Ваша ошибка в Local Port. Когда указываете диапазон портов, Local Port надо оставлять пустым.
Здравствуйте господа!
После изучения ответов по этому вопросу, так и не смог понять, как ПРАВИЛЬНО пробросить диапазон портов NAS серверу в локальной сети,
для работы пассивного FTP и торрент клиента?
Вариант неоднократно предлагавшийся и приведенный ниже у меня не работает!
Enable Virtual Server? Yes
Virtual Server List
Port Range 55536:55663
Local IP 192.168.1.7
Local Port 55536
Protocol TCP
При таких настройках FTP через IE8 не принимает регистрацию вообще, а через Firefox принимает с переменным успехом, но открывается
пустая страница (активный порт для FTP прописан отдельно)
Все это при обращении к серверу из внешней сети.
Теперь о торрент клиенте. В его настройках рекомендуется назначить не менее 10 портов. Если я их вбиваю каждый отдельно, то все
они открыты, если диапазоном, то нет.
Десять портов прописать отдельно конечно не проблема, а вот как быть с FTP, да и хотелось узнать, как все таки правильно это делать?
Маршрутизатор WL-500W, прошивка 1.9.2.7-10, регистрация в сети провайдера по MAC адресу, IP выделенный.
Ваша ошибка в Local Port. Когда указываете диапазон портов, Local Port надо оставлять пустым.
Everybody stand back. I know iptables.
Мой вариант правильного выключения роутера.
Судя по отсутсвию сообщений, получено немое признания невозможности данного рутера и прошивки кооректно осуществлять фильтрацию по ИП для входящих соединений?
А поиск у Вас отключен?
Настройка будет заключаться в написании правил iptables с последующим сохранением в файл post-firewall.
ЗЫ. Хотите что бы помогли не скупитесь с инфо. телепатов тут нету!
wl500gp-1.9.2.7-d-r1222 + StoreJet 35 Ultra >>> rtorrent+rutorrent -|- lighhtpd + ssl + auth -|- vnStat + vnStat PHP frontend -|- vsftpd -|- squid + lightsquid...
я поиском рыл форум несколько дней по запросам "Фильтрация по IP" ничего вменяемого так и не обнаружил. Если не затруднит, просьба выложить инструкцию по шагам, что и куда прописывать (в консоли) или в вэб морде, что бы получить требуемый результат.
что же касается скупости на ИНФО, в заглавном посте вроде как вполне доходчиво все написанно - нужно сделать фильтрацию по ИП для одного порта (сервиса) и открыть в свободный доступ другой порт (сервис)
Сейчас вкратце опишу.
wl500gp-1.9.2.7-d-r1222 + StoreJet 35 Ultra >>> rtorrent+rutorrent -|- lighhtpd + ssl + auth -|- vnStat + vnStat PHP frontend -|- vsftpd -|- squid + lightsquid...
И так, допустим у Вас два сервиса ftp(21) и web(80); сервер в сети имеет адрес 192.168.10.10; внешний IP роутера 1.1.1.1
Заходим на консоль (я предполагаю что несколько команд Вы освоили при установке прошивки, если нет тогда смотрим примеры тут).
1. В файл /usr/local/sbin/post-firewall добавить:
в конец (если у Вас уже что то есть в файле)
Цепочки построены так, что бы не повлиять на то что у Вас уже записано в правилах iptables.PHP Code:
IPTABLES="/sbin/iptables"
EXT_IF=vlan1
EXT_IP=1.1.1.1
L_HTTP=192.168.10.10
# HTTP
#
# Создаем пользовательские цепочки.
$IPTABLES -t nat -N HTTP-IN
$IPTABLES -N HTTP-FWD-IN
$IPTABLES -N HTTP-FWD-OUT
# Направляем все входящие пакеты в соответствующие цепочки.
$IPTABLES -t nat -I PREROUTING -p tcp -i $EXT_IF -d $EXT_IP --dport 80 -j HTTP-IN
$IPTABLES -I FORWARD -i $EXT_IF -d $L_HTTP --dport 80 -j HTTP-FWD-IN
$IPTABLES -I FORWARD -o $EXT_IF -s $L_HTTP --sport 80 -j HTTP-FWD-OUT
# HTTP-FWD-(IN/OUT). В данную цепочку попадают транзитные пакеты,
# направленные из мира в локальную сеть и обратно.
$IPTABLES -A HTTP-FWD-IN -i $EXT_IF -p tcp -m tcp -d $L_HTTP --dport 80 -j ACCEPT
$IPTABLES -A HTTP-FWD-IN -j RETURN
#
$IPTABLES -A HTTP-FWD-OUT -o $EXT_IF -p tcp -m tcp -s $L_HTTP --sport 80 -j ACCEPT
$IPTABLES -A HTTP-FWD-OUT -j RETURN
# HTTP-IN
# Производим сетевую трансляцию адресов (NAT)
$IPTABLES -t nat -A HTTP-IN -s 1.1.122.2 -j DNAT --to-destination $L_HTTP:80
$IPTABLES -t nat -A HTTP-IN -s 1.1.12.4 -j DNAT --to-destination $L_HTTP:80
$IPTABLES -t nat -A HTTP-IN -j RETURN
##FTP
$IPTABLES -t nat -I PREROUTING -p tcp -i $EXT_IF -d $EXT_IP --dport 21 -j DNAT --to-destination 192.168.10.10:21
#
IPTABLES -I FORWARD -i $EXT_IF -d 192.168.10.10 --dport 21 -j ACCEPT
Если необходимо добавить IP адрес которому дозволено ходить на 80 порт необходимо
перед строкой
ДобавитьCode:$IPTABLES -t nat -A HTTP-IN -j RETURN
Также измените то что там сейчас есть (адреса типа 1.1.12.4... на то что необходимо).Code:$IPTABLES -t nat -A HTTP-IN -s "НОВЫЙ АДРЕС" -j DNAT --to-destination $L_HTTP:80
При этом доступ к FTP свободный для всех.
Все пакеты (запросы) которые приходят на 21 порт роутера снаружи будут переправлены на внутренний сервер.
Для тестов без перезагрузок можно зайти на WEB-интерфейс и на закладке настройки IP адреса есть кнопка Disconnect, нажать (отключиться Инет) подождать 3-5 сек. нажать Connect (роутер должен подключится к Инету).
Тестируем настройку. Работает отлично!
Сохраняем изменения и перегружаемся.
Если неработает необходимо смотреть что не получается....Code:flashfs save && flashfs commit && flashfs enable && reboot
wl500gp-1.9.2.7-d-r1222 + StoreJet 35 Ultra >>> rtorrent+rutorrent -|- lighhtpd + ssl + auth -|- vnStat + vnStat PHP frontend -|- vsftpd -|- squid + lightsquid...
у меня как бы задача сделать доступ например к FTP не для всех,
а для тех IP которые мне нужны, для остальных доступа на FTP нет - пакеты должны дроппится.
вот как это сделать я в предложенном примере не увидел. Публиковать сервера вполне получается средствами вэб-морды, и все работает отлично. Именно для всех - а нужно что бы с внешней стороны рутера - был виден один сервер всем без исключения - допустим Web/
а на FTP доступ был к примеру только с определенного внешнего ИП. и ни с какого другого.
еще раз перечитал пример - увидел что фильтрация сделана для HHTP, если у меня какие то другие порты - это будет работать или нет?
плюс какие команды нужно использовать что бы посмотреть файл post-firewall, потому как я в него ничего не добавлял и никаких команд при прошивке не использовал - там все вполне себе через веб-морду прошивается.
То есть залил прошивку, настроил DHCP, DNS, внешние адреса опубликовал сервера - все с вэб морды
интересует команды как посмотреть содержимое файла post-firewall
и как его создать если он отсутсвует
еще раз спасибо
Last edited by Araven; 23-06-2009 at 14:14.
Значит идём в тему НАСТРОЙКА ASUS WL-500gP [DURAK EDITIONS]
И делаем настройки с 1 по 4, 5 и дальше по желанию.
Что бы пакеты дробались изменить надо только одно RETURN на DROP
Да можно изменить номер порта, всё заработает.Code:$IPTABLES -t nat -A HTTP-IN -s 1.1.122.2 -j DNAT --to-destination $L_HTTP:80 $IPTABLES -t nat -A HTTP-IN -j DROP
wl500gp-1.9.2.7-d-r1222 + StoreJet 35 Ultra >>> rtorrent+rutorrent -|- lighhtpd + ssl + auth -|- vnStat + vnStat PHP frontend -|- vsftpd -|- squid + lightsquid...
указанную тему я уже прочитал в двух направлениях
мне не совсе понятно ЧТО я должен набрать в командной строке
что бы попасть в файл post-firewall и вставить в него необходимый код
я как бы Юниксом (его советской версией ДЕМОС) пользовался в 1992 году последний раз, и система команд изрядно отличалась.
то есть мне нужна последовательность команд забиваемых в консоль в рутере или все это делается через телнет с компа?
заранее спасибо
1. Вы используете флешку или внешний винт?
2. В теме "НАСТРОЙКА ASUS WL-500gP [DURAK EDITIONS]" выполнить пункти:
00. Настройки провайдеров.
01. Первоначальные настройки и твики
02. Подключения HDD (FLASH)
б) отключаем STP (чтобы не засорять сеть лишними данными)
в) установка SSH-сервера
д) добавляем (исправляем) автоматический переход на зимнее/летнее время
03. SCRIPTS
04. IPKG
а) устанавливаем текстовой редактор nano и архиваторы
б) установка Midnight Commander псевдографический файловый менеджер)
в) установка cron (планировщик заданий)
wl500gp-1.9.2.7-d-r1222 + StoreJet 35 Ultra >>> rtorrent+rutorrent -|- lighhtpd + ssl + auth -|- vnStat + vnStat PHP frontend -|- vsftpd -|- squid + lightsquid...
нет, у меня за рутером живет комп на котором все и крутится.
сам рутер выполняет роль Фаейрволла, между компом и сетью провайдера
на компе крутятся свои сервисы, публикация в интернет осуществлена средствами маршрутизатора - работает, все хорошо
нужно что бы один сервис был доступен всем, другой только мне с оффиса (фильтрация по ИП). Втыкать что то в рутер (флэху или винт) не хотелось бы, все это безобразие живет в помещении куда у меня нет физического доступа. я могу только взять или отдать оборудование.
Everybody stand back. I know iptables.
Мой вариант правильного выключения роутера.