- Accueil
- » Forum
- » Archives
- » routeur dd-wrt
Pages : 1
#1 Le 29/06/2011, à 16:18
- lejurassien40
routeur dd-wrt
Tout d'abord bonjours à tous!
Celà fait maintenant un bon mois que j'ai "viré" windaube pour me mettre à linux grâce à un routeur dd-wrt
c'est peut-être étrange mais ca m'a tellement plu d'être libre de changer des programmes à ma guise que ubuntu s'est imposé de suite....
Bref aujourd'hui je n'ai pas vraiment une question sur ubuntu mais sur le fonctionnement de ce dd-wrt.Je pense que certains d'entre vous en ont un ca me parait relativement logique.
Donc sur ce routeur j'ai installé le package optware et ensuite configuré samba 3.5,transmission,et xinetd pour le ftp et c'est là que ca coince(pas beaucoup mais suffisement.)
Je m'explique(enfin je vais essayer.) firmewire v24 sp2 mega build 14929
Après trois semaines d'essais plus ou moins fructueux,j'ai réussi à avoir accès à ma clef usb branchée sur le routeur(via ftp) tout d'abord je n'avais acces que depuis le lan ensuite lan et wan,mais pour le wan celà ne fonctionne qu'une minute!!!! Et j'ai beau retourné tout ca encore et encore je n'en voit pas la raison.
Si une bonne âme charitable se décide à m'aider j'ai des captures d'écran des dossier .conf etc.....
Je m'étale pas parce que je ne sais même pas si je poste au bon endroit,et comme j'aime pas déranger...
bref,une aide de cette communauté (qui au demeurant à l'air très unie) me serait vraiment d'une grande aide et à charge de revanche.
merci
"De tous ceux qui n'ont rien à dire, les plus agréables sont ceux qui se taisent !" Ubuntu 20.04, Debian Buster, W10 LTS pour jouer.
"Ne vous trompez pas entre ma personnalité et mon attitude. Ma personnalité est "qui je suis", mon attitude dépend de "qui vous êtes".
Hors ligne
#2 Le 29/06/2011, à 17:16
- lejurassien40
Re : routeur dd-wrt
12 visites et aucunes personnes n'est en mesure de me donner un coup de main??
"De tous ceux qui n'ont rien à dire, les plus agréables sont ceux qui se taisent !" Ubuntu 20.04, Debian Buster, W10 LTS pour jouer.
"Ne vous trompez pas entre ma personnalité et mon attitude. Ma personnalité est "qui je suis", mon attitude dépend de "qui vous êtes".
Hors ligne
#3 Le 29/06/2011, à 17:30
- pierrecastor
Re : routeur dd-wrt
Salut
Une heure, seulement douze visite et une question plutôt technique donc je ne suis pas sur qu'elle soit a sa place au café et tu t'étonne de ne pas avoir eu de réponses ?
Pour quelqu'un qui n'aime pas déranger, je te trouve bien exigeant.
Oui c'est bien plus ouf et c'est bien bandant
Courir nu la bite à l'air, courir nue la fouffe au vent
Ludwig von 88 - Fracas
Hors ligne
#4 Le 29/06/2011, à 17:41
- lejurassien40
Re : routeur dd-wrt
Franchement j'ai écrit sur le forum dd-wrt et pas de réponse...j'ai écumé le web pendant trois semaines,et maintenant que je suis dans une impasse je me suis dit que les Ubunteros pourrait m'aider si les personnes du wiki de dd-wrt ne peuvent pas....
Apparemment je me suis trompé...désolé.
(t'es dur je trouve,j'essai toujours de me déme.... Et quand je demande pour la première fois de l'aide je me fais jeter...à 40 ans ça me blesse encore.)
Bonne journée
"De tous ceux qui n'ont rien à dire, les plus agréables sont ceux qui se taisent !" Ubuntu 20.04, Debian Buster, W10 LTS pour jouer.
"Ne vous trompez pas entre ma personnalité et mon attitude. Ma personnalité est "qui je suis", mon attitude dépend de "qui vous êtes".
Hors ligne
#5 Le 29/06/2011, à 18:32
- DaveNull
Re : routeur dd-wrt
Y'a la catégorie résau sur le forum.
Sinon, il faudrait que tu expliques mieux ton problème quand-même.
On sait que tu as un ordinateur sous ubuntu, un routeur qui tourne avec le firmware dd-wrt, où tu as ajouté le package optware, et que tu as une clé USB.
Mais on ne sait pas ce que tu veux faire de tout ça, ton message est très confus.
* Tu dis que tu as viré windows pour mettre ubuntu grâce à un routeur sous dd-wrt ==> WTF ? En quoi un routeur change quelque-chose à l'OS de ta machine ?
* "j'ai réussi à avoir accès à ma clef usb branchée sur le routeur(via ftp)" ==> WTF ? Cette phrase ne veux rien dire.
* Y'en a surement d'autres, mais imbriquées les unes dans les autres, j'ai la flemme de les recopier.
Il faudrait donc que tu expliques ton problème plus clairement :
1) Ce que tu cherches à faire
2) Le matos exact que tu as
3) Ce que tu as déjà fait
4) Là où ça bloque, avec quels logiciels, quelles commandes, quels messages d'erreur, etc...
timezone[Europe/Paris]
Hors ligne
#6 Le 29/06/2011, à 18:37
- pierrecastor
Re : routeur dd-wrt
Franchement j'ai écrit sur le forum dd-wrt et pas de réponse...j'ai écumé le web pendant trois semaines,et maintenant que je suis dans une impasse je me suis dit que les Ubunteros pourrait m'aider si les personnes du wiki de dd-wrt ne peuvent pas....
Apparemment je me suis trompé...désolé.
(t'es dur je trouve,j'essai toujours de me déme.... Et quand je demande pour la première fois de l'aide je me fais jeter...à 40 ans ça me blesse encore.)
Bonne journée
Je ne veut pas te jeter, je ne sais pas t'aider sur ce sujet et te faisait remarquer que une heure et douze visite, c'est très peu sur un forum. Mon message ne concernait pas la demande d'aide mais ton message de relance (ou UP) qui apparait un peu top par rapport à ce qui est tacitement accepté (on Up au bout de 24H normalement).
Il faudrait plus de détaille sur ton problème (comme l'explique davenull juste en dessous) et un peu de patiente pour attendre que quelqu'un qui maitrise le sujet passe par la.
Oui c'est bien plus ouf et c'est bien bandant
Courir nu la bite à l'air, courir nue la fouffe au vent
Ludwig von 88 - Fracas
Hors ligne
#7 Le 30/06/2011, à 07:52
- lejurassien40
Re : routeur dd-wrt
Je vous pries de m'excuser!
"De tous ceux qui n'ont rien à dire, les plus agréables sont ceux qui se taisent !" Ubuntu 20.04, Debian Buster, W10 LTS pour jouer.
"Ne vous trompez pas entre ma personnalité et mon attitude. Ma personnalité est "qui je suis", mon attitude dépend de "qui vous êtes".
Hors ligne
#8 Le 30/06/2011, à 08:29
- lejurassien40
Re : routeur dd-wrt
1) Ce que tu cherches à faire
Avoir acces à une clef usb de 32 Go attachée à mon routeur....
2) Le matos exact que tu as
Un pc avec un triple boot windows seven sur un dd,windows server 2011 sur un seconds et ubuntu 11.04 sur un troizièmes.
un routeur linksys e3000 avec dd-wrt v24sp2 mega build 14929 et un modem.
3) Ce que tu as déjà fait
j'ai installé le dd-wrt sur le linksys ensuite pour avoir acces à cette clef usb en partage réseau j'ai installé samba 3.5,un client bittorrent(transmission),et maintenant je m'attaquait à l'accès ftp depuis le lan et le wan avec le concours de xinetd.
4) Là où ça bloque, avec quels logiciels, quelles commandes, quels messages d'erreur, etc...
Ca bloque pas vraiment en fait,l'accès est fonctionnel avec fillezilla ou fireftp etc.. mais celà ne dure qu'une minute pour l'accès via le wan ensuite je ne peut plus me connecter que depuis le lan...
Pourquoi????
Je n'ai aucun message d'erreur,juste que l'accès est bloqué après une minute....
Et je ne m'explique pas pourquoi,s'est un peu le meme genre que quand je me suis interressé au wol et que j'ai appris que la table arp du routeur s'effacait (sur certain routeur du moins.)au bout de quelques minutes.
Là c'est un peu du meme style l'accès(à cette clef) est ok, mais bloque depuis le wan au bout d'une minute.
voili voilà....:/
"De tous ceux qui n'ont rien à dire, les plus agréables sont ceux qui se taisent !" Ubuntu 20.04, Debian Buster, W10 LTS pour jouer.
"Ne vous trompez pas entre ma personnalité et mon attitude. Ma personnalité est "qui je suis", mon attitude dépend de "qui vous êtes".
Hors ligne
#9 Le 30/06/2011, à 14:52
- jbreizh
Re : routeur dd-wrt
hello,
je ne maitrise pas vraiment ce que tu as fait, mais je peux te donner mon expérience sur un probleme similaire. J'avais mis en place mon ftp (vsftpd) et pour éviter les scans de port, j'avais mis en place un ban au bout de 5 autentifications ratées (fail2ban). J'avais un probleme de ban également quand je me connectait sur le ftp avec firefox comme client (mais pas filezilla). En fait le probleme venait de firefox qui s'acharne à faire des connections anonymes à chaque fois avant de se connecter avec les identifiants, d'ou très rapidement un ban. Du coup, peut être une piste, quel est ton client en wan? Y a t'il un solution similaire à fail2ban sur ton routeur?
Bonne journée et keep cool
PS: post nous ton fichier de configuration de xinetd et celui de ton serveur ftp (??? vsftpd, pureftp ???), sait on jamais.
Dernière modification par jbreizh (Le 30/06/2011, à 15:00)
Hors ligne
#10 Le 30/06/2011, à 16:34
- lejurassien40
Re : routeur dd-wrt
salut à toi jbreizh et merci de t'interesser à mon problème sans m'agresser.
Effecivement je me suis rendu compte que c'est fixtables (je pense que c'est un peu la meme chose que fail2ban ) et c'est bien ce service qui me pose problème.
je joins le fichier de conf de xinetd et deux captures de putty avec comme ordre iptables -L la premiere est avec fixtables activé,et la seconde avec fixtables désactivé. Et l'on voit bien qu'il y a un problème.
Je joins aussi le contenu de opt/etc/init.d/S94fixtables (je pense que c'est probablement là qu'il y a un blême.
merci encore t'es bien cool!!!!;)
# Sample configuration file for xinetd
defaults
{
# only_from = localhost 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16
instances = 60
log_type = SYSLOG authpriv info
log_on_success = HOST PID
log_on_failure = HOST
cps = 25 30
}
includedir /opt/etc/xinetd.d
# ProFTPd FTP daemon - [url]http://www.proftpd.org[/url]
#
service ftp
{
flags = REUSE
socket_type = stream
instances = 30
wait = no
user = root
server = /opt/sbin/proftpd
server_args = --config /opt/etc/proftpd.conf
log_on_success = HOST PID
log_on_failure = HOST
disable = no
}
et le résultat de iptables -L
avec fixtables désactivé
Chain INPUT (policy ACCEPT)
target prot opt source destination
logaccept tcp -- anywhere anywhere tcp dpt:ftp
logaccept tcp -- anywhere anywhere tcp dpts:60000:61000 flags:FIN,SYN,RST,ACK/SYN
ACCEPT 0 -- anywhere anywhere state RELATED,ESTABLISHED
DROP udp -- anywhere anywhere udp dpt:route
DROP udp -- anywhere anywhere udp dpt:route
ACCEPT udp -- anywhere anywhere udp dpt:route
logaccept tcp -- anywhere merlin tcp dpt:www
logaccept tcp -- anywhere merlin tcp dpt:ssh
DROP icmp -- anywhere anywhere
DROP igmp -- anywhere anywhere
ACCEPT udp -- anywhere anywhere udp dpt:5060
ACCEPT 0 -- anywhere anywhere state NEW
logaccept 0 -- anywhere anywhere state NEW
DROP 0 -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere 192.168.1.130 tcp dpt:https
ACCEPT tcp -- anywhere 192.168.1.130 tcp dpt:www
ACCEPT tcp -- anywhere 192.168.1.130 tcp dpt:5900
ACCEPT gre -- 192.168.1.0/24 anywhere
ACCEPT tcp -- 192.168.1.0/24 anywhere tcp dpt:1723
ACCEPT 0 -- anywhere anywhere
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
lan2wan 0 -- anywhere anywhere
ACCEPT 0 -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere 192.168.1.100 tcp dpt:46049
ACCEPT udp -- anywhere 192.168.1.100 udp dpt:53190
ACCEPT udp -- anywhere 192.168.1.100 udp dpt:58409
ACCEPT udp -- anywhere 192.168.1.100 udp dpt:53190
ACCEPT tcp -- anywhere 192.168.1.100 tcp dpt:46049
ACCEPT tcp -- anywhere 192.168.1.100 tcp dpt:www
ACCEPT tcp -- anywhere 192.168.1.100 tcp dpt:https
ACCEPT udp -- anywhere 192.168.1.130 udp dpt:53190
ACCEPT tcp -- anywhere 192.168.1.130 tcp dpt:46049
ACCEPT udp -- anywhere merlin udp dpts:echo:discard
DROP tcp -- anywhere merlin tcp spts:60000:61000
DROP udp -- anywhere merlin udp dpts:60000:61000
TRIGGER 0 -- anywhere anywhere TRIGGER type:in match:0 relate:0
trigger_out 0 -- anywhere anywhere
ACCEPT 0 -- anywhere anywhere state NEW
DROP 0 -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain advgrp_1 (0 references)
target prot opt source destination
Chain advgrp_10 (0 references)
target prot opt source destination
Chain advgrp_2 (0 references)
target prot opt source destination
Chain advgrp_3 (0 references)
target prot opt source destination
Chain advgrp_4 (0 references)
target prot opt source destination
Chain advgrp_5 (0 references)
target prot opt source destination
Chain advgrp_6 (0 references)
target prot opt source destination
Chain advgrp_7 (0 references)
target prot opt source destination
Chain advgrp_8 (0 references)
target prot opt source destination
Chain advgrp_9 (0 references)
target prot opt source destination
Chain grp_1 (0 references)
target prot opt source destination
Chain grp_10 (0 references)
target prot opt source destination
Chain grp_2 (0 references)
target prot opt source destination
Chain grp_3 (0 references)
target prot opt source destination
Chain grp_4 (0 references)
target prot opt source destination
Chain grp_5 (0 references)
target prot opt source destination
Chain grp_6 (0 references)
target prot opt source destination
Chain grp_7 (0 references)
target prot opt source destination
Chain grp_8 (0 references)
target prot opt source destination
Chain grp_9 (0 references)
target prot opt source destination
Chain lan2wan (1 references)
target prot opt source destination
Chain logaccept (5 references)
target prot opt source destination
ACCEPT 0 -- anywhere anywhere
Chain logdrop (0 references)
target prot opt source destination
DROP 0 -- anywhere anywhere
Chain logreject (0 references)
target prot opt source destination
REJECT tcp -- anywhere anywhere tcp reject-with tcp-reset
Chain trigger_out (1 references)
target prot opt source destination
et celui ou il est activé apparement dans les premieres lignes il y a un problème.
Chain INPUT (policy ACCEPT)
target prot opt source destination
bruteprotect tcp -- anywhere anywhere tcp dpt:ftp
logaccept tcp -- anywhere anywhere tcp dpt:ftp
logaccept tcp -- anywhere anywhere tcp dpts:60000:61000 flags:FIN,SYN,RST,ACK/SYN
ACCEPT 0 -- anywhere anywhere state RELATED,ESTABLISHED
invalid 0 -- anywhere anywhere state INVALID
ACCEPT 0 -- anywhere anywhere
DROP udp -- anywhere anywhere udp dpt:route
ACCEPT 0 -- anywhere anywhere
DROP udp -- anywhere anywhere udp dpt:route
ACCEPT udp -- anywhere anywhere udp dpt:route
logaccept udp -- anywhere merlin udp dpts:echo:discard
logaccept tcp -- anywhere merlin tcp dpt:www
bruteprotect tcp -- anywhere anywhere tcp dpt:ssh
logaccept tcp -- anywhere merlin tcp dpt:ssh
DROP icmp -- anywhere anywhere
DROP igmp -- anywhere anywhere
ACCEPT udp -- anywhere anywhere udp dpt:5060
DROP 0 -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
ACCEPT 0 -- anywhere anywhere state RELATED,ESTABLISHED
invalid 0 -- anywhere anywhere state INVALID
ACCEPT 0 -- anywhere anywhere
ACCEPT gre -- 192.168.1.0/24 anywhere
ACCEPT tcp -- 192.168.1.0/24 anywhere tcp dpt:1723
ACCEPT tcp -- anywhere 192.168.1.100 tcp dpt:46049
ACCEPT udp -- anywhere 192.168.1.100 udp dpt:53190
ACCEPT udp -- anywhere 192.168.1.100 udp dpt:58409
ACCEPT udp -- anywhere 192.168.1.100 udp dpt:53190
ACCEPT tcp -- anywhere 192.168.1.100 tcp dpt:46049
bruteprotect tcp -- anywhere anywhere tcp dpt:5900
ACCEPT tcp -- anywhere 192.168.1.100 tcp dpt:5900
ACCEPT tcp -- anywhere 192.168.1.100 tcp dpt:www
ACCEPT tcp -- anywhere 192.168.1.100 tcp dpt:https
ACCEPT udp -- anywhere 192.168.1.130 udp dpt:53190
ACCEPT tcp -- anywhere 192.168.1.130 tcp dpt:46049
ACCEPT tcp -- anywhere 192.168.1.130 tcp dpt:5900
ACCEPT tcp -- anywhere 192.168.1.130 tcp dpt:5900
ACCEPT tcp -- anywhere 192.168.1.130 tcp dpt:www
ACCEPT tcp -- anywhere 192.168.1.130 tcp dpt:https
ACCEPT 0 -- anywhere anywhere
DROP 0 -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain advgrp_1 (0 references)
target prot opt source destination
Chain advgrp_10 (0 references)
target prot opt source destination
Chain advgrp_2 (0 references)
target prot opt source destination
Chain advgrp_3 (0 references)
target prot opt source destination
Chain advgrp_4 (0 references)
target prot opt source destination
Chain advgrp_5 (0 references)
target prot opt source destination
Chain advgrp_6 (0 references)
target prot opt source destination
Chain advgrp_7 (0 references)
target prot opt source destination
Chain advgrp_8 (0 references)
target prot opt source destination
Chain advgrp_9 (0 references)
target prot opt source destination
Chain bruteprotect (3 references)
target prot opt source destination
0 -- anywhere anywhere recent: SET name: BRUTEFORCE side: source
RETURN 0 -- anywhere anywhere !recent: UPDATE seconds: 60 hit_count: 4 name: BRUTEFORCE side: source
LOG 0 -- anywhere anywhere LOG level warning tcp-options ip-options prefix `[DROP BRUTEFORCE] : '
DROP 0 -- anywhere anywhere
Chain grp_1 (0 references)
target prot opt source destination
Chain grp_10 (0 references)
target prot opt source destination
Chain grp_2 (0 references)
target prot opt source destination
Chain grp_3 (0 references)
target prot opt source destination
Chain grp_4 (0 references)
target prot opt source destination
Chain grp_5 (0 references)
target prot opt source destination
Chain grp_6 (0 references)
target prot opt source destination
Chain grp_7 (0 references)
target prot opt source destination
Chain grp_8 (0 references)
target prot opt source destination
Chain grp_9 (0 references)
target prot opt source destination
Chain invalid (2 references)
target prot opt source destination
LOG 0 -- anywhere anywhere LOG level warning tcp-sequence tcp-options ip-options prefix `[DROP INVALID WAN] : '
DROP 0 -- anywhere anywhere
Chain lan2wan (0 references)
target prot opt source destination
Chain logaccept (5 references)
target prot opt source destination
ACCEPT 0 -- anywhere anywhere
Chain logdrop (0 references)
target prot opt source destination
DROP 0 -- anywhere anywhere
Chain logreject (0 references)
target prot opt source destination
REJECT tcp -- anywhere anywhere tcp reject-with tcp-reset
Chain trigger_out (0 references)
target prot opt source destination
voili voilà,n'hésite pas à me demander ce dont tu aurais besoin.
Mille merci pour ton aide!;)
Dernière modification par lejurassien40 (Le 13/03/2017, à 10:23)
"De tous ceux qui n'ont rien à dire, les plus agréables sont ceux qui se taisent !" Ubuntu 20.04, Debian Buster, W10 LTS pour jouer.
"Ne vous trompez pas entre ma personnalité et mon attitude. Ma personnalité est "qui je suis", mon attitude dépend de "qui vous êtes".
Hors ligne
#11 Le 30/06/2011, à 17:49
- lejurassien40
Re : routeur dd-wrt
Peut-être qu'il y a quelques choses d'intéressantes dans ce dossier opt/etc/init.d/S94fixtables j'y ai vu bruteforce et ftp.....:/
#!/bin/sh
export PATH=/opt/bin:/opt/sbin:/opt/usr/sbin:$PATH
scriptname=${0##*/}
NAME=fixtables
CONFDIR=/tmp/etc/config
FNAME=${NAME}.wanup
FILE=/opt/etc/${FNAME}
SYMLINK=${CONFDIR}/${FNAME}
BRUTEPROTECT=1
# check if native firmware has recent support in iptables
if [ -x /opt/usr/sbin/iptables ] ; then
/usr/sbin/iptables -N test_tables
if /usr/sbin/iptables -A test_tables -m recent --set --name TEST --rsource ; then
chmod -x /opt/usr/sbin/iptables
rm /opt/usr/sbin/iptables-save
ln -s /usr/sbin/iptables /opt/usr/sbin/iptables-save
fi
/usr/sbin/iptables -X test_tables
fi
ipt=/usr/sbin/iptables
[ -x /opt/usr/sbin/iptables ] && ipt=/opt/usr/sbin/iptables
if [ -z "$1" ] ; then
case `echo "$0" | sed 's:^.*/\(.*\):\1:g'` in
S??*) rc="start" ;;
K??*) rc="stop" ;;
*) rc="usage" ;;
esac
else
rc="$1"
fi
# Start/Stop/Status
case "$rc" in
start)
if [ ! -e ${SYMLINK} ] ; then
optlog "${scriptname}" "creating firewall fix in ${CONFDIR} using the file ${FNAME}"
/usr/bin/uptime | grep -q 'up [0-9] min' && rm -f ${FILE} 2>/dev/null
find /opt/etc -maxdepth 1 -mtime +1 -type f -name ${FNAME} -exec rm {} 2>/dev/null \;
if [ ! -f ${FILE} ] ; then
lanif=`nvram get lan_ifname`
lanip=`nvram get lan_ipaddr`
wanf=`get_wanface`
echo '#!/bin/sh' >${FILE}
echo "export PATH=$PATH" >>${FILE}
# FORWARD SECTION
# Move traffic coming from lan to lan to top
# echo "iptables -N nologdrop" >>${FILE}
echo "lines=\`iptables -nL trigger_out | wc -l\`" >>${FILE}
echo "if [ \$lines -eq 2 ] ; then" >>${FILE}
echo " pos=\`iptables --line-numbers -nvL FORWARD | tail -n5 | grep \"TRIGGER *0 *-- *$wanf *$lanif \" | awk '{print \$1}'\`" >>${FILE}
echo " [ -z \"\$pos\" ] || iptables -D FORWARD \$pos && iptables -D FORWARD \$pos" >>${FILE}
echo "fi" >>${FILE}
echo "pos=\`iptables --line-numbers -nvL FORWARD | tail -n5 | grep 'ACCEPT *0 *-- *br0 *\\* *0\\.0.*state NEW *\$' | awk '{print \$1}'\`" >>${FILE}
echo "[ -z \"\$pos\" ] || iptables -D FORWARD \$pos && iptables -I FORWARD \$pos -i $lanif -j ACCEPT" >>${FILE}
# echo "[ -z \"\$pos\" ] || iptables -I FORWARD \$pos -i $wanf -j nologdrop" >>${FILE}
echo "pos=\`iptables --line-numbers -nvL FORWARD | grep -i ACCEPT | grep \"0 *-- *$lanif *$lanif *0\.0\" | tail -n1 | awk '{print \$1}'\`" >>${FILE}
echo "[ -z \"\$pos\" ] || iptables -D FORWARD \$pos && iptables -I FORWARD -i $lanif -o $lanif -j ACCEPT" >>${FILE}
# Drop stateless packets
echo "iptables -N invalid" >>${FILE}
echo "iptables -A invalid -j LOG --log-prefix \"[DROP INVALID WAN] : \" --log-tcp-sequence --log-tcp-options --log-ip-options" >>${FILE}
#echo "iptables -A invalid -i $wanf -j LOG --log-prefix \"[DROP INVALID WAN] : \" --log-tcp-sequence --log-tcp-options --log-ip-options" >>${FILE}
#echo "iptables -A invalid ! -i $wanf -j LOG --log-prefix \"[DROP INVALID] : \" --log-tcp-sequence --log-tcp-options --log-ip-options" >>${FILE}
echo "iptables -A invalid -j DROP" >>${FILE}
# echo "iptables -I FORWARD -m state --state INVALID -j invalid" >>${FILE}
echo "iptables -I FORWARD -i $wanf -m state --state INVALID -j invalid" >>${FILE}
echo "pos=\`iptables --line-numbers -nL FORWARD | grep ESTABLISHED | tail -n1 | awk '{print \$1}'\`" >>${FILE}
echo "[ -z \"\${pos}\" ] || iptables -D FORWARD \${pos} && iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT" >>${FILE}
# remove lan2wan rule
echo "pos=\`iptables --line-numbers -nL FORWARD | grep lan2wan | head -n1 | awk '{print \$1}'\`" >>${FILE}
echo "[ -z \"\${pos}\" ] || iptables -D FORWARD \${pos}" >>${FILE}
# only move it back if it is in use with ACCESS RESTRICTIONS
echo "ar=\`nvram show 2>/dev/null | grep filter_ | egrep -v 'filter_(m|id)' | awk -F= '{print \$2}' | grep -vcE '(^\$|^0\$)'\`" >>${FILE}
echo "[ \${ar} -eq 0 ] || iptables -I FORWARD -i br0 -j lan2wan" >>${FILE}
# Put --clamp-mss-to-pmtu TO top
echo "pos=\`iptables --line-numbers -nL FORWARD | grep TCPMSS | tail -n1 | awk '{print \$1}'\`" >>${FILE}
echo "[ -z \"\${pos}\" ] || iptables -D FORWARD \${pos} && iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu" >>${FILE}
# INPUT SECTION
echo "pos=\`iptables --line-numbers -nL INPUT | tail -n1 | awk '{print \$1}'\`" >>${FILE}
# echo "wanip=\`nvram get wan_ipaddr\`" >>${FILE}
# echo "[ \"\`nvram get upnp_enable\`\" = \"1\" ] && iptables -I INPUT \${pos} -p udp -i ${wanf} -d 239.255.255.0/24 --dport 1900 -m limit --limit 30/min --limit-burst 15 -j logaccept" >>${FILE}
echo "iptables -nL INPUT | tail -n1 | grep -q logdrop && iptables -I INPUT \${pos} -p udp -i ${wanf} -d 239.255.255.0/24 --dport 1900 -j DROP" >>${FILE}
# Move some rules
echo "pos=\`iptables --line-numbers -nL INPUT | grep ESTABLISHED | head -n1 | awk '{print \$1}'\`" >>${FILE}
echo "pos=\$(( \$pos + 1 ))" >>${FILE}
# Move traffic coming from br0 to almost top
echo "pos2=\`iptables --line-numbers -nvL INPUT | grep -i ACCEPT | grep \"0 *-- *$lanif *\* *0\.0\" | tail -n1 | awk '{print \$1}'\`" >>${FILE}
echo "[ -z \"\$pos2\" ] || iptables -D INPUT \$pos2 && iptables -I INPUT \$pos -i $lanif -j ACCEPT" >>${FILE}
# Move the RIP drop coming from LAN above the ACCEPT
echo "pos2=\`iptables --line-numbers -nvL INPUT | grep -i DROP | grep 520 | grep \"udp *-- *$lanif *\* *0\.0\" | tail -n1 | awk '{print \$1}'\`" >>${FILE}
echo "[ -z \"\$pos2\" ] || iptables -D INPUT \$pos2 && iptables -I INPUT \$pos -i $lanif -p udp -m udp --dport 520 -j DROP" >>${FILE}
# Move traffic coming from local to almost top
echo "pos2=\`iptables --line-numbers -nvL INPUT | grep -i ACCEPT | grep \"0 *-- *lo *\* *0\.0\" | tail -n1 | awk '{print \$1}'\`" >>${FILE}
echo "[ -z \"\$pos2\" ] || iptables -D INPUT \$pos2 && iptables -I INPUT \$pos -i lo -j ACCEPT" >>${FILE}
# Create an INVALID entry right after ESTABLISHED
echo "iptables -I INPUT \$pos -i $wanf -m state --state INVALID -j invalid" >>${FILE}
# Create a ratelimiter for PING
echo "pos=\`iptables --line-numbers -nvL INPUT | grep icmp | grep $wanf | grep ACCEPT | grep -v limit | head -n1 | awk '{print \$1}'\`" >>${FILE}
echo "if [ ! -z \"\$pos\" ] ; then" >>${FILE}
echo " iptables -D INPUT \$pos" >>${FILE}
echo " iptables -I INPUT \$pos -p icmp -i $wanf -j DROP" >>${FILE}
echo " iptables -I INPUT \$pos -p icmp -i $wanf -m limit --limit 1/s --limit-burst 1 -j ACCEPT" >>${FILE}
echo "fi" >>${FILE}
# move forwards to lan IP from FORWARD to INPUT
echo "INPUTpos=\`iptables --line-numbers -nL INPUT | grep \" ${lanip} \" | grep -i 'accept' | head -n1 | awk '{print \$1}'\`" >>${FILE}
echo "[ -z \"\${INPUTpos}\" ] && INPUTpos=\`iptables --line-numbers -nL INPUT | grep -i 'drop ' | head -n1 | awk '{print \$1}'\`" >>${FILE}
echo "iptables --line-numbers -nL FORWARD | grep \" ${lanip} \" | grep -i 'accept' | grep ' [tu][cd]p' | sort -rn -o /tmp/forw_to_input" >>${FILE}
echo "while read tableline ; do" >>${FILE}
echo " pos=\`echo \"\${tableline}\" | awk '{print \$1}'\`" >>${FILE}
echo " dp=\`echo \"\${tableline}\" | awk '{print \$8}' | awk -F: '{print \$1}'\`" >>${FILE}
echo " if [ \"\$dp\" = \"dpts\" ] ; then" >>${FILE}
echo " port=\`echo \"\${tableline}\" | awk '{print \$8}' | awk -F: '{print \$2\":\"\$3}'\`" >>${FILE}
echo " else" >>${FILE}
echo " port=\`echo \"\${tableline}\" | awk '{print \$8}' | tr -cd '0-9'\`" >>${FILE}
echo " fi" >>${FILE}
echo " prot=\`echo \"\${tableline}\" | awk '{print \$3}'\`" >>${FILE}
echo " iptables -D FORWARD \${pos}" >>${FILE}
echo " iptables -I INPUT \${INPUTpos} -m \${prot} -p \${prot} -d ${lanip} --dport \${port} -j logaccept" >>${FILE}
echo "done </tmp/forw_to_input" >>${FILE}
echo "rm /tmp/forw_to_input" >>${FILE}
if ! /opt/usr/sbin/iptables-save | grep POSTROUTING | grep -q MASQUERADE ; then
network="${lanip}/`nvram get lan_netmask`"
echo "iptables -t nat -A POSTROUTING -s ${network} -d ${network} -o br0 -j MASQUERADE" >>${FILE}
fi
if [ $BRUTEPROTECT -eq 1 ] ; then
$ipt -N bruteprotect
if $ipt -A bruteprotect -m recent --set --name BRUTEFORCE --rsource ; then
echo "$ipt -N bruteprotect" >>${FILE}
echo "$ipt -A bruteprotect -m recent --set --name BRUTEFORCE --rsource" >>${FILE}
echo "$ipt -A bruteprotect -m recent ! --update --seconds 60 --hitcount 4 --name BRUTEFORCE --rsource -j RETURN" >>${FILE}
echo "$ipt -A bruteprotect -j LOG --log-prefix \"[DROP BRUTEFORCE] : \" --log-tcp-options --log-ip-options" >>${FILE}
echo "$ipt -A bruteprotect -j DROP" >>${FILE}
echo "iptables --line-numbers -nL INPUT | grep -e 'p *-- *0\.0\.0\.0' | grep -i accept | grep -E 'dpt:(21|22|23) ' | awk '{print \$1\" \"\$3\" \"\$8}' >/tmp/bp1">>${FILE}
echo "tac /tmp/bp1 >/tmp/bp2" >>${FILE}
echo "while read tableline ; do" >>${FILE}
echo " pos=\`echo \"\${tableline}\" | awk '{print \$1}'\`" >>${FILE}
echo " prot=\`echo \"\${tableline}\" | awk '{print \$2}'\`" >>${FILE}
echo " port=\`echo \"\${tableline}\" | awk '{print \$3}' | tr -cd '0-9'\`" >>${FILE}
echo " if [ ! -z \"\$port\" ] ; then" >>${FILE}
echo " $ipt -I INPUT \$pos -i $wanf -p \$prot --dport \$port -j bruteprotect" >>${FILE}
echo " fi" >>${FILE}
echo "done </tmp/bp2" >>${FILE}
echo "iptables --line-numbers -nL FORWARD | grep -e 'p *-- *0\.0\.0\.0' | grep -i accept | grep -E 'dpt:(21|22|23|3389|5900) ' | uniq -f7 | awk '{print \$1\" \"\$3\" \"\$8}' >/tmp/bp1">>${FILE}
echo "pos=\`head -n1 /tmp/bp1 | awk '{print \$1}'\`" >>${FILE}
echo "sort -u -k3 -o/tmp/bp2 /tmp/bp1" >>${FILE}
echo "while read tableline ; do" >>${FILE}
echo " prot=\`echo \"\${tableline}\" | awk '{print \$2}'\`" >>${FILE}
echo " port=\`echo \"\${tableline}\" | awk '{print \$3}' | tr -cd '0-9'\`" >>${FILE}
echo " if [ ! -z \"\$port\" ] ; then" >>${FILE}
echo " $ipt -I FORWARD \$pos -i $wanf -p \$prot --dport \$port -j bruteprotect" >>${FILE}
echo " fi" >>${FILE}
echo "done </tmp/bp2" >>${FILE}
echo "rm /tmp/bp1" >>${FILE}
echo "rm /tmp/bp2" >>${FILE}
# check FTP-server if necessary
if [ `nvram get proftpd_enable` -ne 0 ] ; then
echo "if [ -e /tmp/proftpd/etc/proftpd.conf ] ; then" >>${FILE}
echo " if ! grep -iq MaxLoginAttempts /tmp/proftpd/etc/proftpd.conf ; then" >>${FILE}
echo " echo -e \"MaxLoginAttempts\\t3\" >>/tmp/proftpd/etc/proftpd.conf" >>${FILE}
echo " killall -HUP proftpd" >>${FILE}
echo " fi" >>${FILE}
echo "fi" >>${FILE}
fi
echo "sed -i -e '/^search /d' `readlink -f /etc/resolv.conf`" >>${FILE}
fi
fi
fi
chmod +x ${FILE}
mkdir -p ${CONFDIR} 2>/dev/null
ln -s ${FILE} ${SYMLINK} 2>/dev/null
stopservice firewall
startservice firewall
else
echo "${NAME} is already active"
fi
exit 0
;;
stop)
rm -f ${SYMLINK}
rm -f ${FILE}
stopservice firewall
startservice firewall
;;
status)
if [ -x ${SYMLINK} ] ; then
echo "${NAME} is active"
else
echo "${NAME} is NOT active"
fi
;;
esac
bonne soirée à tous.
Dernière modification par lejurassien40 (Le 13/03/2017, à 10:24)
"De tous ceux qui n'ont rien à dire, les plus agréables sont ceux qui se taisent !" Ubuntu 20.04, Debian Buster, W10 LTS pour jouer.
"Ne vous trompez pas entre ma personnalité et mon attitude. Ma personnalité est "qui je suis", mon attitude dépend de "qui vous êtes".
Hors ligne
#12 Le 30/06/2011, à 18:00
- lejurassien40
Re : routeur dd-wrt
Eh,franchement je viens de relire mes messages depuis le début et je me trouve aussi exigeant et limite arrogant!!!
Je ne suis pas très doué pour m'expliquer,c'était le toute première fois que j'allais sûr un forum,et je suis passé pour un mec que j'aimerais pas moi même.
N'étant vraiment pas comme ca je vous fais à tous mes excuses encore une fois et j'espère que tout ca va repartir sur de bonnes bases.
"De tous ceux qui n'ont rien à dire, les plus agréables sont ceux qui se taisent !" Ubuntu 20.04, Debian Buster, W10 LTS pour jouer.
"Ne vous trompez pas entre ma personnalité et mon attitude. Ma personnalité est "qui je suis", mon attitude dépend de "qui vous êtes".
Hors ligne
#13 Le 30/06/2011, à 18:23
- lejurassien40
Re : routeur dd-wrt
J'ai juste oublié de dire que mon ip étant dynamique j'utilise dyndns.
"De tous ceux qui n'ont rien à dire, les plus agréables sont ceux qui se taisent !" Ubuntu 20.04, Debian Buster, W10 LTS pour jouer.
"Ne vous trompez pas entre ma personnalité et mon attitude. Ma personnalité est "qui je suis", mon attitude dépend de "qui vous êtes".
Hors ligne
#14 Le 30/06/2011, à 21:59
- jbreizh
Re : routeur dd-wrt
Bon désolé je dormais et là il faut que j aille au taf. Je regarde ça ce soir (enfin demain matin pour toi)
Bonne nuit
Hors ligne
#15 Le 01/07/2011, à 04:57
- jbreizh
Re : routeur dd-wrt
Alors j'ai un peu regardé (aille la tête les fichiers de conf). Juste des précisions pour réussir à bien cerner l'origine du problème. Tu dis que fixtables est à l'origine du problème: C'est à dire que quand ce service est désactivé, alors il n'y a pas de problème ????? Répond bien à la question, si c'est bien ça, alors on va s'intéresser à ce fixtables. Sinon tu peux essayer désactiver iptables pour voir si cela vient du firewall (iptables). Sinon il faudra envisager une autre cause.
bonne journée
Hors ligne
#16 Le 01/07/2011, à 10:43
- lejurassien40
Re : routeur dd-wrt
Ben dis-moi t'es soit matinal soit un couche tard répondre à 4h57 du mat faut l'faire;)
Oui,c'est bel et bien un problème avec fixtables!Quand je "l'éteint" plus de problèmes!!
En fait je pense que mon routeur me jette parce qu'il croit à une attaque en force:lol:
J'ai essayé de "comprendre" un peu ces scripts mais ça ne fait qu'un tout petit mois que je touchotte à Linux ou apparenté....
Merci de ton aide c'est sympa:P
"De tous ceux qui n'ont rien à dire, les plus agréables sont ceux qui se taisent !" Ubuntu 20.04, Debian Buster, W10 LTS pour jouer.
"Ne vous trompez pas entre ma personnalité et mon attitude. Ma personnalité est "qui je suis", mon attitude dépend de "qui vous êtes".
Hors ligne
#17 Le 02/07/2011, à 01:49
- jbreizh
Re : routeur dd-wrt
Bon je crois que j'ai trouvé, regarde ce post http://www.dd-wrt.com/phpBB2/viewtopic.php?p=602812.
Sinon je ne suis pas particulierement leve tot ou tard, je suis juste à l'autre bout du monde.
Bonne nuit.
PS: ton fichier a déjà la correction, mais peut etre que 3 ne suffit pas, essaye t10 par exemple. Sinon il te reste toujours SSH.
Dernière modification par jbreizh (Le 02/07/2011, à 01:56)
Hors ligne
#18 Le 02/07/2011, à 09:49
- lejurassien40
Re : routeur dd-wrt
Merci bien,mais cette page je l'avais déjà vue et comme mon fichier était déjà retouché t3,je suis passé. En lisant ta réponse j'ai tout de meme essayé de changer la valeur t3 par t9 et ca ne change rien,je me fais toujours dropper!!:(
merci de ton aide quand meme!;)
"De tous ceux qui n'ont rien à dire, les plus agréables sont ceux qui se taisent !" Ubuntu 20.04, Debian Buster, W10 LTS pour jouer.
"Ne vous trompez pas entre ma personnalité et mon attitude. Ma personnalité est "qui je suis", mon attitude dépend de "qui vous êtes".
Hors ligne
#19 Le 02/07/2011, à 10:04
- lejurassien40
Re : routeur dd-wrt
par contre il y a un truc que je viens de voir, dans le message 11
#!/bin/sh
export PATH=/opt/bin:/opt/sbin:/opt/usr/sbin:$PATH
scriptname=${0##*/}
NAME=fixtables
CONFDIR=/tmp/etc/config
FNAME=${NAME}.wanup
FILE=/opt/etc/${FNAME}
SYMLINK=${CONFDIR}/${FNAME}
BRUTEPROTECT=1
dans CONFDIR- tmp/etc/config c'est vide,il n'y a pas de fichier!!!
Tant qu'on y est j'ai posté d'abord au café et comme c'était pas l'endroit pour j'ai continué dans réseaux lien http://www.dd-wrt.com/phpBB2/viewtopic. … highlight= il y a quelques captures peut-etre interressantes...
"De tous ceux qui n'ont rien à dire, les plus agréables sont ceux qui se taisent !" Ubuntu 20.04, Debian Buster, W10 LTS pour jouer.
"Ne vous trompez pas entre ma personnalité et mon attitude. Ma personnalité est "qui je suis", mon attitude dépend de "qui vous êtes".
Hors ligne
#20 Le 02/07/2011, à 23:41
- jbreizh
Re : routeur dd-wrt
hello,
bon a ce niveau, 3 options que je vais te mettre par ordre de ma preférence:
-option 1: tu abandonnes le ftp (protocole et logiciel non sécurisé, limité) et tu te rabats sur ssh: Rapidement pour les avantges de ce dernier. Il est parfaitement sécurisé (crypté), intégré au monde gnu/linux (gestion des droits, utlisateurs). Tu as toutes les fonctionnalités du FTP plus plein d'autre encore. Va voir ici et ne regarde jamais en arrière.
-option 2: tu désactives la protection bruteforce. Pourquoi pas?? tu n'es pas le fbi, tu utilises déjà un protocole non sécurisé. Pour être relativement tranquille, change le port par un autre que 21 et choisi un mot de passe costaud et différent de celui du systeme. C'est ce que j'avais fait chez moi et je suis encore en vie.
-option 3: tu t'acharnes. Libre à toi, tes motivations peuvent être pure (nécessité absolue, il ne va pas me résister ce petit con...etc). Dans ce cas, réfléchit bien si le jeux en vaut la chandelle, vu que tu as de meilleure alternative.
Bonne journée
Hors ligne
Pages : 1