Михаил Лукьянов Posted December 9, 2018 Share Posted December 9, 2018 1 час назад, mk202 сказал: Напишите пожалуйста инструкции или скрипты для CLI. Да я вам написал, вы невнимательно читаете:) На роутер нужно поставить tcpdump: opkg install tcpdump выполнить команду: tcpdump -i eth2.2 "host 195.82.146.214 and port 80 and (tcp[tcpflags] & (tcp-syn) != 0) and (tcp[tcpflags] & (tcp-ack) != 0)" На компьютере зайти на рутрекер. Получить заглушку. Записать адрес заглушки. На роутере нажать ctrl+c остановив работу tcpdump посмотреть сколько пакетов он поймал. Quote Link to comment Share on other sites More sharing options...
mk202 Posted December 9, 2018 Share Posted December 9, 2018 17 минут назад, Михаил Лукьянов сказал: Да я вам написал, вы невнимательно читаете:) выполнить команду: tcpdump -i eth2.2 "host 195.82.146.214 and port 80 and (tcp[tcpflags] & (tcp-syn) != 0) and (tcp[tcpflags] & (tcp-ack) != 0)" На компьютере зайти на рутрекер. Получить заглушку. Записать адрес заглушки. На роутере нажать ctrl+c остановив работу tcpdump посмотреть сколько пакетов он поймал. Скрытый текст ~ # tcpdump -i eth2.2 "host 195.82.146.214 and port 80 and (tcp[tcpflags] & (tcp-syn) != 0) and (tcp[tcpflags] & (tcp-ac k) != 0)" tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth2.2, link-type EN10MB (Ethernet), capture size 262144 bytes ^C 0 packets captured 0 packets received by filter 0 packets dropped by kernel ~ # tcpdump -i eth2.2 "host 195.82.146.214 and port 80 and (tcp[tcpflags] & (tcp-syn) != 0) and (tcp[tcpflags] & (tcp-ac k) != 0)" tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth2.2, link-type EN10MB (Ethernet), capture size 262144 bytes ^C 0 packets captured 0 packets received by filter 0 packets dropped by kernel ~ # Как-то так получилось. Заглушку получил, а TCPDUMP ничего не поймал. Я ранее записывал IP через PING и NSLOOKUP из консоли мастдая. Получал такие значения: warning.rt.ru (заглушка) 95.167.13.51 rt.ru (официальный сайт) 83.239.45.231 У него пул адресов, посему в других случаях он может быть другим Quote Link to comment Share on other sites More sharing options...
mk202 Posted December 9, 2018 Share Posted December 9, 2018 (edited) Чтобы увидеть IP заглушки достаточно её PING-ануть. Скрытый текст C:\Users\XXXXXX>ping warning.rt.ru Обмен пакетами с warning.rt.ru [95.167.13.50] с 32 байтами данных: Ответ от 95.167.13.50: число байт=32 время=1мс TTL=61 Ответ от 95.167.13.50: число байт=32 время=1мс TTL=61 Ответ от 95.167.13.50: число байт=32 время=1мс TTL=61 Ответ от 95.167.13.50: число байт=32 время=1мс TTL=61 Статистика Ping для 95.167.13.50: Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь) Приблизительное время приема-передачи в мс: Минимальное = 1мсек, Максимальное = 1 мсек, Среднее = 1 мсек Но похоже у заглушек не один IP а целая подсеть (или пул адресов). ИМХО на это и стоит обратить внимание. Edited December 9, 2018 by mk202 Quote Link to comment Share on other sites More sharing options...
Михаил Лукьянов Posted December 9, 2018 Share Posted December 9, 2018 warning.rt.ru - этого для заглушки достаточно. tcpdump вместо eth2.2 нужно указать ваш внешний интерфейс, узнать его можно командой ifconfig (у внешнего интерфейса будет ваш внешний IP). Quote Link to comment Share on other sites More sharing options...
mk202 Posted December 9, 2018 Share Posted December 9, 2018 (edited) 9 минут назад, Михаил Лукьянов сказал: tcpdump вместо eth2.2 нужно указать ваш внешний интерфейс, узнать его можно командой ifconfig (у внешнего интерфейса будет ваш внешний IP). Видимо я Вас не понимаю из-за недостатка знаний. Попытка указать внутренний IP Скрытый текст ~ # tcpdump -i 192.168.<x>.<x> "host 195.82.146.214 and port 80 and (tcp[tcpflags] & (tcp-syn) != 0) and (tcp[tcpflags] & ( tcp-ack) != 0)" tcpdump: 192.168.<X>.<X>: No such device exists (SIOCGIFHWADDR: No such device) ~ # Попытка указать внешний IP полученный через http://www.whois-service.ru/lookup/ Скрытый текст > tcpdump -i 95.72.<X>.<X> "host 195.82.146.214 and port 80 and (tcp[tcpflags] & (tcp-syn) != 0) and (tcp[tcpflags] & (tcp -ack) != 0)" -sh: syntax error: unexpected "(" ~ # tcpdump -i 95.72.<X>.<X> "host 195.82.146.214 and port 80 and (tcp[tcpflags] & (tcp-syn) != 0) and (tcp[tcpflags] & (t cp-ack) != 0)" tcpdump: 95.72.<X>.<X>: No such device exists (SIOCGIFHWADDR: No such device) ~ # Может быть в синтаксисе что-то не так? Edited December 9, 2018 by mk202 Quote Link to comment Share on other sites More sharing options...
Михаил Лукьянов Posted December 9, 2018 Share Posted December 9, 2018 (edited) Попробуйте такое правило создать на роутере: iptables -t raw -I PREROUTING -p tcp --sport 80 -m string --hex-string "|0D0A|Location: http://warning.rt.ru" --algo bm -j DROP --from 40 --to 200 После этого попробуйте зайти на рутрекер. Edited December 9, 2018 by Михаил Лукьянов Внимание правило поменялось! Quote Link to comment Share on other sites More sharing options...
Михаил Лукьянов Posted December 9, 2018 Share Posted December 9, 2018 3 минуты назад, mk202 сказал: Видимо я Вас не понимаю из-за недостатка знаний. покажите вывод ifconfig Quote Link to comment Share on other sites More sharing options...
mk202 Posted December 9, 2018 Share Posted December 9, 2018 8 минут назад, Михаил Лукьянов сказал: покажите вывод ifconfig Скрытый текст C:\Users\ХХХХХХХ>ipconfig Настройка протокола IP для Windows Ethernet adapter Локальная сеть: DNS-суффикс подключения . . . . . : IPv4-адрес. . . . . . . . . . . . : 192.168.<X>.<X> Маска подсети . . . . . . . . . . : 255.255.255.0 Основной шлюз. . . . . . . . . : 192.168.<X>.<X> Туннельный адаптер isatap.{A414467B-58E1-4F06-93A9-C9E2BE989855}: Состояние среды. . . . . . . . : Среда передачи недоступна. DNS-суффикс подключения . . . . . : Quote Link to comment Share on other sites More sharing options...
Михаил Лукьянов Posted December 9, 2018 Share Posted December 9, 2018 1 минуту назад, mk202 сказал: Показать содержимое C:\Users\ХХХХХХХ>ipconfig Настройка протокола IP для Windows Ethernet adapter Локальная сеть: DNS-суффикс подключения . . . . . : IPv4-адрес. . . . . . . . . . . . : 192.168.<X>.<X> Маска подсети . . . . . . . . . . : 255.255.255.0 Основной шлюз. . . . . . . . . : 192.168.<X>.<X> Туннельный адаптер isatap.{A414467B-58E1-4F06-93A9-C9E2BE989855}: Состояние среды. . . . . . . . : Среда передачи недоступна. DNS-суффикс подключения . . . . . : На роутере нужно ifconfig делать:) там же где и tcpdump. Quote Link to comment Share on other sites More sharing options...
mk202 Posted December 9, 2018 Share Posted December 9, 2018 13 минуты назад, Михаил Лукьянов сказал: Попробуйте такое правило создать на роутере: iptables -t nat -I PREROUTING -p tcp --sport 80 -m string --hex-string "|0D0A|Location: http://warning.rt.ru" --algo bm -j DROP --from 40 --to 200 После этого попробуйте зайти на рутрекер. Попробовал: Скрытый текст ~ # iptables -t nat -I PREROUTING -p tcp --sport 80 -m string --hex-string "|0D0A|Location: http://warning.rt.ru" --algo bm -j DROP --from 40 --to 200 iptables v1.4.21: The "nat" table is not intended for filtering, the use of DROP is therefore inhibited. Quote Link to comment Share on other sites More sharing options...
mk202 Posted December 9, 2018 Share Posted December 9, 2018 2 минуты назад, Михаил Лукьянов сказал: На роутере нужно ifconfig делать:) там же где и tcpdump. :) Скрытый текст ~ # ifconfig apcli0 Link encap:Ethernet HWaddr E6:18:6B:53:60:C4 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) br0 Link encap:Ethernet HWaddr E4:18:6B:53:60:C4 inet addr:192.168.<X>.<X> Bcast:192.168.<X>.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:80881 errors:0 dropped:0 overruns:0 frame:0 TX packets:120362 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:16938045 (16.1 MiB) TX bytes:56556482 (53.9 MiB) br1 Link encap:Ethernet HWaddr E4:18:6B:53:60:C4 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) eth2 Link encap:Ethernet HWaddr E4:18:6B:53:60:C4 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:168878 errors:0 dropped:30151 overruns:0 frame:0 TX packets:189298 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:47355627 (45.1 MiB) TX bytes:70838703 (67.5 MiB) Interrupt:5 eth2.1 Link encap:Ethernet HWaddr E4:18:6B:53:60:C4 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:81148 errors:0 dropped:0 overruns:0 frame:0 TX packets:120482 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:16950327 (16.1 MiB) TX bytes:56562002 (53.9 MiB) eth2.2 Link encap:Ethernet HWaddr E4:18:6B:53:60:C5 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:87616 errors:0 dropped:7286 overruns:0 frame:0 TX packets:60033 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:27303540 (26.0 MiB) TX bytes:12348449 (11.7 MiB) eth2.3 Link encap:Ethernet HWaddr E4:18:6B:53:60:C4 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:118 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:0 (0.0 B) TX bytes:5428 (5.3 KiB) ezcfg0 Link encap:Ethernet HWaddr 8E:0B:23:18:DB:FE inet addr:78.47.125.180 Bcast:78.255.255.255 Mask:255.255.255.255 UP BROADCAST MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:500 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 UP LOOPBACK RUNNING MTU:65536 Metric:1 RX packets:2964 errors:0 dropped:0 overruns:0 frame:0 TX packets:2964 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:147695 (144.2 KiB) TX bytes:147695 (144.2 KiB) ppp0 Link encap:Point-to-Point Protocol inet addr:95.72.38.85 P-t-P:213.140.228.141 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1480 Metric:1 RX packets:125419 errors:0 dropped:0 overruns:0 frame:0 TX packets:91245 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:119250483 (113.7 MiB) TX bytes:15801474 (15.0 MiB) ra0 Link encap:Ethernet HWaddr E4:18:6B:53:60:C4 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) Interrupt:6 ~ # Quote Link to comment Share on other sites More sharing options...
Михаил Лукьянов Posted December 9, 2018 Share Posted December 9, 2018 9 минут назад, mk202 сказал: The "nat" table is not intended for filtering, the use of DROP is therefore inhibited. Ага, недоглядел. Поменял правило ещё раз. Попробуйте. Quote Link to comment Share on other sites More sharing options...
mk202 Posted December 9, 2018 Share Posted December 9, 2018 3 минуты назад, Михаил Лукьянов сказал: Ага, недоглядел. Поменял правило ещё раз. Попробуйте. Скрытый текст ~ # iptables -t nat -I PREROUTING -p tcp --sport 80 -m string --hex-string "|0D0A|Location: http://warning.rt.ru" --algo bm -j DROP --from 40 --to 200? iptables v1.4.21: string: bad value for option "--to", or out of range (0-65535). Try `iptables -h' or 'iptables --help' for more information. ~ # Что-то еще не так в синтаксисе Quote Link to comment Share on other sites More sharing options...
Михаил Лукьянов Posted December 9, 2018 Share Posted December 9, 2018 tcpdump -i ppp0 "host 195.82.146.214 and port 80 and (tcp[tcpflags] & (tcp-syn) != 0) and (tcp[tcpflags] & (tcp-ack) != 0)" вот так попробуйте послушать Quote Link to comment Share on other sites More sharing options...
Михаил Лукьянов Posted December 9, 2018 Share Posted December 9, 2018 1 минуту назад, mk202 сказал: Скрыть содержимое ~ # iptables -t nat -I PREROUTING -p tcp --sport 80 -m string --hex-string "|0D0A|Location: http://warning.rt.ru" --algo bm -j DROP --from 40 --to 200? iptables v1.4.21: string: bad value for option "--to", or out of range (0-65535). Try `iptables -h' or 'iptables --help' for more information. ~ # Что-то еще не так в синтаксисе Вопрос в конце лишний. Форум балуется. Quote Link to comment Share on other sites More sharing options...
mk202 Posted December 9, 2018 Share Posted December 9, 2018 (edited) 2 минуты назад, Михаил Лукьянов сказал: Вопрос в конце лишний. Форум балуется. Скрытый текст ~ # iptables -t nat -I PREROUTING -p tcp --sport 80 -m string --hex-string "|0D0A|Location: http://warning.rt.ru" --algo bm -j DROP --from 40 --to 200 iptables v1.4.21: The "nat" table is not intended for filtering, the use of DROP is therefore inhibited. Try `iptables -h' or 'iptables --help' for more information. ~ # Всё равно на NAT "ругается". Там в начале ветки упоминалась таблица mangle. Может в этом дело? Edited December 9, 2018 by mk202 Quote Link to comment Share on other sites More sharing options...
Михаил Лукьянов Posted December 9, 2018 Share Posted December 9, 2018 Я уже поменял nat на raw - будьте внимательней. Quote Link to comment Share on other sites More sharing options...
mk202 Posted December 9, 2018 Share Posted December 9, 2018 3 минуты назад, Михаил Лукьянов сказал: Я уже поменял nat на raw - будьте внимательней. Я не из первой инструкции копировал, виноват. Но всё равно не получается: Скрытый текст ~ # iptables -t raw -I PREROUTING -p tcp --sport 80 -m string --hex-string "|0D0A|Location: http://warning.rt.ru" --algo bm -j DROP --from 40 --to 200 iptables v1.4.21: can't initialize iptables table `raw': Table does not exist (do you need to insmod?) Perhaps iptables or your kernel needs to be upgraded. ~ # Нужна какая-то incmod Quote Link to comment Share on other sites More sharing options...
Михаил Лукьянов Posted December 9, 2018 Share Posted December 9, 2018 Сделайте insmod iptable_raw.ko Quote Link to comment Share on other sites More sharing options...
Михаил Лукьянов Posted December 9, 2018 Share Posted December 9, 2018 Пакет расширения Xtables-addons для Netfilter ставился? Quote Link to comment Share on other sites More sharing options...
mk202 Posted December 9, 2018 Share Posted December 9, 2018 1 минуту назад, Михаил Лукьянов сказал: Сделайте insmod iptable_raw.ko Скрытый текст ~ # insmod iptable_raw.ko insmod: can't insert 'iptable_raw.ko': No such file or directory ~ # Нет папки или файла Quote Link to comment Share on other sites More sharing options...
mk202 Posted December 9, 2018 Share Posted December 9, 2018 1 минуту назад, Михаил Лукьянов сказал: Пакет расширения Xtables-addons для Netfilter ставился? Не уверен, всё что написано для версии 2.13 успешно было установлено. Сейчас откатился на 2.11. Как проверить наличие? Quote Link to comment Share on other sites More sharing options...
mk202 Posted December 9, 2018 Share Posted December 9, 2018 5 минут назад, Михаил Лукьянов сказал: Пакет расширения Xtables-addons для Netfilter ставился? Какой синтаксис установки для OPKG ? Quote Link to comment Share on other sites More sharing options...
Михаил Лукьянов Posted December 9, 2018 Share Posted December 9, 2018 (edited) В веб интерфейсе в компонентах системы в разделе сетевые функции нужно отключить сенсор netflow, В разделе opkg нужно включить модули ядра подсистемы netfilter, после перезагрузки в том же разделе доставить пакет расширения Xtables-addons для Netfilter. Edited December 9, 2018 by Михаил Лукьянов Quote Link to comment Share on other sites More sharing options...
mk202 Posted December 9, 2018 Share Posted December 9, 2018 (edited) У меня есть такие узлы в OPKG Скрытый текст Это то что нужно? Версия 2.11 Edited December 9, 2018 by mk202 Quote Link to comment Share on other sites More sharing options...
mk202 Posted December 9, 2018 Share Posted December 9, 2018 (edited) 11 минуту назад, Михаил Лукьянов сказал: в разделе сетевые функции нужно отключить сенсор netflow, Такого не нашёл. Ткните пожалуйста носом. Может быть в 2.11 это в принципе не реализуемо? Edited December 9, 2018 by mk202 Quote Link to comment Share on other sites More sharing options...
Михаил Лукьянов Posted December 9, 2018 Share Posted December 9, 2018 (edited) Попробуйте так: Edited December 9, 2018 by Михаил Лукьянов del Quote Link to comment Share on other sites More sharing options...
mk202 Posted December 9, 2018 Share Posted December 9, 2018 18 минут назад, Михаил Лукьянов сказал: В веб интерфейсе в компонентах системы в разделе сетевые функции нужно отключить сенсор netflow Эта штука у меня была и есть отключена: Скрытый текст Quote Link to comment Share on other sites More sharing options...
mk202 Posted December 9, 2018 Share Posted December 9, 2018 (edited) 10 минут назад, Михаил Лукьянов сказал: opkg install opkg-kmod-netfilter opkg install opkg-kmod-netfilter-addons Скрытый текст ~ # opkg install opkg-kmod-netfilter Unknown package 'opkg-kmod-netfilter'. Collected errors: * opkg_install_cmd: Cannot install package opkg-kmod-netfilter. ~ # opkg install opkg-kmod-netfilter-addons Unknown package 'opkg-kmod-netfilter-addons'. Collected errors: * opkg_install_cmd: Cannot install package opkg-kmod-netfilter-addons. ~ # Не получилось установить оба пакета Edited December 9, 2018 by mk202 Quote Link to comment Share on other sites More sharing options...
Михаил Лукьянов Posted December 9, 2018 Share Posted December 9, 2018 (edited) То что ядерные модули есть начиная с версии 2.6 это точно, вот почему их нет в веб интерфейсе - непонятно. Edited December 9, 2018 by Михаил Лукьянов del Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.