Posted: Wed Mar 11, 2009 15:04 Post subject: Забл доступ к управл с WAN стороны
Интернет подключен через PPTP Client. Указал на странице "Управление маршрутизатором" Allow Any Remote IP – Отключить и Allowed Remote IP Range – 192.168.0.1/16. Но из интернета по-прежнему доступен WEB интерфейс и telnet.
Подскажите, какие правила нужно вписать, чтоб пофиксить это дело?
IPTABLES где сорс айпи any протокол tcp интерфейс ppp0 порт 80 действие -drop и на телнет дроп на 22 порт _________________ I can change this world, but G*d doesn`t give me the source (c)
Gooooглю за деньги
iptables -I INPUT -p tcp --dport 80 -i ppp+ -j DROP _________________ I can change this world, but G*d doesn`t give me the source (c)
Gooooглю за деньги
да, в начало цепочки – работает, спасибо.
Для надежности сделал так
iptables -I INPUT -s ! 192.168.0.0/255.255.0.0 -p tcp --dport 80 -j DROP
iptables -I INPUT -s ! 192.168.0.0/255.255.0.0 -p tcp --dport 23 -j DROP
злобно. но было достаточно и правила которое я дал ) с wan стороны оно вроде и так на вэбморду не пускает. _________________ I can change this world, but G*d doesn`t give me the source (c)
Gooooглю за деньги
Вот засада то, через telnet добавляю, правило становится первым в таблице INPUT как и положено, все работает. А помещаю правило в "Параметры запуска" или в "Firewall", после загрузки роутера правило становится вторым и конечно не работает.
простите за мой плохой французский, но зачем так? Что мешает кинуть на автостарт sleep 120 и следующей строкой правило (pptp стартует примерно через минуту после полного старта). Или чтоб не наугад работать даете слип, потом проверку на запущенность интерфейса. Если запущен - добавляем правило и отваливаемся. Не запущен - слип 10 секунд и повторная проверка.
Из соображений простоты - вариант 1. Из соображений надежности - вариант 2. Правда вот со вторым надо малость потрудиться Но есть экзамплы... например - http://www.opennet.ru/openforum/vsluhforumID6/15218.html _________________ I can change this world, but G*d doesn`t give me the source (c)
Gooooглю за деньги
Last edited by SaintReset on Fri Mar 13, 2009 15:41; edited 2 times in total
SaintReset, vvv, спасибо за помощь.
Почитал я про команду sed и пришел к выводу что это путь попроще. Удалять строки с ACCEPT не решился, т.к. может боком каким-нибудь выйти, а разбираться с этой задачей уже поднадоело.
Пока оставил такой вариант стартап скрипта решающий задачу с блокировкой, закрываются входящие соединения на порты с 1 по 1000 на PPTP клиенте:
Code:
(while [ ! -f /tmp/pptpd_client/ip-up ]; do sleep 3; done
sed -i -e '/keloke/a route del $5' /tmp/pptpd_client/ip-up
sed -i -e '/INPUT/a /usr/sbin/iptables -I INPUT -p tcp --dport 1:1000 -j DROP -i $1' /tmp/pptpd_client/ip-up
sed -i -e '/INPUT/a /usr/sbin/iptables -D INPUT -p tcp --dport 1:1000 -j DROP -i $1' /tmp/pptpd_client/ip-down
route del default
) &
ping - ICMP протокол без номера порта. так что -p ICMP _________________ I can change this world, but G*d doesn`t give me the source (c)
Gooooглю за деньги
нет. это блокирует ICMP только с wan. Но никак не с ppp0 _________________ I can change this world, but G*d doesn`t give me the source (c)
Gooooглю за деньги
Ради интереса включил логирование входящих соединений на порты 1-1000 на интерфейсе ppp0. Хацкеры периодически стучатся на порты 22, 23, 80, 135, 139, 445. Не зря заблочил это дело...