|
Problem z logowanie z WWW
|
| unky |
Dodano 18-02-2011 13:43
|
User
Posty: 18
Dołączył: 18/02/2011 11:44
|
Witam
Chyba coś namieszałem skryptach Tomato (Firewall script) bo nie mogę się zalogować z poziomu WWW. Z telnetu wchodzi normalnie.
Co powinienem zrobić zebym ponownie mógł wchodzic z poziomu WWW? |
| |
|
|
| szalikmars |
Dodano 18-02-2011 13:56
|
User
Posty: 182
Dołączył: 02/12/2007 23:56
|
spróbuj zmienić przgladarke na poczatek |
| |
|
|
| unky |
Dodano 18-02-2011 14:42
|
User
Posty: 18
Dołączył: 18/02/2011 11:44
|
Nie pomaga 
Da się jakoś przywrócić tzw. ustawienia fabryczne Tomato? |
| |
|
|
| shibby |
Dodano 18-02-2011 16:39
|
SysOp
Posty: 17111
Dołączył: 15/01/2009 20:30
|
masz telnet powiadasz tak? To pokaz mi
Cytat nvram get script_fire
Router: Unifi Cloud Gateway Max
Switch: Netgear MS510TXPP
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| unky |
Dodano 21-02-2011 10:45
|
User
Posty: 18
Dołączył: 18/02/2011 11:44
|
# nvram get script_fire
#--------------------------------------------
#WRT54 Script Generator v1.02
#(C) 2006-2007 Robert "Robson" Mytkowski
#--------------------------------------------
iptables -I FORWARD -p tcp --dport 81:65535 -j DROP
iptables -I INPUT -p tcp --dport 81:65535 -j DROP |
| |
|
|
| shibby |
Dodano 21-02-2011 11:09
|
SysOp
Posty: 17111
Dołączył: 15/01/2009 20:30
|
no to zrob
Cytat nvram set script-fire=' '
nvram commit
nastepnie restart routera
Router: Unifi Cloud Gateway Max
Switch: Netgear MS510TXPP
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| unky |
Dodano 21-02-2011 11:28
|
User
Posty: 18
Dołączył: 18/02/2011 11:44
|
Poszło 
Czyli coś zblokowałem w iptables. aaa...już widzę, ustawilem administrowanie tomato na porcie 443 a tutaj to zablokowałem.
Mam teraz pytanko dodatkowe, bo walczę z iptables a efekty jak widać słabe.
Chciałbym u mnie w pubie w którym mam wifi dla klientów odblokować tylko 2 porty 80 i 443 tak żeby działała usługa WWW.
Resztę chciałbym wyciąć. Ma ktoś jakiś pomysł co powinienem wpisać do script_fire bo nie chcę dalej kombinować żeby nie zablokować routera przypadkiem.
Pozdrawiam
ps. jaką komendą z telnetu można zrestartowac usługę Firewall?
Edytowany przez unky dnia 21-02-2011 11:42
|
| |
|
|
| shibby |
Dodano 21-02-2011 12:16
|
SysOp
Posty: 17111
Dołączył: 15/01/2009 20:30
|
Cytat iptables -I FORWARD -p tcp --dport 1:52 -j DROP
#port 53 - dns
iptables -I FORWARD -p tcp --dport 53:79 -j DROP
#port 80 - http
iptables -I FORWARD -p tcp --dport 81:442 -j DROP
#port 443 - https
iptables -I FORWARD -p tcp --dport 444:65535 -j DROP
#oraz udp
iptables -I FORWARD -p udp --dport 1:66 -j DROP
#porty 67 i 68 - dhcpd
iptables -I FORWARD -p udp --dport 69-65535 -j DROP
i powinno byc ok 
Cytat jaką komendą z telnetu można zrestartowac usługę Firewall?
service firewall restart
Router: Unifi Cloud Gateway Max
Switch: Netgear MS510TXPP
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| unky |
Dodano 21-02-2011 13:16
|
User
Posty: 18
Dołączył: 18/02/2011 11:44
|
Niestety nie działa tak jak powinno.
Wpisałem do skryptu Firewall to co podałeś i niestety żadna strona sie nie otwiera teraz :-(
Chodzi DNS, mogę wysłać ping na jakiś serwer, laptop dostaje IP z routera czyli też działa DHCP.
Niestety stronki żadnej nie mogę otworzyć. Nie działa ani HTTP ani HTTPS.
Coś chyba trzeba by zmienić jeszcze. |
| |
|
|
| shibby |
Dodano 21-02-2011 15:01
|
SysOp
Posty: 17111
Dołączył: 15/01/2009 20:30
|
no dobra moj blad
iptables -I FORWARD -p tcp --dport 54:79 -j DROP
a bylo 53.
Router: Unifi Cloud Gateway Max
Switch: Netgear MS510TXPP
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| unky |
Dodano 21-02-2011 16:00
|
User
Posty: 18
Dołączył: 18/02/2011 11:44
|
Niestety nadal nie trybi.
Poprawilem jeszcze ostatnią linię :
BYŁO: iptables -I FORWARD -p udp --dport 69-65535 -j DROP
a wstawiłem: iptables -I FORWARD -p udp --dport 69:65535 -j DROP
Kreska zamiast ":" pomiędzy wierszami.
Poniżej zrzut z nvram:
# nvram get script_fire
iptables -I FORWARD -p tcp --dport 1:52 -j DROP
#port 53 - dns
iptables -I FORWARD -p tcp --dport 54:79 -j DROP
#port 80 - http
iptables -I FORWARD -p tcp --dport 81:442 -j DROP
#port 443 - https
iptables -I FORWARD -p tcp --dport 444:65535 -j DROP
#oraz udp
iptables -I FORWARD -p udp --dport 1:66 -j DROP
#porty 67 i 68 - dhcpd
iptables -I FORWARD -p udp --dport 69:65535 -j DROP
i niestety nadal nie działa. |
| |
|
|
| shibby |
Dodano 21-02-2011 16:44
|
SysOp
Posty: 17111
Dołączył: 15/01/2009 20:30
|
no to komentuj # pokolei linijki i zobacz ktora go boli.
Router: Unifi Cloud Gateway Max
Switch: Netgear MS510TXPP
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| unky |
Dodano 22-02-2011 10:59
|
User
Posty: 18
Dołączył: 18/02/2011 11:44
|
Mam teraz skrypt w takiej postaci:
# nvram get script_fire
iptables -I FORWARD -p tcp --dport 1:52 -j DROP
#port 53 - dns
iptables -I FORWARD -p tcp --dport 54:79 -j DROP
#port 80 - http
iptables -I FORWARD -p tcp --dport 81:442 -j DROP
#port 443 - https
#iptables -I FORWARD -p tcp --dport 444:65535 -j DROP
#oraz udp
iptables -I FORWARD -p udp --dport 1:66 -j DROP
#porty 67 i 68 - dhcpd
iptables -I FORWARD -p udp --dport 69:65535 -j DROP
Zablokowana jest linijka:
#iptables -I FORWARD -p tcp --dport 444:65535 -j DROP
HTTP i HTTPS działa, można wchodzi na strony. Niestety jak odblokuje tą linię co powyżej to już nie mogę wejść na żadną stronę.
Oczywiście P2P też teraz działają bo chyba porty powyżej 443 nie są wycięte jak ta linia jest zablokowana.
Jakieś sugestie? |
| |
|
|
| shibby |
Dodano 22-02-2011 11:16
|
SysOp
Posty: 17111
Dołączył: 15/01/2009 20:30
|
a nie masz jakiegos proxy czy cos? pozostale porty nie powinny byc potrzebne do stron.
Router: Unifi Cloud Gateway Max
Switch: Netgear MS510TXPP
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| nerio88 |
Dodano 22-02-2011 11:17
|
User
Posty: 175
Dołączył: 10/06/2010 21:50
|
Siłą rzeczy..., bo ta linijka jest zbyt ogólna - odnosi się do połączeń od ciebie i do ciebie (a jak wiadomo transmisja HTTP po jednej stronie używa portu 80, a po drugiej losowego z wysokiego zakresu...)
Najprostszym rozwiązaniem o ile mnie pamięć nie myli to puszczenie połączeń nawiązanych i wtedy powinno blokować te od 444:655535 i HTTP będzie pykać...
na początku dodaj:
iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
restart routera po tym
Dobrze by było jakbyś pokazał jak wygląda wyjście z
bo dodawanie regułek to jedno, a to co już tam siedzi to drugie... |
| |
|
|
| shibby |
Dodano 22-02-2011 11:35
|
SysOp
Posty: 17111
Dołączył: 15/01/2009 20:30
|
@nerio racja
rozwiazanie. Zablokowac tylko ruch wychodzacy na dane porty (bo o to nam przeciez chodzi )
Cytat iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 1:52 -j DROP
#port 53 - dns
iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 54:79 -j DROP
#port 80 - http
iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 81:442 -j DROP
#port 443 - https
iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 444:65535 -j DROP
#oraz udp
iptables -I FORWARD -s 192.168.1.0/24 -p udp --dport 1:66 -j DROP
#porty 67 i 68 - dhcpd
iptables -I FORWARD -s 192.168.1.0/24 -p udp --dport 69:65535 -j DROP
Router: Unifi Cloud Gateway Max
Switch: Netgear MS510TXPP
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| unky |
Dodano 22-02-2011 12:45
|
User
Posty: 18
Dołączył: 18/02/2011 11:44
|
Cytat nerio88 napisał(a):
Siłą rzeczy..., bo ta linijka jest zbyt ogólna - odnosi się do połączeń od ciebie i do ciebie (a jak wiadomo transmisja HTTP po jednej stronie używa portu 80, a po drugiej losowego z wysokiego zakresu...)
Najprostszym rozwiązaniem o ile mnie pamięć nie myli to puszczenie połączeń nawiązanych i wtedy powinno blokować te od 444:655535 i HTTP będzie pykać...
na początku dodaj:
iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
restart routera po tym
Dobrze by było jakbyś pokazał jak wygląda wyjście z
bo dodawanie regułek to jedno, a to co już tam siedzi to drugie...
Wygląda na to że teraz ruszyło. HTTP i HTTPS działa OK, nie działa emule, torrenty itd. czyli o to co mu chodziło.
Ponizej zrzut tego o co prosiłeś:
# iptables -L -v -n
Chain INPUT (policy DROP 4 packets, 112 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP 0 -- br0 * 0.0.0.0/0 192.168.1.110
0 0 DROP 0 -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
125 28577 ACCEPT 0 -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
100 6476 ACCEPT 0 -- br0 * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT 0 -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.2.1 tcp dpt:443
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
1838 783K ACCEPT 0 -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
279 21520 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:69:65535
4 316 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:1:66
39 1976 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:444:65535
36 1824 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:81:442
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:54:79
6 304 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:1:52
0 0 ACCEPT 0 -- br0 br0 0.0.0.0/0 0.0.0.0/0
0 0 DROP 0 -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
0 0 TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 tcpmss match 1461:65535 TCPMSS set 1460
0 0 ACCEPT 0 -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 wanin 0 -- vlan1 * 0.0.0.0/0 0.0.0.0/0
89 4628 wanout 0 -- * vlan1 0.0.0.0/0 0.0.0.0/0
89 4628 ACCEPT 0 -- br0 * 0.0.0.0/0 0.0.0.0/0
0 0 upnp 0 -- vlan1 * 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT 364 packets, 84057 bytes)
pkts bytes target prot opt in out source destination
Chain upnp (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT udp -- * * 0.0.0.0/0 192.168.2.181 udp dpt:63629
Chain wanin (1 references)
pkts bytes target prot opt in out source destination
Chain wanout (1 references)
pkts bytes target prot opt in out source destination
# |
| |
|
|
| zovalik |
Dodano 18-03-2011 00:31
|
User
Posty: 7
Dołączył: 18/03/2011 00:25
|
Witam.
Podbijam temat. Też zależy mi na tym aby wyciąć wszystko poza portami odpowiadającymi za www gdyż net ma być udostępniony dla klientów restauracji i ogródka letniego. Router to Asus n10 z najnowszym Tomato od Shibby.
To co jest wyżej działa u mnie ale tylko przez kilka minut, następnie www przestaje działać. |
| |
|
|
| nerio88 |
Dodano 18-03-2011 01:10
|
User
Posty: 175
Dołączył: 10/06/2010 21:50
|
Wróżek brak... pokaż co teraz ci siedzi w łańcuchach:
|
| |
|
|
| zovalik |
Dodano 18-03-2011 11:19
|
User
Posty: 7
Dołączył: 18/03/2011 00:25
|
Wynik polecenia:
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP all -- br0 * 0.0.0.0/0 192.168.1.4
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
194 46001 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 shlimit tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 state NEW
188 17807 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0
2 198 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
218 64204 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
16 2096 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:69:65535
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:1:66
171 8208 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:444:65535
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:81:442
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:54:79
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:1:52
0 0 ACCEPT all -- br0 br0 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
13 624 TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 wanin all -- vlan1 * 0.0.0.0/0 0.0.0.0/0
13 624 wanout all -- * vlan1 0.0.0.0/0 0.0.0.0/0
13 624 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT 273 packets, 137K bytes)
pkts bytes target prot opt in out source destination
Chain shlimit (1 references)
pkts bytes target prot opt in out source destination
0 0 all -- * * 0.0.0.0/0 0.0.0.0/0 recent: SET name: shlimit side: source
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 recent: UPDATE seconds: 60 hit_count: 4 name: shlimit side: source
Chain wanin (1 references)
pkts bytes target prot opt in out source destination
Chain wanout (1 references)
pkts bytes target prot opt in out source destination
To co mam w skrypcie:
iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 1:52 -j DROP
#port 53 - dns
iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 54:79 -j DROP
#port 80 - http
iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 81:442 -j DROP
#port 443 - https
iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 444:65535 -j DROP
#oraz udp
iptables -I FORWARD -s 192.168.1.0/24 -p udp --dport 1:66 -j DROP
#porty 67 i 68 - dhcpd
iptables -I FORWARD -s 192.168.1.0/24 -p udp --dport 69:65535 -j DROP
iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT |
| |
|
' target='_blank'>Link
