Половина работы сделано, помогит

Post new topic   Reply to topic    DD-WRT Forum Index -> Оборудование на основе Atheros WiSOC
View previous topic :: View next topic  
Author Message
dmi3n1
DD-WRT Novice


Joined: 13 Nov 2014
Posts: 3
PostPosted: Mon Nov 17, 2014 12:15    Post subject: Половина работы сделано, помогит Reply with quote
Имеется tp-link wr842nd (v2.1)
стоит DD-WRT v24-sp2 (11/11/14) std
Роутер настроен на работу в режиме WAP т.е. все порты в бридже, в том числе основной wifi
Настроен гостевой wifi по руководству
Кабель, рабочий wlan и гостевой получают адреса, выходят в интернет, и пингуются друг у друга, а теперь мне надо сделать следующее:

1. Заблокировать 3 диапазона адресов из гостевой в основную сеть (ну или разрешить 3 адреса, заблокировав остальные)

По рекомендации из последней статьи, я прописываю в правила фв следующий код:
Quote:
iptables -I FORWARD -d 192.168.0.4 -j DROP
iptables -t nat -I POSTROUTING -o `get_wanface` -j SNAT --to `nvram get wan_ipaddr`
iptables -t nat -I POSTROUTING -o br0 -j SNAT --to `nvram get lan_ipaddr`
iptables -I INPUT -i br1 -m state --state NEW -j DROP
iptables -I INPUT -i br1 -p udp --dport 67 -j ACCEPT
iptables -I INPUT -i br1 -p udp --dport 53 -j ACCEPT
iptables -I INPUT -i br1 -p tcp --dport 53 -j ACCEPT


даже без диапазонов и прочего усложнения на конечный адрес в рабочей сети пинг с гостевой продолжает идти. К сожалению в iptables не силен, подскажите пожалуйста.

2. Заставить работать смб шару

Вроде автомонтирование работает
dmesg | grep scsi
выдает:
Quote:
<6>[ 10.120000] scsi0 : usb-storage 1-1:1.0
<5>[ 11.230000] scsi 0:0:0:0: Direct-Access Kingston DataTraveler 2.0 1.00 PQ: 0 ANSI: 4



df
говорит
Quote:
Filesystem 1K-blocks Used Available Use% Mounted on
rootfs 6912 6912 0 100% /
/dev/root 6912 6912 0 100% /


Как заставить работать подключенную флешку в качестве самбы - непонятно Neutral
Back to top View user's profile Send private message
Sponsor
vasek00
DD-WRT Guru


Joined: 06 Nov 2010
Posts: 3312
PostPosted: Wed Nov 19, 2014 15:58    Post subject: Re: Половина работы сделано, помог Reply with quote
Руководство по Iptables - http://www.opennet.ru/docs/RUS/iptables/

Почитайте про SNAT - без него работать не чего не будет, но если разрешить определенным адресам его, то смотрите и почитайте Критерий -s, --src, --source его применение.


Проверьте по команде lsmode запущен ли модуль для работы с FAT или посмотреть :
/lib/modules/..../kernel/fs/fat
эти модули должны быть загружены.
для пробы можно попробовать не в FAT32 а в NTFS или лучше в ext2/ext3
Back to top View user's profile Send private message
dmi3n1
DD-WRT Novice


Joined: 13 Nov 2014
Posts: 3
PostPosted: Fri Nov 21, 2014 8:43    Post subject: Reply with quote
Простите, не совсем понимаю, зачем мне менять адрес c помощью SNAT, вроде в правилах у меня это делается в первой и второй строчке. использование -s действительно оправдано. После небольшого чтения написал такой список правил:
Quote:
iptables -t nat -I POSTROUTING -o `get_wanface` -j SNAT --to `nvram get wan_ipaddr`
iptables -t nat -I POSTROUTING -o br0 -j SNAT --to `nvram get lan_ipaddr`
iptables -I INPUT -i br1 -m state --state NEW -j DROP
iptables -I INPUT -i br1 -p udp --dport 67 -j ACCEPT
iptables -I INPUT -i br1 -p udp --dport 53 -j ACCEPT
iptables -I INPUT -i br1 -p tcp --dport 53 -j ACCEPT
iptables -I -d ! 192.168.0.1 -s 192.168.88.0/24 -j DROP
iptables -I -d ! 192.168.0.25 -s 192.168.88.0/24 -j DROP
iptables -I -d ! 192.168.0.100 -s 192.168.88.0/24 -j DROP
пинг с гостевой 88.0/24 сети продолжает идти на 0.0/24 но при этом с гостевой сети не пингуется и не открывается сам роутер 88.1 Ничего не понимаю Sad

lsmode говорит что
Quote:
nls_base 4656 3 vfat,fat,usbcore
попробовал в нтфс - все так же, флешку при подключении видит scsi0 видит название объем, и во вкладке USB выводит сообщение о автомонтировании в tmp/mnt/sda1

но подключить ее куда-либо маунтом, или к насу - не получается, так же df не выводит информации о диске Sad

Сам сервер шары работает но папки в шаре - какие то системные самого dd-wrt и к флешке не имеют отношения, мелкие файлы пишутся и исчезают, крупные говорят нет места...
Back to top View user's profile Send private message
vasek00
DD-WRT Guru


Joined: 06 Nov 2010
Posts: 3312
PostPosted: Mon Nov 24, 2014 10:48    Post subject: Reply with quote
пример имеется vlan3 и выход в интернет ppp0 (поднят на ppp - PPTP)
Code:
vconfig add eth2 3
ifconfig vlan3 192.168.0.99 netmask 255.255.255.0 up
iptables -I POSTROUTING -o vlan3 -j SNAT --to-source 192.168.0.99
iptables -I INPUT -i vlan3 -j ACCEPT
#iptables -I INPUT -i vlan3 -m state --state NEW -j logaccept
iptables -I OUTPUT -o vlan3 -j ACCEPT
iptables -I FORWARD -i vlan3 -o vlan3 -j ACCEPT
iptables -I FORWARD -i vlan3 -o ppp0 -j ACCEPT
iptables -I FORWARD -i ppp0 -o vlan3 -j TRIGGER --trigger-type in
iptables -I FORWARD -i vlan3 -j trigger_out
iptables -I FORWARD -i vlan3 -m state --state NEW -j ACCEPT


Осталось добавить проход vlan3 на br0 или на конкретные IP. Примеры:
Code:
iptables -I FORWARD -i vlan3 -o vlan1 -m state --state NEW -j ACCEPT

с vlan3 на IF_OUT
Code:
iptables -A FORWARD -i vlan3 -o [IF_OUT] -s [IP_vlan3.0]/255.255.255.0 -j ACCEPT

c IF_OUT на vlan3 если были исходящие
Code:
iptables -A FORWARD -i [IF_OUT] -o vlan3 -d [IP_vlan3.0]/255.255.255.0 -m state --state RELATED, ESTABLISHED -j ACCEPT

DNS запросы если хотите из vlan3
Code:
iptables -A INPUT -m udp -p udp --dport 53 -s [IP_vlan3.0]/255.255.255.0 -i vlan3 -j ACCEPT


Конкретный адрес будет иметь вид например - 192.168.2.2/32

Но в любом случае сначала нужно посмотреть iptavles который установился по умолчанию, и уже исходить из этого.

По поводу NAS под рукой проверить не чем, попробуйте в ext ее форматнуть.
Могу показать только что работает через CIFS с другого роутера, но так же в ext.
Code:
root@My-Fan:/dev# df
Filesystem           1K-blocks      Used Available Use% Mounted on
rootfs                    6016      6016         0 100% /
/dev/root                 6016      6016         0 100% /
none                       512         0       512   0% /dev
//192.168.130.100/My_Flash
                      14665958   8489430   6176528  58% /tmp/mnt/smbshare
root@My-Fan:/dev# mount
rootfs on / type rootfs (rw)
/dev/root on / type squashfs (ro,relatime)
proc on /proc type proc (rw,relatime)
sysfs on /sys type sysfs (rw,relatime)
ramfs on /tmp type ramfs (rw,relatime)
none on /dev type tmpfs (rw,relatime,size=512k)
devpts on /dev/pts type devpts (rw,relatime,mode=600)
devpts on /proc/bus/usb type usbfs (rw,relatime)
//192.168.130.100/My_Flash on /tmp/mnt/smbshare type cifs (rw,mand,relatime,sec=ntlm,unc=\\192.168.130.100\My_Flash,username=Usr808,uid=0,noforceuid,gid=0,noforcegid,
addr=192.168.130.100,file_mode=0755,dir_mode=0755,nounix,rsize=61440,wsize=65536,actimeo=1)
root@My-Fan:/dev#
Back to top View user's profile Send private message
Display posts from previous:    Page 1 of 1
Post new topic   Reply to topic    DD-WRT Forum Index -> Оборудование на основе Atheros WiSOC All times are GMT

Navigation

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
You cannot attach files in this forum
You cannot download files in this forum