ПОМОГИТЕ: IPTABLES фильтрация пакето

Post new topic   Reply to topic    DD-WRT Forum Index -> DD-WRT по-русски
Author Message
shurc
DD-WRT Novice


Joined: 31 Dec 2019
Posts: 2

PostPosted: Tue Dec 31, 2019 20:01    Post subject: ПОМОГИТЕ: IPTABLES фильтрация пакето Reply with quote
Всем доброго времени суток!

Исходные данные:
- Роутер DIR300
- прошивка: Firmware: DD-WRT v24-sp2 (03/25/13) std
- подключен к интернет и имеет постоянный внешний IP 185.xx.xx.204 через WAN порт (интерфейс vlan2)
- на роутере настроен проброс портов [tcp dpt:44789 to:192.168.0.10:44789]
- к роутеру подключен DVR с камерами наблюдения (через ethernet-кабель), DVR имеет постоянный внутрисетевой IP: 192.168.0.10, доступ к камерам осуществляется через порт 44789
- вот на этом роутере я хочу фильтровать пакеты, которые поступают на порт 44789 с внешней сети

Задачи:
1. записать в журнал когда и с какого IP были попытки доступа на соответствующий порт 44789
2. чтобы не засорять журнла, нужно записывать не более 5 значений за 5 минут
3. отфильтровать пакеты. Т.е. с некоторых IP - разрешить доступ на этот порт, а с некоторых - запретить, а остальные просто наблюдать и записывать в журнал

Проблема:
1. не могу записать в журнал данные о входящих пакетах на соответствующий порт, т.к. не вижу их в таблице FILTER
2. не могу отфильтровать пакеты по IP адресу, т.к. не вижу их в таблице FILTER

Как работает:
- все работает отлично - доступ к камерам имеется, захожу с любого внешнего IP и могу достучаться к DVR на порт 44789 без проблем, нареканий нет
- не могу понять на каком этапе и в какой таблице фильтруются пакеты, идущие на этот порт
- в таблице FILTER->FORWARD есть какие-то пакеты (видно на скрине), но это не совсем то, т.к., когда я подключаюсь к камерам наблюдения, то трафик на самом деле 0,5Мб/сек, а в журнале FORWARD записалось каких-то 300 байт и на этом все
- netstat тоже не видит входящих соединений на этот порт, т.е. в то время, когда я подключился и просматриваю картинку с камер, в netstat никакой информации об этом нет
- но, включая системный журнал на вкладке Security->Firewall->Log Management
Log: Enable
Log Level: high
я спокойно вижу как эти все пакеты проходят и идут по назначению, а вот как их мне перехватить (в каком месте, какой командой) я не знаю

Доп. информация
- прилагаю текстовый вариант журнала (Security->Firewall->Log Management)
- прилагаю скрин настроек фаервола
- прилагаю скрин записи с iptables -t nat
- прилагаю скрин записи с iptables -t filter


Dec 31 19:43:22 DD-WRT kern.warn kernel: ACCEPT IN=vlan2 OUT=br0 MAC=00:00:11:22:33:44:55:66:77:88:99:00:08:00:45:00:00:3c SRC=46.211.104.95 DST=192.168.0.10 LEN=60 TOS=0x00 PREC=0x00 TTL=55 ID=46808 DF PROTO=TCP SPT=26573 DPT=44789 SEQ=325854005 ACK=0 WINDOW=12330 RES
Dec 31 19:44:35 DD-WRT kern.warn kernel: ACCEPT IN=vlan2 OUT=br0 MAC=00:00:11:22:33:44:55:66:77:88:99:00:08:00:45:00:00:3c SRC=46.211.104.95 DST=192.168.0.10 LEN=60 TOS=0x00 PREC=0x00 TTL=55 ID=14803 DF PROTO=TCP SPT=26608 DPT=44789 SEQ=2304214882 ACK=0 WINDOW=12330 RE
Dec 31 19:44:37 DD-WRT kern.warn kernel: ACCEPT IN=vlan2 OUT=br0 MAC=00:00:11:22:33:44:55:66:77:88:99:00:08:00:45:00:00:3c SRC=46.211.104.95 DST=192.168.0.10 LEN=60 TOS=0x00 PREC=0x00 TTL=56 ID=5039 DF PROTO=TCP SPT=26392 DPT=44789 SEQ=2309467354 ACK=0 WINDOW=12330 RES
Dec 31 19:44:37 DD-WRT kern.warn kernel: ACCEPT IN=vlan2 OUT=br0 MAC=00:00:11:22:33:44:55:66:77:88:99:00:08:00:45:00:00:3c SRC=46.211.104.95 DST=192.168.0.10 LEN=60 TOS=0x00 PREC=0x00 TTL=55 ID=28136 DF PROTO=TCP SPT=26540 DPT=44789 SEQ=113758866 ACK=0 WINDOW=12330 RES
Dec 31 19:44:37 DD-WRT kern.warn kernel: ACCEPT IN=vlan2 OUT=br0 MAC=00:00:11:22:33:44:55:66:77:88:99:00:08:00:45:00:00:3c SRC=46.211.104.95 DST=192.168.0.10 LEN=60 TOS=0x00 PREC=0x00 TTL=56 ID=38542 DF PROTO=TCP SPT=26532 DPT=44789 SEQ=3616876810 ACK=0 WINDOW=12330 RE
Dec 31 19:44:37 DD-WRT kern.warn kernel: ACCEPT IN=vlan2 OUT=br0 MAC=00:00:11:22:33:44:55:66:77:88:99:00:08:00:45:00:00:3c SRC=46.211.104.95 DST=192.168.0.10 LEN=60 TOS=0x00 PREC=0x00 TTL=55 ID=35479 DF PROTO=TCP SPT=26584 DPT=44789 SEQ=3456775451 ACK=0 WINDOW=12330 RE
Sponsor
Display posts from previous:    Page 1 of 1
Post new topic   Reply to topic    DD-WRT Forum Index -> DD-WRT по-русски All times are GMT

Navigation

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
You cannot attach files in this forum
You cannot download files in this forum