Не могли бы вы поподробней рассказать про NAT, а именно я так понимаю вы имеете в виду IP Masquerading ? Если так то я что то не смог найти внятных статей по настройке сего на роутере, если просветите или поделитесь парой ссылок буду признателен.
Не могли бы вы поподробней рассказать про NAT, а именно я так понимаю вы имеете в виду IP Masquerading ? Если так то я что то не смог найти внятных статей по настройке сего на роутере, если просветите или поделитесь парой ссылок буду признателен.
Ссылка - вот, например: NAT в WAN интерфейс.
А вы пробовали команду выполнить, которую я привёл? А то, возможно, вам это не подойдёт.
Everybody stand back. I know iptables.
Мой вариант правильного выключения роутера.
2 Power: Огромное спасибо за ссылку, это именно том что мне надо.
Но по мере того как я стал разбираться у меня возникли некоторые проблемы..
Во первых я сделал iptables-save и получил:
И меня очень удивило следующие, в таблице NAT есть куча правил которые я не создавал, в файле post-firewall их разумеется нету, и как их перманентно убрать я не сообразил, я говорю вот об этих правилах:PHP Code:
# Generated by iptables-save v1.2.7a on Wed Jun 30 18:22:53 2010
*nat
:PREROUTING ACCEPT [989:129071]
:POSTROUTING ACCEPT [72:4322]
:OUTPUT ACCEPT [75:4502]
:VSERVER - [0:0]
-A PREROUTING -d 10.201.1.201 -j VSERVER
-A PREROUTING -d 192.168.38.37 -j VSERVER
-A PREROUTING -i vlan1 -p tcp -m tcp --dport 3128 -j DNAT --to-destination 192.168.1.1:3128
-A POSTROUTING -s ! 10.201.1.201 -o ppp0 -j MASQUERADE
-A POSTROUTING -s ! 192.168.38.37 -o vlan1 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -d 192.168.1.0/255.255.255.0 -o br0 -j MASQUERADE
-A VSERVER -p tcp -m tcp --dport 33977 -j DNAT --to-destination 192.168.1.216:33977
-A VSERVER -p udp -m udp --dport 57776 -j DNAT --to-destination 192.168.1.128:57776
-A VSERVER -p udp -m udp --dport 56474 -j DNAT --to-destination 192.168.1.128:56474
-A VSERVER -p udp -m udp --dport 60453 -j DNAT --to-destination 192.168.1.128:60453
-A VSERVER -p udp -m udp --dport 51387 -j DNAT --to-destination 192.168.1.128:51387
-A VSERVER -p udp -m udp --dport 22688 -j DNAT --to-destination 192.168.1.128:22688
-A VSERVER -p udp -m udp --dport 49581 -j DNAT --to-destination 192.168.1.128:49581
-A VSERVER -p tcp -m tcp --dport 22688 -j DNAT --to-destination 192.168.1.128:22688
-A VSERVER -p udp -m udp --dport 49491 -j DNAT --to-destination 192.168.1.128:49491
-A VSERVER -p udp -m udp --dport 63792 -j DNAT --to-destination 192.168.1.128:63792
-A VSERVER -p udp -m udp --dport 59155 -j DNAT --to-destination 192.168.1.128:59155
-A VSERVER -p udp -m udp --dport 59280 -j DNAT --to-destination 192.168.1.128:59280
-A VSERVER -p udp -m udp --dport 49953 -j DNAT --to-destination 192.168.1.128:49953
-A VSERVER -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.1.128:21
-A VSERVER -p udp -m udp --dport 21 -j DNAT --to-destination 192.168.1.128:21
-A VSERVER -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.1.117:21
-A VSERVER -p udp -m udp --dport 21 -j DNAT --to-destination 192.168.1.117:21
-A VSERVER -p tcp -m tcp --dport 8085 -j DNAT --to-destination 192.168.1.216:8085
-A VSERVER -p udp -m udp --dport 8085 -j DNAT --to-destination 192.168.1.216:8085
-A VSERVER -p tcp -m tcp --dport 1080 -j DNAT --to-destination 192.168.1.216:1080
-A VSERVER -p udp -m udp --dport 1080 -j DNAT --to-destination 192.168.1.216:1080
COMMIT
# Completed on Wed Jun 30 18:22:53 2010
# Generated by iptables-save v1.2.7a on Wed Jun 30 18:22:53 2010
*mangle
:PREROUTING ACCEPT [8332:2638559]
:INPUT ACCEPT [4491:848796]
:FORWARD ACCEPT [3571:1738353]
:OUTPUT ACCEPT [3179:775104]
:POSTROUTING ACCEPT [6795:2534101]
COMMIT
# Completed on Wed Jun 30 18:22:53 2010
# Generated by iptables-save v1.2.7a on Wed Jun 30 18:22:53 2010
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [202:29151]
:OUTPUT ACCEPT [2482:344380]
:MACS - [0:0]
:SECURITY - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i br0 -m state --state NEW -j ACCEPT
-A INPUT -i ppp0 -m state --state NEW -j SECURITY
-A INPUT -d 192.168.1.1 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -j DROP
-A INPUT -p tcp -m tcp --dport 3128 -j ACCEPT
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ! br0 -o ppp0 -j DROP
-A FORWARD -i ! br0 -o vlan1 -j DROP
-A FORWARD -i ! br0 -m state --state NEW -j SECURITY
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -o br0 -j DROP
-A SECURITY -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j DROP
-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logaccept -j ACCEPT
-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logdrop -j DROP
COMMIT
# Completed on Wed Jun 30 18:22:53 2010
(на всякий случай уточню, 192.168.1.216 - это стационарный ПК подключенный к роутеру по шнуру в порт LAN1, 192.168.1.128 - это ноутбук подключаемый по wifi)PHP Code:
-A VSERVER -p tcp -m tcp --dport 33977 -j DNAT --to-destination 192.168.1.216:33977
-A VSERVER -p udp -m udp --dport 57776 -j DNAT --to-destination 192.168.1.128:57776
-A VSERVER -p udp -m udp --dport 56474 -j DNAT --to-destination 192.168.1.128:56474
-A VSERVER -p udp -m udp --dport 60453 -j DNAT --to-destination 192.168.1.128:60453
-A VSERVER -p udp -m udp --dport 51387 -j DNAT --to-destination 192.168.1.128:51387
-A VSERVER -p udp -m udp --dport 22688 -j DNAT --to-destination 192.168.1.128:22688
-A VSERVER -p udp -m udp --dport 49581 -j DNAT --to-destination 192.168.1.128:49581
-A VSERVER -p tcp -m tcp --dport 22688 -j DNAT --to-destination 192.168.1.128:22688
-A VSERVER -p udp -m udp --dport 49491 -j DNAT --to-destination 192.168.1.128:49491
-A VSERVER -p udp -m udp --dport 63792 -j DNAT --to-destination 192.168.1.128:63792
-A VSERVER -p udp -m udp --dport 59155 -j DNAT --to-destination 192.168.1.128:59155
-A VSERVER -p udp -m udp --dport 59280 -j DNAT --to-destination 192.168.1.128:59280
-A VSERVER -p udp -m udp --dport 49953 -j DNAT --to-destination 192.168.1.128:49953
-A VSERVER -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.1.117:21
-A VSERVER -p udp -m udp --dport 21 -j DNAT --to-destination 192.168.1.117:21
Сейчас и основной компьютер и ноутбук забиты в DHCP Server и получают одни и те же ip, и сразу хотел бы спросить, как сделать так чтобы доступ к роутеру был только по MAC адресам, а именно я хочу чтобы только компьютеры квартиры и компьютер друга из внешней(провайдерской сети) могли пользоваться роутером.(просто судя по вашим постам из топика NAT в WAN, там нигде не разграничивается кто может пользоваться из внешней сети интернетом туда переправляемым)
Далее я попробовал воспользоваться вашим советом по тому как раздать интернет пришедший по VPN в WAN в сеть подключенную в этот же WAN:
и для работы DNSPHP Code:
index=`iptables -L FORWARD -nv --line-numbers | grep 'RELATED,ESTABLISHED' | cut -d ' ' -f 1 -s`
echo $index
iptables -I FORWARD $((index+1)) -o ppp0 -i eth1 -j ACCEPT
iptables -L FORWARD -nv
Но у моего друга инета так и не появилось(его айпи в внешней сети 192.168.38.25, а айпи роутера 192.168.38.37), не могу понять в чем дело..PHP Code:
iptables -I FORWARD $((index+2)) -o vlan1 -i vlan1 -j ACCEPT
в конец народ обленился,В наличии Asus N16, какие деи и предложения?
на 10 топиков ранее всё по полкам разложено,
что и как делать!
и не имеет значения какой у вас роутер, соединение и прочая лабуда.
Dir-120 Dir-320 Rt-n13U
Прочая инфа:
PHP Code:
[admin@wl500gp_v2 sbin]$ ifconfig -a
br0 Link encap:Ethernet HWaddr 00:1F:C6:3C:1D:FD
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::21f:c6ff:fe3c:1dfd/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:7245 errors:0 dropped:0 overruns:0 frame:0
TX packets:7768 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:2437292 (2.3 MiB) TX bytes:4209476 (4.0 MiB)
eth0 Link encap:Ethernet HWaddr 00:1F:C6:3C:1D:FD
inet6 addr: fe80::21f:c6ff:fe3c:1dfd/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:17849 errors:0 dropped:0 overruns:0 frame:0
TX packets:10493 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:4307961 (4.1 MiB) TX bytes:4612230 (4.3 MiB)
Interrupt:4 Base address:0x1000
eth1 Link encap:Ethernet HWaddr 00:1F:C6:3C:1D:FD
inet6 addr: fe80::21f:c6ff:fe3c:1dfd/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:2952
TX packets:0 errors:1612 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
Interrupt:13 Base address:0x5000
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MULTICAST MTU:16436 Metric:1
RX packets:2032 errors:0 dropped:0 overruns:0 frame:0
TX packets:2032 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:175852 (171.7 KiB) TX bytes:175852 (171.7 KiB)
ppp0 Link encap:Point-Point Protocol
inet addr:10.201.1.201 P-t-P:213.85.251.254 Mask:255.255.255.255
UP POINTOPOINT RUNNING MULTICAST MTU:1400 Metric:1
RX packets:1155 errors:0 dropped:0 overruns:0 frame:0
TX packets:1090 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:643567 (628.4 KiB) TX bytes:211215 (206.2 KiB)
sit0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
NOARP MTU:1480 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
vlan0 Link encap:Ethernet HWaddr 00:1F:C6:3C:1D:FD
inet6 addr: fe80::21f:c6ff:fe3c:1dfd/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:7245 errors:0 dropped:0 overruns:0 frame:0
TX packets:8674 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:2466260 (2.3 MiB) TX bytes:4298570 (4.0 MiB)
vlan1 Link encap:Ethernet HWaddr 00:1F:C6:3C:1D:FD
inet addr:192.168.38.37 Bcast:192.168.38.255 Mask:255.255.255.0
inet6 addr: fe80::21f:c6ff:fe3c:1dfd/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:10602 errors:0 dropped:0 overruns:0 frame:0
TX packets:1816 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1520287 (1.4 MiB) TX bytes:313442 (306.0 KiB)
[admin@wl500gp_v2 sbin]$ route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.111.1 192.168.38.1 255.255.255.255 UGH 1 0 0 vlan1
192.168.38.0 0.0.0.0 255.255.255.0 U 0 0 0 vlan1
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 213.85.251.254 0.0.0.0 UG 0 0 0 ppp0
0.0.0.0 192.168.38.1 0.0.0.0 UG 1 0 0 vlan1
У тебя MAN сеть на vlan1 висит, а не на Eth1.PHP Code:
index=`iptables -L FORWARD -nv --line-numbers | grep 'RELATED,ESTABLISHED' | cut -d ' ' -f 1 -s`
echo $index
iptables -I FORWARD $((index+1)) -o ppp0 -i vlan1 -j ACCEPT
Цепочка VSERVER результат upnp
Как верно отметил TheSAS, в цепочку VSERVER правила добавляются либо из веб-морды (страница Virtual Servers), либо с помощью UPnP. Если это второе, то удалить их можно либо вручную по одному (нет гарантии, что они не появятся снова), либо полностью отключив UPnP в веб-морде.
Далее, в правиле
вам нужно заменить eth1 на vlan1.Code:iptables -I FORWARD $((index+1)) -o ppp0 -i eth1 -j ACCEPT
На всякий случай отмечу, что строчки
нужны только для диагностики, они не изменяют состояние и прописывать их в post-firewall не нужно.Code:echo $index iptables -L FORWARD -nv
А в качестве DNS ваш друг прописывает сервера провайдера или ваш роутер? Если провайдера, то какие у них адреса? От этого зависит, какие команды использовать.
Everybody stand back. I know iptables.
Мой вариант правильного выключения роутера.
Значит попробовал то что вы написали - никакого результата, хотя забавный факт, у него работает скайп через меня както, в силу того что видимо порты в UPnP открылись, и торрент, правда торрент пишет скорость ,мол качает , но на самом деле ничего не качает..
Меня волнует что в этой схеме нигде не стоит правила для iptables которое разрешило бы ему пользоваться роутером, я пробовал писать
Что касается DNS то у нашего провайдера адрес 192.168.38.1 по крайней мере я указываю такой, он пробовал указывать и ДНС моего роутера соответственно 192.168.38.37 и провайдерский результат нулевой.Code:iptables -A INPUT -s 192.168.38.25 -j ACCEPT
Еще странно что когда он заходит на мой роутер по http то не попадает ко мне на сервер(lighttpd), т.е. не может достучаться(пробовал писать iptables -A INPUT -p 'tcp' --dport 80 -j ACCEPT но все тщетно) , а еще возник такой вопрос, когда у меня кончаются деньги на интернете то провайдер подпихивает свою картинку вместо любого сайта, типо ,что инет кончился, может ли быть такой что даже когда мой друг будет через меня загружать сайты, провайдер будет видеть его айпи и пихать ему эту картинку или все пакеты от роутера в интернет уже сейчас идут с айпи
Last edited by VantuZZ; 01-07-2010 at 09:08.
Помогите советом. Есть локальная сеть предприятия с ip 10.80.203.* c маской 255.255.255.0 и ADSL модем с ip 192.168.0.1 по которому приходит интернэт. по ip адресу 10.80.203.15 находится прокси реализованный на UserGete 4. Как реализовать на ASUS w500gPv2 функцию UserGate чтобы сохранить доступ к локальным адресам и так же работу с интернетом.
Приветствую собравшуюсю аудиторию.
У меня провайдер от корого я получаю инет чере pptp соединение все нормально.
Я хочу настроить подключение к инету моих родственников через меня, чтобы не платить дважды.
В наличии Asus N16, какие деи и предложения?
Я представялю это следующим образом.
НА n16 настраивается vpn сервер и уже пользователи из локальной сети провайдера ко мне подключаеюся и я им даю инет.
Доброго!
Сложилась такая ситуация, что провайдер оставляет на Новый Год без интернета в связи с работами на биллинге (не может оформить подключение). Соответственно, вся надежда на товарища в этой-же сети, что бы подключиться к интернету через него.
Конфигурация
Клиент 1: 10.1.12.21 (255.255.255.0), GW 10.1.12.1, WL500G, PPPoP - логин, пароль, хост, интернет есть
Клиент 2: 10.1.24.42 (255.255.255.0), GW 10.1.24.1, Linksys E2500, интернета нет
Возможность связи между этими клиентами не исследовалась, но предположим, что она есть (не думаю, что провайдер перекрыл доступ на внутренних роутерах для неавторизированных клиентов).
Что пришло в голову:
1. Поставить на WL500G (10.1.12.21) небольшой прокси (какой?) с авторизацией (ну или без оной), в настройках браузера поставить 10.1.12.21:8080, на Linksys настроить маршрут 10.1.12.21 -> 10.1.24.1 и ждать ответа.
2. Туннель (тут я плаваю). Вроде через openvpn + роутинги. Т.е. поставить на WL500G (10.1.12.21) openvpn сервер (добавляется новый интерфейс, как я понимаю) и все с него зароутить на GW, который выдает провайдер после PPPoP подключения. На Linksys, соответственно, openvpn клиент (+интерфейс) и весь трафик зароутить на него...
В каком направлении копать порекомендуете?
Спасибо,
Саша
Таки перекрыл:провайдер перекрыл доступ на внутренних роутерах для неавторизированных клиентов
Code:[admin@WL500 root]$ route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface ... 192.168.1.0 * 255.255.255.0 U 0 0 0 br0 10.151.12.0 * 255.255.255.0 U 0 0 0 vlan1 10.151.24.0 10.151.12.1 255.255.255.0 UG 1 0 0 vlan1 127.0.0.0 * 255.0.0.0 U 0 0 0 lo default 10.151.12.1 0.0.0.0 UG 1 0 0 vlan1 [admin@WL500 root]$ ping 10.151.24.1 PING 10.151.24.1 (10.151.24.1): 56 data bytes 84 bytes from 10.151.24.1: icmp_seq=0 ttl=254 time=241.7 ms 84 bytes from 10.151.24.1: icmp_seq=1 ttl=254 time=8.3 ms --- 10.151.24.1 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max = 8.3/125.0/241.7 ms [admin@WL500 root]$ ping 10.151.24.42 PING 10.151.24.42 (10.151.24.42): 56 data bytes --- 10.151.24.42 ping statistics --- 3 packets transmitted, 0 packets received, 100% packet loss
Немного лирики. Сижу у провайдера интерсвязь, как и многие мои знакомые))) платим по 500р в месяц, несправедливо
У меня есть роутер dir-320 с прошивкой от олега (теоретически если все заработает, можно поменять на более производительный)
Идея настроить этот роутер так, чтобы он через одно pptp-анлим соединение пускал всех товарищей 10.х.х.х(5-7чел) в интернет ну и меня из внутреней сети роутера 192.х.х.х
провайдер дает динамический адрес wan 10.х.х.х (есть внутрений дднс, спасет я думаю)на роутере поднимается соединение pptp. А как дальше быть не понятно.
Прокси не подходит, из за кривости работы приложений.
Установить в настройках товарищей гейт и днс не провайдера а роутера? чот не оч хочет работать. да и динамический ип замучаешься менять, по крайне мере я не понял, как можно имя хоста, засунуть в винду.
Или заморочится с openVPN.
Курю тему http://wl500g.info/showthread.php?88...C8%D7%CA%CE%C2
настройки сомого роутера из для провайдера. http://www.is74.ru/support/manuals/w...rase_id=348730
Помогите пожалуйста. разобратся, настроить это все.
Last edited by chelsanya; 14-04-2013 at 18:27.