Забл доступ к управл с WAN стороны

Post new topic   Reply to topic    DD-WRT Forum Index -> Использование и установка DD-WRT
Goto page 1, 2, 3, 4  Next
View previous topic :: View next topic  
Author Message
kenzo
DD-WRT User


Joined: 28 Feb 2009
Posts: 138
PostPosted: Wed Mar 11, 2009 15:04    Post subject: Забл доступ к управл с WAN стороны Reply with quote
Интернет подключен через PPTP Client. Указал на странице "Управление маршрутизатором" Allow Any Remote IP – Отключить и Allowed Remote IP Range – 192.168.0.1/16. Но из интернета по-прежнему доступен WEB интерфейс и telnet.
Подскажите, какие правила нужно вписать, чтоб пофиксить это дело?
Back to top View user's profile Send private message
Sponsor
SaintReset
DD-WRT Guru


Joined: 13 Jan 2009
Posts: 1732
PostPosted: Wed Mar 11, 2009 15:30    Post subject: Reply with quote
IPTABLES где сорс айпи any протокол tcp интерфейс ppp0 порт 80 действие -drop и на телнет дроп на 22 порт
_________________
I can change this world, but G*d doesn`t give me the source (c)
Gooooглю за деньги
Back to top View user's profile Send private message
kenzo
DD-WRT User


Joined: 28 Feb 2009
Posts: 138
PostPosted: Thu Mar 12, 2009 12:35    Post subject: Reply with quote
SaintReset wrote:
IPTABLES где сорс айпи any протокол tcp интерфейс ppp0 порт 80 действие -drop и на телнет дроп на 22 порт


наработает этот набор букв ) и даже этот
iptables -A INPUT -p tcp -i ppp0 --dport 80 -j DROP
и этот
iptables -A INPUT -p tcp --dport 80 -j DROP

где ошибка?
Back to top View user's profile Send private message
SaintReset
DD-WRT Guru


Joined: 13 Jan 2009
Posts: 1732
PostPosted: Thu Mar 12, 2009 13:32    Post subject: Reply with quote
iptables -I INPUT -p tcp --dport 80 -i ppp+ -j DROP
_________________
I can change this world, but G*d doesn`t give me the source (c)
Gooooглю за деньги
Back to top View user's profile Send private message
kenzo
DD-WRT User


Joined: 28 Feb 2009
Posts: 138
PostPosted: Thu Mar 12, 2009 15:17    Post subject: Reply with quote
SaintReset wrote:
iptables -I INPUT -p tcp --dport 80 -i ppp+ -j DROP

да, в начало цепочки – работает, спасибо.
Для надежности сделал так
iptables -I INPUT -s ! 192.168.0.0/255.255.0.0 -p tcp --dport 80 -j DROP
iptables -I INPUT -s ! 192.168.0.0/255.255.0.0 -p tcp --dport 23 -j DROP
Back to top View user's profile Send private message
SaintReset
DD-WRT Guru


Joined: 13 Jan 2009
Posts: 1732
PostPosted: Thu Mar 12, 2009 15:44    Post subject: Reply with quote
злобно. но было достаточно и правила которое я дал ) с wan стороны оно вроде и так на вэбморду не пускает.
_________________
I can change this world, but G*d doesn`t give me the source (c)
Gooooглю за деньги
Back to top View user's profile Send private message
kenzo
DD-WRT User


Joined: 28 Feb 2009
Posts: 138
PostPosted: Thu Mar 12, 2009 16:38    Post subject: Reply with quote
Вот засада то, через telnet добавляю, правило становится первым в таблице INPUT как и положено, все работает. А помещаю правило в "Параметры запуска" или в "Firewall", после загрузки роутера правило становится вторым и конечно не работает.
Code:
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
2    DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
3    ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
.......

как быть?
Back to top View user's profile Send private message
kenzo
DD-WRT User


Joined: 28 Feb 2009
Posts: 138
PostPosted: Fri Mar 13, 2009 14:07    Post subject: Reply with quote
Причина понятна. После подъема PPTP соединения срабатывает скрипт /tmp/pptpd_client/ip-up
в котором правится таблица INPUT
Code:
#!/bin/sh
REMOTESUB=$(/usr/sbin/nvram get pptpd_client_srvsub)
REMOTENET=$(/usr/sbin/nvram get pptpd_client_srvsubmsk)
case "$6" in
 kelokepptpd)
route del $5
  /sbin/route add -net $REMOTESUB netmask $REMOTENET dev $1
  /usr/sbin/iptables --insert OUTPUT --source 0.0.0.0/0.0.0.0 --destination $REMOTESUB/$REMOTENET --jump ACCEPT --out-interface $1
  /usr/sbin/iptables --insert INPUT --source $REMOTESUB/$REMOTENET --destination 0.0.0.0/0.0.0.0 --jump ACCEPT --in-interface $1
  /usr/sbin/iptables --insert FORWARD --source 0.0.0.0/0.0.0.0 --destination $REMOTESUB/$REMOTENET --jump ACCEPT --out-interface $1
  /usr/sbin/iptables --insert FORWARD --source $REMOTESUB/$REMOTENET --destination 0.0.0.0/0.0.0.0 --jump ACCEPT --in-interface $1
  /usr/sbin/iptables --insert FORWARD --protocol tcp --tcp-flags SYN,RST SYN --jump TCPMSS --clamp-mss-to-pmtu
  if [ "$(/usr/sbin/nvram get pptpd_client_nat)" = "1" ]; then
      /usr/sbin/iptables --table nat --append POSTROUTING --out-interface $1 --jump MASQUERADE
  fi
  ;;
 *)
esac
exit 0


Как бы модернизировать стартовый скрипт
Code:
(while [ ! -f /tmp/pptpd_client/ip-up ]; do sleep 5; done
cp /tmp/pptpd_client/ip-up /tmp/ipup.tmp
sed -e '/keloke/a \
route del $5' < /tmp/ipup.tmp > /tmp/pptpd_client/ip-up
route del default
) &


чтоб в нужное место скрипта ip-up вставлялась команда iptables -I INPUT -s ! 192.168.0.0/255.255.0.0 -p tcp --dport 80 -j DROP ?
Back to top View user's profile Send private message
SaintReset
DD-WRT Guru


Joined: 13 Jan 2009
Posts: 1732
PostPosted: Fri Mar 13, 2009 14:54    Post subject: Reply with quote
простите за мой плохой французский, но зачем так? Что мешает кинуть на автостарт sleep 120 и следующей строкой правило (pptp стартует примерно через минуту после полного старта). Или чтоб не наугад работать даете слип, потом проверку на запущенность интерфейса. Если запущен - добавляем правило и отваливаемся. Не запущен - слип 10 секунд и повторная проверка.

Из соображений простоты - вариант 1. Из соображений надежности - вариант 2. Правда вот со вторым надо малость потрудиться Smile Но есть экзамплы... например - http://www.opennet.ru/openforum/vsluhforumID6/15218.html
_________________
I can change this world, but G*d doesn`t give me the source (c)
Gooooглю за деньги

Last edited by SaintReset on Fri Mar 13, 2009 15:41; edited 2 times in total
Back to top View user's profile Send private message
vvv
DD-WRT Novice


Joined: 09 Feb 2009
Posts: 18
PostPosted: Fri Mar 13, 2009 14:55    Post subject: Reply with quote
Quote:
Как бы модернизировать стартовый скрипт
Code:

(while [ ! -f /tmp/pptpd_client/ip-up ]; do sleep 5; done
cp /tmp/pptpd_client/ip-up /tmp/ipup.tmp
sed -e '/keloke/a \
route del $5' < /tmp/ipup.tmp > /tmp/pptpd_client/ip-up
route del default
) &


чтоб в нужное место скрипта ip-up вставлялась команда iptables -I INPUT -s ! 192.168.0.0/255.255.0.0 -p tcp --dport 80 -j DROP ?


Я бы просто убрал из ip-up первые 4 команды iptables. Например, можно перед знаком ">" вставить команду
Code:
|grep -v ACCEPT
Back to top View user's profile Send private message
kenzo
DD-WRT User


Joined: 28 Feb 2009
Posts: 138
PostPosted: Sat Mar 14, 2009 7:18    Post subject: Reply with quote
SaintReset, vvv, спасибо за помощь.
Почитал я про команду sed и пришел к выводу что это путь попроще. Удалять строки с ACCEPT не решился, т.к. может боком каким-нибудь выйти, а разбираться с этой задачей уже поднадоело.
Пока оставил такой вариант стартап скрипта решающий задачу с блокировкой, закрываются входящие соединения на порты с 1 по 1000 на PPTP клиенте:
Code:
(while [ ! -f /tmp/pptpd_client/ip-up ]; do sleep 3; done
sed -i -e '/keloke/a route del $5' /tmp/pptpd_client/ip-up
sed -i -e '/INPUT/a /usr/sbin/iptables -I INPUT -p tcp --dport 1:1000 -j DROP -i $1' /tmp/pptpd_client/ip-up
sed -i -e '/INPUT/a /usr/sbin/iptables -D INPUT -p tcp --dport 1:1000 -j DROP -i $1' /tmp/pptpd_client/ip-down
route del default
) &


Осталось подумать как закрыть ping
Back to top View user's profile Send private message
SaintReset
DD-WRT Guru


Joined: 13 Jan 2009
Posts: 1732
PostPosted: Sat Mar 14, 2009 8:54    Post subject: Reply with quote
ping - ICMP протокол без номера порта. так что -p ICMP
_________________
I can change this world, but G*d doesn`t give me the source (c)
Gooooглю за деньги
Back to top View user's profile Send private message
sj
DD-WRT Novice


Joined: 07 Mar 2009
Posts: 41
PostPosted: Mon Mar 23, 2009 14:47    Post subject: Reply with quote
SaintReset wrote:
ping - ICMP протокол без номера порта. так что -p ICMP


в Secutiry - Firewall

Block WAN Requests
* Block Anonymous Internet Requests (ping)

это разве не то ?
Back to top View user's profile Send private message
SaintReset
DD-WRT Guru


Joined: 13 Jan 2009
Posts: 1732
PostPosted: Mon Mar 23, 2009 15:12    Post subject: Reply with quote
нет. это блокирует ICMP только с wan. Но никак не с ppp0
_________________
I can change this world, but G*d doesn`t give me the source (c)
Gooooглю за деньги
Back to top View user's profile Send private message
kenzo
DD-WRT User


Joined: 28 Feb 2009
Posts: 138
PostPosted: Sat Mar 28, 2009 5:32    Post subject: Reply with quote
Ради интереса включил логирование входящих соединений на порты 1-1000 на интерфейсе ppp0. Хацкеры периодически стучатся на порты 22, 23, 80, 135, 139, 445. Не зря заблочил это дело...
Back to top View user's profile Send private message
Goto page 1, 2, 3, 4  Next Display posts from previous:    Page 1 of 4
Post new topic   Reply to topic    DD-WRT Forum Index -> Использование и установка DD-WRT All times are GMT

Navigation

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
You cannot attach files in this forum
You cannot download files in this forum