Каким образом и кем были созданы правила iptables на роутере Asus?

Question

VelvetVoyager

сети , asus , iptables

Каким образом и кем были созданы правила iptables на роутере Asus?

Здравствуйте. При настройке DNS на роутере ASUS не удаётся разрешить адрес youtube.com на компьютере. При проверке правил iptables обнаружил следующие строки: <br/> <pre><code class="bash">Chain FORWARD (policy DROP)

25 марта 2026 г. 23:00

Ответы на вопрос 1

Похожие вопросы

Answer 1

Коротко — правила iptables на роутере Asus обычно создаёт прошивка (Asuswrt / Asuswrt‑Merlin) при загрузке и/или отдельные сервисы/модули, а не «чужой процесс», если вы явно не устанавливали сторонний софт. Источники правил могут быть такие:

- системные init‑скрипты прошивки (firewall стартует при загрузке);
- настройки веб‑интерфейса (Firewall, NAT/Port Forwarding, DMZ, Parental Controls, AiProtection и т.п.);
- UPnP/IGD демон (может динамически добавлять правила для переадресации портов);
- VPN‑клиент (OpenVPN/Chromecast/etc.) — добавляет правила для туннелей;
- пользовательские скрипты в /jffs, /opt (Entware), или кастомные пакеты (koolshare и др.);
- приложения на локальных устройствах через UPnP/PCP/PNAT.

Как определить, кто именно создал конкретные правила — шаги для диагностики

1) Показать все правила (filter и nat) с номерами и комментариями:
iptables -L -v -n --line-numbers
iptables -t nat -L -v -n --line-numbers
iptables -S
iptables -t nat -S

Обратите внимание на комментарии (--comment) в правилах — многие компоненты ставят комментарии, по ним легко понять источник.

2) Найти вызовы iptables в файловой системе (чтобы увидеть скрипты, которые их ставят):
grep -R "iptables" /etc /jffs /opt / -n 2>/dev/null

Посмотрите особенно:
- /etc/init.d/, /sbin/, /usr/sbin/
- /jffs/scripts/ (services-start, firewall-start и т.п.)
- /koolshare/ (на кастомных прошивках)

3) Посмотреть логи загрузки и системный лог:
logread | grep -i iptables
dmesg | grep -i firewall

4) Проверить NV‑RAM переменные (Asus использует nvram для настроек):
nvram show | grep -i firewall
nvram show | grep -i upnp

5) Проверить активные UPnP‑маппинги (если включён) — они могут добавлять правила:
# в зависимости от прошивки может быть утилита для просмотра UPnP маппингов

6) Для проблемы с разрешением youtube.com дополнительно проверить:
- правила nat — нет ли DNAT/REDIRECT портов 53 (DNS):
iptables -t nat -L PREROUTING -v -n
- работает ли dnsmasq на роутере:
ps | grep dnsmasq
cat /etc/dnsmasq.conf
- с клиента сделать запрос к внешнему резолверу (проверка независимо от роутера):
nslookup youtube.com 8.8.8.8
dig @8.8.8.8 youtube.com

- поймать DNS трафик:
tcpdump -i br0 port 53 -n -vv

Что можно сделать прямо сейчас
- Выставьте полные выводы команд выше (iptables -S, iptables -t nat -S, grep по /jffs и /etc и вывод nvram) — по ним я смогу точнее сказать, какой модуль/скрипт поставил конкретные правила.
- Если нужны временные правки, можно удалять/добавлять правила через iptables вручную, но изменения не переживут перезагрузку — для постоянного изменения нужно править соответствующие скрипты или настройки в веб‑интерфейсе.

Если хотите, пришлите полный вывод iptables -S и iptables -t nat -S (или сохранённый iptables-save), а я помогу локализовать источник и предложу, как исправить блокировку DNS/youtube.