iptables -A INPUT -s 192.168.38.25 -j ACCEPT
Удали ето правило.
Проверь ping 8.8.8.8 (что нибудь по IP адресу), если есть ответ значит проблема в днс. Днс пропиши любой общедоступный (OpenDNS, UltraDNS, googleDNS).
С веб интерфейсом разобрался, стоило правильно порт открыть..
Code:iptables -I INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 192.168.38.25 -j ACCEPT
Удали ето правило.
Проверь ping 8.8.8.8 (что нибудь по IP адресу), если есть ответ значит проблема в днс. Днс пропиши любой общедоступный (OpenDNS, UltraDNS, googleDNS).
Во-первых, присоединяюсь к TheSAS.
Во-вторых, "пользоваться роутером" и "пользоваться интернетом через роутер" - разные вещи. Мы тут пытаемся сделать второе, поэтому используем цепочку FORWARD.
И кстати, общее замечание: у вас слишком много вопросов, давайте последовательно их решать. Сначала просто интернет через роутер.
Пропишите в post-firewall следующее (после !#/bin/sh):
Сохраните, перезагрузите роутер и выполнитеCode:index=`iptables -L FORWARD -nv --line-numbers | grep 'RELATED,ESTABLISHED' | cut -d ' ' -f 1 -s` iptables -I FORWARD $((index+1)) -o ppp0 -i vlan1 -j ACCEPT iptables -I FORWARD $((index+2)) -o vlan1 -i vlan1 -j ACCEPT
Затем покажите результат. А друг после этого пусть попробует, как уже было сказано ранее, попинговать что-нибудь по IP-адресу (что-нибудь из внешнего мира, что отвечает на пинги).Code:iptables-save
Everybody stand back. I know iptables.
Мой вариант правильного выключения роутера.
Вот таблица, извеняюсь что долго не писал у провайдера проблемы были..
Все заработало включая сайты и ДНС пашет, Огромное человеческое спасибо!Code:# Generated by iptables-save v1.2.7a on Sun Jul 11 12:50:58 2010 *nat :PREROUTING ACCEPT [216244:22467642] :POSTROUTING ACCEPT [7828:450649] :OUTPUT ACCEPT [6332:402623] :VSERVER - [0:0] -A PREROUTING -d 10.201.1.201 -j VSERVER -A PREROUTING -d 192.168.38.37 -j VSERVER -A PREROUTING -i vlan1 -p tcp -m tcp --dport 3128 -j DNAT --to-destination 192.168.1.1:3128 -A POSTROUTING -s ! 10.201.1.201 -o ppp0 -j MASQUERADE -A POSTROUTING -s ! 192.168.38.37 -o vlan1 -j MASQUERADE -A POSTROUTING -s 192.168.1.0/255.255.255.0 -d 192.168.1.0/255.255.255.0 -o br0 -j MASQUERADE -A VSERVER -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.1.1:8080 -A VSERVER -p tcp -m tcp --dport 35382 -j DNAT --to-destination 192.168.1.216:35382 -A VSERVER -p udp -m udp --dport 35382 -j DNAT --to-destination 192.168.1.216:35382 -A VSERVER -p tcp -m tcp --dport 8085 -j DNAT --to-destination 192.168.1.216:8085 -A VSERVER -p udp -m udp --dport 8085 -j DNAT --to-destination 192.168.1.216:8085 -A VSERVER -p tcp -m tcp --dport 1080 -j DNAT --to-destination 192.168.1.216:1080 -A VSERVER -p udp -m udp --dport 1080 -j DNAT --to-destination 192.168.1.216:1080 -A VSERVER -p tcp -m tcp --dport 1024 -j DNAT --to-destination 192.168.1.216:1024 -A VSERVER -p udp -m udp --dport 1024 -j DNAT --to-destination 192.168.1.216:1024 -A VSERVER -p udp -m udp --dport 33977 -j DNAT --to-destination 192.168.1.216:33977 -A VSERVER -p tcp -m tcp --dport 33977 -j DNAT --to-destination 192.168.1.216:33977 COMMIT # Completed on Sun Jul 11 12:50:59 2010 # Generated by iptables-save v1.2.7a on Sun Jul 11 12:50:59 2010 *mangle :PREROUTING ACCEPT [5978674:2023421474] :INPUT ACCEPT [1696159:449765392] :FORWARD ACCEPT [4225663:1560110086] :OUTPUT ACCEPT [2527951:1100940576] :POSTROUTING ACCEPT [7048694:2676444710] COMMIT # Completed on Sun Jul 11 12:50:59 2010 # Generated by iptables-save v1.2.7a on Sun Jul 11 12:50:59 2010 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [276328:17934923] :OUTPUT ACCEPT [2478046:1092177592] :MACS - [0:0] :SECURITY - [0:0] :logaccept - [0:0] :logdrop - [0:0] -A INPUT -m state --state INVALID -j DROP -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -i lo -m state --state NEW -j ACCEPT -A INPUT -i br0 -m state --state NEW -j ACCEPT -A INPUT -i ppp0 -m state --state NEW -j SECURITY -A INPUT -d 192.168.1.1 -p tcp -m tcp --dport 80 -j ACCEPT -A INPUT -d 192.168.1.1 -p tcp -m tcp --dport 8080 -j ACCEPT -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -p tcp -m tcp --dport 515 -j ACCEPT -A INPUT -p tcp -m tcp --dport 9100 -j ACCEPT -A INPUT -p tcp -m tcp --dport 3838 -j ACCEPT -A INPUT -j DROP -A INPUT -p tcp -m tcp --dport 3128 -j ACCEPT -A FORWARD -d 192.168.1.216 -p tcp -m tcp --dport 33977 -j ACCEPT -A FORWARD -d 192.168.1.216 -p udp -m udp --dport 33977 -j ACCEPT -A FORWARD -i br0 -o br0 -j ACCEPT -A FORWARD -m state --state INVALID -j DROP -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j TCPMSS --clamp-mss-to-pmtu -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i vlan1 -o ppp0 -j ACCEPT -A FORWARD -i vlan1 -o vlan1 -j ACCEPT -A FORWARD -i ! br0 -o ppp0 -j DROP -A FORWARD -i ! br0 -o vlan1 -j DROP -A FORWARD -i ! br0 -m state --state NEW -j SECURITY -A FORWARD -m conntrack --ctstate DNAT -j ACCEPT -A FORWARD -o br0 -j DROP -A SECURITY -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN -A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN -A SECURITY -p udp -m limit --limit 5/sec -j RETURN -A SECURITY -p icmp -m limit --limit 5/sec -j RETURN -A SECURITY -j DROP -A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options -A logaccept -j ACCEPT -A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options -A logdrop -j DROP COMMIT # Completed on Sun Jul 11 12:50:59 2010
Если вам не сложно подскажите как мне ограничить доступ только для друга, и еще есть ли возможность что провайдер как то поймет что я поступаю нечестно, и если есть то как с этим бороться?
Я так предпологаю, что провайдер таки может увидеть что пакеты адресованы к человеку из его сети от меня и поругаться, хотя может я и не прав..
Last edited by VantuZZ; 11-07-2010 at 10:08.
Подскажите, пожалуйста, где можно почитать как поднять OpenVPN сервер на роутере?
iptables -I FORWARD $((index+1)) -s 192.168.38.25 -o ppp0 -i vlan1 -j ACCEPT
Провайдер скорее всего никак не обнаружит такое расшаривание.
Если работает, то и будет работать. Если захотят обнаружить, или именно ты раздаешь инет своему другу, то обнаружат )
Помогите советом. Есть локальная сеть предприятия с ip 10.80.203.* c маской 255.255.255.0 и ADSL модем с ip 192.168.0.1 по которому приходит интернэт. по ip адресу 10.80.203.15 находится прокси реализованный на UserGete 4. Как реализовать на ASUS w500gPv2 функцию UserGate чтобы сохранить доступ к локальным адресам и так же работу с интернетом.
Приветствую собравшуюсю аудиторию.
У меня провайдер от корого я получаю инет чере pptp соединение все нормально.
Я хочу настроить подключение к инету моих родственников через меня, чтобы не платить дважды.
В наличии Asus N16, какие деи и предложения?
Я представялю это следующим образом.
НА n16 настраивается vpn сервер и уже пользователи из локальной сети провайдера ко мне подключаеюся и я им даю инет.
в конец народ обленился,В наличии Asus N16, какие деи и предложения?
на 10 топиков ранее всё по полкам разложено,
что и как делать!
и не имеет значения какой у вас роутер, соединение и прочая лабуда.
Dir-120 Dir-320 Rt-n13U
Доброго!
Сложилась такая ситуация, что провайдер оставляет на Новый Год без интернета в связи с работами на биллинге (не может оформить подключение). Соответственно, вся надежда на товарища в этой-же сети, что бы подключиться к интернету через него.
Конфигурация
Клиент 1: 10.1.12.21 (255.255.255.0), GW 10.1.12.1, WL500G, PPPoP - логин, пароль, хост, интернет есть
Клиент 2: 10.1.24.42 (255.255.255.0), GW 10.1.24.1, Linksys E2500, интернета нет
Возможность связи между этими клиентами не исследовалась, но предположим, что она есть (не думаю, что провайдер перекрыл доступ на внутренних роутерах для неавторизированных клиентов).
Что пришло в голову:
1. Поставить на WL500G (10.1.12.21) небольшой прокси (какой?) с авторизацией (ну или без оной), в настройках браузера поставить 10.1.12.21:8080, на Linksys настроить маршрут 10.1.12.21 -> 10.1.24.1 и ждать ответа.
2. Туннель (тут я плаваю). Вроде через openvpn + роутинги. Т.е. поставить на WL500G (10.1.12.21) openvpn сервер (добавляется новый интерфейс, как я понимаю) и все с него зароутить на GW, который выдает провайдер после PPPoP подключения. На Linksys, соответственно, openvpn клиент (+интерфейс) и весь трафик зароутить на него...
В каком направлении копать порекомендуете?
Спасибо,
Саша
Таки перекрыл:провайдер перекрыл доступ на внутренних роутерах для неавторизированных клиентов
Code:[admin@WL500 root]$ route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface ... 192.168.1.0 * 255.255.255.0 U 0 0 0 br0 10.151.12.0 * 255.255.255.0 U 0 0 0 vlan1 10.151.24.0 10.151.12.1 255.255.255.0 UG 1 0 0 vlan1 127.0.0.0 * 255.0.0.0 U 0 0 0 lo default 10.151.12.1 0.0.0.0 UG 1 0 0 vlan1 [admin@WL500 root]$ ping 10.151.24.1 PING 10.151.24.1 (10.151.24.1): 56 data bytes 84 bytes from 10.151.24.1: icmp_seq=0 ttl=254 time=241.7 ms 84 bytes from 10.151.24.1: icmp_seq=1 ttl=254 time=8.3 ms --- 10.151.24.1 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max = 8.3/125.0/241.7 ms [admin@WL500 root]$ ping 10.151.24.42 PING 10.151.24.42 (10.151.24.42): 56 data bytes --- 10.151.24.42 ping statistics --- 3 packets transmitted, 0 packets received, 100% packet loss
Ну это как-бы логично, но ещё нужно и у источника указать куда какие пакеты пихать.
Ситуация в общем приблизительно аналогичная. Пробую раздать PPP0 инет самому себе с одной квартиры на другую. Естественно локальные сегменты разные.
Например раздающий роутер на 10.1.1.1 (ppp0 172.4.4.4, br0 192.168.1.x) а принимающий на 10.2.2.2 (br0 192.168.1.x).
Вышеприведённую строку записываю в post-firewall в iptables изменения появляются, но вполне естественно ничего не работает.
Принимающему нужно указать что пакеты адресованные не на 10.х.х.х и не на 192.168.1.х нужно отNATит и отослать прямиком на 10.1.1.1, а тот в соответствии с вышеведенным правилом перенаправится в PPP0.
ОДНАКО! как указать раздающему чтобы он отсылал приходяшие с PPP0 пакеты не только к себе в br0, но ещё и принимающему. Мне кажется в любом случае будет бардак.
Немного лирики. Сижу у провайдера интерсвязь, как и многие мои знакомые))) платим по 500р в месяц, несправедливо
У меня есть роутер dir-320 с прошивкой от олега (теоретически если все заработает, можно поменять на более производительный)
Идея настроить этот роутер так, чтобы он через одно pptp-анлим соединение пускал всех товарищей 10.х.х.х(5-7чел) в интернет ну и меня из внутреней сети роутера 192.х.х.х
провайдер дает динамический адрес wan 10.х.х.х (есть внутрений дднс, спасет я думаю)на роутере поднимается соединение pptp. А как дальше быть не понятно.
Прокси не подходит, из за кривости работы приложений.
Установить в настройках товарищей гейт и днс не провайдера а роутера? чот не оч хочет работать. да и динамический ип замучаешься менять, по крайне мере я не понял, как можно имя хоста, засунуть в винду.
Или заморочится с openVPN.
Курю тему http://wl500g.info/showthread.php?88...C8%D7%CA%CE%C2
настройки сомого роутера из для провайдера. http://www.is74.ru/support/manuals/w...rase_id=348730
Помогите пожалуйста. разобратся, настроить это все.
Last edited by chelsanya; 14-04-2013 at 18:27.
Ню вот openvpn поставил из скрипта для чайников http://rung.narod.ru/man.htm
По опенвпну столько много поискового шума, что пока непонятно что с ним дальше делать(