LINUX.ORG.RU
ФорумAdmin

Настройка DD-WRT

 ,


0

1

Доброго всем времени суток. С роутерами и iptables до этого особо не сталкивался. Поэтому буду благодарен любой помощи. Немного предыстории. Есть у нас провайдер, который, согласно тендеру, предоставляет услуги всем общежитиям нашего института. Провайдер жадный (странно, да? =) ). Раньше роутеры работали из коробки — подключил и пользуйся. Но теперь они хотят за пользование роутером немалую доплату (с учетом того, что тарифы у них самые большие в городе). Опытным путем выяснили, что роутеры определяют по полю TTL (роутеры, по идее, режут его на единичку). Залил в роутер DD-WRT, добавил правило для увеличения TTL на единицу. Но не работает. Хотя все пингуется (без увеличения TTL даже не пинговалось ничего). Попробовал traceroute, в выводе одни звезды, даже при подключении напрямую без роутера. Подскажите, пожалуйста, что можно попробовать сделать? И еще нубовопрос. Я же надеюсь, что маскарадинг там по дефолту стоит? Это же все таки роутер, да и пинги идут ... В общем полный ступор.
По идее мне нужно что-то вроде такого:

iptables -A FORWARD -s 192.168.1.1/24 -j ACCEPT
iptables -A FORWARD -d 192.168.1.1/24 -j ACCEPT
iptables -t nat -A POSTROUTING -o `get_wanface` -s 192.168.1.1/24 -j MASQUERADE
iptables -t mangle -I POSTROUTING -o `get_wanface` -j TTL --ttl-inc 1

Или я глубоко ошибаюсь?

Включи Овального, пиши в прокуратуру, обращайся в суд и т.п.

Главное не увлечься. Получишь условный срок, испытательный закончится — сразу с материалами дела валишь и просишь убежища.

anonymous ()

На всякий случай вот таблицы iptables:

filter:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     0    --  anywhere             anywhere            state RELATED,ESTABLISHED 
ACCEPT     udp  --  anywhere             anywhere            udp spt:bootps dpt:bootpc 
DROP       udp  --  anywhere             anywhere            udp dpt:route 
DROP       udp  --  anywhere             anywhere            udp dpt:route 
ACCEPT     udp  --  anywhere             anywhere            udp dpt:route 
DROP       icmp --  anywhere             anywhere            
DROP       igmp --  anywhere             anywhere            
ACCEPT     0    --  anywhere             anywhere            state NEW 
ACCEPT     0    --  anywhere             anywhere            state NEW 
DROP       0    --  anywhere             anywhere            

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     0    --  anywhere             anywhere            state RELATED,ESTABLISHED 
ACCEPT     gre  --  192.168.1.0/24       anywhere            
ACCEPT     tcp  --  192.168.1.0/24       anywhere            tcp dpt:1723 
lan2wan    0    --  anywhere             anywhere            
ACCEPT     0    --  anywhere             anywhere            
TRIGGER    0    --  anywhere             anywhere            TRIGGER type:in match:0 relate:0 
trigger_out  0    --  anywhere             anywhere            
ACCEPT     0    --  anywhere             anywhere            state NEW 
DROP       0    --  anywhere             anywhere            

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain advgrp_1 (0 references)
target     prot opt source               destination         

Chain advgrp_10 (0 references)
target     prot opt source               destination         

Chain advgrp_2 (0 references)
target     prot opt source               destination         

Chain advgrp_3 (0 references)
target     prot opt source               destination         

Chain advgrp_4 (0 references)
target     prot opt source               destination         

Chain advgrp_5 (0 references)
target     prot opt source               destination         

Chain advgrp_6 (0 references)
target     prot opt source               destination         

Chain advgrp_7 (0 references)
target     prot opt source               destination         

Chain advgrp_8 (0 references)
target     prot opt source               destination         

Chain advgrp_9 (0 references)
target     prot opt source               destination         

Chain grp_1 (0 references)
target     prot opt source               destination         

Chain grp_10 (0 references)
target     prot opt source               destination         

Chain grp_2 (0 references)
target     prot opt source               destination         

Chain grp_3 (0 references)
target     prot opt source               destination         

Chain grp_4 (0 references)
target     prot opt source               destination         

Chain grp_5 (0 references)
target     prot opt source               destination         

Chain grp_6 (0 references)
target     prot opt source               destination         

Chain grp_7 (0 references)
target     prot opt source               destination         

Chain grp_8 (0 references)
target     prot opt source               destination         

Chain grp_9 (0 references)
target     prot opt source               destination         

Chain lan2wan (1 references)
target     prot opt source               destination         

Chain logaccept (0 references)
target     prot opt source               destination         
ACCEPT     0    --  anywhere             anywhere            

Chain logdrop (0 references)
target     prot opt source               destination         
DROP       0    --  anywhere             anywhere            

Chain logreject (0 references)
target     prot opt source               destination         
REJECT     tcp  --  anywhere             anywhere            reject-with tcp-reset 

Chain trigger_out (1 references)
target     prot opt source               destination

nat:
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
DNAT       icmp --  anywhere             my_isp to:192.168.1.1 
TRIGGER    0    --  anywhere             my_isp TRIGGER type:dnat match:0 relate:0 

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
SNAT       0    --  192.168.1.0/24       anywhere            to:wan_ip 
MASQUERADE  0    --  anywhere             anywhere            mark match 0x80000000/0x80000000

mangle
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
MARK       0    --  anywhere             my_isp  MARK or 0x80000000
CONNMARK   0    --  anywhere             anywhere            CONNMARK save  

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU 

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
TTL        0    --  anywhere             anywhere            TTL set to 128

baldman88 ()
Ответ на: комментарий от Deathstalker

Странно это все:

[16:58:16][baldman@bcs][~]$ traceroute 192.168.1.1
traceroute to 192.168.1.1 (192.168.1.1), 30 hops max, 60 byte packets
 1  DD-WRT (192.168.1.1)  0.633 ms  0.580 ms  0.756 ms
[16:58:33][baldman@bcs][~]$ traceroute 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
 1  DD-WRT (192.168.1.1)  0.398 ms  0.369 ms  0.449 ms
 2  google-public-dns-a.google.com (8.8.8.8)  43.460 ms  42.967 ms  43.984 ms
[16:58:37][baldman@bcs][~]$ nslookup yandex.ru
Server:		192.168.1.1
Address:	192.168.1.1#53

Non-authoritative answer:
Name:	yandex.ru
Address: 213.180.193.11
Name:	yandex.ru
Address: 213.180.204.11
Name:	yandex.ru
Address: 93.158.134.11

[16:58:40][baldman@bcs][~]$ 

baldman88 ()
Ответ на: комментарий от Deathstalker

Так вообще тишина — ничего не пингуется и не трассируется. Пробовал и 64 ставить — тоже ничего. Пакеты проходят только при увеличении TTL на единицу, либо при задании его значения равным 128.

baldman88 ()

Могут блокировать по MAC, если не заплатил деньги, так что не факт, что заработает с увеличенным TTL. Могут также резать tcp/udp трафик.

insider ★★★ ()
Ответ на: комментарий от insider

Как вариант. Может подскажете где почитать на эту тему?
Есть еще один существенный момент. Если TTL увеличивать на машине, перед тем, как пакеты идут на роутер, то все работает. То есть в комнате есть два ноутбука с windows и они работают. Но помимо этого есть еще 2 планшета и 3 телефона. А на них без рута этого не сделать.
Сетевые адреса жестко привязаны к белым статическим ip. Так что если не заплатил, то вообще ничего не будет.

baldman88 ()
Ответ на: комментарий от baldman88

Может подскажете где почитать на эту тему

Я не знаю. что за оборудование у вашего прова, но элементарно можно резать любым файрволом, например iptables.

insider ★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.