-
Posts
15 -
Joined
-
Last visited
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by Денис Илютин
-
-
Ладно, сделал костыльно, Rsh-запрос отправляется с другого устройства локальной сети, которое 24/7 работает.
-
15 часов назад, Le ecureuil сказал:
rsh уже сто лет как устарел и его уже почти нигде нет.
Вместо rsh используйте ssh/scp.
Проблема в том, что ipcad использует именно rsh.
Тогда вопрос чем считать, если не ipcad-ом, если netflow в entware используют только ipcad и fprobe
-
Собственно, в чем дело. Появилась необходимость мониторить сетевую активность через шлюз. Для этих целей идеально подходил ipcad, который распространяется в entware, все прекрасно. Установил на тестовой машине, попробовал - все работает, вся статистика выгружается так, как нужно, в общем чудо, а не программка.
Установил на keenetic, скопировал конфиг, изменив интерфейсы и настройки агрегации. Он даже, вроде как, запускается:
/opt/etc # ipcad -c ipcad.conf -rds Opening lte*... [LCap] [DYNAMIC] Initialized as 0 Aggregate network 192.168.1.0/255.255.255.0 -> 255.255.255.255 Aggregate network 192.168.3.0/255.255.255.0 -> 255.255.255.255 Aggregate network 192.168.137.0/255.255.255.0 -> 255.255.255.255 Aggregate network 0.0.0.0/0.0.0.0 -> 255.255.255.0 Configured RSH Server listening at 127.0.0.1 Can't open dump file /opt/var/log/ipcad/ipcad.dump /opt/etc # Daemonized.
Дамп файла еще нет, поэтому и не может.
Но никакие запросы передать rsh я не могу:
/opt/etc # rsh localhost dump -sh: rsh: not found
И вроде бы ясно, что говорит об отсутствии rsh команды, да и поиск об этом говорит:
# find / -name "*rsh*" /proc/sys/net/ipv4/igmp_max_memberships /sys/devices/virtual/net/br0/bridge/multicast_membership_interval /sys/devices/virtual/net/br1/bridge/multicast_membership_interval
Вот только откуда ее взять - ума не приложу.
Заранее спасибо за наводящие советы.Если вдруг пригодится - конфиг ipcad:
Скрытый текстсapture-ports disable; interface lte*; aggregate 192.168.1.0/24 strip 32; aggregate 192.168.3.0/24 strip 32; aggregate 192.168.137.0/24 strip 32; aggregate 0.0.0.0/0 strip 24; rsh enable at 127.0.0.1; rsh ttl = 3; rsh timeout = 30; dumpfile = /opt/var/log/ipcad/ipcad.dump; pidfile = /opt/var/log/ipcad/ipcad.pid; memory_limit = 10m;
-
Всем спасибо, все заработало. Действительно, основных правил было достаточно.
После добавления строчкиiptables -t nat -A POSTROUTING --dst 192.168.137.0/24 -p tcp -j SNAT --to-source 192.168.1.1
в роутер основной сети (где сервер), трафик из внешней сети пошел.
-
Вопрос еще в одном. Проблема внешней недоступности в правилах файервола, как я понял. Но если для родных интерфейсов кинетика можно настроить межсетевой экран из веб-интерфейса, то тут - только через iptables, как я понимаю.
Ситуация: Если я выхожу с компа 192.168.1.203 (подсеть сервера) - веб-интерфейс кинетика открыт.
Если выхожу из удаленной сети - нет.Какие правила прописать, чтобы заработало?
Пробовал на роутере 192.168.1.1 маскарадить запросы - не вышло.
-
2 часа назад, zyxmon сказал:
#!/opt/bin/sh PATH=/opt/sbin:/opt/bin:/usr/sbin:/usr/bin:/sbin:/bin unset LD_LIBRARY_PATH unset LD_PRELOAD
А вот это помогло!
Скрипты применяются, в логах ругани нет.
-
7 часов назад, TheBB сказал:
во-первых - шебанг должОн быть c ! #!/opt/bin/sh
во-вторых - путь к бинарнику /opt/sbin/iptables
Насчет во-первых сделал, ничего не поменялось.
Насчет во-вторых:
~ # find / -name "iptables" /usr/lib/iptables /usr/sbin/iptables
Но ни так, ни так не работает.
Поставил полностью ваш скрипт (кроме путей к iptables, которых он не находил), на выходе
~ # /opt/etc/ndm/netfilter.d/051-openvpn-iptables.sh /opt/etc/ndm/netfilter.d/051-openvpn-iptables.sh: line 1: /opt/root: Permission denied /opt/etc/ndm/netfilter.d/051-openvpn-iptables.sh: line 11: /opt/root: Permission denied /opt/etc/ndm/netfilter.d/051-openvpn-iptables.sh: line 12: /opt/root: Permission denied /opt/etc/ndm/netfilter.d/051-openvpn-iptables.sh: line 13: /opt/root: Permission denied /opt/etc/ndm/netfilter.d/051-openvpn-iptables.sh: line 14: /opt/root: Permission denied
3 часа назад, zyxmon сказал:Если Вам нужен доступ к кинетику и к сети за кинетиком снаружи - то Вам нужен OpenVPN сервер на кинетике. Вы путаетесь в показаниях.
На кинетике серый IP - это раз. Из локальной сети сервера кинетик я вижу - это два. Да, на кинетике клиент.
-
Так. Проблема видимости локализована, ибо из локалки сервера веб-интерфейс keenetic открывается. Так что да, вы правы - там надо в таблицах маршрутизации смотреть.
А вот вопрос с SegFault открыт. Дописал #/opt/bin/sh вначале и пути "/usr/sbin/iptables"/. Теперь это выглядит так:
# /opt/bin/sh /usr/sbin/iptables -A INPUT -p tcp -i br0 --dport 1:13000 -j ACCEPT /usr/sbin/iptables -A INPUT -i tun0 -j ACCEPT /usr/sbin/iptables -A POSTROUTING --table nat -s 192.168.3.0/24 -o br0 -j MASQUERADE /usr/sbin/iptables -A OUTPUT -j ACCEPT /usr/sbin/iptables -A FORWARD -o tun0 -j ACCEPT /usr/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT /usr/sbin/iptables -A FORWARD -i tun0 -o br0 -m state --state NEW -j ACCEPT
Однако лог точно такой же как в первом сообщении.
-
Еще tracelog до двух портов 12345 (работает подключение, проброс на устройство в локалке) и 11111 (не работает, openvpn->keenetic морда). Очень извиняюсь за то, что картинками.
порт 12345
Скрытый текстпорт 11111
Скрытый текст -
9 минут назад, zyxmon сказал:
Ни одного Segfault не видно.
Научитесь оформлять листинги. Есть же кнопка код. Логи предварительно сохраняйте в файл. Содержимое скрипта, который возвращает ошибку в куче ненужной информации не увидел.
Извиняюсь, сейчас подправлю оформление.
А насчет ошибки, вот же, под первым катом строка 1, 4 и т.д.: Opkg::Manager: /opt/etc/ndm/netfilter.d/051-openvpn-iptables.sh: Segmentation fault. Да и exit code 139 - Segfault, насколько я знаю. -
Продолжение из http://forum.keenetic.net/topic/61-правила-iptables-для-openvpn/?do=findComment&comment=11451
Лог в прикрепленном файле
При этом если запускаешь вручную (sh 051-openvpn-iptables.sh) - все в порядке.
Содержание скриптов:
Скрытый текст/opt/etc/ndm/netfilter.d/051-openvpn-iptables.sh
#!/bin/sh iptables -A INPUT -p tcp -i br0 --dport 1:13000 -j ACCEPT iptables -A INPUT -i tun0 -j ACCEPT iptables -A POSTROUTING --table nat -s 192.168.3.0/24 -o br0 -j MASQUERADE iptables -A OUTPUT -j ACCEPT iptables -A FORWARD -o tun0 -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i tun0 -o br0 -m state --state NEW -j ACCEPT
/opt/etc/ndm/netfilter.d/filter.h
#!/bin/sh [ "$table" != "filter" ] && exit 0 # check the table name iptables -I FORWARD -i br0 -o tun0 -j ACCEPT iptables -I FORWARD -i tun0 -o br0 -j ACCEPT iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE /opt/bin/logger "openvpn iptables rules applied"
Если не запускать - пинга до кинетика с сервера нет. Запуск filter.sh этого не меняет. Запуск 051-openvpn-iptables.sh - дает пинг.
iptables:
Скрытый текст/opt/etc/ndm/netfilter.d # iptables -L -v -n Chain INPUT (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 12517 1604K ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 44 7528 ACCEPT all -- * * 0.0.0.0/0 224.0.0.0/4 0 0 ACCEPT 2 -- * * 0.0.0.0/0 0.0.0.0/0 2869 792K _NDM_IPSEC_INPUT_FILTER all -- * * 0.0.0.0/0 0.0.0.0/0 2869 792K _NDM_IN_EXCEPTIONS all -- * * 0.0.0.0/0 0.0.0.0/0 2869 792K _NDM_IN all -- * * 0.0.0.0/0 0.0.0.0/0 201 21959 _NDM_IPSEC_INPUT all -- * * 0.0.0.0/0 0.0.0.0/0 73 6132 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID 0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate DNAT 128 15827 _NDM_INPUT all -- * * 0.0.0.0/0 0.0.0.0/0 128 15827 SL_PRIVATE all -- * * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT tcp -- br0 * 0.0.0.0/0 0.0.0.0/0 tcp dpts:1:13000 1 84 ACCEPT all -- tun0 * 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- * * 0.0.0.0/0 224.0.0.0/4 472 30209 _NDM_IPSEC_FORWARD all -- * * 0.0.0.0/0 0.0.0.0/0 472 30209 _NDM_IN all -- * * 0.0.0.0/0 0.0.0.0/0 115 6440 _NDM_OUT all -- * * 0.0.0.0/0 0.0.0.0/0 115 6440 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID 0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate DNAT 0 0 _NDM_PRE_FORWARD all -- * * 0.0.0.0/0 0.0.0.0/0 0 0 _NDM_FORWARD all -- * * 0.0.0.0/0 0.0.0.0/0 0 0 SL_FORWARD all -- * * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT all -- br0 br0 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT all -- br1 br1 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT all -- * tun0 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 ACCEPT all -- tun0 br0 0.0.0.0/0 0.0.0.0/0 state NEW Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 14806 2204K _NDM_IPSEC_OUTPUT_FILTER all -- * * 0.0.0.0/0 0.0.0.0/0 14806 2204K _NDM_OUT all -- * * 0.0.0.0/0 0.0.0.0/0 11064 1641K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 Chain SL_FORWARD (1 references) pkts bytes target prot opt in out source destination 0 0 SL_PROTECT all -- * apcli0 0.0.0.0/0 0.0.0.0/0 ctstate NEW 0 0 SL_PROTECT all -- * eth2.2 0.0.0.0/0 0.0.0.0/0 ctstate NEW 0 0 SL_PROTECT all -- * ppp0 0.0.0.0/0 0.0.0.0/0 ctstate NEW 0 0 SL_PROTECT all -- * ppp1 0.0.0.0/0 0.0.0.0/0 ctstate NEW 0 0 SL_PROTECT all -- * lte_br0 0.0.0.0/0 0.0.0.0/0 ctstate NEW Chain SL_PRIVATE (2 references) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- ra2 * 0.0.0.0/0 0.0.0.0/0 ctstate NEW 0 0 ACCEPT all -- ra1 * 0.0.0.0/0 0.0.0.0/0 ctstate NEW 0 0 ACCEPT all -- ra0 * 0.0.0.0/0 0.0.0.0/0 ctstate NEW 0 0 ACCEPT all -- ra3 * 0.0.0.0/0 0.0.0.0/0 ctstate NEW 0 0 ACCEPT all -- eth2.1 * 0.0.0.0/0 0.0.0.0/0 ctstate NEW 0 0 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0 ctstate NEW 35 8015 ACCEPT all -- br1 * 0.0.0.0/0 0.0.0.0/0 ctstate NEW Chain SL_PROTECT (7 references) pkts bytes target prot opt in out source destination 0 0 SL_PRIVATE all -- * * 0.0.0.0/0 0.0.0.0/0 Chain _NDM_FORWARD (1 references) pkts bytes target prot opt in out source destination 0 0 _NDM_UPNP_FORWARD all -- * * 0.0.0.0/0 0.0.0.0/0 Chain _NDM_HOTSPOT_FWD (1 references) pkts bytes target prot opt in out source destination Chain _NDM_IN (2 references) pkts bytes target prot opt in out source destination 737 88005 _acl__WEBADMIN_FastEthernet0/Vl all -- eth2.2 * 0.0.0.0/0 0.0.0.0/0 0 0 _acl__WEBADMIN_WifiMaster0/Wifi all -- apcli0 * 0.0.0.0/0 0.0.0.0/0 0 0 _acl__WEBADMIN_UsbModem0 all -- ppp0 * 0.0.0.0/0 0.0.0.0/0 2288 706K _acl__WEBADMIN_Home all -- br0 * 0.0.0.0/0 0.0.0.0/0 35 8015 _acl__WEBADMIN_Guest all -- br1 * 0.0.0.0/0 0.0.0.0/0 Chain _NDM_INPUT (1 references) pkts bytes target prot opt in out source destination 0 0 SL_PROTECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68 0 0 SL_PROTECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spts:67:68 dpts:67:68 Chain _NDM_IN_EXCEPTIONS (1 references) pkts bytes target prot opt in out source destination Chain _NDM_IPSEC_FORWARD (1 references) pkts bytes target prot opt in out source destination Chain _NDM_IPSEC_INPUT (1 references) pkts bytes target prot opt in out source destination Chain _NDM_IPSEC_INPUT_FILTER (1 references) pkts bytes target prot opt in out source destination Chain _NDM_IPSEC_OUTPUT_FILTER (1 references) pkts bytes target prot opt in out source destination Chain _NDM_OUT (2 references) pkts bytes target prot opt in out source destination Chain _NDM_PRE_FORWARD (1 references) pkts bytes target prot opt in out source destination 0 0 _NDM_HOTSPOT_FWD all -- * * 0.0.0.0/0 0.0.0.0/0 Chain _NDM_UPNP_FORWARD (1 references) pkts bytes target prot opt in out source destination Chain _acl__WEBADMIN_FastEthernet0/Vl (1 references) pkts bytes target prot opt in out source destination 626 68998 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 111 19007 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 Chain _acl__WEBADMIN_Guest (1 references) pkts bytes target prot opt in out source destination 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 Chain _acl__WEBADMIN_Home (1 references) pkts bytes target prot opt in out source destination 592 40408 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 1381 637K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 315 28716 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 Chain _acl__WEBADMIN_UsbLte0 (0 references) pkts bytes target prot opt in out source destination 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 Chain _acl__WEBADMIN_UsbModem0 (1 references) pkts bytes target prot opt in out source destination 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8000 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:9000 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5080 Chain _acl__WEBADMIN_WifiMaster0/Wifi (1 references) pkts bytes target prot opt in out source destination 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
Таблицы маршрутизации:
192.168.1.0/24 - локалка, где находится сервер(192.168.1.5)
192.168.137.0/24 - локалка, где находится клиент(192.168.137.1)
192.168.3.0/24 - VPN-локалка.(192.168.3.1-сервер, 192.168.3.4 - клиент)Скрытый текстКлиент:
Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface default 192.168.2.1 0.0.0.0 UG 0 0 0 eth2.2 10.1.30.0 * 255.255.255.0 U 0 0 0 br1 85.114.0.81 192.168.2.1 255.255.255.255 UGH 0 0 0 eth2.2 85.114.2.81 192.168.2.1 255.255.255.255 UGH 0 0 0 eth2.2 192.168.1.0 192.168.3.1 255.255.255.0 UG 0 0 0 tun0 192.168.2.0 * 255.255.255.0 U 0 0 0 eth2.2 192.168.3.0 * 255.255.255.0 U 0 0 0 tun0 192.168.137.0 * 255.255.255.0 U 0 0 0 br0
Сервер:
Routing tables Internet: Destination Gateway Flags Netif Expire default 192.168.1.1 UGS epair0b 127.0.0.1 link#1 UH lo0 192.168.1.0/24 link#2 U epair0b 192.168.1.5 link#2 UHS lo0 192.168.3.0/24 192.168.3.1 UGS tun0 192.168.3.1 link#3 UHS lo0 192.168.3.2 link#3 UH tun0 192.168.137.0/24 192.168.3.2 UGS tun0
P.S. Был вопрос про проброс - это в локальной сети сервера.
-
6 минут назад, zyxmon сказал:
Это для сервера, а у Вас клиент. (не обратил внимание)
Для клиента примерно так - http://forums.zyxmon.org/viewtopic.php?f=5&t=5344
На этот топик натыкался, но безуспешно. Сейчас еще раз перезабил, все равно.
Дабы не быть голословным. Сервер openVPN расположен на 192.168.1.5. Пинг с произвольного устройства сети сервера и traceroute:
Скрытый текст[root@Cloud] ~# ping 192.168.137.1
PING 192.168.137.1 (192.168.137.1): 56 data bytes
64 bytes from 192.168.137.1: icmp_seq=0 ttl=63 time=39.539 ms
92 bytes from 192.168.1.1: Redirect Host(New addr: 192.168.1.5)
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst
4 5 00 0054 8aae 0 0000 3f 01 e5a2 192.168.1.6 192.168.137.164 bytes from 192.168.137.1: icmp_seq=1 ttl=63 time=48.568 ms
92 bytes from 192.168.1.1: Redirect Host(New addr: 192.168.1.5)
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst
4 5 00 0054 8ab4 0 0000 3f 01 e59c 192.168.1.6 192.168.137.164 bytes from 192.168.137.1: icmp_seq=2 ttl=63 time=43.913 ms
92 bytes from 192.168.1.1: Redirect Host(New addr: 192.168.1.5)
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst
4 5 00 0054 8ab8 0 0000 3f 01 e598 192.168.1.6 192.168.137.164 bytes from 192.168.137.1: icmp_seq=3 ttl=63 time=41.982 ms
[root@Cloud] ~# traceroute 192.168.137.1
traceroute to 192.168.137.1 (192.168.137.1), 64 hops max, 40 byte packets
1 192.168.1.1 (192.168.1.1) 0.244 ms 0.225 ms 0.185 ms
2 192.168.1.5 (192.168.1.5) 0.183 ms 0.207 ms 0.177 ms
3 192.168.137.1 (192.168.137.1) 39.486 ms 42.025 ms 41.446 msНа роутере прописан проброс 80 порта при обращении на порт 11111 (порты ниже 1000 блокирует провайдер, а 8080 занят):
Запрашиваем страничку:
Скрытый текстТакие дела.
P.S. и еще, у меня постоянно ругается на Segmentation fault скрипты файервола, как уйти от этого?
-
55 минут назад, zyxmon сказал:
~ # cat /opt/etc/ndm/netfilter.d/filter.sh #!/opt/bin/sh [ "$table" != "filter" ] && exit 0 # check the table name /opt/sbin/iptables -I FORWARD -o tun0 -j ACCEPT /opt/sbin/iptables -I FORWARD -i tun0 -j ACCEPT /opt/sbin/iptables -I INPUT -i tun0 -j ACCEPT /opt/bin/logger "openvpn iptables rules applied"
Увы, не сработало. Видимо, поэтому
Opkg::Manager: /opt/etc/ndm/netfilter.d/filter.sh: /opt/etc/ndm/netfilter.d/filter.sh: line 4: /opt/sbin/iptables: not found.
Sep 29 21:54:17ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/filter.sh: /opt/etc/ndm/netfilter.d/filter.sh: line 5: /opt/sbin/iptables: not found.Sep 29 21:54:17ndmOpkg::Manager: /opt/etc/ndm/netfilter.d/filter.sh: /opt/etc/ndm/netfilter.d/filter.sh: line 6: /opt/sbin/iptables: not found. -
Вечер добрый!
Второй день бьюсь, не могу ничего придумать. На кинетике крутиться openVPN-клиент, сервер замечательно пингует как внутреннюю, так и локальную сеть, в обратную сторону все тоже работает. Однако не могу зайти на веб-морду кинетика с внутренней сети сервера (хотя, повторюсь, пинг проходит).Дано: tcp, tun соединение, интерфейс везде tun0.
Правила iptable для кинетика:
Скрытый текстiptables -A INPUT -p tcp -i br0 --dport 1:13000 -j ACCEPT
iptables -A FORWARD -i tun0 -j ACCEPT
iptables -A INPUT -i tun0 -j ACCEPT
iptables -A POSTROUTING --table nat -s 192.168.3.0/24 -o br0 -j MASQUERADE
iptables -A OUTPUT -j ACCEPT
iptables -A FORWARD -o tun0 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i tun0 -o br0 -m state --state NEW -j ACCEPTнасобирал из разных тем.
Сеть OpenVPN 192.168.3.0/24, адрес keenetic - 192.168.3.6
Сеть Keenetic - 192.168.137.0/24, адрес кинетика 192.168.137.1 соответственно.
Скрипт в папке netfilter.d, chmod +x выполнен, прошивка официальная v2.07, пакет entware3 -> openvpn-openssl.
Выставление квот траффика
in Вопросы по сборке и настройке Opkg
Posted
Возникла необходимость сделать следующее:
* Создать три группы подключаемых устройств - две для зарегистрированных и одну для всех незарегистрированных.
* Выдать группам разные квоты траффика на день/месяц на всю группу. (скажем, 500 Мб, 50 Мб, неограниченно)
* По достижении ими этой квоты отключать доступ в интернет до сброса квоты.
Основное в этом списке - выставление квот и отключение доступа во внешнюю сеть по их достижении. Группы - дополнительная плюшка.
Методом "из коробки" не нашел как это сделать. Стоит Optware, версия прошивки 2.07, но в optware в списке пакетов тоже не увидел. Прошу ткнуть носом в инструменты с помощью которых можно это сделать.