m__a__l Posted January 30, 2017 Share Posted January 30, 2017 1 час назад, ykutik сказал: всем спасибо, вчера сам догадался и выключил DNS-прокси на роутере командой "opkg dns-override". И всё заработало. Но у меня 4 вопроса, 1. зачем мы создаем файл с блокируемыми адресами: addn-hosts=/opt/etc/hosts0 Почему нельзя всё записать в "оригинальный" /opt/etc/hosts ? ( я сделал так) 2. И правильно ли я понимаю, что если мой подключенный диск по каким-то причинам отвалится или падет система "Opkg", то служба ДНС работать перестанет и интернета как такового не будет? тогда её надо будет включить в "CLI" ? 3. Вопрос по содержимому файла hosts, я взял файл из ссылки https://hosts-file.net/?s=Download , правильно ли я взял самый первый, где больше всего записей? ~530 000 штук? Не заметил что роутер как-то тормозил из-за этого. Правильно дли я понимаю, что эта база содержит набор адресов с рекламой, с распространителями зловредов, следящими трекерами и прочей гадости?.. 4. (Наверно глупый вопрос) Доступен ли по умолчанию из нета мой Entware по ssh сейчас , при условии что я не пробрасывал порты и не давал каких-либо разрешений на это? Я боюсь стать часть ботнета 1. зачем "ломать" оригинал? результат на выходе тот же, но тут уж дело каждого. 2. нет, не правильно, "opkg dns-override" работает в том случает, если работает opkg, к примеру если изъять флешку или снять галку с opkg, DNS-прокси снова включится. 3. тут вопрос наверное, на сколько корректно dnsmasq готов отрабатывать такое количество записей на роутере, время покажет. 4. по умолчанию закрыто, при желании необходимо пробрасывать порт, но лучше уж не порт, а цепляться к своей железке через vpn Quote Link to comment Share on other sites More sharing options...
ankar84 Posted January 30, 2017 Share Posted January 30, 2017 Уважаемые, а есть ли "кнопочный" способ включать/выключать блокировку? К примеру, вижу, что сайт не корректно работает с телефона, просто отключаю wifi и пробую через мобильный интернет. На ноутбуке так не сделаешь, вот и хочется какой-то простой и быстрый способ включать/выключать блокировку. Quote Link to comment Share on other sites More sharing options...
TheBB Posted January 30, 2017 Share Posted January 30, 2017 Есть! 1 Радикальный: в вебе отключить OPKG, флешку/диск можно не извлекать 2 Стандартный: в терминале остановить сервис(ы) - /opt/etc/init.d/S($script_name) stop , где S($script_name) - имя скрипта сервиса/демона... 1 Quote Link to comment Share on other sites More sharing options...
vasek00 Posted January 31, 2017 Share Posted January 31, 2017 13 часа назад, ankar84 сказал: Уважаемые, а есть ли "кнопочный" способ включать/выключать блокировку? К примеру, вижу, что сайт не корректно работает с телефона, просто отключаю wifi и пробую через мобильный интернет. На ноутбуке так не сделаешь, вот и хочется какой-то простой и быстрый способ включать/выключать блокировку. тут был расписан где то "tor" по настройкам посмотрите тогда в его сторону, т.е. вам нужна реализация tor+DNS. Сервер DNS будет свой например на порту 5300, подправить в "torrc" файле строки для DNS DNSPort 5300 DNSListenAddress 127.0.0.1 Quote Link to comment Share on other sites More sharing options...
ankar84 Posted January 31, 2017 Share Posted January 31, 2017 тут был расписан где то "tor" по настройкам посмотрите тогда в его сторону, т.е. вам нужна реализация tor+DNS. Сервер DNS будет свой например на порту 5300, подправить в "torrc" файле строки для DNSDNSPort 5300DNSListenAddress 127.0.0.1 Кажется вы меня не правильно поняли. Я искал способ как при настроенной блокировке рекламы для всех устройств домашней локальной сети иметь возможность очень быстро и просто вернуть исходное состояние, без блокировки, чтобы понять, не является ли причиной проблемы с тем или иным сайтом то, что какой-то (нужный) адрес заворачивается на 127.0.0.1Думаю, можно еще как вариант dns серверы на клиенте перебивать для проверки. Но такого простого способа переключения как на смартфоне одной кнопкой выключения wifi на ноутбуке не получить. Quote Link to comment Share on other sites More sharing options...
Dorik1972 Posted January 31, 2017 Share Posted January 31, 2017 22 минуты назад, ankar84 сказал: Кажется вы меня не правильно поняли. Я искал способ как при настроенной блокировке рекламы для всех устройств домашней локальной сети иметь возможность очень быстро и просто вернуть исходное состояние, без блокировки, чтобы понять, не является ли причиной проблемы с тем или иным сайтом то, что какой-то (нужный) адрес заворачивается на 127.0.0.1 Думаю, можно еще как вариант dns серверы на клиенте перебивать для проверки. Но такого простого способа переключения как на смартфоне одной кнопкой выключения wifi на ноутбуке не получить. В данном варианте , с использованием файлов hosts, сие не возможно ... Рекомендую обратить внимание на тему "Блокировка рекламы с помощью privoxy" - там можно. Более того можно отследить "цепочку" фильтровки по каждому конкретному запросу, иметь белые и черные списки, возможность подмены хидеров, выборочное "заTorивание" заданных сайтов и многое другое .... А DNS серверы "клиенту" перебивать-то зачем ? Чем это-то поможет ???? Quote Link to comment Share on other sites More sharing options...
ankar84 Posted January 31, 2017 Share Posted January 31, 2017 А DNS серверы "клиенту" перебивать-то зачем ? Чем это-то поможет ???? Насколько я понимаю блокировка рекламы происходит на роутере при помощи файла hosts, и если на клиенте прописать в качестве dns сервера не роутер, а провайдерские dns серверы, по моему, это должно позволить всем рекламным fqdn из файла hosts разрешается в их реальные адреса, а не в 127.0.0.1 Quote Link to comment Share on other sites More sharing options...
vasek00 Posted January 31, 2017 Share Posted January 31, 2017 1 час назад, ankar84 сказал: Кажется вы меня не правильно поняли. Я искал способ как при настроенной блокировке рекламы для всех устройств домашней локальной сети иметь возможность очень быстро и просто вернуть исходное состояние, без блокировки, чтобы понять, не является ли причиной проблемы с тем или иным сайтом то, что какой-то (нужный) адрес заворачивается на 127.0.0.1 Думаю, можно еще как вариант dns серверы на клиенте перебивать для проверки. Но такого простого способа переключения как на смартфоне одной кнопкой выключения wifi на ноутбуке не получить. У вас первая часть - DNSmasq для всех, для желающих "tor". У клиента настройки броузера для tor или без настроек. 1 Quote Link to comment Share on other sites More sharing options...
utya Posted February 2, 2017 Share Posted February 2, 2017 Всем добрый день. Есть не совсем стандартная ситуация, есть мама и есть айфон. Мама у меня любитель полазить по всяким сайтам, на которых очень часть происходят редиректы на сайты подписок, одно неловокое движение и она уже оформила подписку типа moy-m-portal.ru и с счёта съело 100 рублей. Я уже замучался это все дело отключать, понятное дело рядовой пользователь не поймет где произошёл редирект и открылась какая-то хрень, поэтому хочу накатить прокси на giga и заставлять iphone выходить только через vpn канал (а тот в свою очередь цепляется к keenetic на котором поднят прокси). Вот хотел спросить какой прокси посоветуете с каким то умным списком, готов ручками вбить сайты, лучше конечно чтобы прокся как то сама анализировала всякие злополучные редиректы. Услуги аля детский интернет не подходят потому что там разрешены тока бибигоны всякие и смешарики . Quote Link to comment Share on other sites More sharing options...
vasek00 Posted February 2, 2017 Share Posted February 2, 2017 1 час назад, utya сказал: Всем добрый день. Есть не совсем стандартная ситуация, есть мама и есть айфон. Мама у меня любитель полазить по всяким сайтам, на которых очень часть происходят редиректы на сайты подписок, одно неловокое движение и она уже оформила подписку типа moy-m-portal.ru и с счёта съело 100 рублей. Я уже замучался это все дело отключать, понятное дело рядовой пользователь не поймет где произошёл редирект и открылась какая-то хрень, поэтому хочу накатить прокси на giga и заставлять iphone выходить только через vpn канал (а тот в свою очередь цепляется к keenetic на котором поднят прокси). Вот хотел спросить какой прокси посоветуете с каким то умным списком, готов ручками вбить сайты, лучше конечно чтобы прокся как то сама анализировала всякие злополучные редиректы. Услуги аля детский интернет не подходят потому что там разрешены тока бибигоны всякие и смешарики . Может будет проще - подключить отдельный "контентный" счет с которого будут проводится списания средств в случае совершения вызова на номер контентной услуги (01.05.2014 оператор предоставляет абоненту такую возможность и он равен 0р., по данному вопросу могут сделать "круглые глаза" что нет такого). Quote Link to comment Share on other sites More sharing options...
utya Posted February 2, 2017 Share Posted February 2, 2017 44 минуты назад, vasek00 сказал: Может будет проще - подключить отдельный "контентный" счет с которого будут проводится списания средств в случае совершения вызова на номер контентной услуги (01.05.2014 оператор предоставляет абоненту такую возможность и он равен 0р., по данному вопросу могут сделать "круглые глаза" что нет такого). а как услуга называется точно, чтобы гуглить правильно Quote Link to comment Share on other sites More sharing options...
vasek00 Posted February 2, 2017 Share Posted February 2, 2017 44 минуты назад, utya сказал: а как услуга называется точно, чтобы гуглить правильно тогда уж лучше http://mobile-review.com/articles/2014/content-new-2.shtml Quote Link to comment Share on other sites More sharing options...
utya Posted February 2, 2017 Share Posted February 2, 2017 48 минут назад, vasek00 сказал: тогда уж лучше http://mobile-review.com/articles/2014/content-new-2.shtml Только мне кажется что это не то. Только если при заходи на страницу не инициализируется отправка USSD запроса или отправка СМС. Quote Link to comment Share on other sites More sharing options...
vasek00 Posted February 2, 2017 Share Posted February 2, 2017 Тут конечно не тема для данных обсуждений, да пусть приходят у вас на данном счете 0руб. Quote Link to comment Share on other sites More sharing options...
pavelts Posted February 6, 2017 Share Posted February 6, 2017 Всем привет, на последней 2,09 отладочной, а возможно и предпоследней все сломалось, в логах все гуд, ошибок не пишет, все hosts подгружает,dnsmasq запускается, но сайты с черного списка грузятся. Не пойму в чем дело Quote Link to comment Share on other sites More sharing options...
m__a__l Posted February 7, 2017 Share Posted February 7, 2017 13 часа назад, pavelts сказал: Всем привет, на последней 2,09 отладочной, а возможно и предпоследней все сломалось, в логах все гуд, ошибок не пишет, все hosts подгружает,dnsmasq запускается, но сайты с черного списка грузятся. Не пойму в чем дело Тоже на выходных решил перейти на 2.09, т.к. на 2.08 надоело каждый раз после перезагрузки прописывать выключение/включение LED по планировщику, а не тут то было, перестала блокироваться реклама, опять вернулся на 2.08, и что странно, 2.08 хоть и бета, а давно нет обновлений. Quote Link to comment Share on other sites More sharing options...
vasek00 Posted March 8, 2017 Share Posted March 8, 2017 (edited) Продолжим "сцепку" DNSMasq + DNScrypt-proxy (на Yandex сервера). На клиентах должен стоять IP DNS это адрес роутера. Может что-то и не так - поздно уже. 1. (config)> opkg dns-override (config)> system configuration save 2. Настройки DNSMasq как и выше. Файл hosts0 для блокировки рекламы созданный на основе "wget -O /opt/tmp/hosts0 http://winhelp2002.mvps.org/hosts.txt" *** dnsmasq.conf server=127.0.0.1#65053 no-resolv addn-hosts=/opt/tmp/hosts0 Установка DNScrypt-proxy как выше, только команда на запуск подправить *** dnscrypt-proxy ... "--local-address=127.0.0.1:65053 --daemonize -R yandex" Сменить наименование скриптов для запуска на "S56dnsmasq" и "S57dnscrypt-proxy" 3. Настроить на странице #tools.settings системное время указав IP адреса в место мнемоник - 91.206.16.3, 77.73.64.23, 95.104.192.10, 192.36.143.130 4. Перезапуск, должны получить следующие / # ps | grep dns 826 nobody 3812 S dnsmasq 836 root 4076 S dnscrypt-proxy --local-address=127.0.0.1:65053 --daemonize -R yandex / # или по логу Mar 08 18:01:13ndm Dns::Manager: RPC-only mode enabled. ... Mar 08 18:01:14dnsmasq[826] started, version 2.77test1 cachesize 150 Mar 08 18:01:14dnsmasq[826] compile time options: IPv6 GNU-getopt no-RTC no-DBus no-i18n no-IDN DHCP DHCPv6 no-Lua TFTP conntrack ipset auth no-DNSSEC no-ID loop-detect inotify Mar 08 18:01:14dnsmasq[826] using nameserver 127.0.0.1#65053 Mar 08 18:01:14dnsmasq[826] read /opt/etc/hosts - 2 addresses Mar 08 18:01:14root Started dnsmasq from . Mar 08 18:01:14dnscrypt-proxy[836] Starting dnscrypt-proxy 1.9.1 Mar 08 18:01:14root Started from . Mar 08 18:01:14dnscrypt-proxy[836] Generating a new session key pair Mar 08 18:01:14dnscrypt-proxy[836] Done Mar 08 18:01:14dnscrypt-proxy[836] Server certificate with serial #1473333050 received Mar 08 18:01:14dnscrypt-proxy[836] This certificate is valid Mar 08 18:01:14dnscrypt-proxy[836] Chosen certificate #1473333050 is valid from [2016-11-21] to [2017-11-21] Mar 08 18:01:14dnscrypt-proxy[836] The key rotation period for this server may exceed the recommended value. This is bad for forward secrecy. Mar 08 18:01:14dnscrypt-proxy[836] Server key fingerprint is 90E3:CE87:D095:...:0F59 Mar 08 18:01:14dnscrypt-proxy[836] Proxying from 127.0.0.1:65053 to 77.88.хх.хх:ххх53 ... Mar 08 18:01:14dnsmasq[826] read /opt/tmp/hosts0 - 13356 addresses ... Mar 08 21:36:17ndm Core::System::Clock: system time has been changed. Mar 08 21:36:17ndm Ntp::Client: time synchronized with "95.104.192.10". Mar 08 21:36:17ndm Core::Schedule::Manager: raised action "stop" by "schedule1". Mar 08 21:36:17pppd[766] System time change detected. 5. Проверим запрос на какой либо сайт Скрытый текст 41 роутер 77.88.хх.хх UDP 556 46287?ххх53 Len=512 Frame 41: 556 bytes on wire (4448 bits), 556 bytes captured (4448 bits) Internet Protocol Version 4, Src: роутер, Dst: 77.88.хх.хх User Datagram Protocol, Src Port: 46287, Dst Port: ххх53 Data (512 bytes) Data: 90e3ce87d09521ad9f2ebda3b32e9d1243e0ed2856beca8c... 42 77.88.хх.хх роутер UDP 409 ххх53?46287 Len=365 Frame 42: 409 bytes on wire (3272 bits), 409 bytes captured (3272 bits) Internet Protocol Version 4, Src: 77.88.хх.хх, Dst: роутер User Datagram Protocol, Src Port: ххх53, Dst Port: 46287 Data (365 bytes) Data: 7236666e76576a38f7da7e5baaef2815769d9efd1528efaa... 44 роутер 77.88.хх.хх UDP 556 46287?ххх53 Len=512 46 77.88.хх.хх роутер UDP 412 ххх53?46287 Len=368 6. DNSMasq был проверен ранее при конфиге server=77.88.8.8 server=77.88.8.1 no-resolv addn-hosts=/opt/tmp/hosts0 7. Проверка блокировки рекламы пару адресов из hosts0 и сайт https://www.gismeteo.ru/ Кэширование на роутере DNS запросов проверил лан анализатором на клиенте и по захвату пакетов на роутере -> если не чего не просмотрел то все работает, роутер сразу отдает IP адреса минуя запрос (на клиенте Windows делал ipconfig /flashdns и в FF нажимал ctrl-F5) а на роутере таких запросов уже не было "роутер 77.88.хх.хх UDP 556 46287?ххх53 Len=512" Примечание - может yandex и не очень подходит, так как на многих сайтах есть yandex.redirect (ну тут уже настройки самого yandex если вы клиент его) Edited March 8, 2017 by vasek00 1 Quote Link to comment Share on other sites More sharing options...
vlad Posted March 9, 2017 Share Posted March 9, 2017 (edited) 20 часов назад, vasek00 сказал: ps | grep dns 826 nobody 3812 S dnsmasq 836 root 4076 S dnscrypt-proxy --local-address=127.0.0.1:65053 --daemonize -R yandex Выполнил все по инструкции ,но почему то не работает .,теперь сайты не открываются, хотя пинг до них есть. ps | grep dns 6822 nobody 3812 S {dnsma 6897 root 4076 S {dnscr По пунктам все выполнял. Блокировка рекламы ранее была установлена ,работала. Решил попробовать dnscrypt но все никак не получается запустить его совместно с блокировкой рекламы. Знаний не хватает;(( Edited March 9, 2017 by vlad Quote Link to comment Share on other sites More sharing options...
vlad Posted March 9, 2017 Share Posted March 9, 2017 20 часов назад, vasek00 сказал: DNSMasq был проверен ранее при конфиге server=77.88.8.8 server=77.88.8.1 no-resolv addn-hosts=/opt/tmp/hosts0 Какие настройки забить в dnsmasq.conf? Эти или из пункта 2? Пробовал оба варианта ,результат одинаковый. ps | grep dns6822 nobody 3812 S {dnsma6897 root 4076 S {dnscr Quote Link to comment Share on other sites More sharing options...
vasek00 Posted March 9, 2017 Share Posted March 9, 2017 1 час назад, vlad сказал: Какие настройки забить в dnsmasq.conf? Эти или из пункта 2? Пробовал оба варианта ,результат одинаковый. ps | grep dns6822 nobody 3812 S {dnsma6897 root 4076 S {dnscr Если на пальцах dnsmasq слушает 53 порт и потом отправляет запрос на основании строчки server=77.88.8.8 или resolv (то что дает провайдер) если нет строчки которая ниже no-resolv при использовании dnscrypt-proxy и строчки "server" --local-address=127.0.0.1:65053 --daemonize -R yandex dnsmasq.conf server=127.0.0.1#65053 при получении запроса по 53 порту от клиента, он будет отправлен на 127.0.0.1#65053 где получит демон dnscrypt-proxy зашифрует и отправит в данном примере на yandex сервер (77.88.хх.хх:ххх53) "IP_роутера 77.88.хх.хх UDP 556 46287?ххх53 Len=512" в итоге имеем конф файл dnsmasq.conf server=127.0.0.1#65053 no-resolv addn-hosts=/opt/tmp/hosts0 2 Quote Link to comment Share on other sites More sharing options...
donn Posted March 10, 2017 Share Posted March 10, 2017 В 19.02.2016 в 15:09, Александр Рыжов сказал: Поместите в файл /opt/etc/ndm/netfilter.d/010-intercept-dns.sh следующее содержимое: #!/bin/sh [ "$table" != "nat" ] && exit 0 lan_ip=$(ndmq -p 'show interface Bridge0' -P address) iptables -t nat -I PREROUTING -p udp -m udp --dport 53 -j DNAT --to-destination $lan_ip:65053 iptables -t nat -I PREROUTING -p tcp -m tcp --dport 53 -j DNAT --to-destination $lan_ip:65053 а если этого файла нет, можно посмотреть его полное содержание, или в нем только эти строчки и больше не чего? Quote Link to comment Share on other sites More sharing options...
kimli80 Posted March 11, 2017 Share Posted March 11, 2017 (edited) А при связке dnscrypt и dnsmasq с вышеуказанными правилами, не получается ли, что dnsmasq в принципе ничего не слышит, все запросы сразу уходят на порт 65053, т.е. их сразу обрабатывает dnscrypt, соответственно защита от рекламы и не работает? Если в dnsmasq.conf указать,например, параметр port= 65052, и в 010-intercept-dns.sh указать тот же порт, то на Гига 2 всё заработало, по крайней мере, реклама блокируется, в логах dnsmasq указывает, что использует nameserver 127.0.0.1:65053. Либо может при настройках, которые выше указывал vasek00, попробовать убрать файл 010-intercept-dns.sh ? Edited March 11, 2017 by kimli80 Quote Link to comment Share on other sites More sharing options...
vasek00 Posted March 11, 2017 Share Posted March 11, 2017 5 часов назад, kimli80 сказал: А при связке dnscrypt и dnsmasq с вышеуказанными правилами, не получается ли, что dnsmasq в принципе ничего не слышит, все запросы сразу уходят на порт 65053, т.е. их сразу обрабатывает dnscrypt, соответственно защита от рекламы и не работает? Если в dnsmasq.conf указать,например, параметр port= 65052, и в 010-intercept-dns.sh указать тот же порт, то на Гига 2 всё заработало, по крайней мере, реклама блокируется, в логах dnsmasq указывает, что использует nameserver 127.0.0.1:65053. Либо может при настройках, которые выше указывал vasek00, попробовать убрать файл 010-intercept-dns.sh ? В моих постах без какого либо 010-intercept-dns.sh, повторюсь при указании в строке server = 8.8.8.8 будет обычная работа слушать 53 порт проверить предварительно строчку addn-hosts и отправить запрос далее на сервер DNS, при повторении запроса проверить его у себя в кеш (dnsmasq). Теперь меняете сервер который запущен на server=127.0.0.1#65053 тот же самый отсыл что и выше только на dsncrypt-proxy. Если хотите можете проверить запросы от клиента ПК и просмотр через захват пакетов на роутере, на клиенте чистите кеш DNS и в броузере повтор ссылки на страницу которая пару минут назад была открыта и смотрите будут ли запросы от dncrypt-proxy на сервер DNS или сразу ответ. Данная тема про блокировку на данном форуме датирована февралем 2016 где так же был ответ от ndm Цитата Есть команда opkg dns-override. Она гасит внутренний прокси (он начинает работать в RPC-режиме), когда подключают /opt. И 53-й порт свободен. смысл тогда зачем использовать iptables для 53->65053? Так же можете попробовать для анализа и кой какие настройки для DNS : cache-size=250 (кол-во записей) no-negcache (отключение кэш ошибочных DNS запросов) local-ttl=7200 neg-ttl=14400 (времени жизни кэша в секундах ) log-facility=/opt/var/log/dnsmasq.log log-queries (протоколирование DNS запросов ) clear-on-reload (очистка DNS кэша при перезапуске) Quote Link to comment Share on other sites More sharing options...
m__a__l Posted April 22, 2017 Share Posted April 22, 2017 Что то не могу понять, каким образом dnsmasq в "холостую" потребляет трафик? Или есть проблема с отображением счетчиков при пробросе порта? используется скрипт из первого сообщения(т.к. при работе через 53 порт vpn пчилайна не резолвит брасы при реконекте): Скрытый текст #!/bin/sh [ "$table" != "nat" ] && exit 0 lan_ip=$(ndmq -p 'show interface Bridge0' -P address) iptables -t nat -I PREROUTING -p udp -m udp --dport 53 -j DNAT --to-destination $lan_ip:65053 iptables -t nat -I PREROUTING -p tcp -m tcp --dport 53 -j DNAT --to-destination $lan_ip:65053 при этих параметрах, потребителей почти нет (ну или специально не качается.по страничкам не ходится) выключаю dnsmasq: ~ # /opt/etc/init.d/S56dnsmasq stop Checking dnsmasq... alive. Shutting down dnsmasq... done. на главной странице наблюдаю: далее включаю dnsmasq: ~ # /opt/etc/init.d/S56dnsmasq start Starting dnsmasq... done. на главной странице наблюдаю колебания на прием в пределах 1,5 мегабита постоянно: Что не так, куда смотреть? Думал мало ли, куча пакетов стоит и т.п., так для проверки сбросил роутер в дефолт, вернул конфиги обратно , далее форматнул флешку, переставил entware, результат тот же. Quote Link to comment Share on other sites More sharing options...
vasek00 Posted April 23, 2017 Share Posted April 23, 2017 (edited) Имею запущенный "dnsmasq + dnscrypt-proxy (yandex), на родном 53порту" нет не одного лок.клиента (только данный ПК для съема информации) за три минуты через интервал 10мин не более 70-80 пакетов среди которых был замечен только nod32 (для данного клиента) и сам роутер сервис mdm (UDP) но данный сервис с объемом данных можно считать стат.погрешностью так же включен был KeenDNS и кое что по 443. Забыл сказать провайдер не сотовый оператор. Это к вопросу именно Цитата Что то не могу понять, каким образом dnsmasq в "холостую" потребляет трафик? а не что запущенно на роутере и пробросы. Edited April 23, 2017 by vasek00 Quote Link to comment Share on other sites More sharing options...
m__a__l Posted April 24, 2017 Share Posted April 24, 2017 12 часа назад, vasek00 сказал: Имею запущенный "dnsmasq + dnscrypt-proxy (yandex), на родном 53порту" нет не одного лок.клиента (только данный ПК для съема информации) за три минуты через интервал 10мин не более 70-80 пакетов среди которых был замечен только nod32 (для данного клиента) и сам роутер сервис mdm (UDP) но данный сервис с объемом данных можно считать стат.погрешностью так же включен был KeenDNS и кое что по 443. Забыл сказать провайдер не сотовый оператор. Это к вопросу именно а не что запущенно на роутере и пробросы. В том то и дело, что запущен был только dnsmasq с этим скриптом: Скрытый текст /bin/sh [ "$table" != "nat" ] && exit 0 lan_ip=$(ndmq -p 'show interface Bridge0' -P address) iptables -t nat -I PREROUTING -p udp -m udp --dport 53 -j DNAT --to-destination $lan_ip:65053 iptables -t nat -I PREROUTING -p tcp -m tcp --dport 53 -j DNAT --to-destination $lan_ip:65053 в таком варианте стало до крайностей доходить: Скрытый текст Apr 24 03:12:11ndm kernel: nf_conntrack: table full (16384), dropping packet Apr 24 03:12:11ndm Core::Syslog: last message repeated 8 times. Apr 24 03:12:16ndm kernel: net_ratelimit: 588 callbacks suppressed Apr 24 03:12:16ndm kernel: nf_conntrack: table full (16384), dropping packet Apr 24 03:12:16ndm Core::Syslog: last message repeated 16 times. Apr 24 03:12:21ndm kernel: net_ratelimit: 892 callbacks suppressed Apr 24 03:12:21ndm kernel: nf_conntrack: table full (16384), dropping packet Apr 24 03:12:21ndm Core::Syslog: last message repeated 24 times. Apr 24 03:12:26ndm kernel: net_ratelimit: 491 callbacks suppressed Apr 24 03:12:26ndm kernel: nf_conntrack: table full (16384), dropping packet Apr 24 03:12:26ndm Core::Syslog: last message repeated 32 times. Apr 24 03:12:31dnsmasq[25245] failed to send packet: Operation not permitted Apr 24 03:12:31ndm kernel: net_ratelimit: 651 callbacks suppressed Apr 24 03:12:31ndm kernel: nf_conntrack: table full (16384), dropping packet Apr 24 03:12:31ndm Core::Syslog: last message repeated 9 times. Apr 24 03:12:41ndm kernel: net_ratelimit: 176 callbacks suppressed Apr 24 03:12:41ndm kernel: nf_conntrack: table full (16384), dropping packet Apr 24 03:12:41ndm Core::Syslog: last message repeated 17 times. Apr 24 03:12:52ndm kernel: net_ratelimit: 83 callbacks suppressed Apr 24 03:12:52ndm kernel: nf_conntrack: table full (16384), dropping packet Apr 24 03:12:53ndm Core::Syslog: last message repeated 25 times. Apr 24 03:23:09ndm kernel: net_ratelimit: 57 callbacks suppressed Apr 24 03:23:09ndm kernel: nf_conntrack: table full (16384), dropping packet Apr 24 03:23:09ndm Core::Syslog: last message repeated 33 times. Apr 24 03:24:30ndm kernel: net_ratelimit: 107 callbacks suppressed Apr 24 03:24:30ndm kernel: nf_conntrack: table full (16384), dropping packet Apr 24 03:24:30ndm Core::Syslog: last message repeated 41 times. Apr 24 03:24:39ndm kernel: net_ratelimit: 29 callbacks suppressed Apr 24 03:24:39ndm kernel: nf_conntrack: table full (16384), dropping packet Apr 24 03:24:39ndm Core::Syslog: last message repeated 49 times. Apr 24 03:24:48ndm kernel: net_ratelimit: 142 callbacks suppressed Apr 24 03:24:48ndm kernel: nf_conntrack: table full (16384), dropping packet Apr 24 03:24:48ndm Core::Syslog: last message repeated 57 times. Apr 24 03:24:56ndm kernel: net_ratelimit: 819 callbacks suppressed Apr 24 03:24:56ndm kernel: nf_conntrack: table full (16384), dropping packet Apr 24 03:24:56ndm Core::Syslog: last message repeated 65 times. Apr 24 03:25:01ndm kernel: net_ratelimit: 939 callbacks suppressed Apr 24 03:25:01ndm kernel: nf_conntrack: table full (16384), dropping packet Apr 24 03:25:02ndm Core::Syslog: last message repeated 73 times. Apr 24 03:25:07ndm kernel: net_ratelimit: 432 callbacks suppressed Apr 24 03:25:07ndm kernel: nf_conntrack: table full (16384), dropping packet Apr 24 03:25:07ndm Core::Syslog: last message repeated 81 times. Apr 24 03:25:15ndm kernel: net_ratelimit: 1047 callbacks suppressed Apr 24 03:25:15ndm kernel: nf_conntrack: table full (16384), dropping packet Apr 24 03:25:15ndm Core::Syslog: last message repeated 89 times. Apr 24 03:25:20ndm kernel: net_ratelimit: 640 callbacks suppressed Apr 24 03:25:20ndm kernel: nf_conntrack: table full (16384), dropping packet Apr 24 03:25:20ndm Core::Syslog: last message repeated 97 times. Apr 24 03:25:25ndm kernel: net_ratelimit: 356 callbacks suppressed Apr 24 03:25:25ndm kernel: nf_conntrack: table full (16384), dropping packet Apr 24 03:25:25ndm Core::Syslog: last message repeated 105 times. Apr 24 03:25:31ndm kernel: net_ratelimit: 1324 callbacks suppressed Apr 24 03:25:31ndm kernel: nf_conntrack: table full (16384), dropping packet Apr 24 03:25:31ndm Core::Syslog: last message repeated 113 times. Apr 24 03:25:36ndm kernel: net_ratelimit: 704 callbacks suppressed Apr 24 03:25:36ndm kernel: nf_conntrack: table full (16384), dropping packet Apr 24 03:25:36ndm Core::Syslog: last message repeated 121 times. Apr 24 03:25:41ndm kernel: net_ratelimit: 803 callbacks suppressed Apr 24 03:25:41ndm kernel: nf_conntrack: table full (16384), dropping packet Apr 24 03:25:41ndm Core::Syslog: last message repeated 129 times. Apr 24 03:25:46ndm kernel: net_ratelimit: 744 callbacks suppressed Apr 24 03:25:46ndm kernel: nf_conntrack: table full (16384), dropping packet Apr 24 03:25:46ndm Core::Syslog: last message repeated 137 times. Apr 24 03:25:51ndm kernel: net_ratelimit: 1033 callbacks suppressed Apr 24 03:25:51ndm kernel: nf_conntrack: table full (16384), dropping packet Apr 24 03:25:51ndm Core::Syslog: last message repeated 145 times. Apr 24 03:25:51dnsmasq[25245] failed to send packet: Operation not permitted Apr 24 03:25:56ndm kernel: net_ratelimit: 302 callbacks suppressed Apr 24 03:25:56ndm kernel: nf_conntrack: table full (16384), dropping packet Apr 24 03:25:56ndm Core::Syslog: last message repeated 9 times. Apr 24 03:26:13ndm kernel: net_ratelimit: 412 callbacks suppressed Apr 24 03:26:13ndm kernel: nf_conntrack: table full (16384), dropping packet Apr 24 03:26:29ndm Core::Syslog: last message repeated 21 times. Apr 24 03:26:39ndm kernel: net_ratelimit: 517 callbacks suppressed Apr 24 03:26:39ndm kernel: nf_conntrack: table full (16384), dropping packet Apr 24 03:26:40ndm Core::Syslog: last message repeated 29 times. Apr 24 03:26:52ndm kernel: net_ratelimit: 413 callbacks suppressed Apr 24 03:26:52ndm kernel: nf_conntrack: table full (16384), dropping packet Apr 24 03:26:52ndm Core::Syslog: last message repeated 37 times. Apr 24 03:26:57ndm kernel: net_ratelimit: 281 callbacks suppressed Apr 24 03:26:57ndm kernel: nf_conntrack: table full (16384), dropping packet Apr 24 03:26:57ndm Core::Syslog: last message repeated 45 times. Apr 24 03:27:02ndm kernel: net_ratelimit: 561 callbacks suppressed Apr 24 03:27:02ndm kernel: nf_conntrack: table full (16384), dropping packet Apr 24 03:27:02ndm Core::Syslog: last message repeated 53 times. Apr 24 03:27:09ndm kernel: net_ratelimit: 64 callbacks suppressed Apr 24 03:27:09ndm kernel: nf_conntrack: table full (16384), dropping packet Apr 24 03:27:09ndm Core::Syslog: last message repeated 61 times. Apr 24 03:29:34ndm kernel: net_ratelimit: 188 callbacks suppressed Apr 24 03:29:34ndm kernel: nf_conntrack: table full (16384), dropping packet Apr 24 03:29:34ndm Core::Syslog: last message repeated 69 times. Apr 24 03:29:34dnsmasq[25245] failed to send packet: Operation not permitted Apr 24 03:29:45ndm kernel: net_ratelimit: 228 callbacks suppressed Apr 24 03:29:45ndm kernel: nf_conntrack: table full (16384), dropping packet Apr 24 03:29:45ndm Core::Syslog: last message repeated 9 times. Без блокировки рекламы тоже не вариант, некоторые сайты на столько обвешивают странички рекламой, что старенький iPad mini на этих страницах начинает "захлебываться". В итоге повесил запрещающие правила на резервного провайдера и все сразу "успокоилось" Жаль, что никто не подсказал, как посмотреть, кто и куда "долбится" что бы это не методом исключения искать. И возник вопрос, 65053 порт пробросился из за UPnP? или из за скрипта? я думал, что он по умолчанию из вне не должен быть доступен. Quote Link to comment Share on other sites More sharing options...
Александр Рыжов Posted April 24, 2017 Author Share Posted April 24, 2017 1 час назад, m__a__l сказал: Без блокировки рекламы тоже не вариант, некоторые сайты на столько обвешивают странички рекламой, что старенький iPad mini на этих страницах начинает "захлебываться". Может будет лучше найти решение по блокировке рекламы на самом планшете? Попав в любую другую сеть кроме домашнего роутера ваш мобильный девайс будет снова «захлёбываться». Quote Link to comment Share on other sites More sharing options...
vasek00 Posted April 24, 2017 Share Posted April 24, 2017 (edited) 2 часа назад, m__a__l сказал: В том то и дело, что запущен был только dnsmasq с этим скриптом ..... Теперь оказывается, что есть еще одно подключение к провайдеру в первом посту не было. Настройка /opt/etc/dnsmasq.conf в самом начале не подразумевалась, что у вас будет два канала (хоть резервный хоть нет, они оба подняты и имеют маршруты) no-resolv server=77.88.8.88#1253 server=77.88.8.2#1253 port=65053 как что себя поведет система нужно смотреть. Тут я уже писал разницу запуска dnsmasq с разными параметрами в конфиге. Покажите выполнение команды - "netstat -ntulp" что она у вас покажет, она должна показать кто на каких портах в данном случае. Второе что стоит в поле "server" да и лучше уж весь conf. Edited April 24, 2017 by vasek00 Quote Link to comment Share on other sites More sharing options...
m__a__l Posted April 24, 2017 Share Posted April 24, 2017 2 часа назад, Александр Рыжов сказал: Может будет лучше найти решение по блокировке рекламы на самом планшете? Попав в любую другую сеть кроме домашнего роутера ваш мобильный девайс будет снова «захлёбываться». Решение есть, это другой браузер, но это менее удобно и как допилят для iOS, будет и iPsec Virtual IP, пока юзается как подключение к домашней сети. 1 час назад, vasek00 сказал: Покажите выполнение команды - "netstat -ntulp" что она у вас покажет, она должна показать кто на каких портах в данном случае. Второе что стоит в поле "server" да и лучше уж весь conf. Скрытый текст ~ # netstat -ntulp Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:39112 0.0.0.0:* LISTEN 19505/miniupnpd tcp 0 0 0.0.0.0:8200 0.0.0.0:* LISTEN 914/minidlna tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN 21483/nqcs tcp 0 0 127.0.0.1:41230 0.0.0.0:* LISTEN 172/ndm tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 838/nginx tcp 0 0 78.47.xxx.xxx:8081 0.0.0.0:* LISTEN 838/nginx tcp 0 0 0.0.0.0:51413 0.0.0.0:* LISTEN 915/transmissiond tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 815/pure-ftpd (SERV tcp 0 0 0.0.0.0:53 0.0.0.0:* LISTEN 614/ndnproxy tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 886/dropbear tcp 0 0 0.0.0.0:3129 0.0.0.0:* LISTEN 915/transmissiond tcp 0 0 0.0.0.0:65053 0.0.0.0:* LISTEN 25245/dnsmasq tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN 21483/nqcs tcp 0 0 ::1:5569 :::* LISTEN 16758/dhcp6s tcp 0 0 :::51413 :::* LISTEN 915/transmissiond tcp 0 0 :::53 :::* LISTEN 614/ndnproxy tcp 0 0 :::22 :::* LISTEN 886/dropbear tcp 0 0 :::23 :::* LISTEN 816/telnetd tcp 0 0 :::65053 :::* LISTEN 25245/dnsmasq udp 0 0 127.0.0.1:41231 0.0.0.0:* 172/ndm udp 0 0 127.0.0.1:41232 0.0.0.0:* 172/ndm udp 0 0 192.168.1.1:48660 0.0.0.0:* 914/minidlna udp 0 0 0.0.0.0:65053 0.0.0.0:* 25245/dnsmasq udp 0 0 0.0.0.0:50730 0.0.0.0:* 21483/nqcs udp 0 0 0.0.0.0:54321 0.0.0.0:* 614/ndnproxy udp 0 0 0.0.0.0:53 0.0.0.0:* 614/ndnproxy udp 0 0 0.0.0.0:67 0.0.0.0:* 16749/ndhcps udp 0 0 0.0.0.0:67 0.0.0.0:* 16748/ndhcps udp 0 0 0.0.0.0:68 0.0.0.0:* 16752/ndhcpc udp 0 0 0.0.0.0:68 0.0.0.0:* 16755/ndhcpc udp 0 0 89.178.xxx.xxx:53318 0.0.0.0:* 172/ndm udp 0 0 192.168.1.1:42058 0.0.0.0:* 19505/miniupnpd udp 0 0 127.0.0.1:4445 0.0.0.0:* 21483/nqcs udp 0 0 0.0.0.0:1900 0.0.0.0:* 19505/miniupnpd udp 0 0 239.255.255.250:1900 0.0.0.0:* 914/minidlna udp 0 0 0.0.0.0:44911 0.0.0.0:* 614/ndnproxy udp 0 0 89.178.xxx.xxx:123 0.0.0.0:* 17062/ntpd udp 0 0 10.125.8.11:123 0.0.0.0:* 17062/ntpd udp 0 0 10.1.30.1:123 0.0.0.0:* 17062/ntpd udp 0 0 192.168.1.1:123 0.0.0.0:* 17062/ntpd udp 0 0 46.188.xxx.xxx:123 0.0.0.0:* 17062/ntpd udp 0 0 127.0.0.1:123 0.0.0.0:* 17062/ntpd udp 0 0 0.0.0.0:123 0.0.0.0:* 17062/ntpd udp 0 0 0.0.0.0:137 0.0.0.0:* 821/nqnd udp 0 0 0.0.0.0:138 0.0.0.0:* 821/nqnd udp 0 0 127.0.0.1:54666 0.0.0.0:* 172/ndm udp 0 0 0.0.0.0:4500 0.0.0.0:* 924/charon udp 0 0 0.0.0.0:59033 0.0.0.0:* 21483/nqcs udp 0 0 89.178.xxx.xxx:4043 0.0.0.0:* 172/ndm udp 0 0 0.0.0.0:58830 0.0.0.0:* 614/ndnproxy udp 0 0 0.0.0.0:51413 0.0.0.0:* 915/transmissiond udp 0 0 192.168.1.1:5351 0.0.0.0:* 19505/miniupnpd udp 0 0 0.0.0.0:500 0.0.0.0:* 924/charon udp 0 0 0.0.0.0:1022 0.0.0.0:* 821/nqnd udp 0 0 0.0.0.0:1023 0.0.0.0:* 821/nqnd udp 0 0 :::65053 :::* 25245/dnsmasq udp 0 0 :::547 :::* 16758/dhcp6s udp 0 0 :::53 :::* 614/ndnproxy udp 0 0 a6c4::1e6f:65ff:fe4e:5930:123 :::* 17062/ntpd udp 0 0 a6c4::5a8b:f3ff:fe6b:10b0:123 :::* 17062/ntpd udp 0 0 a6c4::5a8b:f3ff:fe6b:10b0:123 :::* 17062/ntpd udp 0 0 a6c4::5a8b:f3ff:fe6b:10b0:123 :::* 17062/ntpd udp 0 0 a6c4::5a8b:f3ff:fe6b:10b0:123 :::* 17062/ntpd udp 0 0 a6c4::1e6f:65ff:fe4e:5930:123 :::* 17062/ntpd udp 0 0 a6c4::5a8b:f3ff:fe6b:10b0:123 :::* 17062/ntpd udp 0 0 a6c4::5a8b:f3ff:fe6b:10b0:123 :::* 17062/ntpd udp 0 0 a6c4::5a8b:f3ff:fe6b:10b2:123 :::* 17062/ntpd udp 0 0 a6c4::1e6f:65ff:fe4e:5930:123 :::* 17062/ntpd udp 0 0 a6c4::5a8b:f3ff:fe6b:10b0:123 :::* 17062/ntpd udp 0 0 ::1:123 :::* 17062/ntpd udp 0 0 :::123 :::* 17062/ntpd udp 0 0 :::35990 :::* 16758/dhcp6s и сам конфиг(днс взяты от обоих провайдеров): Скрытый текст no-resolv server=85.21.192.5 server=213.234.192.7 server=195.98.160.26 server=80.253.27.101 server=213.234.192.8 server=85.21.192.3 port=65053 addn-hosts=/opt/etc/hosts0 если не сложно, подскажите как понять откуда идут запросы, с каких именно адресов? к примеру выключу блокирующее правило и что нужно запустить, что бы понять кто использует dnsmasq? если через tcpdump то с какими параметрами запускать? Quote Link to comment Share on other sites More sharing options...
vasek00 Posted April 24, 2017 Share Posted April 24, 2017 (edited) 1. 0.0.0.0:53 порту ndnproxy 2. 0.0.0.0:65053 порту dnsmasq мне нравятся 0.0.0.0 => слушать на всех интерфейсах (ну со всех сторон) 3. сама строчка "server" сервера для обработки запросов тут обращаю внимание что вы хотели этим добиться если включив все сервера от провайдера имея один маршрут пр умолчанию (например на провайдера1,а резерв на провайдера2), будет ли обрабатывать ваш запрос DNS сервер провайдера 2 из сегмента чужой сети провайдера1 или наоборот. Сервера то вбили но маршрут до них не написали, что имею ввиду DNS2 должны идти по своему маршруту на канал2 а не по default (что активно и в какой последовательности у вас идут DNS сервера тут уже смотреть надо, тем более что "no-resolv" отключен - брать текущие от провайдера). 4. А с пере направлением портом уже потом. Сначала разобраться с каналами и с серверами DNS. tcpdump есть примеры в интернете, какие интерфейсы через команду ifconfig, для "холостого режима" хватит и собственного обработчика - захват пакетов на сетевом, но тут будет один интерфейс, все зависит от того какие у вас каналы провайдеров?. Edited April 24, 2017 by vasek00 Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.