Gim12
-
Posts
65 -
Joined
-
Last visited
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by Gim12
-
-
Здравствуйте.
Мой провайдер делит VLAN по приоритетам 802p
К примеру, для настройки интернета нужно указать VLAN 10 приоритет по 802p - 2
Без указания приоритета, работает только вилан по приоритету 0 у моего провайдера это служба tr 069 Остальные виланы не работают.
Прошу добавить в будущие прошивки деление VLAN по приоритету 802p
- 2
-
40 минут назад, Le ecureuil сказал:
Так self-test и видео-то будут? Я тоже могу много что утверждать, вас попросили предоставить документальные свидетельства бага.
Записал. Кому предоставить?
- 2
-
2 часа назад, sergeyk сказал:
Пробовали на 3.01.A.4.0-0?
Попробовал. Девайс в подписи. Браузер FF 60.7.2 esr
Итак, работает это через пень колоду.
Июн 26 14:32:38 ndm Core::Scgi::Auth: authentication failed for user admin. Июн 26 14:32:58 ndm Core::Syslog: last message repeated 3 times. Июн 26 14:32:58 ndm Netfilter::Util::Conntrack: flushed 1 IPv4 connections for *.15.77. Июн 26 14:32:58 ndm Netfilter::Util::BfdManager: "Http": ban remote host *.15.77 for 60 minutes. Июн 26 14:33:04 ndm Core::Scgi::Auth: authentication failed for user admin. Июн 26 14:36:24 ndm Core::Syslog: last message repeated 40 times. Июн 26 14:36:38 ndm Core::Scgi::AuthPool: cleanup: 1 -> 0. Июн 26 14:36:54 ndm Core::Scgi::Auth: authentication failed for user admin. Июн 26 14:37:08 ndm Core::Syslog: last message repeated 3 times. Июн 26 14:37:19 ndm Core::Scgi::AuthPool: cleanup: 1 -> 0.
Получается такая штука. Бан я получил в 14:33 Но до 14:37 продолжал подбирать пароль. Попыток таких по логу было 40 штук, а то и более. Вбивал пока не надоело. Полностью по вебу морды получил блок в 14:37 За это время попыток 100 мог бы набить легко.- 1
-
6 минут назад, sergeyk сказал:
components list draft components commit
Вопрос снимается. Нужно было оказывается сначала перейти на бету.
Счас затестим
-
26 минут назад, sergeyk сказал:
Определенно.
Где ее скачать. По команде
components list delta components commit
У меня появился пункт отладочная версия. Но версию отладочную почему то предлагает 2.15.C.4.0-1
-
2 минуты назад, sergeyk сказал:
Пробовали на 3.01.A.4.0-0?
Нет. Пробовал на 3.0
А что стоит попробовать?
-
9 минут назад, sergeyk сказал:
Подключение прямое или через облако?
Не понял что имеется ввиду.
Заходил на свой белый ip и тестировал.
Если имеются ввиду настройки KeenDNS то там стоит прямой доступ. Хотя там без разницы что указать при белом ip, что облако что прямой доступ. Доступ вебморде все равно доступен становится по ip при установленной галке Разрешить доступ из Интернета
-
38 минут назад, Le ecureuil сказал:
Вообще вы странные вещи говорите, так как при бане срабатывает очистка conntrack, и все сессии с браузером принудительно завершаются.
Проверял это неоднократно, и не вижу вашей ситуации.
Не могли бы вы прислать видео с захватом экрана + self-test после всех манипуляций, когда вы пробуете скажем 10 раз неправильный логин/пароль, а вам роутер продолжает отвечать?
Это будет куда конструктивнее.
Не знаю какими браузерами вы пробовали, но у меня на мобилки стоит доподобная опера а в компе мозила и сессии никакие они не завершают.
Вот вам лог когда проверял с мобилки с установленной оперой
Июн 22 09:13:30 ndm Core::Scgi::Auth: authentication failed for user admin. Июн 22 09:13:37 ndm Core::Syslog: last message repeated 2 times. Июн 22 09:13:37 ndm Netfilter::Util::Conntrack: flushed 2 IPv4 connections for *.*.228.254. Июн 22 09:13:37 ndm Netfilter::Util::BfdManager: "Http": ban remote host *.*.228.254 for 60 minutes. Июн 22 09:13:44 ndm Core::Scgi::Auth: authentication failed for user admin. Июн 22 09:13:59 ndm Core::Syslog: last message repeated 2 times. Июн 22 09:14:08 ndm Core::Scgi::AuthPool: cleanup: 2 -> 1. Июн 22 09:14:54 ndm Core::Scgi::Auth: authentication failed for user admin. Июн 22 09:15:03 ndm Core::Scgi::AuthPool: cleanup: 2 -> 1. Июн 22 09:15:19 ndm Core::Scgi::Auth: authentication failed for user admin. Июн 22 09:15:28 ndm Core::Scgi::AuthPool: cleanup: 2 -> 1.
Видите по логу я получил бан по ip. Но в открытой странице браузера продолжаю дальше подбирать пароль и кенетик отвечает. Хотя мой ip как бы забанен на 60 минут.
-
47 минут назад, r13 сказал:
show cloud в cli
там будет список облачных ip, но они могут и поменяться.
Да, там пять ip. Попробую их внести в белый список и посмотреть поможет ли это.
-
Вот приведу вам пример, как такая защита работает на gpon терминале Huawei
При неверном вводе пароля страница перезагружается (самим браузером) и появляется надпись
При трехкратном неверном вводе (страница каждый раз перезагружается принудительно)
Появляется подпись с обратным отсчетам времени. И поля ввода логина и пароля становятся не активными.
Даже если зайти повторно с забаненного ip, получаем эту надпись с банном и отсчетам времени.
-
В 19.06.2019 в 21:36, Gim12 сказал:
Да, но я этим заморочился и сделал по другому.
В межсетевом экране (провайдер) нужно создать два правила:
1. Запретить всем ip доступ по 80 порту
2. Разрешить доступ вашему статическому ip по 80 порту
Нет не работает. Через некоторое время KeenDNS отваливается
Короче... протестировал я это и вдоль и поперек и могу сказать при наличии белого ip этот настроенный KeenDNS дыра в безопасности.
Как при настройке не выбирай, прямой доступ или доступ через облако. Но все равно вебморда кенетика светится на белом ip.
Если межсетевом экране настроить доступ по 80 порту только на нужные мне подсети, то доступ через KeenDNS отваливается. Получается хочешь пользоваться KeenDNS оставляй доступ к вебморде для всех ip. Прям радость для всех ботов которые долбятся подбирать пароли.
Ладно думаю настрою, защиту от перебора паролей... так и там недоделка криваяМожет кто знает нужные подсети ip кенетика, которые нужны для работоспособности KeenDNS.
А то посещают мысли забросить этот кенетик в дальний пыльный угол. -
В 23.06.2019 в 13:56, Александр Рыжов сказал:
Почему-то меня не пустило. 15 минут пришлось гулять.
Бан есть.
Но есть косяк веб интерфейса. Когда получен бан по ip. С этого ip зайти нельзя.
Но.. Если до этого была открыта веб страница с мордой кенетика можно перебирать пароль до посинения и пофиг на бан.
Как проверить. Заходим на ip кенетика. Открывается веб морда кенетика. Вводим пару раз неверный пароль и получаем в логах бан по ip. Но с этой оставшееся открытой странице можно и дальше перебирать пароли и даже зайти под своим паролем. Кенетик продолжает успешно общаться с этой страницей.
А вот если во время бана перезагрузить страницу или повторно попытаться зайти на веб морду кенетика. То страница не откроется так как ip в бане.
п.с еще мне не понятно почему логи такие калечные. И это еще преуменьшил их значение. Даже если указать в конфиге
ip http log aut
то получаем ip атакующего только при его бане. Получается, атакующий может хоть каждый день перебирать пароль не попадая в бан, а я этого не узнаю. У меня на старом роутере каждый раз логировалось ip атакующего даже при однократном подборе пароля. А тут такая тарантайка, а логи бесполезные.
К примеру, у меня в старом роутере раз в день был заход с филиппинского ip и была однократная ежедневная попытка бота подобрать пароль. Я в логах это увидел и забанил этот ip.
В этом кенетике я так не сделаю. В логах ip его не засветится.
-
55 минут назад, MDP сказал:
только 1 и 2 пункт местами надо переставить
Ну я писал, как создавал.
А так, да. Первое правило должно быть разрешающее, второе запрещающее.
-
On 5/15/2019 at 6:31 PM, ndm said:
Облачный доступ учитывает правила межсетевого экрана и NAT и эмулирует их работу. Если закрыть порт, облачный доступ тоже закроется.
— правильный ответ.
Да, но я этим заморочился и сделал по другому.
On 4/23/2019 at 11:06 PM, stas stepanov said:Так как же запретить доступ к роутеру по внешнему IP, но оставить по доменному имени типа mynet.keenetic.pro?
В межсетевом экране (провайдер) нужно создать два правила:
1. Запретить всем ip доступ по 80 порту
2. Разрешить доступ вашему статическому ip по 80 порту
Как запретить доступ к роутеру по внешнему IP, но оставить по доменному имени KeenDNS?
in Обмен опытом
Posted
Не помогло. Через пару часов KeenDNS отвалился.
Сношу KeenDNS . Светить вебморду кенетика всему интернету нет желания.