rustrict
-
Posts
187 -
Joined
-
Last visited
-
Days Won
2
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by rustrict
-
-
3 часа назад, Le ecureuil сказал:
В 2.16 по идее еще с версии 2.16.D.3.0-3 перенесено. Надо проверить значит.
Лимиты ICMPv6 перенесены, но вот правило для fe80::/10 в INPUT осталось + нет правил, добавленных в _NDM_INPUT.
-
@Le ecureuil, перенесите, пожалуйста, в netfilter 2.16/2.11 изменения из этой темы помимо лимитов ICMPv6.
(config)> show ipv6 netfilter <...> ==== Table: "filter" ==== == Chain INPUT == <...> src: fe80::/10, dst: ::/0, in: "*", out: "*", proto: "any"; ACCEPT <...> (config)> show ver release: 2.16.D.3.0-5 <...>
-
@eralde, 3.5 Alpha 8. Сто́ит поправить на странице Wireless ACL описание на русском:
- как в описании на английском не упоминать конкретный алгоритм (ведь в кинетиках есть и могут использоваться не только WPA2);
- заменить кавычки на «ёлочки», как в остальных местах в web-интерфейсе.
- 1
- 1
-
@eralde, 3.5 Alpha 8. При смене языка до перезагрузки страницы "залипает" перевод в выпадающем списке Band Steering.
-
@enpa, спасибо за исправления в 1.87! Только упущен момент в описании "ip ssh keygen default": с появлением ed25519 эта команда генерирует 3 ключа.
- 1
-
Попробуйте так:
#!/bin/sh [ ! -x "$0" ] && exit 0 <...>
Есть "+x" - выполнится, нет - exit 0.
- 1
-
@enpa @MuKu, в текущих мануалах 1.86 для устройств с поддержкой 3.4:
- Нет команды "ip ssh cipher";
- В "ip ssh keygen" не упоминается ключ ed25519 в принципе, и его генерация default в частности.
Ещё заметил:
- Нет команды "whoami". Возможно намеренно, но в базовых командах не хватает "exec";
- В глоссарии ссылка на Entware в сноске ведёт к архивному репозиторию. Актуальная: https://github.com/Entware/Entware.
- 1
-
В 03.05.2020 в 22:03, Le ecureuil сказал:
Из-за того, что ломаются интернет-банки решено убрать loopback из rebind-protect в режиме auto.
Желающие обезопасить себя и не нуждающиеся в банкинге могут включить strict-режим, в нем и "комар носа не подточит".
@Le ecureuil, можно ли в таком случае добавить возможность ручного ввода блокируемых подсетей и отдельных адресов (/32)? Я бы тогда сам задал, что хочу блокировать, как это делают, например, в Unbound.
Защиты без loopback мне недостаточно, а strict слишком круто для RIPE Atlas: сразу полезли в логе блокировки служебных доменов.
Май 5 02:30:33 ndnproxy possible DNS-rebind attack detected: "ipv4only.arpa." IN A "192.0.0.171". Май 5 02:30:33 ndnproxy possible DNS-rebind attack detected: "ipv4only.arpa." IN A "192.0.0.170".
-
18 минут назад, Dmitry Mukhach сказал:
Так сейчас есть возможность подключаться к ssh keenetic используя autorized_keys или нет?
К прошивочному dropbear — нет. Если есть возможность использовать Entware, то там authorized_keys работают. Подключаетесь, запускаете ndmc и вы в CLI.
-
40 минут назад, REVERSE сказал:
Просниффил ещё на eth3, который 192.168.88.2 - статик к микротику. Тоже трафик летает, но в нём нет внешнего айпишника VPS, с которого я пробую резолвить домен.
Дёргайте провайдера насчёт настроек их оборудования.
-
41 минуту назад, REVERSE сказал:
Только именно с ДНС это не работает.
3.4 Beta 2 (незарегистрированный хост в protected-сегменте):
~ # ndmc -c "sh run" | grep static ip static udp GigabitEthernet1 53 10.1.30.43 !DNS-test ~ # tcpdump -v -i br1 port 53 tcpdump: listening on br1, link-type EN10MB (Ethernet), capture size 262144 bytes 20:17:50.718700 IP (tos 0x0, ttl 56, id 43324, offset 0, flags [none], proto UDP (17), length 81) pppoe-static.mosoblast.rt.ru.51823 > 10.1.30.43.domain: 37248+ [1au] A? keenetic.com. (53) 20:17:55.717505 IP (tos 0x0, ttl 56, id 44463, offset 0, flags [none], proto UDP (17), length 81) pppoe-static.mosoblast.rt.ru.51823 > 10.1.30.43.domain: 37248+ [1au] A? keenetic.com. (53) 20:18:00.717818 IP (tos 0x0, ttl 56, id 45527, offset 0, flags [none], proto UDP (17), length 81) pppoe-static.mosoblast.rt.ru.51823 > 10.1.30.43.domain: 37248+ [1au] A? keenetic.com. (53) ^C 3 packets captured 3 packets received by filter 0 packets dropped by kernel
Не стал поднимать сервер, но, я думаю, что проблем бы не возникло.
С зарегистрированным устройством (в ip static не IP, а MAC целевого хоста) в private-сегменте аналогично.
-
2 часа назад, REVERSE сказал:
Но, кажется, я нашёл причину, эти пакеты, по-видимому, блокируются с помощью iptables:
Chain _NDM_IP_PROTECT (1 references) pkts bytes target prot opt in out source destination 83 6008 _NDM_IP_PUBLIC all -- * * 0.0.0.0/0 0.0.0.0/0 82 5956 _NDM_SL_PROTECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53 0 0 _NDM_SL_PROTECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
Эти правила нужны для работы с DNS-прокси роутера в сегменте с security-level protected.
2 часа назад, REVERSE сказал:Можно ли как-то всё же разрешить им проходить, и идти на определённый IP в домашней сети?
-
2 часа назад, Le ecureuil сказал:
Все верно работает.
Не вижу ни одного положительного сценария, когда неявный rebind и backconnect шел бы на пользу, а не служил сомнительным целям.
Потому разумеется все оставим.
Полностью согласен. Даже не поленился и хотя бы в общих чертах посмотрел, для чего это нужно Яндексу.
Запустил Яндекс.Карты на Айфоне, открыл в Safari yandex.ru, а дальше вот такая красота:
Summary URL: https://yandexmetrica.com:30103/p?t=UV%7CL7%2C!%22T%5Brwe%26D_%3EZIb%5CaW%2398Y.PC6k Status: 200 OK Source: Network Address: 127.0.0.1:30103 Initiator: watch.js:88 Request GET /p HTTP/1.1 Accept: */* Origin: https://yandex.ru Accept-Encoding: gzip, deflate, br Host: yandexmetrica.com:30103 User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 13_4_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.1 Mobile/15E148 Safari/604.1 Accept-Language: ru Referer: https://yandex.ru/ Connection: keep-alive Response HTTP/1.1 200 OK Content-Type: text/plain; charset=utf-8 Access-Control-Allow-Methods: GET Content-Length: 364 Access-Control-Allow-Origin: * Query String Parameters t: UV|L7,!"T[rwe&D_>ZIb\aW#98Y.PC6k
Карты открыли на lo0 tcp/30103 (по Андроиду даже есть работа, где упоминают, откуда ноги у этих портов растут), а Safari через резолв yandexmetrica.com на него приконнектился и послал GET-запрос, на который ему выплюнули закодированный ответ:
Km+9nRZEtshkJfOmPHfAmEHn/D05k1mogQc9n3ZgFXCHH1fi4Nsfr/FFIZJ4V66gG15lXB8p2eB3dJoUwf9aH6pn0WBuLNlR6jLmEXw3/Cyo68Tcr0xeRFNFZGfuerT/HuJpYc8i4+LynkyWjDiN701zeM2qD3ghpO1MBMQBDnGc5IIWObvEnlZvMqnKachoJ4uGm6ZBbIWm1U/dMIKdJ4v+KHYP3RrWHVNlDDXO8iALNEjmTz0mHQzEZ2VBjMYjwsYS6fR4uiG4Pl7MQZVdqUnK2Vxio5z0t+FqEU+vLyuAQprlcI3SHXWz8YsKJ4PrLrbu4KQiLpnMcBgzZ15jT8lYYg1Yqwp3cCKbkPqq/I4=
-
2 часа назад, Le ecureuil сказал:
Подозрительный домен, подозрительный адрес.
Судя по "whois yandexmetrica.com" и "dig any yandexmetrica.com @8.8.8.8" - вполне себе зарегистрированный на Яндекс и обслуживаемый их NS-ами
Что-то можно накопать при гуглении. Я для себя приметил, что лезет в логе при просмотре сайтов на смартфонах с незаблокированной рекламой.
-
2 часа назад, Le ecureuil сказал:
А сколько вам нужно?
Менял так-сяк несколько часов и получилось:
ipv6-icmptype 3 limit: avg 15/sec burst 30 ipv6-icmptype 128 limit: avg 15/sec burst 30 ipv6-icmptype 129 limit: avg 15/sec burst 30
Оказалось, что и 128, 129 надо бы подтянуть
-
@vst, можно попросить, пожалуйста, изменить (ослабить) лимит в цепочке _NDM_ICMPV6_POLICY для Time Exceeded (Type 3).
У меня за роутером стоит пробник RIPE Atlas, то есть через firewall проходит заметное количество транзитных ICMPv6-пакетов, и при traceroute'ах постоянно возникает ситуация, когда на WAN пакет пришёл, а через fw до хоста не добрался.
Ниже, скрытым постом, пример такой ситуации.
-
1 минуту назад, r13 сказал:
Да выключите вы его в конце концов и успокойтесь ))
no service internet-checker
Зачем же рубить с плеча?
Пусть будет гибкость у работающего сервиса. И потом, это просто голосовалка, я лишь предлагаю.
- 1
-
Предлагаю дополнить easyconfig check командой "easyconfig check exclude-captive" для отключения проверки доступности интернета через сервис NDM.
Хотелось бы иметь возможность (пусть это просто надпись и лампочка) не зависеть от одного ресурса при проверке: есть интернет или нет. В настоящий момент чекер игнорирует доступность ресурсов из списка hosts, когда "отвалился" captive.
Классическая картина:
(config)> show internet status checked: Thu Apr 2 13:23:04 2020 enabled: yes reliable: yes gateway-accessible: yes dns-accessible: yes host-accessible: yes captive-accessible: no internet: no
-
3 часа назад, rustrict сказал:
После перехода с 3.3 на 3.4 моя флешка с Entware (ext4) определяется с ошибками:
Мар 29 14:09:40 kernel usb 1-2: usbfs: USBDEVFS_CONTROL failed cmd ndm rqt 128 rq 6 len 2 ret -145 Мар 29 14:09:41 kernel usb 1-2: usbfs: USBDEVFS_CONTROL failed cmd ndm rqt 128 rq 6 len 2 ret -145 Мар 29 14:09:41 ndm Usb::Device: system failed [0xcffd00b0], operation timed out. Мар 29 14:09:41 ndm Usb::Device: failed to get a string descriptor header. Мар 29 14:09:41 ndm Usb::Device: unable to read available language IDs.
Ранее такого никогда не было.
Перезагрузки при этом не помогают. А вот если физически переподключить, тогда этих ошибок нет.
@sergeyk, а чем эти ошибки вызваны непонятно?
В 3.3 и раньше не сталкивался.
-
@sergeyk @AndreBA, оказалось, что зависит от места, где отключаешь. Я пробовал только на странице "Приложения", а если в дашборде нажать на "Безопасное извлечение", то ок: и лампочка гаснет, и кеш SCSI сбрасывается.
Скрытый текстМар 29 17:37:40 ndm Core::FileSystem::Repository: unregistering "d2dd8fe7-c0da-d501-50d0-8ee7c0dad501:" filesystem... Мар 29 17:37:40 ndm Storage::Manager: started "Media0" eject. Мар 29 17:37:40 dropbear[13274] Early exit: Terminated by signal Мар 29 17:37:40 ndm Opkg::Manager: /opt/etc/init.d/rc.unslung: exit code 1. Мар 29 17:37:40 ndm Opkg::Manager: disk unmounted. Мар 29 17:37:40 ndm Storage::Manager: "Media0": unregistered partition "d2dd8fe7-c0da-d501-50d0-8ee7c0dad501:". Мар 29 17:37:40 sdetach Media0: synchronized SCSI device cache. Мар 29 17:37:40 sdetach Media0: stopped a SCSI device. Мар 29 17:37:40 sdetach Media0: brought a block device to offline. Мар 29 17:37:40 kernel sd 0:0:0:0: [sda] Synchronizing SCSI cache Мар 29 17:37:41 sdetach Media0: unbound a driver. Мар 29 17:37:41 ndm Storage::Manager: "Media0": ejected. Мар 29 17:37:41 ndm Storage::Manager: "Media0": removed partition "d2dd8fe7-c0da-d501-50d0-8ee7c0dad501:". Мар 29 17:37:41 ndm Storage::Manager: removed "Media0", port 2. Мар 29 17:38:29 kernel usb 1-2: USB disconnect, device number 4
Непонятно только, должно ли это работать именно так? Ну и ошибки после ребута на месте, приходится извлекать и вставлять обратно.
-
32 минуты назад, sergeyk сказал:
Попробуйте подождать подольше (возможно даже после отмонтирования раздела остаются работающие приложения, запущенные с USB-диска).
Попробовал подождать после отмонтирования 10 минут - к сожалению, аналогично. Лампочка так и не погасла до извлечения, и то же сообщение в логе:
Мар 29 17:17:46 dropbear[1772] Early exit: Terminated by signal Мар 29 17:17:46 ndm Opkg::Manager: disk unmounted. Мар 29 17:17:46 ndm Core::FileSystem::Repository: "d2dd8fe7-c0da-d501-50d0-8ee7c0dad501:" unmounted. <...> Мар 29 17:27:31 kernel usb 1-2: USB disconnect, device number 3 Мар 29 17:27:31 kernel sd 0:0:0:0: [sda] Synchronizing SCSI cache Мар 29 17:27:31 kernel sd 0:0:0:0: [sda] Synchronize Cache(10) failed: Result: hostbyte=0x01 driverbyte=0x00 Мар 29 17:27:31 ndm Core::FileSystem::Repository: unregistering "d2dd8fe7-c0da-d501-50d0-8ee7c0dad501:" filesystem... Мар 29 17:27:31 ndm Storage::Manager: "Media0": unregistered partition "d2dd8fe7-c0da-d501-50d0-8ee7c0dad501:". Мар 29 17:27:31 ndm Storage::Manager: "Media0": removed partition "d2dd8fe7-c0da-d501-50d0-8ee7c0dad501:". Мар 29 17:27:31 ndm Storage::Manager: "Media0": a media was unsafely unplugged without ejecting. Мар 29 17:27:31 ndm Storage::Manager: removed "Media0", port 2.
-
@ndm @sergeyk, 3.4 Alpha 12. После перехода с 3.3 на 3.4 моя флешка с Entware (ext4) определяется с ошибками:
Мар 29 14:09:40 kernel usb 1-2: usbfs: USBDEVFS_CONTROL failed cmd ndm rqt 128 rq 6 len 2 ret -145 Мар 29 14:09:41 kernel usb 1-2: usbfs: USBDEVFS_CONTROL failed cmd ndm rqt 128 rq 6 len 2 ret -145 Мар 29 14:09:41 ndm Usb::Device: system failed [0xcffd00b0], operation timed out. Мар 29 14:09:41 ndm Usb::Device: failed to get a string descriptor header. Мар 29 14:09:41 ndm Usb::Device: unable to read available language IDs.
Ранее такого никогда не было.
Перезагрузки при этом не помогают. А вот если физически переподключить, тогда этих ошибок нет.
Выводы show usb:
Скрытый текстДо переподключения
usb: device: name: Media0 DEVICE: /devices/platform/xhci-mtk/usb1/1-2/1-2:1.0 DEVPATH: /devices/platform/xhci-mtk/usb1/1-2/1-2:1.0/host0/target0:0:0/0:0:0:0/block/sda manufacturer: General product: USB Flash Disk serial: 04KNU9GZ6QY8N5VN subsystem: media port: 2 power-control: yes
и после
usb: device: name: Media0 DEVICE: /devices/platform/xhci-mtk/usb1/1-2/1-2:1.0 DEVPATH: /devices/platform/xhci-mtk/usb1/1-2/1-2:1.0/host0/target0:0:0/0:0:0:0/block/sda manufacturer: General product: USB Flash Disk serial: 04KNU9GZ6QY8N5VN subsystem: media port: 2 power-control: yes usb-version: 2.00
Есть ещё странность с отмонтированием: кнопку "Отключить" нажал, но лампочка не погасла до тех пор, пока не извлёк. И при этом ругается в лог на "unsafely unplugged without ejecting":
Мар 29 14:17:15 ndm Opkg::Manager: disk unmounted. Мар 29 14:17:15 ndm Core::FileSystem::Repository: "d2dd8fe7-c0da-d501-50d0-8ee7c0dad501:" unmounted. Мар 29 14:17:29 kernel usb 1-2: USB disconnect, device number 2 Мар 29 14:17:29 kernel sd 0:0:0:0: [sda] Synchronizing SCSI cache Мар 29 14:17:29 kernel sd 0:0:0:0: [sda] Synchronize Cache(10) failed: Result: hostbyte=0x01 driverbyte=0x00 <...> Мар 29 14:17:29 ndm Storage::Manager: "Media0": a media was unsafely unplugged without ejecting. Мар 29 14:17:29 ndm Storage::Manager: removed "Media0", port 2.
Селф-тесты постом ниже.
-
@vst, кажется, что @enpa здесь был прав, в момент "потери" коннекта
Мар 10 17:20:49 ndm Network::InternetChecker: Internet access lost. Мар 10 17:20:58 ndm Network::InternetChecker: Internet access detected.
отличия есть только тут
captive-accessible: no internet: no <...> captive: response: location:
В дампе с фильтром "host captive.ndmsystems.com" подобные моменты выглядят как неожиданный RST со стороны сервера:
1 2020-03-10 17:51:52.010573 94.x.x.x 46.105.148.85 TCP 74 59566 → 80 [SYN] Seq=0 Win=29200 Len=0 MSS=1460 SACK_PERM=1 TSval=142975329 TSecr=0 WS=64 2 2020-03-10 17:51:52.056134 46.105.148.85 94.x.x.x TCP 74 80 → 59566 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1460 WS=512 SACK_PERM=1 TSval=1954792551 TSecr=142975329 3 2020-03-10 17:51:52.056277 94.x.x.x 46.105.148.85 TCP 66 59566 → 80 [ACK] Seq=1 Ack=1 Win=29248 Len=0 TSval=142975341 TSecr=1954792551 4 2020-03-10 17:51:52.056647 94.x.x.x 46.105.148.85 TCP 88 59566 → 80 [PSH, ACK] Seq=1 Ack=1 Win=29248 Len=22 TSval=142975341 TSecr=1954792551 [TCP segment of a reassembled PDU] 5 2020-03-10 17:51:52.101728 46.105.148.85 94.x.x.x TCP 60 80 → 59566 [RST] Seq=1 Win=0 Len=0 Мар 10 17:51:52 ndm Network::InternetChecker: Internet access lost. Мар 10 17:51:55 ndm Network::InternetChecker: Internet access detected.
97 2020-03-10 18:14:39.361417 94.x.x.x 46.105.148.85 TCP 74 60864 → 80 [SYN] Seq=0 Win=29200 Len=0 MSS=1460 SACK_PERM=1 TSval=143317167 TSecr=0 WS=64 98 2020-03-10 18:14:39.406993 46.105.148.85 94.x.x.x TCP 74 80 → 60864 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1460 WS=512 SACK_PERM=1 TSval=441113173 TSecr=143317167 99 2020-03-10 18:14:39.407166 94.x.x.x 46.105.148.85 TCP 66 60864 → 80 [ACK] Seq=1 Ack=1 Win=29248 Len=0 TSval=143317178 TSecr=441113173 100 2020-03-10 18:14:39.407591 94.x.x.x 46.105.148.85 TCP 88 60864 → 80 [PSH, ACK] Seq=1 Ack=1 Win=29248 Len=22 TSval=143317179 TSecr=441113173 [TCP segment of a reassembled PDU] 101 2020-03-10 18:14:39.452560 46.105.148.85 94.x.x.x TCP 60 80 → 60864 [RST] Seq=1 Win=0 Len=0 Мар 10 18:14:39 ndm Network::InternetChecker: Internet access lost. Мар 10 18:14:42 ndm Network::InternetChecker: Internet access detected.
Причём, судя по всему, тупит только 46.105.148.85, хотя, может быть, я просто мало наблюдал
- 2
-
15 часов назад, Space Alex сказал:
Собственно вопрос, есть какая то возможность дать доступ к файлу по протоколу HTTP штатными средствами?
Доступ можно дать через REST, но ответом будет массив JSON, который телевизор естественно не переварит. Других вариантов без авторизации или без использования Entware я найти не смог.
- 1
6to4 IPv6 DNS сервер
in Обмен опытом
Posted
@vst, подскажите, пожалуйста, есть ли в планах на будущее возможность задать для сегментов произвольные IPv6 DNS-сервера (до 3 из-за ограничения в radvd) = управлять полем RDNSS в radvd.conf? То есть, дать возможность резолвить имена по IPv6, минуя DNS proxy, индивидуально для каждого BridgeX.