Посмотрите на мои правила для iptables dLink DIR-320

[Zloy1]

Пытаюсь настроить фаервол маршрутизатора dLink DIR-320 для ограничения доступа к интернету по времени и дню недели.
для 192.168.1.100 - всегда, а для192.168.1.101-105 по времени.

Правильно написал правила?

Код: [Выделить]

-A FORWARD -s 192.168.1.100/32 -i br0 -o wan0 -p tcp -j ACCEPT
-A FORWARD -s 192.168.1.101/32 -i br0 -o wan0 -p tcp -m time --timestart 23:00:00 --timestop 06:30:00 --weekdays Mon,Tue,Wed,Thu,Sun  -j DROP
-A FORWARD -s 192.168.1.102/32 -i br0 -o wan0 -p tcp -m time --timestart 23:00:00 --timestop 06:30:00 --weekdays Mon,Tue,Wed,Thu,Sun  -j DROP
-A FORWARD -s 192.168.1.103/32 -i br0 -o wan0 -p tcp -m time --timestart 23:00:00 --timestop 06:30:00 --weekdays Mon,Tue,Wed,Thu,Sun  -j DROP
-A FORWARD -s 192.168.1.104/32 -i br0 -o wan0 -p tcp -m time --timestart 23:00:00 --timestop 06:30:00 --weekdays Mon,Tue,Wed,Thu,Sun  -j DROP
-A FORWARD -s 192.168.1.105/32 -i br0 -o wan0 -p tcp -m time --timestart 23:00:00 --timestop 06:30:00 --weekdays Mon,Tue,Wed,Thu,Sun  -j DROP

[fisher74]

Что Вы хотите от нас услышать?
Показывайте все правила. Есть вариации реакции.

[Zloy1]

Вот дамп всех правил, но добавил от себя я только те в первом посте. Остальное там было.

Код: [Выделить]

[admin@(none) root]$ iptables --list-rules
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N BRUTE
-N MACS
-N SECURITY
-N UPNP
-N logaccept
-N logdrop
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i br0 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -d 224.0.0.0/4 -p igmp -j ACCEPT
-A INPUT -d 224.0.0.0/4 -p udp -m udp ! --dport 1900 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -j DROP
-A FORWARD -s 192.168.1.100/32 -i br0 -o wan0 -p tcp -j ACCEPT
-A FORWARD -s 192.168.1.101/32 -i br0 -o wan0 -p tcp -m time --timestart 23:00:00 --timestop 06:30:00 --weekdays Mon,Tue,Wed,Thu,Sun  -j DROP
-A FORWARD -s 192.168.1.102/32 -i br0 -o wan0 -p tcp -m time --timestart 23:00:00 --timestop 06:30:00 --weekdays Mon,Tue,Wed,Thu,Sun  -j DROP
-A FORWARD -s 192.168.1.103/32 -i br0 -o wan0 -p tcp -m time --timestart 23:00:00 --timestop 06:30:00 --weekdays Mon,Tue,Wed,Thu,Sun  -j DROP
-A FORWARD -s 192.168.1.104/32 -i br0 -o wan0 -p tcp -m time --timestart 23:00:00 --timestop 06:30:00 --weekdays Mon,Tue,Wed,Thu,Sun  -j DROP
-A FORWARD -s 192.168.1.105/32 -i br0 -o wan0 -p tcp -m time --timestart 23:00:00 --timestop 06:30:00 --weekdays Mon,Tue,Wed,Thu,Sun  -j DROP
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -d 224.0.0.0/4 -p udp -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD ! -i br0 -o wan0 -j DROP
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -o br0 -j DROP
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j DROP
-A UPNP -d 192.168.1.107/32 -p udp -m udp --dport 43413 -j ACCEPT
-A UPNP -d 192.168.1.107/32 -p tcp -m tcp --dport 43413 -j ACCEPT
-A UPNP -d 192.168.1.105/32 -p tcp -m tcp --dport 49164 -j ACCEPT
-A UPNP -d 192.168.1.105/32 -p udp -m udp --dport 49164 -j ACCEPT
-A UPNP -d 192.168.1.105/32 -p udp -m udp --dport 6881 -j ACCEPT
-A UPNP -d 192.168.1.105/32 -p tcp -m tcp --dport 6881 -j ACCEPT
-A UPNP -d 192.168.1.100/32 -p udp -m udp --dport 16929 -j ACCEPT
-A UPNP -d 192.168.1.100/32 -p tcp -m tcp --dport 16929 -j ACCEPT
-A logaccept -m conntrack --ctstate NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options --log-macdecode
-A logaccept -j ACCEPT
-A logdrop -m conntrack --ctstate NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options --log-macdecode
-A logdrop -j DROP


[fisher74]

Код: [Выделить]

-A FORWARD -s 192.168.1.100/32 -i br0 -o wan0 -p tcp -j ACCEPTМожно удалять за ненадобностью.
Ограниченным клиентом ничего не мешает гонять торренты в запретные часы. (про исключение выхов - не моё дело)

И не забываем, что dir-320 при рестарте время забывает (сорри за тафталогию). К тому же его и Ваши времена могут различаться по часовым поясам

[Zloy1]

fisher74, спасибо за ответ!
Только я не все понял 

Ограниченным клиентом ничего не мешает гонять торренты в запретные часы
Как? Из-за открытого udp?

про исключение выхов - не моё дело
Эммм, не понял.

И не забываем, что dir-320 при рестарте время забывает
Так и есть, при старте время 0:00 и, я так полагаю, должны действовать запреты, а когда он подключится к инету и получит верное время запреты перестанут действовать.

К тому же его и Ваши времена могут различаться по часовым поясам
да, я установил одинаковый пояс

[koshev]

Как? Из-за открытого udp?

Скорее из-за работающего UPnP.

[Zloy1]

ага, а выхи?

[fisher74]

Вы разрешили клиентам работать в выхи. Непонятно просто - ночью фиг, в выхи пожалуйста.
Про торренты да, udp имелось ввиду. Лучше вообще отказаться от параметра -p
Про uPnP не уверен куда он правила добавляет.