naileddeath

June 29, 2022

Всем привет. Тему я создал для себя как блокнотик. Одно примечания в компонентах я ставил всегда ipv6. В доп компонентах opkg все что связано с netfilter. С момента публикации, примерно через года 2 у меня умер hdd и флешка, я прекратил юзать на роутере опкг + опкг обновилась уже раз 10 и вышли новые модели. Вряд-ли я чем смогу помочь кому-то. Да и еще я полный ноль в юниксах. Просто по фану курил мануалы и записи, пока не докопаюсь до истины. Так что всем удачи))))

March 1, 2021

Добрый день! Извенияюсь за офтоп, но кто нибудь ставил aria на zyxel nas. Пытался пришаманить на 326, но шаман из меня крайне плохой, если кто поделиться рабочим маном по реализации сего буду благодарен.

April 24, 2020

В 20.04.2020 в 14:39, TheBB сказал:

понятия не имею, о чём речь.

--- add

можете ковырять отсюда https://github.com/The-BB/keendev-3x/tree/master/ext-ui/files

глядишь, ещё что-нибудь "интересное" отыщется )))

Если сыпеться в логах такое - Traffic rate for higher than set maximum 10 Mbit (0->0, r1 t1), syncing.
Решение - поправить в конфиге vnstat, следующие строки.
MaxBandwidth 1000
BandwidthDetection 0
А вот как поправить ограничение в 10Mb/s показываемое на первой странице ext-ui, в столбце port speed, я пока не нашел.

April 20, 2020

Добрый день! Подскажите как определятся значение port speed и где и как его можно править. p.s. глаз перфекциониста дергается. Заранее спасибо.

Смотрю с каждым релизом ext-ui все меньше и меньше.

June 9, 2019

В 12.03.2018 в 14:42, Albram сказал:

Захотел добавить e-mail оповещение, но в Entware нет sendmail. Внес изменения в скрипт для работы с msmtp.

1. Устанавливаем msmtp:

opkg install msmtp

2. Правим файл /opt/etc/msmtprc

Для отправки с gmail.com у меня он выглядит так (закомментированные строки из него пропущены):

account default
logfile /opt/var/log/msmtp.log #эту строку можно не создавать, если не нужен логфайл
host smtp.gmail.com
port 587
tls on
tls_certcheck off
syslog LOG_MAIL
auth login
user e-mail@gmail.com    #ваш аккаунт на gmail
password ........    #пароль в аккаунт на gmail
from any_words_or_address    #любой адрес или слово, оно будет отправляться серверу как параметр From

3. Правим строки в файле скрипта /opt/usr/bin/smarthtml.sh

USE_MAIL=1

MAIL_RECIPIENT="recipient@gmail.com" #здесь указываем на какой адрес будут отправляться уведомления

Следующие строки нужно закомментировать или удалить, они не нужны, т.к. openssl не используется, и он не установлен:

#OPENSSLCMD=`which openssl`
#if [ $USE_MAIL -eq 1 -a $? -ne 0 ]; then
#    echo " Error! openssl doesn't exists..." >&2
#    USE_MAIL=0
#fi

Меняем MTA c

MTA=`which sendmail`

на:

MTA=`which msmtp`

Меняем MTACMD на:

MTACMD="${MTA} -t $MAIL_RECIPIENT"

3. Сохраняем сделанные изменения и пробуем отправить тестовое уведомление:

/opt/usr/bin/smarthtml.sh mailtest

Если всё сделано правильно, то получаем тестовое уведомление на указанный адрес.

В файле скрипта /opt/usr/bin/smarthtml.sh

#MTA_HELPER="exec ${OPENSSLCMD} s_client -quiet -tls1 -starttls smtp -connect ${MAIL_SMTP}"
если данную строку не закомментировать будет ошибка 535-5.7.8

June 2, 2019

Добрый день! Есть возможность работы с sendmail или нужно собирать пакет? Возился с msmtp, никак не настроил(((

February 1, 2019

В 04.09.2018 в 22:21, Le ecureuil сказал:

Это lockout-policy. Оно уже настроено нормально, можно не трогать.

Добрый день! Н могли бы Вы поделиться информацией как организовать защиту от перебора на других портах. Есть большое желание защитить ssh && vpn, как в данной статье Функция защиты от перебора паролей для доступа к интернет-центру
стоит Entware, iptables, xtables.
Знания не linux и сетей не очень хорошие, но пытливость и желание есть))))

December 28, 2018

После выполнения

Скрытый текст

Сообщение Zyxmon » 05 мар 2017, 09:45

Иногда после обновления `opkg update; opkg upgrade` некоторые пакеты перестают работать. Дело в том, что система opkg недостаточно интеллектуальна и требуется переустановка некоторых библиотек. Это можно сделать командой

Код: Выделить всё


opkg list-installed|grep -v "libc "|sed 's/ - .*$//'|grep lib|grep -v libpthread|grep -v libgcc|xargs -n 5 opkg --force-reinstall install

команда opkg update && opkg upgrade не ругается, но выхлоп такой, что некоторые приложения приходится переустанавливать

December 28, 2018

58 минут назад, zyxmon сказал:

Я посмотрел логи сервера (ip тот, с которого написан пост) - сервер отдал Вам все без ошибок. libattr в репе есть и Вами не запрошена, что легко можете проверить сами. Я бы начал с проверки носителя (hdd, флешка) на ошибки. Как минимум бы повторил две команды opkg - одновременно с Вами еще человек 10 обновлялось, но не видно, что сервер сглючил.

надо cloudflare dns вырубить и попробовать апдейт & апгрейд. может поэтому не пропустило скачивание libattr

December 28, 2018

Проблема с opkg upgrade после апдейта entware

Скрытый текст

opkg update && opkg upgrade
Downloading http://bin.entware.net/mipselsf-k3.4/Packages.gz
Updated list of available packages in /opt/var/opkg-lists/entware
Downloading http://bin.entware.net/mipselsf-k3.4/keenetic/Packages.gz
Updated list of available packages in /opt/var/opkg-lists/keendev
Upgrading glib2 on root from 2.56.1-1 to 2.58.1-2...
Downloading http://bin.entware.net/mipselsf-k3.4/glib2_2.58.1-2_mipsel-3.4.ipk
Installing libattr (20170915-1) to root...
Collected errors:
* opkg_download_pkg: Package libattr is not available from any configured src.
* opkg_install_pkg: Failed to download libattr. Perhaps you need to run 'opkg update'?

December 9, 2018

конфиг xtables.sh

Скрытый текст

~~#!/bin/sh~~

~~[ "$table" != "filter" ] && exit 0~~

## Методы борьбы с экзотическими видами сканирования
## Запрет FIN-сканирования
#iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP
## Запрет X-сканирования
#iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
## Запрет N-сканирования
#iptables -A INPUT -p tcp -m tcp –-tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE –j DROP
## Защита от SYN/ACK-сканирования, с помощью nmap-флага -sS
#iptables -I INPUT -p tcp -m tcp -m osf --genre NMAP -j DROP

## Борьба со сканированием с помощью iptables
## Проверка на стук в нерабочие порты (10 в час)
iptables -A INPUT -m recent --rcheck --seconds 3600 --hitcount 10 --rttl -j RETURN
## Вторая проверка на стук в нерабочие порты (2 в минуту)
iptables -A INPUT -m recent --rcheck --seconds 60 --hitcount 2 --rttl -j RETURN
## Заносим адреса стучащихся в список
iptables -A INPUT -m recent --set
## Отбрасываем пакеты всех, кто превысил лимит на количество подключений
iptables -P INPUT DROP

## Типы ICMP-сообщений
# 0 — echo reply (echo-ответ, пинг)
# 3 — destination unreachable (адресат недосягаем)
# 4 — source quench (подавление источника, просьба посылать пакеты медленнее)
# 5 — redirect (редирект)
# 8 — echo request (echo-запрос, пинг)
# 9 — router advertisement (объявление маршрутизатора)
# 10 — router solicitation (ходатайство маршрутизатора)
# 11 — time-to-live exceeded (истечение срока жизни пакета)
# 12 — IP header bad (неправильный IPзаголовок пакета)
# 13 — timestamp request (запрос значения счетчика времени)
# 14 — timestamp reply (ответ на запрос значения счетчика времени)
# 15 — information request (запрос информации)
# 16 — information reply (ответ на запрос информации)
# 17 — address mask request (запрос маски сети)
# 18 — address mask reply (ответ на запрос маски сети)

## Запрет опасных ICMP-сообщений
#iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT
#iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
#iptables -A INPUT -p icmp --icmp-type 12 -j ACCEPT
#iptables -A OUTPUT -p icmp --icmp-type 0 -j ACCEPT
#iptables -A OUTPUT -p icmp --icmp-type 3 -j ACCEPT
#iptables -A OUTPUT -p icmp --icmp-type 4 -j ACCEPT
#iptables -A OUTPUT -p icmp --icmp-type 11 -j ACCEPT
#iptables -A OUTPUT -p icmp --icmp-type 12 -j ACCEPT

## Защита от брутфорса с помощью iptables
## Цепочка проверки соединений
iptables -N brute_check
## Блокировка адреса, если за 60 секунд он инициировал более 2-х соединений
iptables -A brute_check -m recent --update --seconds 60 --hitcount 3 -j DROP
## Если нет - разрешаем соединение и заносим адрес в список
iptables -A brute_check -m recent --set -j ACCEPT
## Очищаем цепочку INPUT
#iptables -F INPUT
## Отправляем в цепочку всех, кто пытается подключиться к 65021,500,4500-му порту
iptables -A INPUT -m conntrack --ctstate NEW -p tcp -m tcp -m multiport --dports 21,2221 -j brute_check
#iptables -A INPUT -m conntrack --ctstate NEW -p tcp -m tcp --dport 65021 -j brute_check
iptables -A INPUT -m conntrack --ctstate NEW -p udp -m udp -m multiport --dports 500,4500 -j brute_check
iptables -P INPUT DROP

## xtbles-addons
## Port scan detect
iptables -I INPUT -m psd -j DROP

## Блокировка стран по коду
#iptables -A INPUT -m geoip ! --src-cc CN,TW,KR,US,IN,JP,GB -j DROP

## Блокировка анонимных прокси
#iptables -A INPUT -m geoip ! --src-cc A1 -j DROP

## Подключение к порту только из выбранного кода страны
iptables -I INPUT ! -i eth2.2 -p udp -m udp -m multiport --dports 500,4500 -m geoip ! --src-cc RU -j DROP
#iptables -I INPUT ! -i eth2.2 -p udp --dport 4500 -m geoip ! --src-cc RU -j DROP
iptables -I INPUT ! -i eth2.2 -p tcp -m tcp -m multiport --dports 21,2221 -m geoip ! --src-cc RU -j DROP

## Запрет исходящих ICMP в некоторые страны
#iptables -A OUTPUT -p icmp -m geoip ! --dst-cc ES -j REJECT

## Атака на скан открытого порта(соединение открыто и не закрывается).
iptables -A INPUT -p tcp -m tcp -m multiport --dports 21,22,23,80,88,8080,8888,8443,135,139,443,445,8123,3128 -j TARPIT
#iptables -A INPUT -p tcp -m tcp -m multiport --dports 21,22,23,80,88,8080,8888,8443,135,139,443,445,8123,3128 -j CHAOS --tarpit
#iptables -A INPUT -p tcp -m tcp -m multiport --dports 21,22,23,80,88,8080,8888,8443,135,139,443,445,8123,3128 -j REJECT

## Порт для пустых соединений
#iptables -A INPUT -i eth2.2 -p tcp -m tcp -dport 8080 -j TARPIT

## Эмуляция открытых портов
iptables -A INPUT -p tcp -m tcp -j TARPIT
#iptables -A INPUT -p tcp -m tcp -j CHAOS
#iptables -A INPUT -p tcp -m tcp -j REJECT

конфиг raw.sh

Скрытый текст

~~#!/bin/sh~~

~~[ "$table" != "raw" ] && exit 0~~

## Предотвращение обработки блокируемых соединений подсистемой conntrack(TARPIT ports table filter)
iptables -I PREROUTING -p tcp -m tcp -m multiport --dports 21,22,23,80,88,8080,8888,8443,135,139,443,445,8123,3128 -j NOTRACK
iptables -I PREROUTING -p tcp -m tcp -j NOTRACK

## Обход блокировки
iptables -I PREROUTING -p tcp --sport 80 --tcp-flags SYN,ACK SYN,ACK -j NFQUEUE --queue-num 200 --queue-bypass

October 4, 2018

для выхлопа в файл есть syslog-ng

September 1, 2018

/lib/modules/3.4.113 # ls | grep ipt_
ipt_ECN.ko
ipt_ROUTE.ko
ipt_ULOG.ko
ipt_ah.ko

то тебе не LOG нужен а ULOG

man iptables image.png.51de372bef197b55abfa368965cdf557.png

Блокировка стран по коду с логированием

## Блокировка стран по коду
/opt/sbin/iptables -A INPUT -i eth2.2 -m geoip ! --src-cc CN,TW,KR,US,IN -j ULOG --ulog-prefix "REJECT geoip: "
/opt/sbin/iptables -A INPUT -i eth2.2 -m geoip ! --src-cc CN,TW,KR,US,IN -j REJECT

August 31, 2018

В 18.01.2018 в 15:53, Artem Artemov сказал:

Добрый день!

А где можно посмотреть данный лог ?

такое не срабатывает

iptables -A INPUT -i _NDM_INPUT -p tcp --dport 3389 -j LOG --log-level debug --log-prefix "RDP connect: "

Сделай в mc -> cd /lib/modules/3.4.113 -> ls | grep ipt_ и если вывод такой

/lib/modules/3.4.113 # ls | grep ipt_
ipt_ECN.ko
ipt_ROUTE.ko
ipt_ULOG.ko
ipt_ah.ko

то тебе не LOG нужен а ULOG

man iptables

Сам курил долго пока, не нахлынуло желание поискать и поковыряться в модулях

August 26, 2018

В 03.07.2018 в 14:38, Le ecureuil сказал:

А, да, точно, на 7612 не поддерживается

Добрый день а K.Viva (KN-1910) не подскажите на каких чипах будет?

July 19, 2018

Добрый день! Кто-нибудь делал лог iptables правил? Подскажите как настроить.

June 30, 2018

12 часа назад, Le ecureuil сказал:

PMF появился только на 7612, 7628 и 7615. Включается через

> interface pmf

На остальных WiFi-чипах это недоступно.

Жаль что на viva нельзя, но спасибо за инфо! Будем стремится к 7615) PMF становится актуальным и для домашнего сегмента, переходя от бизнес сегмента.

June 27, 2018

Добрый день! Прошу прощение за паранойный настрой, но хотелось бы знать есть возможность поддержки данного стандарта на серии Keenetic.

May 7, 2018

Еще полезность

https://xakep.ru/2010/11/02/53653/

May 5, 2018

Скрытый текст

#!/bin/sh

[ "$type" == "iptables" ] && exit 0
[ "$table" != "filter" ] && exit 0

## xtbles-addons
## Блокировка стран по коду
#iptables -A INPUT -i wan -m geoip ! --src-cc CN,TW,KR,US,IN -j REJECT
## Блокировка анонимных прокси
#iptables -A INPUT -i wan -m geoip ! --src-cc A1 -j REJECT
## Подключение к порту только из выбранного кода страны
#iptables -A INPUT -i wan -p tcp --dport 22 -m geoip ! --src-cc RU -j REJECT
#iptables -A INPUT -i wan -p tcp --dport 20 -m geoip ! --src-cc RU -j REJECT
#iptables -A INPUT -i wan -p tcp --dport 21 -m geoip ! --src-cc RU -j REJECT
## Запрет исходящих ICMP в некоторые страны
#iptables -A OUTPUT -i wan -p icmp -m geoip ! --dst-cc ES -j REJECT
## Атака на скан открытого порта(соединение открыто и не закрывается).
iptables -A INPUT -i wan -p tcp -m tcp -m multiport ! --dports 7,22,23,80,88,8080,8888,135,139 -j TARPIT
## Порт для пустых соединений
#iptables -A INPUT -i wan -p tcp -m tcp -dport 8080 -j TARPIT
## Эмуляция открытых портов
iptables -A INPUT -i wan -p tcp -m tcp -j TARPIT

Для настройки под свои нужды заменить интерфейс wan на свой, в данном примере xtables работает как portspoof только лишен fuzzed & verbose mode.

Может кому то понадобится.

May 5, 2018

В 27.04.2018 в 13:17, TheBB сказал:

в файле extension/libxt_geoip.c была изменена 28 строка (#define GEOIP_DB_DIR "/usr/share/xt_geoip" => #define GEOIP_DB_DIR "/opt/share/xt_geoip")

Спасибо за собранный пакет на 2.11 (delta) завелось! Правила появились в iptables, без модулей xtables в прошивке не заведется. Для конвертирования базы ставился пакет perl-text-csv_xs и perlbase, командой opkg list | grep perlbase- | sed 's/ - .*//' | xargs opkg install. Спасибо за полезности!

April 27, 2018

Пакет, для теста, вдруг найдутся желающие помочь.

xtables-addons_legacy_1_47.1-1a_mipsel-3.4.ipk

April 26, 2018

Добрый день! Прошу прощение, возможно оффтоп. Нужна помощь с базой xtables-addons, базу создал как описано, но выдает в логе, что неправильный код страны.

Скрытый текст

Apr 25 16:53:45ndm

Opkg::Manager: /opt/etc/ndm/netfilter.d/001filter-rules.sh: iptables v1.4.21: geoip: invalid country code ''.

Apr 25 16:53:45ndm

Opkg::Manager: /opt/etc/ndm/netfilter.d/001filter-rules.sh: Try `iptables -h' or 'iptables --help' for more information.

Apr 25 16:53:45ndm

Opkg::Manager: /opt/etc/ndm/netfilter.d/001filter-rules.sh: exit code 2.

Базу ставил как описано тут 1, 2 3

Установлен xtables-addons_legacy - 1.47.1-1a - проведена замена пути базы с /opt/usr/share/xt_geoip на /opt/share/xt_geoip, так как пытался подхватить директорию с прошивки.

Скрытый текст

Keenetic Viva, release v2.08(AANT.4)C2

~ # opkg list-installed
badblocks - 1.43.7-1
boost - 1.66.0-1
boost-date_time - 1.66.0-1
boost-filesystem - 1.66.0-1
boost-program_options - 1.66.0-1
boost-system - 1.66.0-1
busybox - 1.27.2-3c
bzip2 - 1.0.6-3
ca-bundle - 20170717
chattr - 1.43.7-1
curl - 7.58.0-1
debugfs - 1.43.7-1
dmesg - 2.30.2-2
dnscrypt-proxy - 1.9.5-8
dnscrypt-proxy-resolvers - 1.9.5+git-20171001-2d43be3-8
dropbear - 2017.75-5
dumpe2fs - 1.43.7-1
e2freefrag - 1.43.7-1
e2fsprogs - 1.43.7-1
entware-release - 1.0-2
ext-ui-nginx-7 - 0.2-3a
fake-hwclock - 0.11-1
fdisk - 2.30.2-2
filefrag - 1.43.7-1
findutils - 4.6.0-1
glib2 - 2.55.1-1
grep - 2.26-1
htop - 2.0.2-1
iptables - 1.4.21-2a
ldconfig - 2.27-8
libacl - 20180121-1
libatomic - 7.3.0-8
libattr - 20170915-1
libblkid - 2.30.2-2
libbz2 - 1.0.6-3
libc - 2.27-8
libcap - 2.25-1
libcurl - 7.58.0-1
libevent2 - 2.0.22-1
libext2fs - 1.43.7-1
libfdisk - 2.30.2-2
libffi - 3.2.1-3
libfreetype - 2.9-1
libgcc - 7.3.0-8
libiconv-full - 1.11.1-3
libintl-full - 0.19.8.1-1
libjpeg - 9a-1
libldns - 1.6.17-2
libltdl - 2.4-2
liblua - 5.1.5-1
liblzma - 5.2.3-1
libmbedtls - 2.6.0-1
libminiupnpc - 2.0.20170509-1
libmnl - 1.0.4-1
libmount - 2.30.2-2
libncurses - 6.1-1
libncursesw - 6.1-1
libndm - 1.8.0-1
libnetfilter-conntrack - 2017-07-25-e8704326-1
libnfnetlink - 1.0.1-1
libopenssl - 1.0.2n-1b
libpcre - 8.41-2
libpng - 1.6.34-1
libpthread - 2.27-8
librt - 2.27-8
libslang2 - 2.3.1a-1
libsmartcols - 2.30.2-2
libsodium - 1.0.16-1
libssh2 - 1.8.0-1
libssp - 7.3.0-8
libstdcpp - 7.3.0-8
libuuid - 2.30.2-2
libxml2 - 2.9.7-1
locales - 2.27-8
lsattr - 1.43.7-1
mc - 4.8.20-1
ndmq - 1.0.2-3
nginx - 1.12.2-1
opkg - 2011-04-08-9c97d5ec-17b
opt-ndmsv2 - 1.0-10a
perl - 5.26.1-3
perl-text-csv_xs - 1.34-1
perlbase-base - 5.26.1-3
perlbase-bytes - 5.26.1-3
perlbase-config - 5.26.1-3
perlbase-dynaloader - 5.26.1-3
perlbase-errno - 5.26.1-3
perlbase-essential - 5.26.1-3
perlbase-fcntl - 5.26.1-3
perlbase-getopt - 5.26.1-3
perlbase-io - 5.26.1-3
perlbase-list - 5.26.1-3
perlbase-posix - 5.26.1-3
perlbase-scalar - 5.26.1-3
perlbase-selectsaver - 5.26.1-3
perlbase-socket - 5.26.1-3
perlbase-symbol - 5.26.1-3
perlbase-tie - 5.26.1-3
perlbase-xsloader - 5.26.1-3
php7 - 7.2.2-1
php7-cgi - 7.2.2-1
php7-cli - 7.2.2-1
php7-fastcgi - 7.2.2-1
php7-mod-curl - 7.2.2-1
php7-mod-dom - 7.2.2-1
php7-mod-exif - 7.2.2-1
php7-mod-gd - 7.2.2-1
php7-mod-json - 7.2.2-1
php7-mod-mbstring - 7.2.2-1
php7-mod-session - 7.2.2-1
php7-mod-simplexml - 7.2.2-1
php7-mod-xml - 7.2.2-1
php7-mod-xmlreader - 7.2.2-1
php7-mod-xmlwriter - 7.2.2-1
php7-mod-zip - 7.2.2-1
polipo - 1.1.1-2
portspoof - 1.3-1
resize2fs - 1.43.7-1
shellinabox - 2.20-1
tar - 1.30-1
terminfo - 6.1-1
tor - 0.3.2.9-1
transmission-cli-mbedtls - 2.93-4
transmission-daemon-mbedtls - 2.93-4
transmission-remote-mbedtls - 2.93-4
transmission-web - 2.93-4
tune2fs - 1.43.7-1
vnstat - 1.17-1
xtables-addons_legacy - 1.47.1-1a
xz - 5.2.3-1
xz-utils - 5.2.3-1
zlib - 1.2.11-2
zoneinfo-asia - 2018c-1
zoneinfo-europe - 2018c-1

April 25, 2018

3 минуты назад, TheBB сказал:

патчик уже включен https://github.com/Entware/Entware/tree/master/package/network/utils/iptables/patches

спасибо!

April 25, 2018

Скрытый текст

Для полной совместимости с ядром и системой NDMS необходимо использовать следующий патч для iptables: 920-xt_ndmmark.patch (в этом случае iptables-save и iptables-restore не будут ругаться). У вас будут показываться ndmmark match и NDMMARK target, но трогать их не стоит - они активно используются системой.

Не подскажите новичку как накатить патчик?

Sign In

Profiles

Forums

Gallery

Downloads

Blogs

Events

Posts posted by naileddeath