|
Skrypt w zakładce firewall nie wykonuje się
|
| hanto |
Dodano 09-08-2017 07:28
|
User
Posty: 3
Dołączył: 09/08/2017 07:17
|
Witam
Dodałem w skryptach w zakładce firewall skrypt blokujący logowanie się do ftp z innego kraju niż Polska jednak jak sprawdzam iptables - L to nie wykonuje się.
#montowanie dysku
/sbin/swapon /dev/sda1
/bin/mount /dev/sda2 /opt
/bin/mount /dev/sda3 /nas
iptables -I wanin -p tcp -d 192.168.1.1 --dport 21 -j DROP wget -qO- http://www.ipdeny.com/ipblocks/data/countries/pl.zone | awk '{system("iptables -I wanin -p tcp -s " $1 " -d 192.168.1.1 --dport 21 -j ACCEPT")}'
dodałem też wpis w skrypty -->init takie wpis bo czytałem takie sugestie Shibbiego:
service firewall restart
Co robię źle??
Tomato Firmware 1.28.0000 -3.4-140 K26ARM USB AIO-64K Asus RT-N18U |
| |
|
|
| djwujek |
Dodano 09-08-2017 11:38
|
Maxi User
Posty: 861
Dołączył: 29/07/2011 00:09
|
co to jest wanin ?
---- SIEĆ 1 -----
1.Modem Vectra 600/60 Mbps
2. Edgerouter X - Dom
3. Edgerouter X - Goście
4. Edgeswitch 24 Lite
5. Asus RT-N 12 d1 DD WRT 43012 - Goście
6. Nas QNAP TS-228A + 1 x 4TB
6. UPS 510W
------ SIEĆ 2 -------
1.Modem Livebox 3.0
|
| |
|
|
| hanto |
Dodano 09-08-2017 17:38
|
User
Posty: 3
Dołączył: 09/08/2017 07:17
|
Robiłem to wzorując się na:
http://www.linksysinfo.org/index.php?threads/country-block-allow-with-iptables.35548/
Połączony z 09 sierpień 2017 18:01:10:
A tak wygląda plik iptables:
*mangle
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A PREROUTING -i vlan2 -d 192.168.1.1/255.255.255.0 -j DROP
-A PREROUTING -i vlan2 -d 10.0.0.1/255.255.255.0 -j DROP
COMMIT
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:WANPREROUTING - [0:0]
-A PREROUTING -d (zewnętrzny adres IP) -j WANPREROUTING
-A WANPREROUTING -p icmp -j DNAT --to-destination 192.168.1.1
-A WANPREROUTING -p tcp --dport 21 -j DNAT --to-destination 192.168.1.1
-A POSTROUTING -o vlan2 -j MASQUERADE
-A POSTROUTING -o br0 -s 192.168.1.1/255.255.255.0 -d 192.168.1.1/255.255.255.0 -j SNAT --to-source 192.168.1.1
-A POSTROUTING -o br1 -s 10.0.0.1/255.255.255.0 -d 10.0.0.1/255.255.255.0 -j SNAT --to-source 10.0.0.1
COMMIT
*filter
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-N shlimit
-A shlimit -m recent --set --name shlimit
-A shlimit -m recent --update --hitcount 4 --seconds 60 --name shlimit -j DROP
-A INPUT -p tcp --dport 22 -m state --state NEW -j shlimit
-A INPUT -i lo -j ACCEPT
-A INPUT -i br0 -j ACCEPT
-A INPUT -i br1 -j ACCEPT
-A INPUT -p tcp --dport 21 -j ACCEPT
:FORWARD DROP [0:0]
-A FORWARD -m account --aaddr 192.168.1.0/255.255.255.0 --aname lan
-A FORWARD -m account --aaddr 10.0.0.0/255.255.255.0 --aname lan1
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -i br1 -o br1 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
:wanin - [0:0]
:wanout - [0:0]
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i br0 -o br1 -j DROP
-A FORWARD -i br1 -o br0 -j DROP
-A FORWARD -i vlan2 -j wanin
-A FORWARD -o vlan2 -j wanout
-A FORWARD -i br0 -j ACCEPT
-A FORWARD -i br1 -j ACCEPT
COMMIT |
| |
|
|
| djwujek |
Dodano 09-08-2017 20:28
|
Maxi User
Posty: 861
Dołączył: 29/07/2011 00:09
|
Cytat hanto napisał(a):
Witam
Dodałem w skryptach w zakładce firewall skrypt blokujący logowanie się do ftp z innego kraju niż Polska jednak jak sprawdzam iptables - L to nie wykonuje się.
#montowanie dysku
/sbin/swapon /dev/sda1
/bin/mount /dev/sda2 /opt
/bin/mount /dev/sda3 /nas
iptables -I wanin -p tcp -d 192.168.1.1 --dport 21 -j DROP wget -qO- http://www.ipdeny.com/ipblocks/data/countries/pl.zone | awk '{system("iptables -I wanin -p tcp -s " $1 " -d 192.168.1.1 --dport 21 -j ACCEPT")}'
dodałem też wpis w skrypty -->init takie wpis bo czytałem takie sugestie Shibbiego:
service firewall restart
Co robię źle??
Tomato Firmware 1.28.0000 -3.4-140 K26ARM USB AIO-64K Asus RT-N18U
/sbin/swapon /dev/sda1
/bin/mount /dev/sda2 /opt
/bin/mount /dev/sda3 /nas
Dodawanie tego w zakładce firewall według mnie jest bez sensu bo to nic nie pomoże po drugie żeby takie coś wogule było możliwe musisz znać całą pulę ip która jest w Polsce i jej dać tylko prawa dostępu do ftp co jest dla mnie również bez sensu bo rok ci zajmie wpisywane tylu adresów ip gra nie warta świeczki.
---- SIEĆ 1 -----
1.Modem Vectra 600/60 Mbps
2. Edgerouter X - Dom
3. Edgerouter X - Goście
4. Edgeswitch 24 Lite
5. Asus RT-N 12 d1 DD WRT 43012 - Goście
6. Nas QNAP TS-228A + 1 x 4TB
6. UPS 510W
------ SIEĆ 2 -------
1.Modem Livebox 3.0
|
| |
|
|
| hanto |
Dodano 11-08-2017 07:17
|
User
Posty: 3
Dołączył: 09/08/2017 07:17
|
djwujek a sprawdzałeś to http://www.ipdeny.com/ipblocks/data/countries/pl.zone ? O jakim roku wpisywania mówimy :-).Chodzi mi o pomoc w tym dlaczego wpis w zakładce firewall nie wykonuje się , co mam jeszcze sprawdzić ITP a nie czy to słuszne czy nie ;-) |
| |
|
|
| jachu |
Dodano 11-08-2017 12:35
|
Power User
Posty: 351
Dołączył: 16/11/2006 10:04
|
Cytat hanto napisał(a):
djwujek a sprawdzałeś to http://www.ipdeny.com/ipblocks/data/countries/pl.zone ? O jakim roku wpisywania mówimy :-).Chodzi mi o pomoc w tym dlaczego wpis w zakładce firewall nie wykonuje się , co mam jeszcze sprawdzić ITP a nie czy to słuszne czy nie ;-)
Poczytaj troche o bashu i awk i przede wszystkim iptables . Jesli uzywasz skryptow staraj sie je zrozumiec a nie przepisujesz nie kumajac nic .
pozdrawiam
Jachu
Netgear WNR3500L v2 - Tomato
APU - OPNSense,PFSense
FeeNAS
Netgear R7000 - Tomato 
|
| |
|
|
| djwujek |
Dodano 11-08-2017 13:52
|
Maxi User
Posty: 861
Dołączył: 29/07/2011 00:09
|
Zeby to zadzialalo musisz kazde ip z tej listy zezwolic na ruch a pozostale zablokowac taka jest moja teoria jesli chce ci sie to robic twoja sprawa ale z drugiej strony czy ruter ktory posiadasz da rade wydajnosciowo przetrawic tyle regulek watpie.Poza tym nie wiem dlaczego chcesz wszystkie ip blokowac prucz polski myslisz ze nikt nie wejdzie z poza Polski nawet jak to zablokujesz to jestes w bledzie.Dlatego dla mnie to gra nie warta swieczki.
---- SIEĆ 1 -----
1.Modem Vectra 600/60 Mbps
2. Edgerouter X - Dom
3. Edgerouter X - Goście
4. Edgeswitch 24 Lite
5. Asus RT-N 12 d1 DD WRT 43012 - Goście
6. Nas QNAP TS-228A + 1 x 4TB
6. UPS 510W
------ SIEĆ 2 -------
1.Modem Livebox 3.0
|
| |
|
|
| jachu |
Dodano 11-08-2017 14:20
|
Power User
Posty: 351
Dołączył: 16/11/2006 10:04
|
djwujek - jesli chce niech blokuje co chce ale niech najpierw zrozumie co chce robic i poczyta troche bo uzywajac skryptow znalezionych w necie bez ich analizy i zrozumienia to jak szukanie klopotow .
pozdrawiam
Jachu
Netgear WNR3500L v2 - Tomato
APU - OPNSense,PFSense
FeeNAS
Netgear R7000 - Tomato
|
| |
|
|
| s_pol |
Dodano 13-08-2017 13:41
|
User
Posty: 3
Dołączył: 04/08/2014 21:43
|
Zrób to w oparciu o moduł xt_geoip.ko
i prostą formułę
iptables -I wanin -p tcp --dport 21 -m geoip ! --src-cc PL -j DROP
Szczegóły pod adresem http://www.linksysinfo.org/index.php?...les.35548/ |
| |
|
' target='_blank'>Link
