Alex caswell Posted October 5, 2019 Share Posted October 5, 2019 А если руками добавить правила в iptables? Quote Link to comment Share on other sites More sharing options...
EvelRus Posted October 25, 2019 Share Posted October 25, 2019 On 10/5/2019 at 5:31 PM, Alex caswell said: А если руками добавить правила в iptables? Это предложение так поступить или вопрос, возможно ли так? Если предложение, ткните дурака как именно надо вставить ) Quote Link to comment Share on other sites More sharing options...
Konst Posted November 13, 2019 Share Posted November 13, 2019 (edited) Здравствуйте. Я пытаюсь выполнить прикреплённую инструкцию по шагам. И как некоторые люди в этой ветке тоже получаю ошибку Quote iptables: No chain/target/match by that name при попытке /opt/zapret/init.d/keenetic/S99zapret start Я прочитал всю ветку, но не увидел где было бы в явном виде приводилось решение данной проблемы. Компоненты системы пп. 1-3 установлены. Не могли бы гуру данного форума указать, что и где дописать/поправить в максимально доступной форме? Идеально было бы подредактировать прикреплённый пост, чтоб другие не наступали на те же грабли. Спасибо. UPD. Я использую KeeneticOS: 3.1.10 на Keenetic Giga III Edited November 13, 2019 by Konst firmware version added Quote Link to comment Share on other sites More sharing options...
Alex caswell Posted November 20, 2019 Share Posted November 20, 2019 Волею судеб роутер залагал и пришлось обновиться на последнюю прошивку. Эта штука заработала в режиме перенаправления HTTPS через тор. Собственно говоря для меня этого достаточно т.к. https без тора у моего провайдера не работает. Что сделал: Обновил, выключил OPKG, удалил с флешки всё, создал папку install и наживил entware, дальше поставил всё по инструкции отсюда. Ругани не было, https работает. Список сайтов у меня ограниченный потому каких-то особых сбоев возможно не заметил. Quote Link to comment Share on other sites More sharing options...
Фото Звездочек Posted November 23, 2019 Share Posted November 23, 2019 On 11/13/2019 at 1:07 PM, Konst said: Здравствуйте. Я пытаюсь выполнить прикреплённую инструкцию по шагам. И как некоторые люди в этой ветке тоже получаю ошибку при попытке /opt/zapret/init.d/keenetic/S99zapret start Я прочитал всю ветку, но не увидел где было бы в явном виде приводилось решение данной проблемы. Компоненты системы пп. 1-3 установлены. Не могли бы гуру данного форума указать, что и где дописать/поправить в максимально доступной форме? Идеально было бы подредактировать прикреплённый пост, чтоб другие не наступали на те же грабли. Спасибо. UPD. Я использую KeeneticOS: 3.1.10 на Keenetic Giga III В течении недели пытаюсь настроить обход через tor пробовал кучу инструкций (после одной в итоге пришлось сбросить настройки до заводских) и с этой темы варианты не получались и с 4pda в итоге получилось идеально по инструкции https://habr.com/ru/post/428992/ P.S. Модули ядра подсистемы Netfilter получилось включить только после поддержки ipv6 и только в мобильном приложении Quote Link to comment Share on other sites More sharing options...
Alex caswell Posted November 25, 2019 Share Posted November 25, 2019 В общем я зря написал что удалось запустить, работает всё очень странно. HTTPS отваливается. Решил проблему так: эту штуку временно выключить пока автор не вернётся, на последней прошивке включить встроенное шифрование DNS, а нужные адреса пустить через встроенный OpenVPN. Работает такая связка стабильно. Пробуйте. Quote Link to comment Share on other sites More sharing options...
Dim McAlastair Posted November 27, 2019 Share Posted November 27, 2019 On 11/25/2019 at 11:03 AM, Alex caswell said: нужные адреса пустить через встроенный OpenVPN. Работает такая связка стабильно Не могли бы вы объяснить поподробнее, как это сделать. Модуль OpenVPN клиента у меня установлен, но я им пока не пользовался. Quote Link to comment Share on other sites More sharing options...
Alex caswell Posted December 4, 2019 Share Posted December 4, 2019 On 11/27/2019 at 4:24 PM, Dim McAlastair said: Не могли бы вы объяснить поподробнее, как это сделать. Модуль OpenVPN клиента у меня установлен, но я им пока не пользовался. Нужен OpenVPN сервер. Как сделать свой можно поискать в интернете. Либо есть конторы которые продают VPN. В конфиге на клиенте вы прописываете пути к ресурсам которые должны работать через OpenVPN. Возможно это можно как-то автоматизировать, но я не знаю как. Пример: pull-filter ignore "block-outside-dns" client nobind dev tun remote-cert-tls server remote тут адрес сервера 1194 udp <key> </key> <cert> </cert> <ca> </ca> key-direction 1 <tls-auth> </tls-auth> route адрес сайта 255.255.255.255 Quote Link to comment Share on other sites More sharing options...
Dim McAlastair Posted December 5, 2019 Share Posted December 5, 2019 On 12/4/2019 at 11:20 AM, Alex caswell said: route адрес сайта 255.255.255.255 Как я понимаю это и есть строчка для сайта который должен работать через OpenVPN? В каком формате прописывать адрес сайта, IP-адрес или доменное имя? Quote Link to comment Share on other sites More sharing options...
Alex caswell Posted December 6, 2019 Share Posted December 6, 2019 On 12/5/2019 at 8:04 PM, Dim McAlastair said: Как я понимаю это и есть строчка для сайта который должен работать через OpenVPN? В каком формате прописывать адрес сайта, IP-адрес или доменное имя? Как хотите. Главное прикрыть DNS (смотрите тему про встроенное шифрование DNS). Quote Link to comment Share on other sites More sharing options...
Dim McAlastair Posted December 7, 2019 Share Posted December 7, 2019 Спасибо, я, кажется, разобрался. Включил шифрование днс, подключился к бесплатному openvpn серверу, а потом добавил статический маршрут до нужного сайта с пропуском трафика через openvpn подключение. Quote Link to comment Share on other sites More sharing options...
mk202 Posted December 22, 2019 Share Posted December 22, 2019 Оффтопик. 😏 Возможно ли использовать функциональность ENTWARE и настройки описанные в данной ветке в роутерах MikroTic? Вроде бы не менее (если не более) навороченный Роутер. На IXBT не нашёл сообщений по строке "MikroTic DPI" Quote Link to comment Share on other sites More sharing options...
Lstt Posted January 12, 2020 Share Posted January 12, 2020 (edited) Keenetic OS 3.3 - ошибка - Cannot find iptable_raw.ko kernel module, aborting Как правильно установить модуль? Edited January 12, 2020 by Lstt Quote Link to comment Share on other sites More sharing options...
Boomer Posted March 2, 2020 Share Posted March 2, 2020 Путем проб и ошибок выяснил, ошибка iptables: No chain/target/match by that name появляется из-за строки iptables -t raw -I PREROUTING -m multiport -p tcp --sports 80,443 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num $QNUM --queue-bypass С ней что-то не так? и еще вопрос, в строке #FILL THE ADRESS OF BLACKHOLE PAGE BLACKHOLE=safe.ooonet.ru Как-то можно две страницы-заглушки прописать? А то у меня иногда заглушка "Зеленая точка", а иногда "Билайн" Quote Link to comment Share on other sites More sharing options...
shammy Posted March 14, 2020 Share Posted March 14, 2020 NFQUEUE On 3/3/2020 at 12:06 AM, Boomer said: Путем проб и ошибок выяснил, ошибка iptables: No chain/target/match by that name появляется из-за строки iptables -t raw -I PREROUTING -m multiport -p tcp --sports 80,443 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num $QNUM --queue-bypass С ней что-то не так? А в... /proc/net/ip_tables_targets - NFQUEUE есть? У меня в Linux Keenetic_Giga 4.9-ndm-4 (KeeneticOS 3.3.12) отсутствует. Netfilter в админкe установлен Quote Link to comment Share on other sites More sharing options...
Boomer Posted March 16, 2020 Share Posted March 16, 2020 В 15.03.2020 в 00:09, shammy сказал: А в... /proc/net/ip_tables_targets - NFQUEUE есть? А как это проверить? Quote Link to comment Share on other sites More sharing options...
TheBB Posted March 17, 2020 Share Posted March 17, 2020 9 часов назад, Boomer сказал: А как это проверить? ~ # grep NFQUEUE /proc/net/ip_tables_targets NFQUEUE NFQUEUE NFQUEUE NFQUEUE ~ # Quote Link to comment Share on other sites More sharing options...
Boomer Posted March 17, 2020 Share Posted March 17, 2020 Спасибо. В 15.03.2020 в 00:09, shammy сказал: А в... /proc/net/ip_tables_targets - NFQUEUE есть? Нет, нету ничего. Роутер Keenetic GIGA III, версия прошивки 3.3.15 Quote Link to comment Share on other sites More sharing options...
TheBB Posted March 18, 2020 Share Posted March 18, 2020 А сами модули ядра загружены? Некоторые надо руками (скриптом) подгружать, т.к. не все они нужны для работы устройства. Quote Link to comment Share on other sites More sharing options...
Boomer Posted March 18, 2020 Share Posted March 18, 2020 А как проверить и как запустить? Quote Link to comment Share on other sites More sharing options...
Федор Posted March 19, 2020 Share Posted March 19, 2020 В 18.03.2020 в 07:57, TheBB сказал: А сами модули ядра загружены? Некоторые надо руками (скриптом) подгружать, т.к. не все они нужны для работы устройства. А как их подгрузить? Столкнулся с такой же проблемой, что и человек постом выше. Quote Link to comment Share on other sites More sharing options...
TheBB Posted March 19, 2020 Share Posted March 19, 2020 insmod /lib/modules/*/$нужный_модуль напр., ~ # insmod /lib/modules/*/xt_NFQUEUE.ko ~ # lsmod | grep NFQU xt_NFQUEUE 3504 0 - Live 0x8fd9b000 ~ # 2 Quote Link to comment Share on other sites More sharing options...
Федор Posted March 19, 2020 Share Posted March 19, 2020 8 минут назад, TheBB сказал: insmod /lib/modules/*/$нужный_модуль напр., ~ # insmod /lib/modules/*/xt_NFQUEUE.ko ~ # lsmod | grep NFQU xt_NFQUEUE 3504 0 - Live 0x8fd9b000 ~ # Добавил, но ошибка все равно сохраняется. ~ # /opt/zapret/init.d/keenetic/S99zapret start iptable_raw.ko is already loaded xt_string.ko is already loaded nfqws is installed tpws is installed Restoring ipset Adding iptables rule iptables: No chain/target/match by that name. Quote Link to comment Share on other sites More sharing options...
TheBB Posted March 19, 2020 Share Posted March 19, 2020 Данным способом не пользуюсь, откуда мне знать, каких модулей не хватает для работы. Терзайте тех, кто пользуется этим методом. Quote Link to comment Share on other sites More sharing options...
vasek00 Posted March 19, 2020 Share Posted March 19, 2020 2 часа назад, Федор сказал: Добавил, но ошибка все равно сохраняется. iptables: No chain/target/match by that name. Данная ошибка при вводе команды iptables -t raw -I PREROUTING -m multiport -p tcp --sports 80,443 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num $QNUM --queue-bypass ошибка может быть из-за "-m set --match-set zapret" отсутствия "zapret", так же $QNUM должно быть значение Скрытый текст Раздел match задает критерии проверки, по которым определяется подпадает ли пакет под действие этого правила или нет. Здесь мы можем указать самые разные критерии -- IP-адрес источника пакета или сети, IP-адрес места назначения,порт, протокол, сетевой интерфейс и т.д. Существует множество разнообразных критериев. https://www.opennet.ru/docs/RUS/iptables/ В итоге например ipset create zapret hash:net iptables -t raw -I PREROUTING -m multiport -p tcp --sports 443 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num 200 --queue-bypass Все в порядке. Чтоб меньше думать о модулях можно использовать "S00kmod_config" есть в репозитарии Скрытый текст /opt/etc/init.d # /opt/etc/init.d # opkg list | grep kmod kmod - 20-2 - Linux kernel module handling kmod is a set of tools to handle common tasks with Linux kernel modules like insert, remove, list, check properties, resolve dependencies and aliases. kmod_ndms - 24-5 - Linux kernel module handling kmod is a set of tools to handle common tasks with Linux kernel modules like insert, remove, list, check properties, resolve dependencies and aliases. /opt/etc/init.d # Будет скрипт запуска в /opt/etc/init.d c номером S00...... т.е. запуск самого первого, который поможет решить проблему в ручном запуске модулей (если только они есть в системе). 1 Quote Link to comment Share on other sites More sharing options...
Федор Posted March 19, 2020 Share Posted March 19, 2020 15 минут назад, vasek00 сказал: ошибка может быть из-за "-m set --match-set zapret" отсутствия "zapret" /opt/zapret/ipset/zapret.ipset присутствует, в нем какие-то адреса прописаны. Или речь не об этом? Quote Link to comment Share on other sites More sharing options...
Федор Posted March 19, 2020 Share Posted March 19, 2020 ipset zapret создался: /opt/zapret/ipset # ipset list zapret Name: zapret Type: hash:ip Revision: 4 Header: family inet hashsize 131072 maxelem 524288 Size in memory: 260 References: 0 Members: 104.27.140.68 195.82.146.214 195.82.146.120 104.27.141.68 81.17.30.22 Но ошибка все равно присутствует. Куда дальше копать? Quote Link to comment Share on other sites More sharing options...
Федор Posted March 19, 2020 Share Posted March 19, 2020 1 час назад, vasek00 сказал: В итоге например ipset create zapret hash:net iptables -t raw -I PREROUTING -m multiport -p tcp --sports 443 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num 200 --queue-bypass Все в порядке. Удалил zapret и попробовал - та же самая ошибка iptables: No chain/target/match by that name. Быть может модулей каких не хватает? Где взять S00kmod_config? /opt/etc/init.d # opkg list | grep kmod kmod - 20-2 - Linux kernel module handling kmod is a set of tools to handle common tasks with Linux kernel modules like insert, remove, list, check properties, resolve dependencies and aliases. kmod_ndms - 24-5 - Linux kernel module handling kmod is a set of tools to handle common tasks with Linux kernel modules like insert, remove, list, check properties, resolve dependencies and aliases. libkmod - 20-2 - Linux kernel module handling (library) shairport-sync-mini - 3.3.5-1 - Shairport Sync plays audio from iTunes and AirPlay sources, including iOS devices, Quicktime Player and third party sources such as forkedDaapd. Audio played by a Shairport Sync-powered device stays synchronised with the source and hence with similar devices playing the same source. Shairport Sync does not support AirPlay video or photo streaming. Ensure Kernel Modules > Sound Support > kmod-sound-core is selected. Also select kmod-usb-audio if you want to use USB-connected sound cards. Minimal version uses mbed TLS and does not include libsoxr and avahi support. shairport-sync-openssl - 3.3.5-1 - Shairport Sync plays audio from iTunes and AirPlay sources, including iOS devices, Quicktime Player and third party sources such as forkedDaapd. Audio played by a Shairport Sync-powered device stays synchronised with the source and hence with similar devices playing the same source. Shairport Sync does not support AirPlay video or photo streaming. Ensure Kernel Modules > Sound Support > kmod-sound-core is selected. Also select kmod-usb-audio if you want to use USB-connected sound cards. Quote Link to comment Share on other sites More sharing options...
vasek00 Posted March 19, 2020 Share Posted March 19, 2020 (edited) 46 минут назад, Федор сказал: Удалил zapret и попробовал - та же самая ошибка iptables: No chain/target/match by that name. Быть может модулей каких не хватает? Где взять S00kmod_config?= Выполнить opkg install kmod_ndms И в догонку доставьте еще пакетик opkg install xtables-addons_legacy Edited March 19, 2020 by vasek00 2 Quote Link to comment Share on other sites More sharing options...
Федор Posted March 19, 2020 Share Posted March 19, 2020 (edited) 8 минут назад, vasek00 сказал: Выполнить opkg install kmod_ndms И в догонку доставьте еще пакетик opkg install xtables-addons_legacy Заработало! Только ни один из сайтов /opt/zapret/ipset/zapret-hosts-user.txt не открывается... Edited March 19, 2020 by Федор Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.