хм, у меня вызывает подозрение процесс
185 root 4884 S upnp -D -L br0 -W eth0
возможно он исправляет правила фаерволла
кстати по наличию процесса
173 root 3600 S syslogd -R 255.255.255.255 имхо можно судить что логи все таки пишутся, загляните в /etc/syslog.conf - прописано ли там, куда писать логи.
З.Ы. а не обращались на http://www.wl500g.info - там просто народ наверняка получше в теме....
Роутер видит как инет(pptp), так и локалку. Комп только инет
Модераторы: Al_lexx, Sharp, ionika, Happy_MAN, 0xFF, Atom, Serega S.U.
Насчет upnp - сам удивляюсь, т.к. из веб-интерфейса media-server погашен. Как его прибить или сконфигурировать? Файл syslog.conf не обнаружен как таковой. А в указанном Вами форуме я кувыркался месяца три (как в русском, так и в буржуйских разделах) без каких-либо результатов. После чего отправился сюда, где, к моему уже даже изумлению, получил решение проблемы (еще раз спасибо, Sharp). К сожалению, на www.wl500q.info линуксоиды либо такие же, как я - 0.5 из 10, либо ленятся что-нить ответить. А роутер wl700ge, который у меня наличествует, оччень мало распространен, в основном wl500 - в результате идут советы от юзеров совершенно из другой оперы, поскольку прошивки и поведение wl700 и wl500 кардинально отличаются. Буржуины же не подозревают о локалках через pptp, поэтому тоже по нулям.
-
Sharp
- Сетевых дел мастер
- Сообщения: 1217
- Зарегистрирован: 28 июн 2006, 21:11
- Откуда: Москва, Восток (дело тонкое :)) )
хм.... странно, на www.wl500q.info есть сам моздатель прошивки под wl-500, имхо он то должен знать как идет процесс инициализации роутера то, хотя хз.
По поводу upnp - можно попробовать его грохнуть так:
kill -s SIGTERM 185 -где 185 - это PID процесса, который выдает PS, либо командой killall upnp, если такая присутствует.
По поводу syslog - попробуйте создать в /etc файл syslog.conf такого содержания:
*.info;*.!warn;\
authpriv.none;cron.none;mail.none;news.none -/var/log/messages
*.warn;\
authpriv.none;cron.none;mail.none;news.none -/var/log/syslog
По идее после этого в /var/log должны появиться соответствующие записи - только не переусердствуйте, а то место на флешке роутера ограничено и оставлять навсегда эти логи не стоит.
По поводу upnp - можно попробовать его грохнуть так:
kill -s SIGTERM 185 -где 185 - это PID процесса, который выдает PS, либо командой killall upnp, если такая присутствует.
По поводу syslog - попробуйте создать в /etc файл syslog.conf такого содержания:
*.info;*.!warn;\
authpriv.none;cron.none;mail.none;news.none -/var/log/messages
*.warn;\
authpriv.none;cron.none;mail.none;news.none -/var/log/syslog
По идее после этого в /var/log должны появиться соответствующие записи - только не переусердствуйте, а то место на флешке роутера ограничено и оставлять навсегда эти логи не стоит.
If you f**k up OpenBSD it gets unsecure. Linux must be f**ked up to be secure. Windows must be secure erased to be secure.
Как выяснилось, присутствует. Однако прибитие upnp дало странный эффект - теперь время от времени отваливается инет, а локалка держитсяSharp писал(а):killall upnp, если такая присутствует
Не появились. Да и, видимо, не могли, что-то тут у меня с путями. У wl700 не флешка, а встроенный винт, на котором маунтится загрузочная директория в -/etc/opt/ и задействуется. Так что места там - завались.Sharp писал(а):По идее после этого в /var/log должны появиться соответствующие записи - только не переусердствуйте, а то место на флешке роутера ограничено и оставлять навсегда эти логи не стоит.
Вот я и подумал, что, может не мытьем, так катаньем - поднять крон и заставить его каждые 10 минут реинициировать iptables как надо. Может, подскажете, где можно почитать про конфигурирование крона, но, что называется, "для чайников"?
-
Sharp
- Сетевых дел мастер
- Сообщения: 1217
- Зарегистрирован: 28 июн 2006, 21:11
- Откуда: Москва, Восток (дело тонкое :)) )
Хм, ну с кроном то все должно быть просто - главное найти сборку под платформу роутера. Ну после того, как бинарник crond появится у вас в роутере, то создайте для него файл root в его умолчальной директории /var/spool/cron/crontabs c таким содержанием:
0,10,20,30,40,50 * * * * /iptables.sh &> /dev/null
где iptables.sh - скрипт, восстанавливающий правила fw.
и после этого можно запускать сам crond.
Про более детальную настройку например тут:
http://www.rhd.ru/docs/manuals/enterpri ... -task.html
Кстати, а как падает интернет - пропадает интерфейс ppp0 или правила фаера херятся? Просто если падает ppp0 - в web настройках вроде должна быть опция, отвечающая за переподключение? В принципе если нет, то можно сделать скрипт-watchdog, который будет следить за соединением, наподобие скрипта pppoe-connect для pppoe.
0,10,20,30,40,50 * * * * /iptables.sh &> /dev/null
где iptables.sh - скрипт, восстанавливающий правила fw.
и после этого можно запускать сам crond.
Про более детальную настройку например тут:
http://www.rhd.ru/docs/manuals/enterpri ... -task.html
Кстати, а как падает интернет - пропадает интерфейс ppp0 или правила фаера херятся? Просто если падает ppp0 - в web настройках вроде должна быть опция, отвечающая за переподключение? В принципе если нет, то можно сделать скрипт-watchdog, который будет следить за соединением, наподобие скрипта pppoe-connect для pppoe.
If you f**k up OpenBSD it gets unsecure. Linux must be f**ked up to be secure. Windows must be secure erased to be secure.
инет падает (падал) специфицки - коннект по какому-то левому ip. Вобщем, поднял я крон - вроде все фурычит и настало мне счастье 
Спасибо за ссылку. Хотя крови из меня этот крон попил от души. пришлось полмега текста про него поглотить из разных источников и компилировать варианты (Вот почему на этот роутер какой-нить нормальный линух не залили?!!!). Вдруг кому интересно - расскажу. Во-первых, сборка крона под wl700 плевать хотела на свои умолчальные директории (/var/spoon/cron/ просто отсутствует, а cron.d хоть и есть,но игнорится). Во-вторых, pid файл ручного указания, посему запуск демона выглядит, как:
PIDFILE=/opt/var/run/cron.pid
[ -f ${PIDFILE} ] && kill 'cat ${PIDFILE}'
/opt/sbin/cron
В третьих, он в упор не видит vi (я его понимаю
), поэтому crontab -e не пашет - будьте добры править /opt/etc/crontab чем хотите и вручную инициализировать по crontab -u
Ну в итоге наваял я скрипт localnet.sh следующего содержания:
#!/opt/bin/bash
#For Local Network Init
if iptables -t nat -nvL | grep "MASQUERADE" | grep "eth0" &>/dev/null
then
:
else
if iptables -t nat -nvL | grep "MASQUERADE" | grep "br0" &>/dev/null
then
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
fi
fi
И подсунул в crontab строку:
*/10 * * * * root /opt/etc/localnet.sh
Работает
Если вдруг в чем-то не прав, или можно было проще - заранее спасибо за совет.
Спасибо за ссылку. Хотя крови из меня этот крон попил от души. пришлось полмега текста про него поглотить из разных источников и компилировать варианты (Вот почему на этот роутер какой-нить нормальный линух не залили?!!!). Вдруг кому интересно - расскажу. Во-первых, сборка крона под wl700 плевать хотела на свои умолчальные директории (/var/spoon/cron/ просто отсутствует, а cron.d хоть и есть,но игнорится). Во-вторых, pid файл ручного указания, посему запуск демона выглядит, как:
PIDFILE=/opt/var/run/cron.pid
[ -f ${PIDFILE} ] && kill 'cat ${PIDFILE}'
/opt/sbin/cron
В третьих, он в упор не видит vi (я его понимаю
), поэтому crontab -e не пашет - будьте добры править /opt/etc/crontab чем хотите и вручную инициализировать по crontab -uНу в итоге наваял я скрипт localnet.sh следующего содержания:
#!/opt/bin/bash
#For Local Network Init
if iptables -t nat -nvL | grep "MASQUERADE" | grep "eth0" &>/dev/null
then
:
else
if iptables -t nat -nvL | grep "MASQUERADE" | grep "br0" &>/dev/null
then
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
fi
fi
И подсунул в crontab строку:
*/10 * * * * root /opt/etc/localnet.sh
Работает
Если вдруг в чем-то не прав, или можно было проще - заранее спасибо за совет.
-
Sharp
- Сетевых дел мастер
- Сообщения: 1217
- Зарегистрирован: 28 июн 2006, 21:11
- Откуда: Москва, Восток (дело тонкое :)) )
Что ж, поздравляю, что все заработало - ну а по поводу крона - камень в огород к тому, кто сборку делал - если уж сделал нестандартную, будь любезен readme наваять, чтоб народ не гадал.
Кстати я бы в crontab написал так:
*/10 * * * * root /opt/etc/localnet.sh &> /dev/null
чтоб крон мыло не слал об успешном выполнении
Кстати я бы в crontab написал так:
*/10 * * * * root /opt/etc/localnet.sh &> /dev/null
чтоб крон мыло не слал об успешном выполнении
If you f**k up OpenBSD it gets unsecure. Linux must be f**ked up to be secure. Windows must be secure erased to be secure.
полный текст кронтаба в моем случае:Sharp писал(а):Кстати я бы в crontab написал так:
*/10 * * * * root /opt/etc/localnet.sh &> /dev/null
чтоб крон мыло не слал об успешном выполнении
SHELL=/opt/bin/bash
PATH=/sbin:/bin:/usr/sbin:/usr/bin:/opt/sbin:/opt/bin
MAILTO=""
HOME=/
# ---------- ---------- Default is Empty ---------- ---------- #
*/10 * * * * /opt/etc/localnet.sh
Имхо, строка 3 отменяет мыло. А попытка подсунуть &>/dev/null нарывается на ситуацию, что по умолчанию роутер грузится не под рутом, а под пользователем admin, для которого получаем запрет доступа на эту штуку. Кстати, я чуть раньше обрадовался, чем надо, кроме iptables на eth0 пришлось в скрипт запихивать еще и форвардинг портов для dc++, да и инициализировать crontab как для root, так и для admin. Но таки фурычит
-
Sharp
- Сетевых дел мастер
- Сообщения: 1217
- Зарегистрирован: 28 июн 2006, 21:11
- Откуда: Москва, Восток (дело тонкое :)) )
Хм, программулина крутится на самой железке? если так, то смотреть цепочку INPUT и в случае необходимости добавить в нее разрешающее правило:
iptables -A INPUT -i ethX -p tcp --dport 6881:6899 -j ACCEPT
Ток следите за порядком применения правил, чтобы не поставить это правило после правила, рубящего все входящие
iptables -A INPUT -i ethX -p tcp --dport 6881:6899 -j ACCEPT
Ток следите за порядком применения правил, чтобы не поставить это правило после правила, рубящего все входящие
If you f**k up OpenBSD it gets unsecure. Linux must be f**ked up to be secure. Windows must be secure erased to be secure.
Гм. В цепочке INPUT получилось следующее:
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere state NEW
ACCEPT all -- anywhere anywhere state NEW
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:6882
ACCEPT tcp -- anywhere anywhere tcp dpt:6881
ACCEPT tcp -- anywhere anywhere tcp dpt:6891
ACCEPT udp -- anywhere anywhere udp dpt:6895
ACCEPT tcp -- anywhere 169.254.1.1 tcp dpt:tproxy
ACCEPT tcp -- anywhere fragir.lcl.starlink.rutcp dpt:ftp
DROP all -- anywhere anywhere
То бишь какие-то порты этого диапазона вроде как открыты (в том числе явно указанные mldonk'у 6881 и 6882. Тем не менее, проверяю на http://www.canyouseeme.org/ - фиг, доступа нет. Кстати, при добавлении указанного правила оно таки-да, зараза, лезет в хвост (пробовал добавлять в скрипт старта системы сразу после ssh и в скрипт запуска самого mldonkey - результат один и тот же). Есть смутное подозрение, что проблема в отсутствии постоянного внешнего ip (точнее, он всегда один и тот же, но подозреваю, что один на всех). Может в этом быть засада?
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere state NEW
ACCEPT all -- anywhere anywhere state NEW
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:6882
ACCEPT tcp -- anywhere anywhere tcp dpt:6881
ACCEPT tcp -- anywhere anywhere tcp dpt:6891
ACCEPT udp -- anywhere anywhere udp dpt:6895
ACCEPT tcp -- anywhere 169.254.1.1 tcp dpt:tproxy
ACCEPT tcp -- anywhere fragir.lcl.starlink.rutcp dpt:ftp
DROP all -- anywhere anywhere
То бишь какие-то порты этого диапазона вроде как открыты (в том числе явно указанные mldonk'у 6881 и 6882. Тем не менее, проверяю на http://www.canyouseeme.org/ - фиг, доступа нет. Кстати, при добавлении указанного правила оно таки-да, зараза, лезет в хвост (пробовал добавлять в скрипт старта системы сразу после ssh и в скрипт запуска самого mldonkey - результат один и тот же). Есть смутное подозрение, что проблема в отсутствии постоянного внешнего ip (точнее, он всегда один и тот же, но подозреваю, что один на всех). Может в этом быть засада?
-
Sharp
- Сетевых дел мастер
- Сообщения: 1217
- Зарегистрирован: 28 июн 2006, 21:11
- Откуда: Москва, Восток (дело тонкое :)) )
хм, с правилами тут все в порядке
это правило и так пропускает все входящие к локальным процессам - что кстати не есть хорошо, особенно в свете появления вирусов под роутеры
Ну а проблема с входящими тогда точно скорей всего из-за того, что внешний IP у вас на всех один. На сколько я помню интернет у вас через pptp - какой адрес назначается интерфейсу ppp0, реальный или серый?
Код: Выделить всё
ACCEPT all -- anywhere anywhere state NEW Ну а проблема с входящими тогда точно скорей всего из-за того, что внешний IP у вас на всех один. На сколько я помню интернет у вас через pptp - какой адрес назначается интерфейсу ppp0, реальный или серый?
If you f**k up OpenBSD it gets unsecure. Linux must be f**ked up to be secure. Windows must be secure erased to be secure.