Openwrt - 2 (instalace, základní nastavení) (diskuse)

Ahoj, potřeboval bych poradit s nastavením iptables. Zkoušel jsem se obrátit na někoho z diskutujících, ale zřejmě mu můj mail nepřišel, takže svůj problém předhazuji k diskuzi... Používám Asus WL500g a sdílím linku několika dalším známým. Jelikož se nám zde vyskytl P2P stahovač, chtěl jsem omezit některé porty pomocí iptables, ale ačkoliv jsem příkaz zavedl, port byl v NAT stejně vidět jako otevřený... Můžete mi poradit v čem dělám chybu? S linuxem jsem si zatím tak nepotykal a možná jsem jen vytvořil nějaký špatný příkaz... Zadal jsem toto: iptables -A INPUT -m tcp -p tcp --sport 411 --dport 411 -j DROP Pokud tomu dobře rozumím, měl by být blokován port 411 v obo směrech (tu 411ku jsem dal na zkoušku, pak bych samozřejmě přidal další...). INPUT je (předpokládám) jenom pojmenovaná skupina pravidel (je tam víc skupin)... Na Asusu mám firmware 1.60 (koppel). Byl bych moc rád kdyby mně někdo popostrčil...

29.12.2005 19:49 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Problém s iptables v Asusu

Zkusil jsem toto:
  iptables -A INPUT -m tcp -p tcp --sport 411 --dport 411 -j DROP
Pokud tomu dobře rozumím, měl by být blokován port 411 v obo směrech (tu 411ku jsem dal na zkoušku, pak bych samozřejmě přidal další...).

Záleží na tom, co myslíte výrazem "blokován port 411 v obou směrech". To pravidlo dělá přesně to, co je v něm napsáno: zahazuje příchozí TCP pakety z portu 411 na port 411. Nic víc a nic méně. Má křištálová koule mi říká, že jste možná chtěl spíš něco na způsob

  iptables -A FORWARD -i $INTIF -o $EXTIF -p tcp --dport 411 -j DROP
  iptables -A FORWARD -i $EXTIF -o $INTIF -p tcp --dport 411 -j DROP

Nebo taky možná něco úplně jiného, ale to si musíte nejdřív jasně formulovat, co vlastně chcete…

P.S. Dotaz pokládejte jen jednou. Rozspamujete-li ho do více diskusí, potenciální odpovídače spíš naštvete. A pokud možno do odpovídající části webu, ne do diskuse pod článek, se kterým souvisí jen okrajově.

29.12.2005 19:50 jdobry
Rozbalit Rozbalit vše Re: Problém s iptables v Asusu

chyba je ze pravidlo vyzaduje aby port 411 byl soucasne source i destinastion a to skoro nikdy splneno neni.

Musi se to rozdelit na 2 pravidla
iptables -A INPUT -m tcp -p tcp --dport 411 -j DROP
iptables -A INPUT -m tcp -p tcp --sport 411 -j DROP
dat pozor aby predchozi pravidlo neosahovalo nejke obecnejsi povoleni. Pak by se router pri prochazeni pravydli na toto vubec nedostal.

Ale zasadni chybu vydim v pristupu vsechno povolit, neco zakazat. V praxi je vyhodnejsi pristup vsechno zakazat a 2x si rozmyslet co povolim.

Krome toho to stejne ten stahovac obejde, protoze vestina soucasnych P2P programu s timto nastavenim pocita a dokaze porty menit. Pak je jedina sance filtrovani na ISO Layer 7.

V kazdem pripade doporucuji si napred neco poradne nastudovat.

29.12.2005 20:58 S.Prchal
Rozbalit Rozbalit vše Re: Problém s iptables v Asusu

Jde o to, že pokud se uživatel nepřipojí k hubu (cílem je zahodit vše na daném portu), nehrozí že si otevře další porty (nejdřív musí navázat připojení na hub). Dotyčný stahovač může použít jiný P2P (toto má blokovat DC++), pak si s nastavováním můžu hrát dál... Tuším že jsem to nejprve psal zvlášť (tak jak vy), ale stejně to připojilo... Obecně je určitě lepší zakázat vše a povolit vybrané, já si chci tak trochu vyzkoušet co to všechno umí... Zdá se, že problém bude právě v nějakém tom obecnějším povolení. Za odeslání dotazu 2x se vážně omlouvám, nejprve jsem ho vložil do starší diskuze a pak jsem si všimnul že vyšel druhý díl, takže zde budu mít trochu větší šanci na odpověď. Uznávám že jsem to trochu přepísk, už se to nebude opakovat ;-)

30.12.2005 03:12 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Problém s iptables v Asusu

Pokud chcete blokovat přístup stahovače na nějaký server venku, těžko toho docílíte filtrováním v chainu INPUT (tedy za určitých okolností nepřímo ano, ale rozhodně to není obvyklý postup). Podle okolností to bude OUTPUT (jde-li o provoz přímo z počítače, kde nastavujete filtr) nebo FORWARD (jde-li to skrz něj). Asi by bylo lepší místo střelby naslepo začít studiem dokumentace, např. Packet Filtering HOWTO.

10.1.2006 19:02 ja
Rozbalit Rozbalit vše Re: Problém s iptables v Asusu

Omezit prilisne toky dat - bez ohledu na pojem tzv. "stahovac" jde v linuxu pomoci kombinace iptables jako znackovace a HTB. Vyhoda je omezeni max. rychlosti a garance jisteho minima pro kazde IP, takze pokud chteji na net i mene dat chtivi useri, tak je "stahovac" prilis neomezi. Zaroven, pokud je linka volna, necht si ji pouzije kdo chce. Jenze to chce odbornika, ktery veci rozumi a nastavi to dobre ... Dalsi moznost je dotycnemu rici, necht si nasadi netlimiter ci podobny sw do widli, jeho spravu zvladne opravdu kazdy a pokud bude prekracovat dohodnute limity lze jeho IP na par dni zablokovat a jiste zkrotne ...

4.1.2006 15:07 reset
Rozbalit Rozbalit vše Re: Problém s iptables v Asusu

co je parametr -m v iptables ? pro specifikaci protokolu staci pouze -p

4.1.2006 23:33 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Problém s iptables v Asusu

Natažení modulu (iptables, ne jádra). Ale v tomto případě je to zbytečné, protože '-p tcp' se automaticky chová jako '-p tcp -m tcp'.

5.1.2006 10:11 J
Rozbalit Rozbalit vše Re: Problém s iptables v Asusu

Ehm, nebylo by lepsi nez nesmyslne omezovani portu, ktere stejne nicemu nepomuze, nastavit htb/cbq ? Predne DC hub muze bezet na libovolnem jinem portu a vzhledem k minimalnimu provozu mezi klientem a HUBem muze navic toto spojeni pomoci vytvorit i nejaky ten zprostredkovatel venku, tudiz omezeni timto zpusobem je naprosto knicemu.

OpenWRT shapovat umi, balicky jsou ke stazeni a CPU ma dost vykonu na to, aby tech par kB co se da protlacit pres wifi oshapoval.

Kdyz uz sem pisu, k tomu flashovani, mam Linksyse, pro ktery je tento firmware/distro primarne urcen (WRT54G). Pokud je nastaveno "boot wait", tak vzdy pri bootu je krabka nekolik vterin v rezimu, kdy ceka pripojeni tftp (pouze na portech switche, ne na wifi nebo wan). Pokud je v teto dobe zahajena komunikace, tak nezacne standardni boot. Defaultni firmware je nejlepe flashnout z weboveho rozhrani - jednoduse se mu predhodi img openWRT. Treti moznost je natahnout firmware do pameti a flashnout jej primo v routeru (viz popis na webu).

Ahoj,potreboval bych par rad ohledne openwrt kamikaze 7.09.

Potreboval bych povolit pristup z wan na muj router ASUS wl 500g. Dal by me zajimalo jak je to z DMZ,kde ho mam nastavit. A posledni vec je jak udelat misto pro dalsi instalace..

Predem diky za kazdou radu:

iptables -F input_rule iptables -F output_rule iptables -F forwarding_rule iptables -t nat -F prerouting_rule iptables -t nat -F postrouting_rule

# The following chains are for traffic directed at the IP of the # WAN interface

iptables -F input_wan iptables -F forwarding_wan iptables -t nat -F prerouting_wan

### Open port to WAN ## -- This allows port 22 to be answered by (dropbear on) the router # iptables -t nat -A prerouting_wan -p tcp --dport 22 -j ACCEPT # iptables -A input_wan -p tcp --dport 22 -j ACCEPT

### Port forwarding ## -- This forwards port 8080 on the WAN to port 80 on 192.168.1.2 # iptables -t nat -A prerouting_wan -p tcp --dport 8080 -j DNAT --to 192.168.1.2:80 # iptables -A forwarding_wan -p tcp --dport 80 -d 192.168.1.2 -j ACCEPT

### DMZ ## -- Connections to ports not handled above will be forwarded to 192.168.1.2 # iptables -t nat -A prerouting_wan -j DNAT --to 192.168.1.2 # iptables -A forwarding_wan -d 192.168.1.2 -j ACCEPT