Запретить локалку ...

Post new topic   Reply to topic    DD-WRT Forum Index -> Использование и установка DD-WRT
Goto page Previous  1, 2
View previous topic :: View next topic  
Author Message
livestud
DD-WRT Novice


Joined: 28 Apr 2010
Posts: 13
PostPosted: Thu Apr 29, 2010 15:13    Post subject: Reply with quote
loginrl103 wrote:

но твоя схема точно правильно нарисована?
iptables -I FORWARD 1 -i eth1 -p tcp -d 192.168.1.0/24 -j DROP
iptables -I FORWARD 1 -i eth1 -p tcp -d ip_microtik -j ACCEPT

Схема нарисована для видимости трафика.
В реальности впн идет из 10.0.0.2, а все конекты к серверу через дир(точка доступа)


Менять ли интерфейсы в командах на свои вайфайовские?
И при таком раскладе надо чтобы работал "ath0.1" - виртуальный интерфейс?
Эсли надо то на него тоже прописывать команды?

Code:

iptables -I FORWARD 1 -i ath0 -p tcp -d 192.168.1.0/24 -j DROP
iptables -I FORWARD 1 -i ath0 -p tcp -d 192.168.1.10 -j ACCEPT
iptables -I FORWARD 1 -i ath0.1 -p tcp -d 192.168.1.0/24 -j DROP
iptables -I FORWARD 1 -i ath0.1 -p tcp -d 192.168.1.10 -j ACCEPT
Back to top View user's profile Send private message Visit poster's website
Sponsor
livestud
DD-WRT Novice


Joined: 28 Apr 2010
Posts: 13
PostPosted: Thu May 06, 2010 17:21    Post subject: Что делать дальше? Как мне быть? Reply with quote
Ничего не помогло?
Все пользователи видят каждого в сети (и из за напрягов по вайфаю он вырубается и перегружается).
Убрал даже виртуальный интерфейс (что с ним что без него всеравно не фурычит)
Back to top View user's profile Send private message Visit poster's website
loginrl103
DD-WRT User


Joined: 06 Nov 2009
Posts: 389
PostPosted: Thu May 06, 2010 18:15    Post subject: Reply with quote
откровенно говоря, всё равно не догоняю схему твоей сети.
нарисована она, мягко говоря, нестандартно (слабо сказано).
нарисуй без всяких сервисов, с ипишниками, полную топологию.
Back to top View user's profile Send private message
kenzo
DD-WRT User


Joined: 28 Feb 2009
Posts: 138
PostPosted: Fri May 07, 2010 16:17    Post subject: Reply with quote
del

Last edited by kenzo on Sat May 08, 2010 4:03; edited 1 time in total
Back to top View user's profile Send private message
loginrl103
DD-WRT User


Joined: 06 Nov 2009
Posts: 389
PostPosted: Fri May 07, 2010 18:24    Post subject: Reply with quote
информация размышления о чём?
Back to top View user's profile Send private message
kenzo
DD-WRT User


Joined: 28 Feb 2009
Posts: 138
PostPosted: Sat May 08, 2010 4:04    Post subject: Reply with quote
loginrl103 wrote:
информация размышления о чём?

ты наверно прав, погорячился я..
Back to top View user's profile Send private message
livestud
DD-WRT Novice


Joined: 28 Apr 2010
Posts: 13
PostPosted: Tue May 11, 2010 18:34    Post subject: Reply with quote
loginrl103 wrote:
откровенно говоря, всё равно не догоняю схему твоей сети.
нарисована она, мягко говоря, нестандартно (слабо сказано).
нарисуй без всяких сервисов, с ипишниками, полную топологию.


Last edited by livestud on Thu May 13, 2010 17:31; edited 1 time in total
Back to top View user's profile Send private message Visit poster's website
loginrl103
DD-WRT User


Joined: 06 Nov 2009
Posts: 389
PostPosted: Wed May 12, 2010 6:58    Post subject: Reply with quote
в нижнем жёлтом облаке
eth1 - обслуживает 192.168.1.49,50,21
wl0.1 - соединён с dir-400
так?
ath0 - что за интерфейс и куда смотрит?

приведи ещё route -n

Last edited by loginrl103 on Wed May 12, 2010 7:06; edited 2 times in total
Back to top View user's profile Send private message
livestud
DD-WRT Novice


Joined: 28 Apr 2010
Posts: 13
PostPosted: Wed May 12, 2010 17:49    Post subject: Reply with quote
loginrl103 wrote:
в нижнем жёлтом облаке
eth1 - обслуживает 192.168.1.49,50,21
wl0.1 - соединён с dir-400
так?
ath0 - что за интерфейс и куда смотрит?

приведи ещё route -n


Все раздачи ведутся по вай-фаю "ath0"
Микротик подключен к диру через витую пару.

Code:

root@BSMU:~# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 br0
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo



Last edited by livestud on Thu May 13, 2010 17:30; edited 1 time in total
Back to top View user's profile Send private message Visit poster's website
loginrl103
DD-WRT User


Joined: 06 Nov 2009
Posts: 389
PostPosted: Thu May 13, 2010 5:01    Post subject: Reply with quote
в файерволле пакет проходит правило последовательно, согласно созданной логике: если пакет прошёл правило ACCEPT, то он будет пропущен и дальше не будет обрабатываться, с DROP аналогично - пакет будет отброшен и дальше обрабатываться не будет.

ath0.x - виртуальный интерфейс.

попробуй так прописать правила:
Code:

iptables -I FORWARD 1 -i ath0   -p tcp -d 192.168.1.10 -j ACCEPT
iptables -I FORWARD 2 -i ath0.1 -p tcp -d 192.168.1.10 -j ACCEPT

iptables -I FORWARD 3 -i ath0 -p tcp -d 192.168.1.0/24 -j DROP
iptables -I FORWARD 4 -i ath0.1 -p tcp -d 192.168.1.0/24 -j DROP
Back to top View user's profile Send private message
livestud
DD-WRT Novice


Joined: 28 Apr 2010
Posts: 13
PostPosted: Thu May 13, 2010 17:37    Post subject: Reply with quote
loginrl103 wrote:
в файерволле пакет проходит правило последовательно, согласно созданной логике: если пакет прошёл правило ACCEPT, то он будет пропущен и дальше не будет обрабатываться, с DROP аналогично - пакет будет отброшен и дальше обрабатываться не будет.

ath0.x - виртуальный интерфейс.

попробуй так прописать правила:
Code:

iptables -I FORWARD 1 -i ath0   -p tcp -d 192.168.1.10 -j ACCEPT
iptables -I FORWARD 2 -i ath0.1 -p tcp -d 192.168.1.10 -j ACCEPT

iptables -I FORWARD 3 -i ath0 -p tcp -d 192.168.1.0/24 -j DROP
iptables -I FORWARD 4 -i ath0.1 -p tcp -d 192.168.1.0/24 -j DROP


Огромнешое спасибо loginrl103.
Всеравно пускает в сеть к компам, вижу их ресурсы можно скачивать (я так понял, если бы вот етих строк небыло
ACCEPT gre -- 192.168.1.0/24 anywhere
ACCEPT tcp -- 192.168.1.0/24 anywhere tcp dpt:1723
то все бы работало?)

Вот что пишет дир:
Code:
root@BSMU:~# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     0    --  anywhere             anywhere            state RELATED,ESTAB
LISHED
DROP       udp  --  anywhere             anywhere            udp dpt:route
DROP       udp  --  anywhere             anywhere            udp dpt:route
ACCEPT     udp  --  anywhere             anywhere            udp dpt:route
logaccept  tcp  --  anywhere             BSMU                tcp dpt:www
logaccept  tcp  --  anywhere             BSMU                tcp dpt:telnet
DROP       icmp --  anywhere             anywhere           
DROP       igmp --  anywhere             anywhere           
ACCEPT     0    --  anywhere             anywhere            state NEW
logaccept  0    --  anywhere             anywhere            state NEW
DROP       0    --  anywhere             anywhere           

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             192.168.1.10       
ACCEPT     tcp  --  anywhere             192.168.1.10       
DROP       tcp  --  anywhere             192.168.1.0/24     
DROP       tcp  --  anywhere             192.168.1.0/24     
ACCEPT     gre  --  192.168.1.0/24       anywhere           
ACCEPT     tcp  --  192.168.1.0/24       anywhere            tcp dpt:1723
ACCEPT     0    --  anywhere             anywhere           
TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/S
YN TCPMSS clamp to PMTU
lan2wan    0    --  anywhere             anywhere           
ACCEPT     0    --  anywhere             anywhere            state RELATED,ESTAB
LISHED
TRIGGER    0    --  anywhere             anywhere            TRIGGER type:in mat
ch:0 relate:0
trigger_out  0    --  anywhere             anywhere           
ACCEPT     0    --  anywhere             anywhere            state NEW
DROP       0    --  anywhere             anywhere           

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain advgrp_1 (0 references)
target     prot opt source               destination         

Chain advgrp_10 (0 references)
target     prot opt source               destination         

Chain advgrp_2 (0 references)
target     prot opt source               destination         

Chain advgrp_3 (0 references)
target     prot opt source               destination         

Chain advgrp_4 (0 references)
target     prot opt source               destination         

Chain advgrp_5 (0 references)
target     prot opt source               destination         

Chain advgrp_6 (0 references)
target     prot opt source               destination         

Chain advgrp_7 (0 references)
target     prot opt source               destination         

Chain advgrp_8 (0 references)
target     prot opt source               destination         

Chain advgrp_9 (0 references)
target     prot opt source               destination         

Chain grp_1 (0 references)
target     prot opt source               destination         

Chain grp_10 (0 references)
target     prot opt source               destination         

Chain grp_2 (0 references)
target     prot opt source               destination         

Chain grp_3 (0 references)
target     prot opt source               destination         

Chain grp_4 (0 references)
target     prot opt source               destination         

Chain grp_5 (0 references)
target     prot opt source               destination         

Chain grp_6 (0 references)
target     prot opt source               destination         

Chain grp_7 (0 references)
target     prot opt source               destination         

Chain grp_8 (0 references)
target     prot opt source               destination         

Chain grp_9 (0 references)
target     prot opt source               destination         

Chain lan2wan (1 references)
target     prot opt source               destination         

Chain logaccept (3 references)
target     prot opt source               destination         
ACCEPT     0    --  anywhere             anywhere           

Chain logdrop (0 references)
target     prot opt source               destination         
DROP       0    --  anywhere             anywhere           

Chain logreject (0 references)
target     prot opt source               destination         
REJECT     tcp  --  anywhere             anywhere            tcp reject-with tcp
-reset

Chain trigger_out (1 references)
target     prot opt source               destination
Back to top View user's profile Send private message Visit poster's website
loginrl103
DD-WRT User


Joined: 06 Nov 2009
Posts: 389
PostPosted: Fri May 14, 2010 5:59    Post subject: Reply with quote
куда картинки-то делись?
Code:

ACCEPT gre -- 192.168.1.0/24 anywhere
ACCEPT tcp -- 192.168.1.0/24 anywhere tcp dpt:1723

правила, разрешающие vpn.

попробуй так
Code:

iptables -I FORWARD 1 -i ath0   -p all -d 192.168.1.10 -j ACCEPT
iptables -I FORWARD 2 -i ath0.1 -p all -d 192.168.1.10 -j ACCEPT

iptables -I FORWARD 3 -i ath0 -p all -d 192.168.1.0/24 -j DROP
iptables -I FORWARD 4 -i ath0.1 -p all -d 192.168.1.0/24 -j DROP


192 168 - это адреса машин в впне? или так, "обычные" ?

ps. напиши свои координаты - по аське проще будет решить)
Back to top View user's profile Send private message
livestud
DD-WRT Novice


Joined: 28 Apr 2010
Posts: 13
PostPosted: Fri May 14, 2010 14:59    Post subject: Reply with quote
loginrl103 wrote:

192 168 - это адреса машин в впне? или так, "обычные" ?

ps. напиши свои координаты - по аське проще будет решить)

192.168 сетевые
172.16 NAT внешние
три4091369дев'ять
Back to top View user's profile Send private message Visit poster's website
Goto page Previous  1, 2 Display posts from previous:    Page 2 of 2
Post new topic   Reply to topic    DD-WRT Forum Index -> Использование и установка DD-WRT All times are GMT

Navigation

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
You cannot attach files in this forum
You cannot download files in this forum