Приветствую, не знал в какую ветку форума писать, решил в раздел Linux, более близко к теме я думаю.
Есть задача по настройке роутера Asus RT-N66U, в общем обычный такой домашний роутер, со стандартной прошивкой AsusWRT на базе linux, проблема в том что в стандартной прошивке нельзя перекидывать порты только для определенных ипов, вот незнаю почему сейчас так сейчас делают, но факт в том что порты можно открыть только для всего интернета.
Первое что мне пришло в голову - перепрошивка, к примеру на DD-WRT, но проблема в том что роутер находится в другом городе, могу только консультировать кого нибудь по телефону, но если что то пойдет не так, естественно помочь не смогу, поэтому я от этого варианта отказался.
После подключения к роутеру через telnet оказалось что правила для iptables можно добавлять самому, к примеру ...
iptables -t nat -I VSERVER 3 -p tcp -m tcp -s x.x.x.x --dport 3389 -j DNAT --to 192.168.1.1
перекидывает порт 3389 только для x.x.x.x, для всех остальных нет. Чтож все прекрасно работает ... до первой перезагрузки, правила не сохраняются. Пытался сохранять, облазил весь интеренет - ничего не нашел.
Есть у кого какие нибудь предложения как можно сохранить правила, или как определить куда они сохраняются по умолчанию чтобы сохранить командой iptables-save >. По стандартным путям типа /var/lib/, /etc/sysconfig/... нет ничего, кстати многие стандартные каталоги вообще отсутсвуют, к пример нет того же /etc/sysconfig/, нет rc.d, init.d и пр. Нашел единственное упоминание про iptables (кроме /usr/sbin/iptables) только в /tmp/, там тектовые файлики типа "redirect_rules", с правилами которые в данный момент сохранены, добавление своих правил в эти файлики так же не помогает, после перезагрузки они изчезают.
В общем большая просьба если у кого есть какие то предложения, как сохранить правила iptables - пишите )
>[оверквотинг удален]
> Есть у кого какие нибудь предложения как можно сохранить правила, или как
> определить куда они сохраняются по умолчанию чтобы сохранить командой iptables-save >.
> По стандартным путям типа /var/lib/, /etc/sysconfig/... нет ничего, кстати многие стандартные
> каталоги вообще отсутсвуют, к пример нет того же /etc/sysconfig/, нет rc.d,
> init.d и пр. Нашел единственное упоминание про iptables (кроме /usr/sbin/iptables) только
> в /tmp/, там тектовые файлики типа "redirect_rules", с правилами которые в
> данный момент сохранены, добавление своих правил в эти файлики так же
> не помогает, после перезагрузки они изчезают.
> В общем большая просьба если у кого есть какие то предложения, как
> сохранить правила iptables - пишите )можно конечно скачать sources и в них порыться...
Ну или попробовать спросить на форуме asus - русском, сомневаюсь что Вам ответят
на буржуйском, раньше там про конфиги был молчок.
Можно попробовать снять ls -lAR, затем добавить пару правил в Firewall и
снова ls -lAR и попытаться отловить изменения.Понимаю что от перепрошивки Вы отказались:
но вероятно проще водрузить прошивку Merlin'а в которой можно задавать свои настройки,
в том числе и для iptables
Вроде бы и в Tomato такое тоже можно.ps. Да, есть еще независимые (от asus) форумы по home-router, можно и там спросить,
зависит насколько Вас время поджимает
Используйте Zentyal
правила в виде "iptables-save" в таких прошивках не сохраняются.
Там другой принцип, и исходя из него вы не сможете в него добавить "-s x.x.x.x" в правило, прошивка не позволит.
> правила в виде "iptables-save" в таких прошивках не сохраняются.
> Там другой принцип, и исходя из него вы не сможете в него
> добавить "-s x.x.x.x" в правило, прошивка не позволит.в смысле FS которые read-only?
>> правила в виде "iptables-save" в таких прошивках не сохраняются.
>> Там другой принцип, и исходя из него вы не сможете в него
>> добавить "-s x.x.x.x" в правило, прошивка не позволит.
> в смысле FS которые read-only?переформулируйте вопрос.
в консоли роутера, если она у вас есть, наберите:nvram show
пример конфигурации проброса портов:
$ nvram get forward_port0
58152-58152>192.168.0.68:58151-58151,udp,on,Skype UDP at 192.168.0.68:58151 (2461)
>>> правила в виде "iptables-save" в таких прошивках не сохраняются.
>>> Там другой принцип, и исходя из него вы не сможете в него
>>> добавить "-s x.x.x.x" в правило, прошивка не позволит.
>> в смысле FS которые read-only?
> переформулируйте вопрос.не буду :)
в общих чертах посмотрел как работает, предыдущий вопрос был в никуда, sorry.
> правила в виде "iptables-save" в таких прошивках не сохраняются.
> Там другой принцип, и исходя из него вы не сможете в него
> добавить "-s x.x.x.x" в правило, прошивка не позволит.Хммм, я такое тоже предполагал конечно. Тогда такой
> правила в виде "iptables-save" в таких прошивках не сохраняются.
> Там другой принцип, и исходя из него вы не сможете в него
> добавить "-s x.x.x.x" в правило, прошивка не позволит.Хммм, я такое тоже предполагал конечно. Тогда такой вопрос, может есть возможность сделать так чтобы строка
iptables -t nat -I VSERVER 3 -p tcp -m tcp -s x.x.x.x --dport 3389 -j DNAT --to 192.168.1.1
выполнялась при запуске ? Крона я там к сожалению тоже не нашел :)
>> правила в виде "iptables-save" в таких прошивках не сохраняются.
>> Там другой принцип, и исходя из него вы не сможете в него
>> добавить "-s x.x.x.x" в правило, прошивка не позволит.
> Хммм, я такое тоже предполагал конечно. Тогда такой вопрос, может есть возможность
> сделать так чтобы строка
> iptables -t nat -I VSERVER 3 -p tcp -m tcp -s x.x.x.x
> --dport 3389 -j DNAT --to 192.168.1.1
> выполнялась при запуске ? Крона я там к сожалению тоже не нашел
> :)вы всё еще про родную прошивку?