Jump to content

Александр Рыжов

Moderators
  • Posts

    1,089
  • Joined

  • Last visited

  • Days Won

    22

Everything posted by Александр Рыжов

  1. @KorDen, этот кусочек выхлопа strace не информативен, опубликуйте при возможности полный на pastebin. Если необходимо, можно попробовать откатиться предыдущую версию пакета из архива. В этом месяце в апстриме было несколько правок, как отсинхримся с ними — сообщим.
  2. Какие у него преимущества перед iodine? Не хочется плодить в репозитории софт с одинаковым функционалом.
  3. Кстати, есть опыт по «завешиванию» сканирующих SSH с последующим логом красавцев в twitter'e:)
  4. Не помню, упоминал после этого разговора или нет: добавил пакет https_dns_proxy в Entware.
  5. Пакет arpwatch был удалён из Entware как заброшенный и заменён на addrwatch. Кстати, любой пакет, когда-либо существовавший в Entware всегда можно найти в архиве.
  6. Если о программным, тогда лучше пока забыть про MT7628: сбор паттернов поведения пользователя, обучение и прочая магия IntelliQoS пока по силам старшим моделям. PS Не актуально
  7. Hardware QoS и IntelliQoS — вещи сильно разные.
  8. @zyxmon, отлично! /opt/tmp # iptables -L … Chain _NDM_IPSEC_INPUT_FILTER (1 references) target prot opt source destination ACCEPT all -- anywhere anywhere ndmmark match 0x88 DROP all -- 10.9.96.0/24 192.168.1.0/24 Chain _NDM_IPSEC_OUTPUT_FILTER (1 references) target prot opt source destination ACCEPT all -- anywhere anywhere ndmmark match 0x89 DROP all -- 192.168.1.0/24 10.9.96.0/24
  9. Чтобы распутать что в итоге промаркировано и отправлено (?) в отдельную таблицу #220, созданную strongswan'ом. На non-ndms2 девайсах я это вижу: … Chain FORWARD (policy DROP) target prot opt source destination ACCEPT all -- 192.168.1.0/24 10.9.96.0/24 policy match dir in pol ipsec
  10. Речь не только о save. Скажем, что творится с маркировкой ipsec тоже не увидишь: ~ # iptables -L ... Chain _NDM_IPSEC_FORWARD (1 references) target prot opt source destination ACCEPT all -- anywhere anywhere UNKNOWN match `ndmmark' DROP all -- 10.9.96.0/24 192.168.1.0/24 ... Chain _NDM_IPSEC_INPUT_FILTER (1 references) target prot opt source destination ACCEPT all -- anywhere anywhere UNKNOWN match `ndmmark' DROP all -- 10.9.96.0/24 192.168.1.0/24 Chain _NDM_IPSEC_OUTPUT_FILTER (1 references) target prot opt source destination ACCEPT all -- anywhere anywhere UNKNOWN match `ndmmark' DROP all -- 192.168.1.0/24 10.9.96.0/24
  11. Получается, что рабочих вариантов iptables для ndmsv2 на текущий момент нет? В http://pkg.entware-keenetic.ru/binaries/keenle то же самое.
  12. Что-то отвалилось при последнем апдейте? ~ # iptables-save … Can't find library for match `ndmmark'
  13. @imag0611, нет никаких причин поддерживать чужую проприетарщину. Все механизмы работы OPKG-компонента перед вами, а дальше — сами.
  14. Простите что влезаю. Видел единственный use case когда надо ронять линк: залипание порта провайдера, когда помогал только физический дисконнект.
  15. Можете выполнять DROP или REJECT — всё равно. Если пакеты (много пакетов!:)) прилетели к вам на сетевой интерфейс, защищаться поздно. Защита от DDoS обычно выполняется другими способами, к кинетикам отношение не имеющими.
  16. @demos.vlz, вроде как несколько лет уже. См. uBoot env, там больше одной «специфичной» переменной.
  17. Кто ж неволит? Выполняйте dns-override, если сильно хочется. В данной теме необходимости в этом нет. Ок.
  18. Далее выяснится, что облачный хостинг отвалился, придётся ещё один костыль приделывать. Или Зачем вам такое счастье, когда можно оставить системный резолвер в работе. Кроме того, это решение для неподготовленных пользователей, обходящих командную строку по широкой дуге. Выполнив opkg dns-override, DHCP службу вы тоже отключите. Зачем?
  19. А что, и, главное, куда будете прописывать ndss.11.zyxel.ndmsystems.com для того, чтобы роутер мог как прежде получать обновления? Бесполезно, никто не читает:)
  20. В консоль лазить целевой аудитории совсем не проще, это решение для неподготовленных пользователей. Кроме того, dns-override отключит системный резолвер совсем и роутер даже не сможет после подачи питания установить системную дату. Ближайший поддерживаемый dnscrypt-proxy аналог — это OpenDNS, ныне принадлежащий Cisco. Тоже бесплатный. Открылся куда раньше, чем SkyDNS. Чего?:)
  21. Так надо, чтобы завернуть транзитные запросы от клиентов на dnscrypt-proxy. Нужно, если хотите. Гостевую сеть цели защищать не было. Откроет для пакетов, прилетающих с 192.168.1.0/24, т.е. никак не откроет. Удастся разрешить. Все резолвы с самого роутера, включая имена PPTP, серверов обновления NDM или NTP-служб резолвятся без участия dnscrypt-proxy, т.к. они не транзитные. Проверено с помощью tcpdump не вышестоящем узле. Да.
  22. Цель данного решения — дать возможность неподготовленным владельцам кинетиков использовать сторонний софт на роутере с USB-портом для решения какой-то одной конкретной задачи. При этом не надо заморачиваться с форматированием флешки в какую-то специальную файловую систему или вникать в командную строку Linux. USB-накопитель, подключенный к кинетику, можно продолжать параллельно использовать для других нужд, например для UPnP/DLNA-контента или скачивания торрентов. Что это? Самым простым и распространённым способом блокировки доступа к определённым ресурсам со стороны провайдера остаётся искажение DNS-ответов. Всецело поддерживая ограничение доступа к неправомерной информации хочу заметить, что с помощью DNS это делать топорно: в моём случае вместо блокировки одной страницы оказались заблокированы почти полторы тысячи доменов. Предложенное здесь решение, основанное на dnscrypt-proxy, позволяет шифровать DNS запросы-ответы для того, чтобы провайдер не мог в них вмешиваться. Если ваш провайдер тоже подменяет DNS-ответы — решение вам поможет. Как установить? Создайте на USB-носителе папку install и положите в неё файл, приложенный к этому посту *. Убедитесь, что у вас установлен компонент opkg в составе прошивки, Подключите USB-носитель к роутеру, Разрешите использование opkg, выберите ваш USB-носитель в выпадающем списке на этой странице и нажмите кн.«Применить», Добавьте правильно трансляции сетевых адресов (NAT) как на приложенном скриншоте ниже (192.168.1.1 — локальный адрес вашего роутера, если вы его не меняли специально, он будет именно такой). Как использовать? Просто используйте интернет как привыкли, теперь домашние устройства защищены от перехвата и подмены DNS-ответов. Для того, чтобы настройки на любом клиенте вступили в силу, надо очистить на нём DNS-кэш, скажем, с помощью перезагрузки. Как удалить? Удалите правило трансляции сетевых адресов (NAT), добавленное при настройках, Отключите флешку от роутера кнопкой «▲», Сотрите с флешки папки bin, etc, root, sbin * Keenetic LTE/DSL/VOX не поддерживаются. dnscrypt-proxy-mipsel.tgz
  23. @KorDen, он правда тяжеловат. Проверено на отнюдь не самом слабом железе.
  24. Прикольное начинание, когда-то сам думал его развивать, да как-то всё было не досуг: было влом тянуть кабель от тарелки (DVB-S) или от телека (DVB-C). tvheadend помимо основного функционала по трансляции может служить DVR'ом с EPG для IPTV- и DVB-эфира одновременно. Плагины для получения программы передач российских каналов когда-то коллективно писали.
  25. @Mamay, снова, вновь, опять: у кого уже стоит Entware, тем чайнические standalone решения не нужны.
×
×
  • Create New...