wl-500gp user
Другие компы из LAN и не должны пинговаться, это правильно.Originally Posted by Вова
А адрес 172.17.183.48 пингуется?
А 213.180.204.3 пингуется (это ya.ru)?
Everybody stand back. I know iptables.
Мой вариант правильного выключения роутера.
Junior Member
172.17.183.48 пингуется
и ya.ru пингуется и гугл пингуется и грузятся браузером если по айпишникуэто уже что-то!
значит проблема в днс
сервера днс с которыми работает роутер:
172.17.192.240
172.17.192.252
172.17.192.254
они почему-то не пингуются из MANа, хотя в LANе с этим проблем нет
Last edited by Вова; 17-06-2010 at 23:41.
wl-500gp user
Да, проблема в днс. Сервера из MAN и не должны работать. Чтобы работали, нужно ещё одну строчку добавить, разрешающую прохождение MAN <-> MAN172.17.183.48 пингуется
и ya.ru пингуется и гугл пингуется и грузятся браузером если по айпишнику
значит проблема в днс
сервера днс с которыми работает роутер:
172.17.192.240
172.17.192.252
172.17.192.254
они почему-то не пингуются из MANа, хотя в LANе с этим проблем нет
А чтобы можно было снаружи использовать сам роутер как DNS-сервер, нужно выполнить ешё некоторые действия.Code:iptables -I FORWARD $((index+2)) -o vlan1 -i vlan1 -j ACCEPT
Everybody stand back. I know iptables.
Мой вариант правильного выключения роутера.
Junior Member
Заработало!!!
Power, огромное спасибо!
"А чтобы можно было снаружи использовать сам роутер как DNS-сервер, нужно выполнить ещё некоторые действия."
какие именно не можете подсказать?
вот вопрос, зачем нужна такая строгая последовательность
( $((index+2)) )?
и еще одна проблемка, у меня стоит фильтр по макам, LAN сеть он фильтрует железно, никуда не пускает с левым маком, а вот MAN не хочет фильтровать, пускает всех, почему это так? тут же интерфейс не указан, по идее ему должно быть все равно из какой сети
Code:Chain MACS (2 references) pkts bytes target prot opt in out source destination 2489K 2481M RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 MAC 00:67:67:22:29:24 231K 11M RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 MAC 00:27:6D:23:55:47 960K 69M RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 MAC 00:03:1F:5B:D7:E2 0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 MAC 00:1E:64:EA:BD:4A 36113 13M DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Last edited by Вова; 19-06-2010 at 15:02.
wl-500gp user
Что-то вроде
Code:iptables -t nat -I VSERVER 1 -p udp -m udp --dport 53 -j DNAT --to-destination 192.168.1.1 iptables -I INPUT 2 -d 192.168.1.1 -p udp -m udp --dport 53 -j ACCEPT
Вкратце - чтобы работало. Более подробно - читайте руководство по iptables.
Интерфейс указан в правиле, которое осуществляет переход на цепочку MACS:
Code:Chain FORWARD (policy ACCEPT 64 packets, 5511 bytes) pkts bytes target prot opt in out source destination 206 19046 MACS all -- br0 * 0.0.0.0/0 0.0.0.0/0
Everybody stand back. I know iptables.
Мой вариант правильного выключения роутера.
Junior Member
огромное Человеческое спасибо!просветил неуча
Junior Member
Как поделиться интернетом с компьютерами внешней локальной сети?
Я не разобрался как реализовать данную задумку, поэтому создал топик.
Задача: У меня есть роутер wl500gp v2, соответственно по VPN роутер подключен к инету, и у нас имеется местная локальная сеть( как раз в ней и стоит VPN сервер ) а также у меня есть друг в этой локальной сети, и мы решили что было бы выгоднее платить за 1 инет на 2их, но я не знаю как раздать ему интернет, т.е. во первых как принципиально мне дать возможность людям из моей сети инет, а во вторых только определенным айпи, сейчас я поднял проксю, но так мой друг получает возможность пользоваться только http и ftp, также получилось поднять у себя на компьютере sock сервер, и он смог попользоваться другими возможностями через socks cap, но эти варианты нас не устраивают наверняка можно сделать намного проще, если кто знает как то буду признателен.
wl-500gp user
Если ваш роутер и его комп видят друг друга напрямую (это поможет выяснить команда, запущенная в консоли роутера, arping -c 3 -I vlan1 IP_компа_друга), то можно воспользоваться NAT. Если нет - то вам поможет что-то типа установки OpenVPN-сервера на роутер.
Everybody stand back. I know iptables.
Мой вариант правильного выключения роутера.
Junior Member
Не могли бы вы поподробней рассказать про NAT, а именно я так понимаю вы имеете в виду IP Masquerading ? Если так то я что то не смог найти внятных статей по настройке сего на роутере, если просветите или поделитесь парой ссылок буду признателен.
wl-500gp user
Ссылка - вот, например: NAT в WAN интерфейс.
А вы пробовали команду выполнить, которую я привёл? А то, возможно, вам это не подойдёт.
Everybody stand back. I know iptables.
Мой вариант правильного выключения роутера.
Junior Member
2 Power: Огромное спасибо за ссылку, это именно том что мне надо.
Но по мере того как я стал разбираться у меня возникли некоторые проблемы..
Во первых я сделал iptables-save и получил:
И меня очень удивило следующие, в таблице NAT есть куча правил которые я не создавал, в файле post-firewall их разумеется нету, и как их перманентно убрать я не сообразил, я говорю вот об этих правилах:PHP Code:# Generated by iptables-save v1.2.7a on Wed Jun 30 18:22:53 2010
*nat
:PREROUTING ACCEPT [989:129071]
:POSTROUTING ACCEPT [72:4322]
:OUTPUT ACCEPT [75:4502]
:VSERVER - [0:0]
-A PREROUTING -d 10.201.1.201 -j VSERVER
-A PREROUTING -d 192.168.38.37 -j VSERVER
-A PREROUTING -i vlan1 -p tcp -m tcp --dport 3128 -j DNAT --to-destination 192.168.1.1:3128
-A POSTROUTING -s ! 10.201.1.201 -o ppp0 -j MASQUERADE
-A POSTROUTING -s ! 192.168.38.37 -o vlan1 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -d 192.168.1.0/255.255.255.0 -o br0 -j MASQUERADE
-A VSERVER -p tcp -m tcp --dport 33977 -j DNAT --to-destination 192.168.1.216:33977
-A VSERVER -p udp -m udp --dport 57776 -j DNAT --to-destination 192.168.1.128:57776
-A VSERVER -p udp -m udp --dport 56474 -j DNAT --to-destination 192.168.1.128:56474
-A VSERVER -p udp -m udp --dport 60453 -j DNAT --to-destination 192.168.1.128:60453
-A VSERVER -p udp -m udp --dport 51387 -j DNAT --to-destination 192.168.1.128:51387
-A VSERVER -p udp -m udp --dport 22688 -j DNAT --to-destination 192.168.1.128:22688
-A VSERVER -p udp -m udp --dport 49581 -j DNAT --to-destination 192.168.1.128:49581
-A VSERVER -p tcp -m tcp --dport 22688 -j DNAT --to-destination 192.168.1.128:22688
-A VSERVER -p udp -m udp --dport 49491 -j DNAT --to-destination 192.168.1.128:49491
-A VSERVER -p udp -m udp --dport 63792 -j DNAT --to-destination 192.168.1.128:63792
-A VSERVER -p udp -m udp --dport 59155 -j DNAT --to-destination 192.168.1.128:59155
-A VSERVER -p udp -m udp --dport 59280 -j DNAT --to-destination 192.168.1.128:59280
-A VSERVER -p udp -m udp --dport 49953 -j DNAT --to-destination 192.168.1.128:49953
-A VSERVER -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.1.128:21
-A VSERVER -p udp -m udp --dport 21 -j DNAT --to-destination 192.168.1.128:21
-A VSERVER -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.1.117:21
-A VSERVER -p udp -m udp --dport 21 -j DNAT --to-destination 192.168.1.117:21
-A VSERVER -p tcp -m tcp --dport 8085 -j DNAT --to-destination 192.168.1.216:8085
-A VSERVER -p udp -m udp --dport 8085 -j DNAT --to-destination 192.168.1.216:8085
-A VSERVER -p tcp -m tcp --dport 1080 -j DNAT --to-destination 192.168.1.216:1080
-A VSERVER -p udp -m udp --dport 1080 -j DNAT --to-destination 192.168.1.216:1080
COMMIT
# Completed on Wed Jun 30 18:22:53 2010
# Generated by iptables-save v1.2.7a on Wed Jun 30 18:22:53 2010
*mangle
:PREROUTING ACCEPT [8332:2638559]
:INPUT ACCEPT [4491:848796]
:FORWARD ACCEPT [3571:1738353]
:OUTPUT ACCEPT [3179:775104]
:POSTROUTING ACCEPT [6795:2534101]
COMMIT
# Completed on Wed Jun 30 18:22:53 2010
# Generated by iptables-save v1.2.7a on Wed Jun 30 18:22:53 2010
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [202:29151]
:OUTPUT ACCEPT [2482:344380]
:MACS - [0:0]
:SECURITY - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i br0 -m state --state NEW -j ACCEPT
-A INPUT -i ppp0 -m state --state NEW -j SECURITY
-A INPUT -d 192.168.1.1 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -j DROP
-A INPUT -p tcp -m tcp --dport 3128 -j ACCEPT
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ! br0 -o ppp0 -j DROP
-A FORWARD -i ! br0 -o vlan1 -j DROP
-A FORWARD -i ! br0 -m state --state NEW -j SECURITY
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -o br0 -j DROP
-A SECURITY -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j DROP
-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logaccept -j ACCEPT
-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logdrop -j DROP
COMMIT
# Completed on Wed Jun 30 18:22:53 2010
(на всякий случай уточню, 192.168.1.216 - это стационарный ПК подключенный к роутеру по шнуру в порт LAN1, 192.168.1.128 - это ноутбук подключаемый по wifi)PHP Code:-A VSERVER -p tcp -m tcp --dport 33977 -j DNAT --to-destination 192.168.1.216:33977
-A VSERVER -p udp -m udp --dport 57776 -j DNAT --to-destination 192.168.1.128:57776
-A VSERVER -p udp -m udp --dport 56474 -j DNAT --to-destination 192.168.1.128:56474
-A VSERVER -p udp -m udp --dport 60453 -j DNAT --to-destination 192.168.1.128:60453
-A VSERVER -p udp -m udp --dport 51387 -j DNAT --to-destination 192.168.1.128:51387
-A VSERVER -p udp -m udp --dport 22688 -j DNAT --to-destination 192.168.1.128:22688
-A VSERVER -p udp -m udp --dport 49581 -j DNAT --to-destination 192.168.1.128:49581
-A VSERVER -p tcp -m tcp --dport 22688 -j DNAT --to-destination 192.168.1.128:22688
-A VSERVER -p udp -m udp --dport 49491 -j DNAT --to-destination 192.168.1.128:49491
-A VSERVER -p udp -m udp --dport 63792 -j DNAT --to-destination 192.168.1.128:63792
-A VSERVER -p udp -m udp --dport 59155 -j DNAT --to-destination 192.168.1.128:59155
-A VSERVER -p udp -m udp --dport 59280 -j DNAT --to-destination 192.168.1.128:59280
-A VSERVER -p udp -m udp --dport 49953 -j DNAT --to-destination 192.168.1.128:49953
-A VSERVER -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.1.117:21
-A VSERVER -p udp -m udp --dport 21 -j DNAT --to-destination 192.168.1.117:21
Сейчас и основной компьютер и ноутбук забиты в DHCP Server и получают одни и те же ip, и сразу хотел бы спросить, как сделать так чтобы доступ к роутеру был только по MAC адресам, а именно я хочу чтобы только компьютеры квартиры и компьютер друга из внешней(провайдерской сети) могли пользоваться роутером.(просто судя по вашим постам из топика NAT в WAN, там нигде не разграничивается кто может пользоваться из внешней сети интернетом туда переправляемым)
Далее я попробовал воспользоваться вашим советом по тому как раздать интернет пришедший по VPN в WAN в сеть подключенную в этот же WAN:
и для работы DNSPHP Code:index=`iptables -L FORWARD -nv --line-numbers | grep 'RELATED,ESTABLISHED' | cut -d ' ' -f 1 -s`
echo $index
iptables -I FORWARD $((index+1)) -o ppp0 -i eth1 -j ACCEPT
iptables -L FORWARD -nv
Но у моего друга инета так и не появилось(его айпи в внешней сети 192.168.38.25, а айпи роутера 192.168.38.37), не могу понять в чем дело..PHP Code:iptables -I FORWARD $((index+2)) -o vlan1 -i vlan1 -j ACCEPT
Junior Member
Прочая инфа:
PHP Code:[admin@wl500gp_v2 sbin]$ ifconfig -a
br0 Link encap:Ethernet HWaddr 00:1F:C6:3C:1D:FD
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::21f:c6ff:fe3c:1dfd/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:7245 errors:0 dropped:0 overruns:0 frame:0
TX packets:7768 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:2437292 (2.3 MiB) TX bytes:4209476 (4.0 MiB)
eth0 Link encap:Ethernet HWaddr 00:1F:C6:3C:1D:FD
inet6 addr: fe80::21f:c6ff:fe3c:1dfd/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:17849 errors:0 dropped:0 overruns:0 frame:0
TX packets:10493 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:4307961 (4.1 MiB) TX bytes:4612230 (4.3 MiB)
Interrupt:4 Base address:0x1000
eth1 Link encap:Ethernet HWaddr 00:1F:C6:3C:1D:FD
inet6 addr: fe80::21f:c6ff:fe3c:1dfd/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:2952
TX packets:0 errors:1612 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
Interrupt:13 Base address:0x5000
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MULTICAST MTU:16436 Metric:1
RX packets:2032 errors:0 dropped:0 overruns:0 frame:0
TX packets:2032 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:175852 (171.7 KiB) TX bytes:175852 (171.7 KiB)
ppp0 Link encap:Point-Point Protocol
inet addr:10.201.1.201 P-t-P:213.85.251.254 Mask:255.255.255.255
UP POINTOPOINT RUNNING MULTICAST MTU:1400 Metric:1
RX packets:1155 errors:0 dropped:0 overruns:0 frame:0
TX packets:1090 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:643567 (628.4 KiB) TX bytes:211215 (206.2 KiB)
sit0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
NOARP MTU:1480 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
vlan0 Link encap:Ethernet HWaddr 00:1F:C6:3C:1D:FD
inet6 addr: fe80::21f:c6ff:fe3c:1dfd/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:7245 errors:0 dropped:0 overruns:0 frame:0
TX packets:8674 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:2466260 (2.3 MiB) TX bytes:4298570 (4.0 MiB)
vlan1 Link encap:Ethernet HWaddr 00:1F:C6:3C:1D:FD
inet addr:192.168.38.37 Bcast:192.168.38.255 Mask:255.255.255.0
inet6 addr: fe80::21f:c6ff:fe3c:1dfd/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:10602 errors:0 dropped:0 overruns:0 frame:0
TX packets:1816 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1520287 (1.4 MiB) TX bytes:313442 (306.0 KiB)
[admin@wl500gp_v2 sbin]$ route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.111.1 192.168.38.1 255.255.255.255 UGH 1 0 0 vlan1
192.168.38.0 0.0.0.0 255.255.255.0 U 0 0 0 vlan1
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 213.85.251.254 0.0.0.0 UG 0 0 0 ppp0
0.0.0.0 192.168.38.1 0.0.0.0 UG 1 0 0 vlan1
Member
У тебя MAN сеть на vlan1 висит, а не на Eth1.PHP Code:index=`iptables -L FORWARD -nv --line-numbers | grep 'RELATED,ESTABLISHED' | cut -d ' ' -f 1 -s`
echo $index
iptables -I FORWARD $((index+1)) -o ppp0 -i vlan1 -j ACCEPT
Цепочка VSERVER результат upnp
wl-500gp user
Как верно отметил TheSAS, в цепочку VSERVER правила добавляются либо из веб-морды (страница Virtual Servers), либо с помощью UPnP. Если это второе, то удалить их можно либо вручную по одному (нет гарантии, что они не появятся снова), либо полностью отключив UPnP в веб-морде.
Далее, в правиле
вам нужно заменить eth1 на vlan1.Code:iptables -I FORWARD $((index+1)) -o ppp0 -i eth1 -j ACCEPT
На всякий случай отмечу, что строчки
нужны только для диагностики, они не изменяют состояние и прописывать их в post-firewall не нужно.Code:echo $index iptables -L FORWARD -nv
А в качестве DNS ваш друг прописывает сервера провайдера или ваш роутер? Если провайдера, то какие у них адреса? От этого зависит, какие команды использовать.
Everybody stand back. I know iptables.
Мой вариант правильного выключения роутера.
Junior Member
Значит попробовал то что вы написали - никакого результата, хотя забавный факт, у него работает скайп через меня както, в силу того что видимо порты в UPnP открылись, и торрент, правда торрент пишет скорость ,мол качает , но на самом деле ничего не качает..
Меня волнует что в этой схеме нигде не стоит правила для iptables которое разрешило бы ему пользоваться роутером, я пробовал писать
Что касается DNS то у нашего провайдера адрес 192.168.38.1 по крайней мере я указываю такой, он пробовал указывать и ДНС моего роутера соответственно 192.168.38.37 и провайдерский результат нулевой.Code:iptables -A INPUT -s 192.168.38.25 -j ACCEPT
Еще странно что когда он заходит на мой роутер по http то не попадает ко мне на сервер(lighttpd), т.е. не может достучаться(пробовал писать iptables -A INPUT -p 'tcp' --dport 80 -j ACCEPT но все тщетно) , а еще возник такой вопрос, когда у меня кончаются деньги на интернете то провайдер подпихивает свою картинку вместо любого сайта, типо ,что инет кончился, может ли быть такой что даже когда мой друг будет через меня загружать сайты, провайдер будет видеть его айпи и пихать ему эту картинку или все пакеты от роутера в интернет уже сейчас идут с айпи
Last edited by VantuZZ; 01-07-2010 at 09:08.
Posting Permissions
Reply With Quote