Снова вопрос про порт-маппинг.
На этот раз хочется пускать одну только аську по резервному каналу (порт 5190), а весь остальной трафик - как обычно (если поднят первый канал - то по нему, если первый упал - то по второму, резервному).
Как?
Можно не по порту, а по адресу назначения. Делается полиси раутнгом. Таблицы и все такое. Почитать тут например - http://www.linuxcommand.org/man_pages/ip8.html
Привет всем, надеюсь кому нибудь пригодиться RRDtool script переписанный для отображения статистики на multivlan!
Долго мучал автора скриптов в личке, на тему того что траффик не проходит через роутер ... ни virtual server ни что бы то нибыло ещё, решение было в том что в моём случае не надо было добавлять DDoS предложенный автором для вставки в post-firewall
он у меня весь трафик отрезал, далее закоментировал в init wan что бы родной DDoS работалCode:# DDoS #if [ "`nvram get fw_dos_x`" != "0" ]; then # iptables -A INPUT -i ppp+ -m state --state NEW -j SECURITY # iptables -A INPUT -i vlan+ -m state --state NEW -j SECURITY # iptables -D FORWARD -m conntrack --ctstate DNAT -j ACCEPT # iptables -A FORWARD -i ppp+ -m state --state NEW -j SECURITY # iptables -A FORWARD -i vlan+ -m state --state NEW -j SECURITY # iptables -A FORWARD -m conntrack --ctstate DNAT -j ACCEPT #fi
и наступило щастье, всё заработало.Code:# deconfigure DoS protection #if [ "`nvram get fw_dos_x`" != "0" ]; then # iptables -D INPUT -i $def_wan -m state --state NEW -j SECURITY # iptables -D FORWARD ! -i br0 -m state --state NEW -j SECURITY #fi # #ip route flush exact 0/0 #ip route flush cache и добавил вот этот кусочек что бы не болталось лишнее правило в INPUT iptables -D INPUT -i vlan1 -m state --state NEW -j SECURITY
для нужных портов снимаю ограничение в 5 или 1 раз в сек
Далее захотелось как то закрепить номер интерфейса ppp за каждым WAN, и можно было бы вести какую то статистику, ну или просто для порядка. Добавил этоCode:iptables -I SECURITY -p udp --dport 25580 -j RETURN
в conf-ppp послеCode:case "$1" in wan1) echo "unit 1" >> $ppp_conf ;; wan2) echo "unit 2" >> $ppp_conf ;; wan3) echo "unit 3" >> $ppp_conf ;; wan4) echo "unit 4" >> $ppp_conf ;; wan5) echo "unit 5" >> $ppp_conf ;; esac
в этом же файле заменил строку на ОлеговскуюCode:case "$proto" in pppoe) echo "nomppe nomppc" >> $ppp_conf echo "mru $pppoe_mru mtu $pppoe_mtu" >> $ppp_conf ;; pptp)
в файле wan dhcp заменил кусокCode:ppp_opt="sync pty '/usr/sbin/pptp --idle-wait 0 $pptp_server --nolaunchpppd --nobuffer --sync'"
наCode:iptables -A INPUT -p udp -i $interface --sport 67 --dport 68 -j ACCEPT
что бы в INPUT был порядок)Code:iptables -D INPUT -j DROP iptables -A INPUT -p udp -i $interface --sport 67 --dport 68 -j ACCEPT iptables -A INPUT -j DROP
Ну и далее продолжаю исследования.
Last edited by karter; 16-12-2008 at 19:43.
странно все это. надо смотреть что в iptables
это чревато в принципе. могут быть непонятки. собственно потому в ppp.conf используется переменная linkname и pid текущего процесса и имя интерфейса для конкретного wan всегда можно прочитать в /var/run/ppp-wanX.pid
в мей версии
ppp_opt="pty '/usr/sbin/pptp --idle-wait 0 $pptp_server --nolaunchpppd --nobuffer --sync --loglevel 0'"
добавлена только опция --loglevel 0, что бы не срать в сислог.
собсвенно
# input policy
iptables -P INPUT DROP
iptables -D INPUT -j DROP
в /usr/local/sbin/post-firewall делают ненужными дополнительные манипуляции в /usr/local/sbin/wan-dhcp.sh
Целый месяц смотрел .. и решение пришло как то неожиданно) Скрипты ставились на абсолютно чистый роутер.
Пока полёт нормальный) ... уже как неделю.
Я тут вот собственно ppp_opt="sync что добавил. сугубо моё личное мнение что теперь меньше обрывов стало и не надо удалять параметр --sync так как мой VPN сервер несколько необычный а вариант от Олега работал без проблем вот и сделал
с этим ещё не разобрался ..)
вот ещё интересное наблюдение..... закоментировал в udhcp
и сразу раработал проброс портов внутрь роутера, то есть проброс в сеть работал и если к примеру требовалось работать с роутером по телнету из ван то достаточно было открыть порт в INPUT а теперь и проброс внутрь работает. Теперь WEB Server видно из WAN (Virtual server wan 80 > 8081)Code:iptables -D INPUT -i $interface ! -d $ip_old -j DROP
только, аналогично Олеговским правилам надо добавить в post-firewall для нужных портов вот такое правило
после чего смело добавляем хоть через веб интерфейс проброс внутрь на 8081 и он будет работать.Code:iptables -A INPUT -p tcp -m tcp -d 192.168.1.1 --dport 8081 -j ACCEPT
Last edited by karter; 17-12-2008 at 12:10.
кстати, а на этом - http://wl500g.info/showthread.php?t=...F8%F1%EA%E0%FF - скрипты кто нить проверял, работают?
может имеет смысл доработать web страничку управления роутера и добавить туда настройку vlan-ов?
vim имеет два режима - бибикать и все портить (с) не мое
MSK | Asus WL-500w | 299Mhz | 128Mb | ver. 1.9.2.7-10 HDD bluescorpio 160Gb int.|console|RS-232|PCMCIA My modding
Тема обалденная насамом деле. Но конечно если реально можно было всё это делать через веб интерфейс былобы очень удобно. Я вообще линукс не понимаю и мне очень тяжко понять как мне настроить 2 вана, один чтобы уходил на инет через л2тп к корбине и на часть ресурсов локальных а второй чтобы просто уходил на локальные ресурсы другой сети, хотябы к примеру по айпи серверов определённых...
был бы очень признателен если бы кто-нибудь помог мне в этом.
"настройка делюкс с нуля" топик мне не помог, вроде я добился чтобы создались вланы, но прописать адрес через ифконфиг на второй ван не получается, выдаются такого рода ошибки:
SIOCSIFADDR: No such device
SIOCSIFBRDADDR: No such device
SIOCSIFNETMASK: No such device
SIOCGIFFLAGS: No such device
MSK | Asus WL-500w | 299Mhz | 128Mb | ver. 1.9.2.7-10 HDD bluescorpio 160Gb int.|console|RS-232|PCMCIA My modding
В том то всё и дело, что я именно так и выставляю рапаметры, но не работает и выдаётся ошибка которая написана выше.
А ддврт извольте, больше ставить не хочу. Был асус 500г Премиум первый, после какого-то глюка ддврт он у меня и помер :-) сдал по гарантии и вот выдали нулёвый запечатаный 500в, видимо 500г у них уже небыло :-))
тут где-то тема есть там один человек при помощи ддврт убил как раз 500в, но он ковырялся в других настройках...
есть идея попробовать опенврт поставить ещё раз, там вроде интерфейс достаточно понятный, но у него есть большая трабла с пптп, не знаю как л2тп... И ещё в опенврт нету возможности вайфай в полном объёме использовать вл500в
Last edited by Mr.Hunt; 31-01-2009 at 12:48.
MSK | Asus WL-500w | 299Mhz | 128Mb | ver. 1.9.2.7-10 HDD bluescorpio 160Gb int.|console|RS-232|PCMCIA My modding
у меня DD-WRT замечательно работает!!!!!!
единстенная проблема - это build mega от Eko - с ним действительно роутер ведет себя неоднозначно, то грузится, то уходит в циклическую перезагрузку.
сборки от BrainSlayer работают лучше (правда в последней версии от 29-01-2009 отпал WiFi, так что я пока сижу на сборке от 21-01-2009)!!!
вы напишите какие конкретно вы команды даете?