-
Posts
1,215 -
Joined
-
Last visited
-
Days Won
25
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Everything posted by Александр Рыжов
-
Если о программным, тогда лучше пока забыть про MT7628: сбор паттернов поведения пользователя, обучение и прочая магия IntelliQoS пока по силам старшим моделям. PS Не актуально
-
Hardware QoS и IntelliQoS — вещи сильно разные.
-
@zyxmon, отлично! /opt/tmp # iptables -L … Chain _NDM_IPSEC_INPUT_FILTER (1 references) target prot opt source destination ACCEPT all -- anywhere anywhere ndmmark match 0x88 DROP all -- 10.9.96.0/24 192.168.1.0/24 Chain _NDM_IPSEC_OUTPUT_FILTER (1 references) target prot opt source destination ACCEPT all -- anywhere anywhere ndmmark match 0x89 DROP all -- 192.168.1.0/24 10.9.96.0/24
-
Речь не только о save. Скажем, что творится с маркировкой ipsec тоже не увидишь: ~ # iptables -L ... Chain _NDM_IPSEC_FORWARD (1 references) target prot opt source destination ACCEPT all -- anywhere anywhere UNKNOWN match `ndmmark' DROP all -- 10.9.96.0/24 192.168.1.0/24 ... Chain _NDM_IPSEC_INPUT_FILTER (1 references) target prot opt source destination ACCEPT all -- anywhere anywhere UNKNOWN match `ndmmark' DROP all -- 10.9.96.0/24 192.168.1.0/24 Chain _NDM_IPSEC_OUTPUT_FILTER (1 references) target prot opt source destination ACCEPT all -- anywhere anywhere UNKNOWN match `ndmmark' DROP all -- 192.168.1.0/24 10.9.96.0/24
-
Добавление в меню Приложения закладку-пункт
Александр Рыжов replied to imag0611's topic in Вопросы по сборке и настройке Opkg
@imag0611, нет никаких причин поддерживать чужую проприетарщину. Все механизмы работы OPKG-компонента перед вами, а дальше — сами. -
Простите что влезаю. Видел единственный use case когда надо ронять линк: залипание порта провайдера, когда помогал только физический дисконнект.
-
AntiDDoS protection
Александр Рыжов replied to ivanmoscov's topic in Вопросы по сборке и настройке Opkg
Можете выполнять DROP или REJECT — всё равно. Если пакеты (много пакетов!:)) прилетели к вам на сетевой интерфейс, защищаться поздно. Защита от DDoS обычно выполняется другими способами, к кинетикам отношение не имеющими. -
@demos.vlz, вроде как несколько лет уже. См. uBoot env, там больше одной «специфичной» переменной.
-
easy-to-use Защита DNS
Александр Рыжов replied to Александр Рыжов's topic in Каталог готовых решений Opkg
Кто ж неволит? Выполняйте dns-override, если сильно хочется. В данной теме необходимости в этом нет. Ок. -
easy-to-use Защита DNS
Александр Рыжов replied to Александр Рыжов's topic in Каталог готовых решений Opkg
Далее выяснится, что облачный хостинг отвалился, придётся ещё один костыль приделывать. Или Зачем вам такое счастье, когда можно оставить системный резолвер в работе. Кроме того, это решение для неподготовленных пользователей, обходящих командную строку по широкой дуге. Выполнив opkg dns-override, DHCP службу вы тоже отключите. Зачем? -
easy-to-use Защита DNS
Александр Рыжов replied to Александр Рыжов's topic in Каталог готовых решений Opkg
А что, и, главное, куда будете прописывать ndss.11.zyxel.ndmsystems.com для того, чтобы роутер мог как прежде получать обновления? Бесполезно, никто не читает:) -
easy-to-use Защита DNS
Александр Рыжов replied to Александр Рыжов's topic in Каталог готовых решений Opkg
В консоль лазить целевой аудитории совсем не проще, это решение для неподготовленных пользователей. Кроме того, dns-override отключит системный резолвер совсем и роутер даже не сможет после подачи питания установить системную дату. Ближайший поддерживаемый dnscrypt-proxy аналог — это OpenDNS, ныне принадлежащий Cisco. Тоже бесплатный. Открылся куда раньше, чем SkyDNS. Чего?:) -
easy-to-use Защита DNS
Александр Рыжов replied to Александр Рыжов's topic in Каталог готовых решений Opkg
Так надо, чтобы завернуть транзитные запросы от клиентов на dnscrypt-proxy. Нужно, если хотите. Гостевую сеть цели защищать не было. Откроет для пакетов, прилетающих с 192.168.1.0/24, т.е. никак не откроет. Удастся разрешить. Все резолвы с самого роутера, включая имена PPTP, серверов обновления NDM или NTP-служб резолвятся без участия dnscrypt-proxy, т.к. они не транзитные. Проверено с помощью tcpdump не вышестоящем узле. Да. -
Цель данного решения — дать возможность неподготовленным владельцам кинетиков использовать сторонний софт на роутере с USB-портом для решения какой-то одной конкретной задачи. При этом не надо заморачиваться с форматированием флешки в какую-то специальную файловую систему или вникать в командную строку Linux. USB-накопитель, подключенный к кинетику, можно продолжать параллельно использовать для других нужд, например для UPnP/DLNA-контента или скачивания торрентов. Что это? Самым простым и распространённым способом блокировки доступа к определённым ресурсам со стороны провайдера остаётся искажение DNS-ответов. Всецело поддерживая ограничение доступа к неправомерной информации хочу заметить, что с помощью DNS это делать топорно: в моём случае вместо блокировки одной страницы оказались заблокированы почти полторы тысячи доменов. Предложенное здесь решение, основанное на dnscrypt-proxy, позволяет шифровать DNS запросы-ответы для того, чтобы провайдер не мог в них вмешиваться. Если ваш провайдер тоже подменяет DNS-ответы — решение вам поможет. Как установить? Создайте на USB-носителе папку install и положите в неё файл, приложенный к этому посту *. Убедитесь, что у вас установлен компонент opkg в составе прошивки, Подключите USB-носитель к роутеру, Разрешите использование opkg, выберите ваш USB-носитель в выпадающем списке на этой странице и нажмите кн.«Применить», Добавьте правильно трансляции сетевых адресов (NAT) как на приложенном скриншоте ниже (192.168.1.1 — локальный адрес вашего роутера, если вы его не меняли специально, он будет именно такой). Как использовать? Просто используйте интернет как привыкли, теперь домашние устройства защищены от перехвата и подмены DNS-ответов. Для того, чтобы настройки на любом клиенте вступили в силу, надо очистить на нём DNS-кэш, скажем, с помощью перезагрузки. Как удалить? Удалите правило трансляции сетевых адресов (NAT), добавленное при настройках, Отключите флешку от роутера кнопкой «▲», Сотрите с флешки папки bin, etc, root, sbin * Keenetic LTE/DSL/VOX не поддерживаются. dnscrypt-proxy-mipsel.tgz
-
Поддержка DVB-T/T2/C USB TV-тюнеров.
Александр Рыжов replied to McMCC's topic in Вопросы по сборке и настройке Opkg
@KorDen, он правда тяжеловат. Проверено на отнюдь не самом слабом железе. -
Поддержка DVB-T/T2/C USB TV-тюнеров.
Александр Рыжов replied to McMCC's topic in Вопросы по сборке и настройке Opkg
Прикольное начинание, когда-то сам думал его развивать, да как-то всё было не досуг: было влом тянуть кабель от тарелки (DVB-S) или от телека (DVB-C). tvheadend помимо основного функционала по трансляции может служить DVR'ом с EPG для IPTV- и DVB-эфира одновременно. Плагины для получения программы передач российских каналов когда-то коллективно писали. -
easy-to-use Кто потребляет трафик?
Александр Рыжов replied to Александр Рыжов's topic in Каталог готовых решений Opkg
@Mamay, снова, вновь, опять: у кого уже стоит Entware, тем чайнические standalone решения не нужны. -
easy-to-use Кто потребляет трафик?
Александр Рыжов replied to Александр Рыжов's topic in Каталог готовых решений Opkg
@Mamay, если вы используете Entware, standalone решения вам не нужны. Вы можете запустить darkstat двумя командами. -
easy-to-use Кто потребляет трафик?
Александр Рыжов replied to Александр Рыжов's topic in Каталог готовых решений Opkg
Это отдельно стоящее решение, с Entware или chroot'ed Debian'ом никак не связанное. Работать вместе с перечисленными сущностями (ровно как и любыми другими) не будет. Поправил. Оставьте поле пустым. Никак. Хотя стоп, можно, но для этого надо лезть в командную строку кинетика, вводить следующие команды, что противоречит смыслу начинаний. opkg timezone auto system configuration save -
Борьба с "любителями" nmap и прочими :)
Александр Рыжов replied to Dorik1972's topic in Каталог готовых решений Opkg
Кому будет интересно, может попробовать в работе на старших кинетиках IDS suricata, пакет недавно был добавлен в Entware. Synology использует его в своих роутерных прошивках. -
easy-to-use Кто потребляет трафик?
Александр Рыжов replied to Александр Рыжов's topic in Каталог готовых решений Opkg
Да не, всё в порядке. Darkstat использует libpcap и в conntrack не лезет. После запуска br0 переводится в promiscuous mode и вперёд. Проверено со включенным PPE на IPoE.