Интересная тема, поставлю Важной [Ответ]

conpas1, ссылка не работает. (может она для меня конечно внешняя)

Как сожалению, как выяснилось, - что по SSH (или телнету) - эти правила (IPTables) править то можно и довольно много они умеют. Вот тока сохранить их низзя (до перезагрузки живут и все). Зато можно посмотреть - что там в веб наконфигурачил

У Д-Линк 500Т две нижних строчки в приведенной мной цепочке Forward - проброс порта 6881. Фильтры добавляются в эту же цепочку только ниже. То есть, проброшенный порт получается разрешается со всех входящих адресов, а вот если не проброшен - то далее уже фильтруется ИП фильтрами.

Если у тя Акорп - кинь плз цепочки поглядеть - прокинутые порты и ИП фильтры. У Акорпа вроде прошивка поудобнее в этом плане. Мне интересно - он также как и Д-Линк делает цепочки или по другому. [Ответ]

# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABL
ISHED
CFG tcp -- 192.168.1.2 anywhere tcp dpt:www Records
Packet's Source Interface

ACCEPT all -- anywhere anywhere state RELATED,ESTABL
ISHED
DROP all -- anywhere anywhere
DROP all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 192.168.1.5 1024.asx.dial.vsi.ru/19
ACCEPT all -- 192.168.1.3 1024.asx.dial.vsi.ru/19
ACCEPT all -- 192.168.1.2 1024.asx.dial.vsi.ru/19
ACCEPT all -- 192.168.1.5 0.128.c10008-a77.dsl-dynamic.vsi.ru/17
ACCEPT all -- 192.168.1.3 0.128.c10008-a77.dsl-dynamic.vsi.ru/17
ACCEPT all -- 192.168.1.2 0.128.c10008-a77.dsl-dynamic.vsi.ru/17
ACCEPT tcp -- 192.168.1.5 u-antona.vrn.ru tcp dpt:www
ACCEPT tcp -- 192.168.1.3 u-antona.vrn.ru tcp dpt:www
ACCEPT tcp -- 192.168.1.2 u-antona.vrn.ru tcp dpt:www
ACCEPT all -- 192.168.1.2 anywhere
DROP all -- anywhere serv12.vsi.ru
DROP all -- anywhere serv2.vsi.ru
DROP all -- anywhere serv4.vsi.ru
DROP all -- anywhere box.vsi.ru
ACCEPT all -- 192.168.1.5 62.68.95.23

ACCEPT tcp -- 192.168.1.2 64.12.0.0/16 tcp dpt:5190
ACCEPT tcp -- 192.168.1.2 205.188.0.0/16 tcp dpt:5190
ACCEPT all -- 192.168.1.5 80.82.32.0/19
ACCEPT all -- 192.168.1.3 80.82.32.0/19
ACCEPT all -- 192.168.1.2 80.82.32.0/19
DROP all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABL
ISHED
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SY
N TCPMSS clamp to PMTU
ACCEPT udp -- 0.128.c10008-a77.dsl-dynamic.vsi.ru/17 192.168.1.5 u
dp dpt:6881
ACCEPT tcp -- 0.128.c10008-a77.dsl-dynamic.vsi.ru/17 192.168.1.5 t
cp dpt:6881
DROP icmp -- anywhere anywhere icmp echo-request st
ate NEW
DROP all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
DROP icmp -- anywhere anywhere icmp destination-unr
eachable
DROP icmp -- anywhere anywhere state INVALID [Ответ]

axel, afaik, у акорпа и длинка одинаковый чипсет. Умельцы даже заливают в длинки прошивки от акорпа [Ответ]

Part!zan, Знаю, но там как-то геморно, еще от типа флеши зависит. Легко можно модем положить. Проще продать Д-Линк, купить Акорп К Д-Линкам еще ММС карты цепляют - чтоб было памяти больше, статистика шла и тд. Приложениий туда поболе насовывают. И это работает у некоторых. Только это еще геморойней. Там времени надо убить дофига, а его мало. [Ответ]

conpas1 спасибо. Попробую Д-Линк через поконфигурачить для подобного результата. [Ответ]

conpas1,
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 192.168.1.5 1024.asx.dial.vsi.ru/19
ACCEPT all -- 192.168.1.3 1024.asx.dial.vsi.ru/19
ACCEPT all -- 192.168.1.2 1024.asx.dial.vsi.ru/19
ACCEPT all -- 192.168.1.5 0.128.c10008-a77.dsl-dynamic.vsi.ru/17
ACCEPT all -- 192.168.1.3 0.128.c10008-a77.dsl-dynamic.vsi.ru/17
ACCEPT all -- 192.168.1.2 0.128.c10008-a77.dsl-dynamic.vsi.ru/17
ACCEPT tcp -- 192.168.1.5 u-antona.vrn.ru tcp dpt:www
ACCEPT tcp -- 192.168.1.3 u-antona.vrn.ru tcp dpt:www
ACCEPT tcp -- 192.168.1.2 u-antona.vrn.ru tcp dpt:www
ACCEPT all -- 192.168.1.2 anywhere
^^^^^^^^^^^ - разрешает на все адреса, зачем выше тогда отдельно разрешать на диапазоны?

DROP all -- anywhere serv12.vsi.ru
DROP all -- anywhere serv2.vsi.ru
DROP all -- anywhere serv4.vsi.ru
DROP all -- anywhere box.vsi.ru
ACCEPT all -- 192.168.1.5 62.68.95.23

ACCEPT tcp -- 192.168.1.2 64.12.0.0/16 tcp dpt:5190
ACCEPT tcp -- 192.168.1.2 205.188.0.0/16 tcp dpt:5190
ACCEPT all -- 192.168.1.5 80.82.32.0/19
ACCEPT all -- 192.168.1.3 80.82.32.0/19
ACCEPT all -- 192.168.1.2 80.82.32.0/19
DROP all -- anywhere anywhere
^^^^^^^^^^^ - блокирует все? Тогда все правила что ниже - вообще не работают?

ACCEPT all -- anywhere anywhere state RELATED,ESTABL
ISHED
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SY
N TCPMSS clamp to PMTU

ACCEPT udp -- 0.128.c10008-a77.dsl-dynamic.vsi.ru/17 192.168.1.5 u
dp dpt:6881
ACCEPT tcp -- 0.128.c10008-a77.dsl-dynamic.vsi.ru/17 192.168.1.5 t
cp dpt:6881
^^^^^^^^^^^ - проброс входящего порта 6881 (торрент), только почему с одного диапазона (77.45.128.0/255.255.128.0)? С остальных диапазонов бесплатных тож нужно вроде? И еще момент - выше правило, которое блокирует все пакеты.

DROP icmp -- anywhere anywhere icmp echo-request st
ate NEW
DROP all -- anywhere anywhere [Ответ]

axel, ACCEPT all -- 192.168.1.2 anywhere - иногда включаю, когда нужен выход по Adsl.
Почему не на весь диапозон порт проброшен-? Да не активировал просто некоторые правила .Тоже часто включаю - выключаю.Забыл все галки поставить, да и прописал криво. Оттого наверное неактивными правила и оказались Здесь проброс активирован, внешка кроме аськи и глобакса закрыта.
************************************************** *******
* ADSL ROUTER ACORP W400G LAN 4-PORT/WiFi *
************************************************** *******


BusyBox v0.61.pre (2007.03.11-12:03+0000) Built-in shell (ash)
Enter 'help' for a list of built-in commands.


# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP tcp -- anywhere anywhere multiple source IP (
inv): 192.168.1.2, tcp dpt:telnet
CFG tcp -- 192.168.1.2 anywhere tcp dpt:www Records
Packet's Source Interface

ACCEPT all -- anywhere anywhere state RELATED,ESTABL
ISHED
ACCEPT all -- anywhere anywhere state RELATED,ESTABL
ISHED
DROP udp -- anywhere anywhere multiport dports 161
,162
DROP tcp -- anywhere anywhere tcp dpt:ssh
DROP udp -- anywhere anywhere udp dpt:tftp
DROP tcp -- anywhere anywhere tcp dpt:ftp
DROP tcp -- anywhere anywhere multiple source IP (
inv): 192.168.1.2, tcp dpt:www
DROP all -- anywhere anywhere
DROP all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABL
ISHED
ACCEPT udp -- 0.128.c10008-a77.dsl-dynamic.vsi.ru/17 192.168.1.5 u
dp dpt:6881
ACCEPT tcp -- 0.128.c10008-a77.dsl-dynamic.vsi.ru/17 192.168.1.5 t
cp dpt:6881
ACCEPT udp -- 1024.asx.dial.vsi.ru/19 192.168.1.5 udp dpt:6881
ACCEPT tcp -- 1024.asx.dial.vsi.ru/19 192.168.1.5 tcp dpt:6881
ACCEPT udp -- 80.82.32.0/19 192.168.1.5 udp dpt:6881
ACCEPT tcp -- 80.82.32.0/19 192.168.1.5 tcp dpt:6881
ACCEPT all -- 192.168.1.5 1024.asx.dial.vsi.ru/19
ACCEPT all -- 192.168.1.3 1024.asx.dial.vsi.ru/19
ACCEPT all -- 192.168.1.2 1024.asx.dial.vsi.ru/19
ACCEPT all -- 192.168.1.5 0.128.c10008-a77.dsl-dynamic.vsi.ru/17
ACCEPT all -- 192.168.1.3 0.128.c10008-a77.dsl-dynamic.vsi.ru/17
ACCEPT all -- 192.168.1.2 0.128.c10008-a77.dsl-dynamic.vsi.ru/17
ACCEPT tcp -- 192.168.1.5 u-antona.vrn.ru tcp dpt:www
ACCEPT tcp -- 192.168.1.3 u-antona.vrn.ru tcp dpt:www
ACCEPT tcp -- 192.168.1.2 u-antona.vrn.ru tcp dpt:www
DROP all -- anywhere serv12.vsi.ru
DROP all -- anywhere serv2.vsi.ru
DROP all -- anywhere serv4.vsi.ru
DROP all -- anywhere box.vsi.ru
ACCEPT all -- 192.168.1.5 62.68.95.23
ACCEPT tcp -- 192.168.1.2 64.12.0.0/16 tcp dpt:5190
ACCEPT tcp -- 192.168.1.2 205.188.0.0/16 tcp dpt:5190
ACCEPT all -- 192.168.1.5 80.82.32.0/19
ACCEPT all -- 192.168.1.3 80.82.32.0/19
ACCEPT all -- 192.168.1.2 80.82.32.0/19
DROP all -- anywhere anywhere
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SY
N TCPMSS clamp to PMTU
DROP icmp -- anywhere anywhere icmp echo-request st
ate NEW
DROP all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
DROP icmp -- anywhere anywhere icmp destination-unr
eachable
DROP icmp -- anywhere anywhere state INVALID
# [Ответ]

В общем Д-линк 500Т не выдержал правил 12-15 с разными портами (страничка с фильтрами просто переставала открываться), еще в нем совсем нет шейпинга трафика - поэтому пришлось купить Акорп.

conpas1, подскажи плз - какие логин и пароль нужны чтобы зайти по Телнет (SSH) на модем? Логин и пароль для веб-интерфейса он не принимает. [Ответ]

axel, Логин: root, пароль: пароль от веба. [Ответ]

Part!zan, спасибо. [Ответ]

conpas1, видишь в цепочке Forward у тебя правила для проброса портов "всплыли" вверх? То есть IP Filters не перекрывают Port Forwarding к сожалению. У меня то же самое. До перезагрузки - нормально все, после - Port Forwarding "всплывает" вверх. [Ответ]

axel, я думаю, по этому поводу можно задать вопрос разработчикам. beta.acorp.ru/forum [Ответ]

Acorp Lan 122

в аттаче мои настройки - текст,скрины и описание - как настраивать правила для данного модема. Делалось для себя, поэтому за неточности не пинать.

Port Forwarding по адресам, IP Filters и шейпер трафика.
Изображения
[Ответ]

Part!zan, я сразу им написал, но пока не ответили. [Ответ]

Пример моего фильтра! проброс порта у меня стандартный т.к пользуюсь фильтром самого торрента и ДИСИ клиента!
Изображения
  [Ответ]