|
Odpowiedz rutera na pingi od strony WAN
|
| buniaczek |
Dodano 05-06-2012 07:37
|
OL Maniac
Posty: 1166
Dołączył: 28/12/2010 13:05
|
Załóżmy że chciałbym zezwolić na pingowanie rutera od strony WAN-u
Czy wystarczy że w zakładce Firewall zaznaczę opcję Respond to ICMP ping, czy muszę jeszcze coś zrobić?
-------------------------
Netgear WNR3500L || Tomato-K26USB-1.28 RT5x MIPSR2 101V Big-VPN ||
Asus RT-N56U || Asus firmware 3.0.0.3.135 - wygrania w konkursie na openlinksys.info||
[b]Asus RT-N10U v.B1 [small]
|
| |
|
|
| kille72 |
Dodano 05-06-2012 07:55
|
Administrator
Posty: 2986
Dołączył: 12/02/2007 23:43
|
Wystarczy to. |
| |
|
|
| buniaczek |
Dodano 05-06-2012 08:20
|
OL Maniac
Posty: 1166
Dołączył: 28/12/2010 13:05
|
W takim razie tyle mówi teoria ale w praktyce brak odpowiedzi :/
-------------------------
Netgear WNR3500L || Tomato-K26USB-1.28 RT5x MIPSR2 101V Big-VPN ||
Asus RT-N56U || Asus firmware 3.0.0.3.135 - wygrania w konkursie na openlinksys.info||
[b]Asus RT-N10U v.B1 [small]
|
| |
|
|
| kille72 |
Dodano 05-06-2012 08:27
|
Administrator
Posty: 2986
Dołączył: 12/02/2007 23:43
|
Zalogowalem sie wlasnie do klienta ktory ma WRT54GL i dziala...sprawdze to pozniej na WNR3500Lv1 i v2.
Bytes Source Seq Time Units
Time minimum: 0.00 ms
Time average: 0.00 ms
Time maximum: 0.00 ms
Packets transmitted: 5
Packets received: 0
Successful packets: 0%
Bytes Source Seq Time Units
64 x.249.177.x 1 34.2 ms
64 x.249.177.x 2 23.3 ms
64 x.249.177.x 3 32.7 ms
64 x.249.177.x 4 22.6 ms
64 x.249.177.x 5 29.2 ms
Time minimum: 22.60 ms
Time average: 29.37 ms
Time maximum: 34.20 ms
Packets transmitted: 5
Packets received: 5
Successful packets: 100%
|
| |
|
|
| buniaczek |
Dodano 05-06-2012 08:34
|
OL Maniac
Posty: 1166
Dołączył: 28/12/2010 13:05
|
Ja u siebie sprawdzałem na 3500L v1
-------------------------
Netgear WNR3500L || Tomato-K26USB-1.28 RT5x MIPSR2 101V Big-VPN ||
Asus RT-N56U || Asus firmware 3.0.0.3.135 - wygrania w konkursie na openlinksys.info||
[b]Asus RT-N10U v.B1 [small]
|
| |
|
|
| kille72 |
Dodano 05-06-2012 09:58
|
Administrator
Posty: 2986
Dołączył: 12/02/2007 23:43
|
Dziala! Wytestowalem na 3500Lv1 + 093 Big-VPN. |
| |
|
|
| buniaczek |
Dodano 05-06-2012 10:04
|
OL Maniac
Posty: 1166
Dołączył: 28/12/2010 13:05
|
W takim razie pytanie co u mnie jest zwalone:/
Bo do rutera mogę się normalnie dostać od strony WAN-u
-------------------------
Netgear WNR3500L || Tomato-K26USB-1.28 RT5x MIPSR2 101V Big-VPN ||
Asus RT-N56U || Asus firmware 3.0.0.3.135 - wygrania w konkursie na openlinksys.info||
[b]Asus RT-N10U v.B1 [small]
|
| |
|
|
| kille72 |
Dodano 05-06-2012 10:18
|
Administrator
Posty: 2986
Dołączył: 12/02/2007 23:43
|
iptables przy "Respond to ICMP ping" OFF i ON na WRT54GL
Chain INPUT (policy DROP 253 packets, 11871 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP all -- br0 * 0.0.0.0/0 x.249.177.x
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
849 89569 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 shlimit tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 state NEW
416 26488 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0
1 60 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
225 73733 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68
17 1020 ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.1 tcp dpt:443
0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.1 tcp dpt:22
Chain INPUT (policy DROP 2 packets, 64 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP all -- br0 * 0.0.0.0/0 x.249.177.x
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
33 4662 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 shlimit tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 state NEW
1 63 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 1/sec burst 5
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:33434:33534 limit: avg 5/sec burst 5
2 670 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68
3 180 ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.1 tcp dpt:443
0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.1 tcp dpt:22 |
| |
|
|
| hermes-80 |
Dodano 12-06-2012 11:56
|
VIP
Posty: 3682
Dołączył: 21/04/2009 11:24
|
U mnie na 75ML po włączeniu: Odpowiadaj na ping ICMP w firewallu
dodaje się regułka:
[root@WNR3500 root]$ iptables -L |grep icmp
ACCEPT icmp -- anywhere anywhere limit: avg 1/sec burst 5
Tak ona wygląda:
[root@WNR3500 root]$ cat /etc/iptables |grep icmp
-A INPUT -p icmp -m limit --limit 1/second -j ACCEPT
W takiej postaci trzeba było by ją dopisać do pliku /etc/iptables
Cytat
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i br0 -j ACCEPT
-A INPUT -p icmp -m limit --limit 1/second -j ACCEPT
-A INPUT -p udp --dport 33434:33534 -m limit --limit 5/second -j ACCEPT
-A INPUT -p udp --sport 67 --dport 68 -j ACCEPT
-A INPUT -p tcp --dport 3000 -j ACCEPT
-A INPUT -p igmp -d 224.0.0.0/4 -j ACCEPT
-A INPUT -p udp -d 224.0.0.0/4 ! --dport 1900 -j ACCEPT
:FORWARD DROP [0:0]
Pytanie teraz czy po restarcie Firewala jest nadpisywany plik - sądzę że tak czyli z moich dopisywań kicha trzeba skonstruować polecenie iptables, które dodaje takową regułkę - z konsoli.
Z tym, że nie sprawdzałem czy WAN odpowiada na ping ;) .
Edytowany przez hermes-80 dnia 12-06-2012 12:36
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| shibby |
Dodano 12-06-2012 12:09
|
SysOp
Posty: 17160
Dołączył: 15/01/2009 20:30
|
u mnie tez dziala na n16 i n66u
Router: Unifi Cloud Gateway Fiber
Switch: Unifi USW-Lite-16-PoE
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 4x 2TB SSD
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| buniaczek |
Dodano 12-06-2012 13:23
|
OL Maniac
Posty: 1166
Dołączył: 28/12/2010 13:05
|
Mi iptables -L |grep icmp zwraca:
ACCEPT icmp -- anywhere anywhere limit: avg 1/sec burst 5
Natomiast cat /etc/iptables |grep icmp:
-A WANPREROUTING -p icmp -j DNAT --to-destination 192.168.100.1
-A INPUT -p icmp -m limit --limit 1/second -j ACCEPT
Więc w tym momencie nie mam pojęcia co jest nie tak..
Czy modem od UPC (jakaś motorolka) może być przyczyną że mogę się normalnie zalogować do GUI Tomato z zewnątrz natomiast nie mogę pingować?
-------------------------
Netgear WNR3500L || Tomato-K26USB-1.28 RT5x MIPSR2 101V Big-VPN ||
Asus RT-N56U || Asus firmware 3.0.0.3.135 - wygrania w konkursie na openlinksys.info||
[b]Asus RT-N10U v.B1 [small]
|
| |
|
|
| hermes-80 |
Dodano 12-06-2012 14:53
|
VIP
Posty: 3682
Dołączył: 21/04/2009 11:24
|
Myślałem że to testowałeś bezpośredni na WAN routera, a nie przez modem - modem może być przyczyna tego stanu rzeczy.
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| buniaczek |
Dodano 12-06-2012 15:06
|
OL Maniac
Posty: 1166
Dołączył: 28/12/2010 13:05
|
Wygląda na to że sam siebie "strolowałem" :/
Puszczałem ping z sieci firmowej i wygląda że na wyjściu na świat z korporacji pakiety były ubijane..
Odpaliłem więc szybki test ze stronki: http://www.websitepulse.com/ i wszystko działa..
Wynik poniżej w załączniku..
Przepraszam za zamieszanie i dzięki za odpowiedzi!
buniaczek załączono następujące plik:
Nie masz uprawnień, by zobaczyć załączniki w tym wątku.
-------------------------
Netgear WNR3500L || Tomato-K26USB-1.28 RT5x MIPSR2 101V Big-VPN ||
Asus RT-N56U || Asus firmware 3.0.0.3.135 - wygrania w konkursie na openlinksys.info||
[b]Asus RT-N10U v.B1 [small]
|
| |
|
' target='_blank'>Link
