Member
Ура достал себе WL-500w, поставил прошивку WL500W-1.9.2.7-d-r1222.
Теперь вопрос как Расшарить инет (по VPNу) обратно в WAN порт?
Member
Подскажите куда хоть копать.
iptables -t nat -A POSTROUTING -o vlan1 -j SNAT --to-source $2
Дает ошибку:
[admin@WL-90E6BA4365CA root]$ iptables -t nat -A POSTROUTING -o vlan1 -j SNAT --to-source $2
iptables v1.3.8: Unknown arg `--to-source'
Если вместо $2 написать какуюнибудь айпи, тогда ошибки нету.
Прочитал http://www.iptables.ru/iptables.html#SNAT_TARGET, ничего толком не понял.
Помогите с настройкой пожалуйста.
Senior Member
аналогичная задача
условие:
- есть DIR-320 2шт (далее DIR1 и DIR2)
- DIR1 и DIR2 подключены к одному провайдеру
- есть интернет на DIR1
задача:
- организовать VPN сервер (либо любой другой с хорошей пропускной способностью) на DIR1
- получать интернет на DIR2 по VPN c DIR1
TheSAS - удалось ли реализовать задуманное ??
Member
Реализовать пока не удается.
Для начала:
1. Подскажите как проследить путь пакета?
2. Подскажите какие команды могут использоваться для просмотра таблиц прохода пакета (типа iptables -t nat -L -nv, iptables -L -nv)
3. Нужно ли такое правило для моей задачи:
iptables -I INPUT 5 -i eth1 --match state --state NEW -j ACCEPT
eth1 - ето WAN порт, если верить ifconfig.
Member
Настраивал таблицы, придумывал правила, результат пока близкий к нулю.
Кто может на писать хотя б последовательность таблиц которую пройдет пакет при использовании НАТ.
Senior Member
Очень хорошая идея, но жалко что нет реализации
Я так понял люди хотят:
Есть два абонента на одном операторском свиче. У одного инет оплачен, у другого нет. Второй в настройках роутера узазывает шлюзом первый свитч и берет его инет )))
Senior Member
совершенно верно .Я так понял люди хотят:
Есть два абонента на одном операторском свиче. У одного инет оплачен, у другого нет. Второй в настройках роутера узазывает шлюзом первый свитч и берет его инет )))
wl-500gp user
Вам сюда: http://www.opennet.ru/docs/RUS/iptables/. Даже картинка есть: http://www.opennet.ru/docs/RUS/iptab...s_traverse.jpg (качество так себе).Originally Posted by TheSAS
Скорее всего, вам поможет такой код (заметьте, nat не при чём, пакеты блокируются в таблице filter, цепочке FORWARD):
Code:index=`iptables -L FORWARD -nv --line-numbers | grep 'RELATED,ESTABLISHED' | cut -d ' ' -f 1 -s` iptables -I FORWARD $((index+1)) -o ppp0 -i eth1 -j ACCEPT
Everybody stand back. I know iptables.
Мой вариант правильного выключения роутера.
Senior Member
Наверно вам проще подправить переменные nvram и сделать лан интерфейс ланом и воткнуть шланг от провайдера в лан :-)
ASUS RT-N16 (1.9.2.7-rtn) + multi-wan (2x PPPoE, было на WL-500W)
Нужно делать так как нужно, а как не нужно - делать не нужно.
Member
2 Unlimited
Подскажи как ето сделать.
У меня при перекидке WiFi в Lan, Wifi отказываеться работать.
Member
Не помогло (
Какое правило 100% разрешит все пакеты?
И как узнать на каком правиле обламываеться пакет?
wl-500gp user
Основной способ узнать - подумать. Можно, конечно, наставить логгирование в каждую строчку, но это много возни. Вообще, может, у вас проблема даже не в iptables, а, например, в маршрутизации.
Если это не секретная информация, покажите, что говорят команды
И дайте пример ip-адреса, которому нужно дать доступ в инет через роутер.Code:ifconfig -a route -n iptables-save
Everybody stand back. I know iptables.
Мой вариант правильного выключения роутера.
Member
ifconfig -a
route -nPHP Code:br0 Link encap:Ethernet HWaddr 90:E6:BA:43:65:CA
inet addr:192.168.1.100 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::92e6:baff:fe43:65ca/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:552 errors:0 dropped:0 overruns:0 frame:0
TX packets:609 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:166274 (162.3 KiB) TX bytes:372064 (363.3 KiB)
eth0 Link encap:Ethernet HWaddr 90:E6:BA:43:65:CA
inet6 addr: fe80::92e6:baff:fe43:65ca/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:209 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:51025 (49.8 KiB)
Interrupt:4 Base address:0x1000
eth1 Link encap:Ethernet HWaddr 90:E6:BA:43:65:CA
inet addr:20.0.0.88 Bcast:20.0.0.255 Mask:255.255.255.0
inet6 addr: fe80::92e6:baff:fe43:65ca/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:2164 errors:0 dropped:0 overruns:0 frame:0
TX packets:475 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:467551 (456.5 KiB) TX bytes:179202 (175.0 KiB)
Interrupt:5 Base address:0x2000
eth2 Link encap:Ethernet HWaddr 90:E6:BA:43:65:CA
inet6 addr: fe80::92e6:baff:fe43:65ca/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:547 errors:0 dropped:0 overruns:0 frame:288
TX packets:628 errors:37 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:173448 (169.3 KiB) TX bytes:361552 (353.0 KiB)
Interrupt:12 Base address:0x4000
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MULTICAST MTU:16436 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
ppp0 Link encap:Point-to-Point Protocol
inet addr:194.44.109.88 P-t-P:194.44.109.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING MULTICAST MTU:1400 Metric:1
RX packets:494 errors:0 dropped:0 overruns:0 frame:0
TX packets:435 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:317641 (310.1 KiB) TX bytes:151456 (147.9 KiB)
sit0 Link encap:IPv6-in-IPv4
NOARP MTU:1480 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
iptables-savePHP Code:Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
20.0.0.1 0.0.0.0 255.255.255.255 UH 0 0 0 eth1
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
20.0.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 194.44.109.1 0.0.0.0 UG 0 0 0 ppp0
Ip адрес которому надо дать интернет 20.0.0.250.PHP Code:# Generated by iptables-save v1.3.8 on Fri Mar 12 06:28:11 2010
*nat
:PREROUTING ACCEPT [498:51298]
:POSTROUTING ACCEPT [105:8397]
:OUTPUT ACCEPT [107:9131]
:VSERVER - [0:0]
-A PREROUTING -d 194.44.109.88 -j VSERVER
-A PREROUTING -d 20.0.0.88 -j VSERVER
-A POSTROUTING -s ! 194.44.109.88 -o ppp0 -j MASQUERADE
-A POSTROUTING -s ! 20.0.0.88 -o eth1 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -d 192.168.1.0/255.255.255.0 -o br0 -j SNAT --to-source 192.168.1.100
COMMIT
# Completed on Fri Mar 12 06:28:11 2010
# Generated by iptables-save v1.3.8 on Fri Mar 12 06:28:11 2010
*mangle
:PREROUTING ACCEPT [2284:989371]
:INPUT ACCEPT [1409:494507]
:FORWARD ACCEPT [799:483999]
:OUTPUT ACCEPT [942:282215]
:POSTROUTING ACCEPT [1871:814597]
COMMIT
# Completed on Fri Mar 12 06:28:11 2010
# Generated by iptables-save v1.3.8 on Fri Mar 12 06:28:11 2010
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [36:1932]
:OUTPUT ACCEPT [900:270076]
:BRUTE - [0:0]
:MACS - [0:0]
:SECURITY - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i br0 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -j DROP
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ! br0 -o ppp0 -j DROP
-A FORWARD -i ! br0 -o eth1 -j DROP
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -o br0 -j DROP
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j DROP
-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logaccept -j ACCEPT
-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logdrop -j DROP
COMMIT
# Completed on Fri Mar 12 06:28:11 2010
Адреса 20.0.0.х - ето локальная сеть, просто провайдер из себя очень умного делает.
wl-500gp user
Тогда так:
зайдите на роутер и выполните команды
И покажите, что они выведут.Code:index=`iptables -L FORWARD -nv --line-numbers | grep 'RELATED,ESTABLISHED' | cut -d ' ' -f 1 -s` echo $index iptables -I FORWARD $((index+1)) -o ppp0 -i eth1 -j ACCEPT iptables -L FORWARD -nv
Everybody stand back. I know iptables.
Мой вариант правильного выключения роутера.
Member
PHP Code:[admin@WL-90E6BA4365CA root]$ index=`iptables -L FORWARD -nv --line-numbers | grep 'RELATED,ESTABLISHED' | cut -d ' ' -f 1 -s`
[admin@WL-90E6BA4365CA root]$ echo $index
4
[admin@WL-90E6BA4365CA root]$ iptables -I FORWARD $((index+1)) -o ppp0 -i eth1 -j ACCEPT
[admin@WL-90E6BA4365CA root]$ iptables -L FORWARD -nv
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- br0 br0 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
0 0 TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02 TCPMSS clamp to PMTU
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT all -- eth1 ppp0 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- !br0 ppp0 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- !br0 eth1 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate DNAT
0 0 DROP all -- * br0 0.0.0.0/0 0.0.0.0/0
Posting Permissions
Reply With Quote