX22 -j ACCEPT -A INPUT -d 192.168.1.1 -p tcp -m tcp --dport 80 -j ACCEPT -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT -A INPUT -j DROP -A FORWARD -o vlan1 -p tcp -m tcp --dport 25 -j LOG -A FORWARD -s 192.168.1.2 -p tcp -m tcp --dport 25 -j ACCEPT -A FORWARD -p tcp -m tcp --dport 25 -j REJECT --reject-with icmp-port-unreachable -A FORWARD -i br0 -o br0 -j ACCEPT -A FORWARD -m state --state INVALID -j DROP -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i ! br0 -o vlan1 -j DROP -A FORWARD -m conntrack --ctstate DNAT -j ACCEPT -A OUTPUT -o vlan1 -p tcp -m tcp --dport 25 -j LOG -A SECURITY -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN -A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN -A SECURITY -p udp -m limit --limit 5/sec -j RETURN -A SECURITY -p icmp -m limit --limit 5/sec -j RETURN -A SECURITY -j DROP -A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options -A logaccept -j ACCEPT -A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options -A logdrop -j DROP COMMIT # Completed on Thu Jan 28 20:58:42 2010
Last edited by Jekl; 29-01-2010 at 22:22. Reason: исправление кода
P.S. My router WL500g.Deluxe + WL500g.Premium
Зайдите в консоль и внесите временные правила
В итоге вы будете видеть с какого адреса LAN приходят эти пакеты.Code:iptables -I FORWARD -i br0 -p tcp -m tcp --dport 25 -j logaccept
wl500gp-1.9.2.7-d-r1222 + StoreJet 35 Ultra >>> rtorrent+rutorrent -|- lighhtpd + ssl + auth -|- vnStat + vnStat PHP frontend -|- vsftpd -|- squid + lightsquid...
Ну, подскажите, плз, как поймать на WL500gP приложение, которое лезет на порт SMTP?
P.S. My router WL500g.Deluxe + WL500g.Premium
Нет не указывает. Вот то что вы писали:
Если бы пакеты уходили с самого роутера то было бы:Code:Jan 27 16:05:27 kernel: IN=br0 OUT=vlan1 SRC=192.168.1.10 DST=89.19.168.23 LEN=60 TOS=0x08 PREC=0x00 TTL=63 ID=28639 DF PROTO=TCP SPT=3491 DPT=25 WINDOW=5840 RES=0x00 SYN URGP=0
А так же правило вида:Code:Jan 27 16:05:27 kernel: IN= OUT=vlan1 SRC=212.80.XX.XX DST=89.19.168.23 LEN=60 TOS=0x08 PREC=0x00 TTL=63 ID=28639 DF PROTO=TCP SPT=3491 DPT=25 WINDOW=5840 RES=0x00 SYN URGP=0
Будет фильтровать трафик таблицы FORWARD, а не OUTPUT.Code:-A FORWARD -o vlan1 -p tcp -m tcp --dport 25 -j LOG -A FORWARD -s 192.168.1.2 -p tcp -m tcp --dport 25 -j ACCEPT -A FORWARD -p tcp -m tcp --dport 25 -j REJECT --reject-with icmp-port-unreachable
Вот ознакомитесь http://ua.opennet.ru/docs/RUS/iptabl...VERSINGGENERAL как проходят пакеты "транзитные" и как "локальные".
Вот правила с которыми вы увидите где блокируется трафик
Code:iptables -I FORWARD -o vlan1 -p tcp --dport 25 -j DROP iptables -I FORWARD -o vlan1 -p tcp --dport 25 -j LOG iptables -I OUTPUT -p tcp -o vlan1 --dport 25 -j DROP iptables -I OUTPUT -p tcp -o vlan1 --dport 25 -j LOG
wl500gp-1.9.2.7-d-r1222 + StoreJet 35 Ultra >>> rtorrent+rutorrent -|- lighhtpd + ssl + auth -|- vnStat + vnStat PHP frontend -|- vsftpd -|- squid + lightsquid...
Мне показалось, что в первом посте автор приводил лог с роутера WL500gx, который имеет адрес (скорее всего) 192.168.1.1. А второй роутер - WL500gP имеет адрес 192.168.1.10 и пакеты от него видны в логе первого.
По словам автора,
поэтому я склоняюсь к мнению, что это торрент так ломится. Как доказать - не знаю. Можно было бы поставить на WL500gP в цепочке OUTPUT логгирование по процессу/владельцу, но для ограничения по pid-owner/uid-owner/cmd-owner нужен модуль iptables - owner, а его вроде как в прошивке нет.
Everybody stand back. I know iptables.
Мой вариант правильного выключения роутера.
Да, как то я всю суть упустил...
Как вариант для проверки посмотрите список ipkg list_installed может что то бросится в глаза. А так вполне согласен с Power что может быть торрент.
wl500gp-1.9.2.7-d-r1222 + StoreJet 35 Ultra >>> rtorrent+rutorrent -|- lighhtpd + ssl + auth -|- vnStat + vnStat PHP frontend -|- vsftpd -|- squid + lightsquid...