Вы не вошли. Пожалуйста, войдите или зарегистрируйтесь.
.... dyndns платный
Бесплатный, но для регистрации нужна кредитка.... На офсайте все по русски ЕМНИП есть.
никаких там белых ай-пи...или другого провайдера... в ближайшие 5 лет не предвидится)
Перестаем тут спамить, используем гугл и учим матчасть. Без белого ip не будет Transmision раздавать в инет.
От моего провайдера идёт много броадкастовых пакетов. Какое правило iptables нужно, чтоб отфильтровать левые броадкастовые пакеты?
Стоит составлять скрипты так, чтобы не дублировать добавление правил iptables.
правильно ли я понимаю, что в таком случае, если правило есть в firewall.d, то его не нужно дублировать в скрипте запуска, и наборот?
ravkoff, именно так, в противном случае их в таблице будет 2 и когда захотите убрать правило, останется второе - уже сталкивался с подобным. Вопрос - есть ли какая-то логика, чтобы определять это и, например, организавать надёжную выгрузку какого-либо правила, независимо от числа его вхождений?
ZyXEL Keenetic Giga
Задача:
Сделать доступ с внешки на 22 порт сервера в домашней сети. Тоесть проброс 22 порта.
Задача элементарна, но не работает!!
Проборос интересует только вручную, не через веб-морду
iptables -t nat -A PREROUTING -p tcp -d Внешний IP роутера --dport 22 -j DNAT --to-destination 192.168.1.5:22
iptables -A FORWARD -i eth2.2 -d 192.168.1.5 -p tcp --dport 22 -j ACCEPTПрошу ткнуть носом что не так=)
ZyXEL Keenetic Giga
Задача:
Сделать доступ с внешки на 22 порт сервера в домашней сети. Тоесть проброс 22 порта.
Задача элементарна, но не работает!!
Проборос интересует только вручную, не через веб-мордуiptables -t nat -A PREROUTING -p tcp -d Внешний IP роутера --dport 22 -j DNAT --to-destination 192.168.1.5:22 iptables -A FORWARD -i eth2.2 -d 192.168.1.5 -p tcp --dport 22 -j ACCEPTПрошу ткнуть носом что не так=)
Для начало думаю уйдите с 22 входного порта например на 60100, сервер может остаться на 22.
У вас почему в forward а не в INPUT и не надо указывать eth2.2
-A INPUT -d [IP] -p tcp --dport 22 ...
Отредактировано vasek00 (2013-04-02 12:46:25)
Stig,
Была аналогичная задача, посмотри как я сделал проброс порта: http://forum.zyxmon.org/post14209.html#p14209
И еще очень хорошая статья на эту тему,в ней многое объясняется: http://www.it-simple.ru/?p=2250
Stig,
Была аналогичная задача, посмотри как я сделал проброс порта: http://forum.zyxmon.org/post14209.html#p14209
И еще очень хорошая статья на эту тему,в ней многое объясняется: http://www.it-simple.ru/?p=2250
у меня работает так как я написал 
sluggard,
У нас просто ситуации не много разные: я пробрасываю порт с внешки одного роутера до локалки второго (подключенного через OpenVPN), а ты просто с внешки роутера до его же локалки. В любом случае, та статья все вопросы должна снять.
sluggard,
У нас просто ситуации не много разные: я пробрасываю порт с внешки одного роутера до локалки второго (подключенного через OpenVPN), а ты просто с внешки роутера до его же локалки. В любом случае, та статья все вопросы должна снять.
не не не )
у меня: инет - роутер (со статическим ip в СПб) - (vpn тунель ) - роутер (с usb модемом за 160 км отСПб) - web-камера
пробрасываю порт с роутера со статическим ip на web-камеру на даче
Ну бог с ним, работает и работает
Отредактировано sluggard (2013-06-28 10:13:04)
Мож кто сталкивался
Проблема следующего характера:
После перезагрузки роутера ,денёк второй всё хорошо работает.
Потом просто firewall.d отваливается.
Прокинут nginx с портами 2221 и 80 вот с внешки и не пускает, локально естественно всё работает.
Порт Keenetica 4343 ,указан в web морде работает нормально.
C IPTABLES наблюдаю какие-то непонятки. Т.е. некоторые правила не добаляются и по комманде "iptables -L" не выводятся, т.к. их нет. Если сдублировать правило в firewall.sh тогда есть шанс, что оно добавится. По совету Zyxmon ставил sleep от 10-60. В таком случае видел или нормальное добавление правил или полное задвоение(firewall.sh выполнялся два раза). Если несколько раз перезагружать то результат всегда разный. Это происходит, что на ультре с 1.11, что на 1 гиге с 1.10. Есть у кого какие соображения?
P.S. в ext_init.sh sleep не добавлял.
dexter, изучайте заводские скрипты /bin/*.sh
Вставляйте в скрипты с usb вызовы logger и смотрите в журнале, что не так. Имейте в виду, что эти скрипты выполняются в фоне (background).
собственнно ввиду того что в теме по заводскому функционалу вопрос касательн iptables был оффтопом спрошу тут там мне подсказали как открыть порты для transmission'a :
#!/bin/sh
TRN_PORT=порт_для_проброса
TRN_RPC_PORT=9091(порт веб интерфейса трансмишена)iptables -A INPUT -p tcp --dport $TRN_PORT -j ACCEPT
iptables -A INPUT -p udp --dport $TRN_PORT -j ACCEPT
iptables -A INPUT -p tcp --dport $TRN_RPC_PORT -j ACCEPT
теперь хотелось бы узнать как их можно закрыть в случае чего ?)) вместо -A использовать -D ?
и вместо переменных $TRN_PORT/$TRN_RPC_PORT можно использовать исходный номер порта ?
з.ы. я так понимаю это специфика кинетика такая что он порт держит открытым не постоянно а открывает его только когда кто-то (всмысле софт) внутри локалки его слушает а потом когда перестаёт слушать закрывает ? т.к. допустим adsl-модем держал порты открытыми постоянно
Отредактировано BackMan (2014-03-24 16:28:36)
теперь хотелось бы узнать как их можно закрыть в случае чего ?)) вместо -A использовать -D ?
верно
вместо переменных $TRN_PORT/$TRN_RPC_PORT можно использовать исходный номер порта ?
Можно, но с переменной как-бы удобней 
я так понимаю это специфика кинетика такая что он порт держит открытым не постоянно а открывает его только когда кто-то (всмысле софт) внутри локалки его слушает а потом когда перестаёт слушать закрывает ?
Ерунда, кинетик тоже постоянно держит. Другой вопрос, что если происходят какие-либо изменения в соединении(в т.ч., возможно, и вызванные запуском/остановом какого-либо софта) фаервол перенастраивается заново, соответственно, все правила перегенерятся. Вот почему важно научиться пользоваться ext_firewall.sh
Добрый день.
Начал замечать атаку на подбор пароля на SSH
Сделал
iptables -A INPUT -p tcp --dport 22 -m recent --default SSH --set
iptables -A INPUT -p tcp --dport 22 -m recent --default SSH --update --seconds 60 --hitcount 4 -j DROPМожет есть у кого то более рабочий вариант?
Может есть у кого то более рабочий вариант?
Доступ по ключу.
Спасибо , так и сделаю
yuoras :Может есть у кого то более рабочий вариант?
Доступ по ключу.
Доступ по ключу, не всегда возможен.Не знаешь где и когда нужно будет законнектиться к роутеру
Нужно на флешке постоянно таскать ключ, да й не везде можно её подключить.
Порывшись на просторах инета , нарыл статью на хабре http://habrahabr.ru/post/88461/.
Что скажете ?.
Отредактировано yuoras (2014-08-10 22:09:19)
доступ по ключам можно реализовать так, что в случае их отсутствия, будет спрашиваться пароль.
Хотя самому настроить вообще доступ по ключам не удалось, в итоге поставил нестандартный порт и брутфорс прекратился (но к iptables это отношения не имеет)
Отредактировано staubnull (2014-08-10 23:00:23)
staubnull, Спасибо ,порт я тоже поменял.
Применил правило в iptables с 91 сообщения , пока всё устраивает.
Но Ваш вариант с смешанной авторизацией (ключ или пароль) ,мне очень нравится .
На досуге помучаю GOOGLE .
yuoras, iptables на кинетике собран с минимумом модулей. Не все директивы iptables будут работать.
Правильно ли я понимаю, что 8085 порт у меня на роутере открыт?
/media/DISK_A1/system/etc/firewall.d # iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:8085
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:8085
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT igmp -- anywhere anywhere
DROP icmp -- anywhere anywhere icmp echo-request
ACCEPT icmp -- anywhere anywhere icmp any
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:kerberos
Chain FORWARD (policy DROP)
target prot opt source destination
DROP all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state NEW
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
Chain OUTPUT (policy ACCEPT)
target prot opt source destinationдля доступа "извне" - он тоже открыт? я - не гуру в iptables
блин.. бред какой-то..
добавляю в fw.sh правило
iptables -I INPUT -p tcp --dport 80 -j ACCEPT
Извне потом заходит в админку роутера... просто через браузер..
а на 8085 - ни в какую не заходит...
для доступа "извне" - он тоже открыт? я - не гуру в iptables
Открыт. Даже дважды:)
блин.. бред какой-то..
добавляю в fw.sh правило
iptables -I INPUT -p tcp --dport 80 -j ACCEPT
Извне потом заходит в админку роутера... просто через браузер..
а на 8085 - ни в какую не заходит...
Открыть-то вы порт открыли, а его кто-либо слушает? А если слушает, то готов ли принимать соединения из интернета?
netstat -ltНа основе PunBB, при поддержке Informer Technologies, Inc.