Jump to content
Официальное хранилище ПО в виде файлов
  • 4

Пользовательские скрипты

ankar84

Asked by ankar84,

 Share

Question

ankar84 Honored Flooder

ankar84

Posted
Posted

Доброго дня!

После внедрения DoT/DoH в прошивку необходимость в dnscrypt-proxy из Entware для меня лично немного уменьшилась. Теперь запросы от роутера и его клиентов могут быть защищены от перехвата и подмены из коробки 👍

Остается проблема со смартфонами на Android. Они дополнительно (к тому серверу, что прописан в их сетевых настройках) посылают DNS запросы напрямую на 8.8.8.8. А вот эти запросы уже могут быть и перехвачены и подменены. 

Сейчас я решаю эту проблему с помощью вот такого скрипта в Entware - то есть правилом iptables перенаправляю ("приземляю") все проходящие запросы 53\UDP на dnscrypt-proxy.

Так вот: хочется внедрения вот таких пользовательских скриптов из коробки. с тем же набором hook scripts

Дополнительно - очень желательна так же реализация выполнения пользовательских скриптов по времени (по cron).

PS. Ну, а по части функционала dnscrypt-proxy в плане фильтрации по черным спискам запрос в развитие уже оформили.

Link to comment
Share on other sites

4 answers to this question

Recommended Posts

  • 0
Le ecureuil Honored Flooder

Le ecureuil

Posted
Posted

Если вы включите Интернет-фильтр, то все запросы "мимо", включая даже dot/doh мимо - будет завернуты на роутер или дропнуты. Такая штука существует для plaintext udp/53 и tcp/53 еще с 2.06, а для dot/doh появилась в 3.0.

Что еще осталось, кроме black-list?

Запуск скриптов по cron считаю избыточным, потому что в системе без opkg это излишество (скрипты хранить негде), а с opkg вы так и так можете поставить cron.

  • Thanks 1
  • Upvote 1
Link to comment
Share on other sites
  • 0
ankar84 Honored Flooder

ankar84

Posted
  • Author
Posted
1 час назад, Le ecureuil сказал:

Если вы включите Интернет-фильтр, то все запросы "мимо", включая даже dot/doh мимо - будет завернуты на роутер или дропнуты. Такая штука существует для plaintext udp/53 и tcp/53 еще с 2.06, а для dot/doh появилась в 3.0

Да, вы ответили в другой теме! Спасибо за развернутый ответ и тут.

Хочу уточнить лишь один момент. Если не установлен ни один из 3 интернет фильтров в компонентах и прописаны DoT серверы и один обычный сервер на странице Интернет-Фильтр, то сказанное вами так же действует?

Скрытый текст

image.png.7a1587666e41cca57d0df8d27aca1e4f.png

 

1 час назад, Le ecureuil сказал:

Что еще осталось, кроме black-list?

Вот все фичи dnscrypt

Скрытый текст

Features

  • DNS traffic encryption and authentication. Supports DNS-over-HTTPS (DoH) using TLS 1.3, and DNSCrypt.
  • DNS query monitoring, with separate log files for regular and suspicious queries
  • Filtering: block ads, malware, and other unwanted content. Compatible with all DNS services
  • Time-based filtering, with a flexible weekly schedule
  • Transparent redirection of specific domains to specific resolvers
  • DNS caching, to reduce latency and improve privacy
  • Local IPv6 blocking to reduce latency on IPv4-only networks
  • Load balancing: pick a set of resolvers, dnscrypt-proxy will automatically measure and keep track of their speed, and balance the traffic across the fastest available ones.
  • Cloaking: like a HOSTS file on steroids, that can return preconfigured addresses for specific names, or resolve and return the IP address of other names. This can be used for local development as well as to enforce safe search results on Google, Yahoo and Bing.
  • Automatic background updates of resolvers lists
  • Can force outgoing connections to use TCP
  • Supports SOCKS proxies
  • Compatible with DNSSEC

Жирным выделил, то что сейчас нужно (фильтрация по сути только и осталась). Зеленым выделил то, что реализовано в той или иной степени в прошивке.

2 часа назад, Le ecureuil сказал:

Запуск скриптов по cron считаю избыточным, потому что в системе без opkg это излишество (скрипты хранить негде), а с opkg вы так и так можете поставить cron.

Принял, в целом согласен. Сейчас у меня по крону добавляются маршруты до определенного списка адресов через OpenVPN сервер.

И все же, по теме. В принципе в будущем возможна ли реализация таких пользовательских скриптов без Entware?

Или для этого как раз и интегрирована Entware из коробки? (что в принципе логично).

Link to comment
Share on other sites
  • 0
Le ecureuil Honored Flooder

Le ecureuil

Posted
Posted
20 часов назад, ankar84 сказал:

Да, вы ответили в другой теме! Спасибо за развернутый ответ и тут.

Хочу уточнить лишь один момент. Если не установлен ни один из 3 интернет фильтров в компонентах и прописаны DoT серверы и один обычный сервер на странице Интернет-Фильтр, то сказанное вами так же действует?

Нет, перехват включается только при активации DNS-фильтров.

Если DNS-фильтры не включены, то весь транзитный DNS (не предназначенный роутеру) пройдет мимо.

Link to comment
Share on other sites
  • 0
Le ecureuil Honored Flooder

Le ecureuil

Posted
Posted
20 часов назад, ankar84 сказал:

Принял, в целом согласен. Сейчас у меня по крону добавляются маршруты до определенного списка адресов через OpenVPN сервер.

 И все же, по теме. В принципе в будущем возможна ли реализация таких пользовательских скриптов без Entware?

 Или для этого как раз и интегрирована Entware из коробки? (что в принципе логично).

OpenVPN давно пора сделать лучше, подождем до этого момента.

Link to comment
Share on other sites
Guest
This topic is now closed to further replies.
 Share
Go to question listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...