Results 1 to 3 of 3

Hybrid View

Previous Post Previous Post   Next Post Next Post
  1. #1
    Registered User
    Join Date: May:2013
    Location: София
    Posts: 2

    OpenWRT using iptables

    Здравейте,
    Преди известно време си закупих TP-Link и му инсталирах OpenWrt. Преди ползвах за ротиране на интернета в дома си със компютър с Линукс Debian дистрибуция обаче се оказа ,че консумацията на енергия е доста по голяма от един малък рутер. OpenWrt-то се оказа доста сложно от страна на iptables по default слага правила които немога да разбера , когато ги flush-на и си напиша моите правила с nat работи, но не както трябва оказа се ,че twitter.com и някой други сайтове не се отварят .Когато върна default firewalla пак всичко е ок обаче немога да си ползвам мойте правила (а именно пренасочване на портове , филтриране на интернет по ИП, следене на трафик и т.н.)

    Разгадах до някаде някои неща (-t nat -F) и сега мога да филтрирам ИП и да им давам достъп до мрежата но да пренасочвам портове не успях.
    Ето малко и от iptables-save

    *raw
    :PREROUTING ACCEPT [16617443:11513757379]
    :OUTPUT ACCEPT [875856:62565945]
    :zone_lan_notrack - [0:0]
    :zone_wan_notrack - [0:0]
    -A PREROUTING -i br-lan -j zone_lan_notrack
    -A PREROUTING -i pppoe-wan -j zone_wan_notrack
    COMMIT
    # Completed on Sun May 5 10:28:32 2013
    # Generated by iptables-save v1.4.10 on Sun May 5 10:28:32 2013
    *mangle
    :PREROUTING ACCEPT [16617444:11513757439]
    :INPUT ACCEPT [873221:53339738]
    :FORWARD ACCEPT [15738860:11459719350]
    :OUTPUT ACCEPT [875856:62565945]
    :POSTROUTING ACCEPT [16614714:11522285207]
    :zone_wan_MSSFIX - [0:0]
    -A FORWARD -j zone_wan_MSSFIX
    -A zone_wan_MSSFIX -o pppoe-wan -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
    COMMIT
    # Completed on Sun May 5 10:28:32 2013
    # Generated by iptables-save v1.4.10 on Sun May 5 10:28:32 2013
    *filter
    :INPUT ACCEPT [0:0]
    :FORWARD DROP [0:0]
    :OUTPUT ACCEPT [0:0]
    :delegate_forward - [0:0]
    :delegate_input - [0:0]
    :delegate_output - [0:0]
    :forwarding_rule - [0:0]
    :input_rule - [0:0]
    utput_rule - [0:0]
    :reject - [0:0]
    :syn_flood - [0:0]
    :zone_lan_dest_ACCEPT - [0:0]
    :zone_lan_dest_DROP - [0:0]
    :zone_lan_dest_REJECT - [0:0]
    :zone_lan_forward - [0:0]
    :zone_lan_input - [0:0]
    :zone_lan_output - [0:0]
    :zone_lan_src_ACCEPT - [0:0]
    :zone_lan_src_DROP - [0:0]
    :zone_lan_src_REJECT - [0:0]
    :zone_wan_dest_ACCEPT - [0:0]
    :zone_wan_dest_DROP - [0:0]
    :zone_wan_dest_REJECT - [0:0]
    :zone_wan_forward - [0:0]
    :zone_wan_input - [0:0]
    :zone_wan_output - [0:0]
    :zone_wan_src_ACCEPT - [0:0]
    :zone_wan_src_DROP - [0:0]
    :zone_wan_src_REJECT - [0:0]
    -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
    -A INPUT -i lo -j ACCEPT
    -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn_flood
    -A INPUT -j input_rule
    -A INPUT -j delegate_input
    -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
    -A FORWARD -j forwarding_rule
    -A FORWARD -j delegate_forward
    -A FORWARD -j reject
    -A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
    -A OUTPUT -o lo -j ACCEPT
    -A OUTPUT -j output_rule
    -A OUTPUT -j delegate_output
    -A delegate_forward -i br-lan -j zone_lan_forward
    -A delegate_forward -i pppoe-wan -j zone_wan_forward
    -A delegate_input -i br-lan -j zone_lan_input
    -A delegate_input -i pppoe-wan -j zone_wan_input
    -A delegate_output -o br-lan -j zone_lan_output
    -A delegate_output -o pppoe-wan -j zone_wan_output
    -A reject -p tcp -j REJECT --reject-with tcp-reset
    -A reject -j REJECT --reject-with icmp-port-unreachable
    -A syn_flood -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 25/sec --limit-burst 50 -j RETURN
    -A syn_flood -j DROP
    -A zone_lan_dest_ACCEPT -o br-lan -j ACCEPT
    -A zone_lan_dest_DROP -o br-lan -j DROP
    -A zone_lan_dest_REJECT -o br-lan -j reject
    -A zone_lan_forward -j zone_wan_dest_ACCEPT
    -A zone_lan_forward -j zone_lan_dest_REJECT
    -A zone_lan_input -j zone_lan_src_ACCEPT
    -A zone_lan_output -j zone_lan_dest_ACCEPT
    -A zone_lan_src_ACCEPT -i br-lan -j ACCEPT
    -A zone_lan_src_DROP -i br-lan -j DROP
    -A zone_lan_src_REJECT -i br-lan -j reject
    -A zone_wan_dest_ACCEPT -o pppoe-wan -j ACCEPT
    -A zone_wan_dest_DROP -o pppoe-wan -j DROP
    -A zone_wan_dest_REJECT -o pppoe-wan -j reject
    -A zone_wan_forward -j zone_wan_dest_REJECT
    -A zone_wan_input -p udp -m udp --dport 68 -j ACCEPT
    -A zone_wan_input -p icmp -m icmp --icmp-type 8 -j ACCEPT
    -A zone_wan_input -j zone_wan_src_REJECT
    -A zone_wan_output -j zone_wan_dest_ACCEPT
    -A zone_wan_src_ACCEPT -i pppoe-wan -j ACCEPT
    -A zone_wan_src_DROP -i pppoe-wan -j DROP
    -A zone_wan_src_REJECT -i pppoe-wan -j reject
    COMMIT
    # Completed on Sun May 5 10:28:32 2013
    root@OpenWrt:~#

  2. #2
    Registered User dir2cas's Avatar
    Join Date: Aug:2008
    Location: София
    Posts: 1,003
    OpenWrt ползва разлчна firewall архитектура, като в крайна сметка всичко отново се свежда до iptables. Както си забелязъл има custom вериги, които се създават за всяка firewall зона, която в общия случай е вързана към интерфейс.

    Ако искаш да добавиш raw iptables правила, добави ги в /etc/firewall.user.
    При парсване на /etc/config/firewall openwrt ще изпълни /etc/firewall.user като скрипт и ще налее твоите правили. Гледай обаче да са така интегрирани че да не доведат до омазване на целия firewall.

    Ако искаш може да интегрираш собствен файл с правила. Просто погледни в /etc/config/firewall за редовете
    ....
    # include a file with users custom iptables rules
    config include
    option path /etc/firewall.user
    ....

    и по аналогичен начин си добави твоя.

    Аз също имам няколко правила, които си слагам в /etc/firewall.user, защото е по-трудно да ги добавя през UCI.

  3. #3
    Registered User
    Join Date: May:2013
    Location: София
    Posts: 2
    Само ме претеснява това ,че под nat ползва MASQUARADE ,а аз неискам по този начин и ако забия правилата ми в firewall.user по default ако ми зареди MASQUARADE няма да действат

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •  

Copyright © 1999-2011 Хардуер БГ. Възможно е съдържанието на тази страница да е обект на авторски права.
iskamPC.com | mobility.BG | Bloody's Techblog | Криптовалути и майнинг | 3D Vision Blog | Магазин за електронни цигари