Запрет DHCP в EoIP

[Leks]

Добрый день. Возникла необходимость объединить на уровне L2 удаленные сети посредством EoIP. Туннель поднял, но есть проблема в том что в каждой удаленной сети есть свой сервер DHCP, как запретить хождение DHCP в EoIP? Как правильно настроить межсетевой экран?

[AndreBA]

13 минуты назад, romzzzo сказал:

Ткните ламера носом пожалуйста. Каким образом? В списке модулей его нет.

У вас стоит компонент в системе IPV6?

Если нет, то установите.

Edited September 20, 2019 by AndreBA

[r13]

22 минуты назад, romzzzo сказал:

Ткните ламера носом пожалуйста. Каким образом? В списке модулей его нет.

 

Ipv6 пакет выбран?

[romzzzo]

Всем огромное спасибо за помощь! Все завелось.

[Max Zia]

On 7/24/2019 at 5:27 PM, Leks said:

3) Создаем правила:
~ # ebtables -A INPUT -i EoIP0 -p ipv4 --ip-proto udp --ip-sport 67:68 -j DROP
~ # ebtables -A INPUT -i EoIP0 -p ipv4 --ip-proto udp --ip-sport 67:68 -j DROP
 

здесь опечатки нет?

строки одинаковы, а для FORWARD одна — с ключём --ip-dport 🤔

не должно быть так?

~ # ebtables -A INPUT -i EoIP0 -p ipv4 --ip-proto udp --ip-dport 67:68 -j DROP

 

[Дмитрий]

В 08.08.2019 в 09:34, TheBB сказал:

Справедливо для 2.15 (более ранние версии уже не рассматриваем), но для 3.х путь к ядерным модулям другой. Унифицируем:

#!/bin/sh

MOD="/lib/modules/`uname -r`" # путь до модулей

insmod $MOD/ebtables.ko
insmod $MOD/ebtable_filter.ko
insmod $MOD/ebt_ip.ko
insmod $MOD/ebtable_nat.ko
... # <= ниже, остальной код

BusyBox v1.30.1 () built-in shell (ash)

~ # lsmod | grep ebt

~ # ls -1 /lib/modules/4.9-ndm-2/ebt*
/lib/modules/4.9-ndm-2/ebt_802_3.ko
/lib/modules/4.9-ndm-2/ebt_among.ko
/lib/modules/4.9-ndm-2/ebt_arp.ko
...
/lib/modules/4.9-ndm-2/ebtable_filter.ko
/lib/modules/4.9-ndm-2/ebtable_nat.ko
/lib/modules/4.9-ndm-2/ebtables.ko

~ # /opt/etc/init.d/S88eoip start

~ # lsmod | grep ebt
ebtable_broute           848  0 
ebtable_nat              976  0 
ebt_ip                  1360  0 
ebtable_filter           976  0 
ebtables               16917  3 ebtable_filter,ebtable_nat,ebtable_broute
~ # 

 

 

 

~ # /lib/modules/`uname -r`/ebtables.ko
-sh: /lib/modules/4.9-ndm-5/ebtables.ko: Permission denied

Сейчас как обстоят дела? Случаем не добавили встроенную команду для фильтрации DHCP при создании туннеля?

Edited October 29, 2021 by Дмитрий

[TheBB]

~ # ls -1 /lib/modules/4.9-ndm-5/ebtable
ebtable_broute.ko  ebtable_filter.ko  ebtable_nat.ko     ebtables.ko
~ # 
~ # insmod /lib/modules/$(uname -r)/ebtables.ko
~ # lsmod | grep ebtables
ebtables 17173 0 - Live 0x8a670000
~ #

 

[Funt]

Добрый день. Тоже поднял EoIP туннель и столкнулся с проблемой DHCP, нашел эту тему и соответственно поставил ebtables из пакетов и установил компонент IPv6, но модули ebtables не появились. Что я делаю не правильно? Прошивка последняя 3.7.1. И правильно я понимаю штатным фаерволом этого не сделать?

Edited January 10, 2022 by Funt

[Funt]

В 29.10.2021 в 16:55, Дмитрий сказал:

Случаем не добавили встроенную команду для фильтрации DHCP при создании туннеля?

Поддерживаю. Было бы неплохо запилить данную функцию в новой прошивке.

[Funt]

С первым своим вопросом разобрался, все заработало, но теперь вылезла новая проблема когда EoIP интерфейс добавлен в Bridge, перестают открываться некоторые сайты, как только удаляешь EoIP из Bridge все работает нормально. У кого то было подобное и с чем это может быть связано? Первое что приходит в голову проблемы с MTU.

[mcdemon]

On 1/11/2022 at 10:26 PM, Funt said:

С первым своим вопросом разобрался, все заработало, но теперь вылезла новая проблема когда EoIP интерфейс добавлен в Bridge, перестают открываться некоторые сайты, как только удаляешь EoIP из Bridge все работает нормально. У кого то было подобное и с чем это может быть связано? Первое что приходит в голову проблемы с MTU.

Проблемы в MTU. Перед тем как сделать include его в Home нужно дать команду interface EoIP0 ip mtu 1500

[Funt]

В 14.01.2022 в 16:20, Дммитрий Максименко сказал:

Проблемы в MTU. Перед тем как сделать include его в Home нужно дать команду interface EoIP0 ip mtu 1500

Спасибо добрый человек! Теперь все работает как нужно и без тормозов.

[manson]

А интерфейс EoIP0 доступен в Web интерфейсе для выбора?

Можно же сделать запрет UDP 67,68 на этом интерфейсе и DHCP трафик не будет ходить между сетями.
Или так не сработает?

[manson]

Добрый день. 

А можно правила настроить только на одном роутере или обязательно на обоих? 

[manson]

Добрый день

>P.S. Список модулей ядра можно посмотреть командой:
>find /lib/modules

Почему-то при установке пакета ebtables не скачиваются эти модули...
Может их надо руками откуда-то скопировать.

Проблема такая упоминается в сообщениях, но как ее решили умалчивается...

 

[manson]

Сказ о том, как я локальные сети объединял.

 

Имеется

1. Локальная сеть в квартире с Keenetic Viva KN-1910 во главе.

2. Локальная сеть на даче с Keenetic Extra KN-1711 во главе.

 

Цель объединения:

1.               Возможность в квартире смотреть ТВ через приемник SML-482HD Base. Подключение должно осуществляться через провайдера на даче. Телевидение фактически бесплатное, но там 300 каналов, почти на всех каналах есть 7-ми дневный архив. В городе таких цен нет…

2.               Еще на даче есть приемник-сервер Триколор GS-B527, подключенный к спутнику. Там тоже есть интересные каналы и несколько UHD каналов. Через клиента GS-C593 (GS-591) каналы можно смотреть без дополнительной оплаты.

3.               Подключение из города к служебным роутерам провайдера на даче и к маршрутизатору соседа на даче (я беру у него резервный канал через Wi-Fi).

4.               Спортивный интерес 😉

 

Если первый пункт и третий пункт удалось решить с помощью L2TP/IPsec, то приемники Триколор требуют, чтобы они был в одной локальной сети (для трансляции используется Multicast, который не удалось прокинуть между сетями). Ну и спортивный интерес…

Такое объединение описано в статье Настройка туннелей IPIP, GRE и EoIP https://help.keenetic.com/hc/ru/articles/115002715029-Настройка-туннелей-IPIP-GRE-и-EoIP.

Естественно хотелось, чтобы по умолчанию устройства выходили через свой роутер и IP получали через DHCP, но тут возникает проблема, так как DHCP запросы свободно ходят через канал и устройство может подцепиться к «чужому» роутеру.

 

И так. Глаза бояться, а руки делают (бьют в бубен).

Делал на основании форума https://forum.keenetic.com/topic/7031-%D0%B7%D0%B0%D0%BF%D1%80%D0%B5%D1%82-dhcp-%D0%B2-eoip/ (далее Форум), но там не очень последовательно и не всегда правильно.

 

1.               Получаем у одного из провайдеров белый IP.

Достаточно белого IP на одном из роутеров.

Keenetic, на котором будет белый IP, должен быть подключен к провайдеру напрямую, а не через промежуточный роутер от провайдера. В последнем случае подключение тоже возможно, но придется делать публикацию сервера, а не всегда провайдер дает доступ к своему оборудованию.

Белый IP может быть на любой из сторон, так что выбираем провайдера с лучшими условиями по подключению и ежемесячной платой.

Мне подключение обошлось бесплатно, плачу 150 руб. в месяц. Выдали IP за 5 минут (вот за что я люблю небольших провайдеров!)

 

2.               Делаем общее адресное пространство у маршрутизаторов

Устройства должны быть в одной подсети.

На Форуме один из авторов сделал «маршрутизатор 1 - раздает 192.168.0.1-192.168.0.254 255.255.254.0, а маршрутизатор 2 - 192.168.1.1-192.168.1.254 255.255.254.0».

Я сделал

- маршрутизатор 1 - 192.168.Х.1 с маской 255.255.255.0, раздает 99 адресов

- маршрутизатор 2 - 192.168.Х.101 с маской 255.255.255.0, раздает 99 адресов

- адреса 192.168.Х.201 - 192.168.Х.254 оставляем для статической адресации. В качестве шлюза на устройстве можно вручную прописать либо 192.168.Х.1 либо 192.168.Х.101, в зависимости от кого, в какой сети нужно присутствовать устройству.

X – ваше любимое число, которое не пересекается с подсетями провайдера, рабочими подсетями и подсетями соседей

 

3.               Подключаем KeenDNS на обоих маршрутизаторах.

Нужен, чтобы добраться до конфигуратора в случае, если канал не работает.

Я поставил режим работы = «через облако», так как почему-то иногда доступ на маршрутизаторе с белым IP режим «авто» не всегда переключался в нужный режим.

Кроме того, основной провайдер с белым IP может сбойнуть и роутер переключится на резервного провайдера.

Терять доступ к Web интерфейсу не приятно…

 

 

4.               Настаиваем канал.

Описано в статье Настройка туннелей IPIP, GRE и EoIP, но в последних версиях это можно делать через Web интерфейс через Интернет – Другие подключения – IP туннели.

Ставим компонент «Туннели EoIP» и настраиваем

 

На сервере (где белый IP)

 

На клиенте

В поле «Удаленная сторона» прописываем белый IP адрес.

ID интерфейса влияет на наименование интерфейса в CLI (оно может отличать от Название). В моем случае это будет EoIP0.

Включаем и радуемся объединенной сети.

По DHCP устройства переподключаются не сразу, а если переподключаются, то «родной» DHCP сервер отвечает в 90% случаев быстрее. Если подключились и канал быстрый, то устройства могут и не заметить, что они работают через канал через другого провайдера.

Но в моем случае радость была недолгой.

В какой момент я начал понимать, что не работает Speedtest и некоторые сайт (например, rbc.ru). Причем сайт keenetic.ru работал. Ping до сайтов проходил.

Пришлось отключить интерфейсы и перегрузить.

На Форуме вычитал, что виной тому MTU.

 

5.               MTU.

Оказалось, что интерфейсу EoIP0 нужно было прописать MTU 1500 и после этого только включать в Bridge с домашний интерфейсом.

В 3.7.4 это не реализовано. Обещают в 3.9, т. е. не скоро.

Проблему можно, наверное, решить через CLI (отключить интерфейс от bridge, прописать MTU и включить снова), но это сложно и не всегда есть доступ к удаленному CLI.

Я поступил так.

- сохраняем конфигурацию в файл

- находим секцию interface EoIP0 и перед up добавляем строчку «ip mtu 1500»

- загружаем конфигурацию

 

Это нужно проделать на всех маршрутизаторах.

После этого нельзя исправлять настройку интерфейса через Web, иначе все слетит и надо будет повторить процедуру.

 

После исправления MTU запускаем интерфейс и наслаждаемся жизнью.

 

Все прекрасно, но иногда все-таки устройства подключаются не к тому роутеру.

Чтобы исправить это, нужно запретить DHCP трафик через канал.

Поскольку у нас интерфейсы объединены в бридж, то IP фильтрация не поможет.

Нужна фильтрация на 2-м уровне, а это может только ebtables из открытых пакетов…

Приступаем к следующей части танцев с бубном (к рукам подключаем ноги).

 

6.               Выбираем маршрутизатор для OPKG.

Фильтрацию достаточно сделать на одном из маршрутизаторов.

Ставить лучше на флэшку – поэтому нужен маршрутизатор с USB.

Видимо надо выбирать более производительный маршрутизатор.

 

7.               Ставим нужные компоненты Keenetic

- Протокол IPv6 (нужен зачем-то для Модули ядра подсистемы Netfilter)

- Файловая система Ext (чтобы читать флэшку)

- Сервер SSH (чтобы подключаться к командной строке OPKG через SSH 222, как все уважаемые люди)

- Поддержка открытых пакетов

- Модули ядра для поддержки файловых систем

- Модули ядра подсистемы Netfilter (как раз там, насколько я понимаю, есть поддержка ebtables)

- Модули ядра подсистемы Traffic Control – возможно не нужен

- Пакет расширения Xtables-addons для Netfilter – возможно не нужен

 

Возможно какие-то лишние, а может чего-то и забыл😉.

 

8.               Ставим OPKG

Подробно описано в «OPKG» https://help.keenetic.com/hc/ru/articles/360000948719-OPKG и в «Установка системы пакетов репозитория Entware на USB-накопитель» https://help.keenetic.com/hc/ru/articles/360021214160.

Ставим на USB.

Можно поставить на встроенную память, но размера ее может не хватить (у меня инсталляция заняла 61,5МБ) и потом с ней какие-то проблемы.

 

9.               Ставим ebtables.

Через BusyBox ставим ebtables

opkg install ebtables

9.1               Ставим mc (midnight commander).

Через BusyBox ставим MC, если не поставили на предыдущем этапе

opkg install mc

Потребуется для копирования и редактирования файлов).

10.            Проверяем наличие необходимых модулей.

В BusyBox пишем

find /lib/modules

 

Нас интересуют модули (папка может быть другая)

/lib/modules/4.9-ndm-5/ebt_802_3.ko

/lib/modules/4.9-ndm-5/ebt_among.ko

/lib/modules/4.9-ndm-5/ebt_arp.ko

/lib/modules/4.9-ndm-5/ebt_arpreply.ko

/lib/modules/4.9-ndm-5/ebt_dnat.ko

/lib/modules/4.9-ndm-5/ebt_ip.ko

/lib/modules/4.9-ndm-5/ebt_ip6.ko

/lib/modules/4.9-ndm-5/ebt_limit.ko

/lib/modules/4.9-ndm-5/ebt_mark.ko

/lib/modules/4.9-ndm-5/ebt_mark_m.ko

/lib/modules/4.9-ndm-5/ebt_pkttype.ko

/lib/modules/4.9-ndm-5/ebt_redirect.ko

/lib/modules/4.9-ndm-5/ebt_snat.ko

/lib/modules/4.9-ndm-5/ebt_stp.ko

/lib/modules/4.9-ndm-5/ebt_vlan.ko

/lib/modules/4.9-ndm-5/ebtable_broute.ko

/lib/modules/4.9-ndm-5/ebtable_filter.ko

/lib/modules/4.9-ndm-5/ebtable_nat.ko

/lib/modules/4.9-ndm-5/ebtables.ko

 

Если их нет, то возможно не доставили какие компоненты в keenetic.

Доставляем.

У меня получилось добиться появления нужных модулей только через переустановку OPKG после установки нужных пакетов.

Возможно есть способ проще.

 

11.            Узнаем имя интерфейса.

Это важно.

В CLI интерфейсы могут быть с большими и маленькими буквами.

В OPKG может быть по-другому.

Узнать это можно через команду ifconfig в BusyBox.

У меня он называется eoip0 – т. е. все маленькими буквами.

 

12.            Готовим файл-скрипт с командами.

Можно запустить фильтр через команды вручную, но «магия» пропадает после перезагрузки.

Поэтому лучше через файл.

Я дал имя файлу Sebt. Главное, чтобы в начале была S, потом не важно (rc.unslung запускает все файлы на S при старте)

 

Содержимое файла

#!/bin/sh

 

insmod /lib/modules/4.9-ndm-5/ebtables.ko

insmod /lib/modules/4.9-ndm-5/ebtable_filter.ko

insmod /lib/modules/4.9-ndm-5/ebt_ip.ko

insmod /lib/modules/4.9-ndm-5/ebtable_nat.ko

 

ebtables -F

ebtables -A INPUT -i eoip0 -p ipv4 --ip-proto udp --ip-sport 68 --ip-dport 67 -j DROP

ebtables -A INPUT -i eoip0 -p ipv4 --ip-proto udp --ip-sport 67 --ip-dport 68 -j DROP

ebtables -A FORWARD -i eoip0 -p ipv4 --ip-proto udp --ip-sport 68 --ip-dport 67 -j DROP

ebtables -A FORWARD -i eoip0 -p ipv4 --ip-proto udp --ip-sport 67 --ip-dport 68 -j DROP

 

Для создания файла использовал Notepad++

Конец строк должен быть Unix (LF) (можно исправить через редактор в MC).

 

Команды insmod ставят модули (при повторном запуске будет ругаться, что модули уже есть, но это не страшно).

Команда ebtables -F чистит таблицу разрешений, чтобы можно было менять через повторный запуск скрипта (в противном случае таблица просто дополнится).

Ну а далее сами правила.

 

На форуме предлагают

ebtables -A INPUT -i eoip0 -p ipv4 --ip-proto udp --ip-dport 67:68 -j DROP

ebtables -A INPUT -i eoip0 -p ipv4 --ip-proto udp --ip-sport 67:68 -j DROP

ebtables -A FORWARD -i eoip0 -p ipv4 --ip-proto udp --ip-dport 67:68 -j DROP

ebtables -A FORWARD -i eoip0 -p ipv4 --ip-proto udp --ip-sport 67:68 -j DROP

 

Там описки (исправлены и выделены жирным). Кроме того, работать будет только первое и третье правило.

Можно сделать просто

ebtables -A INPUT -i eoip0 -p ipv4 --ip-proto udp --ip-dport 67:68 -j DROP

ebtables -A FORWARD -i eoip0 -p ipv4 --ip-proto udp --ip-dport 67:68 -j DROP

 

Мои правила, мне кажется, более правильные и показывают, сколько пакетов заблокировано от клиента и от сервера, и из какой сети.

В общем «gillyweed» могут быть разного происхождения – главное, чтобы работали.

 

13.            Закидываем файл в папку /opt/etc/init.d

Я закидывал через Приложения – Диск и принтеры.

Если не дает закинуть в нужную папку сразу, то можно закинуть в home, а потом скопировать через mc.

 

14.            Делаем разрешение на запуск.

Можно через команду chmod, а можно через mc (File- Chmod). Даем права execute.

Если все правильно, то перед именем файла появится знак *.

 

15.            Запускаем Sebt

Переходим в папку /opt/etc/init.d и запускаем.

Не должно быть ошибок типа, что модули не найдены или что нет таблицы filter.

 

16.            Проверяем работу правил.

- на смартфоне включаем и выключаем Wi-Fi

В BusyBox запускаем команду ebtables -L --Lc

Следим за циферками – они должны нарастать …

Bridge table: filter

 

Bridge chain: INPUT, entries: 2, policy: ACCEPT

-p IPv4 -i eoip0 --ip-proto udp --ip-sport 68 --ip-dport 67 -j DROP , pcnt = 0 -- bcnt = 0

-p IPv4 -i eoip0 --ip-proto udp --ip-sport 67 --ip-dport 68 -j DROP , pcnt = 0 -- bcnt = 0

 

Bridge chain: FORWARD, entries: 2, policy: ACCEPT

-p IPv4 -i eoip0 --ip-proto udp --ip-sport 68 --ip-dport 67 -j DROP , pcnt = 0 -- bcnt = 0

-p IPv4 -i eoip0 --ip-proto udp --ip-sport 67 --ip-dport 68 -j DROP , pcnt = 1 -- bcnt = 328

 

Bridge chain: OUTPUT, entries: 0, policy: ACCEPT

 

Со временем цифры растут

Bridge table: filter

 

Bridge chain: INPUT, entries: 2, policy: ACCEPT

-p IPv4 -i eoip0 --ip-proto udp --ip-sport 68 --ip-dport 67 -j DROP , pcnt = 7 -- bcnt = 2296

-p IPv4 -i eoip0 --ip-proto udp --ip-sport 67 --ip-dport 68 -j DROP , pcnt = 1 -- bcnt = 328

 

Bridge chain: FORWARD, entries: 2, policy: ACCEPT

-p IPv4 -i eoip0 --ip-proto udp --ip-sport 68 --ip-dport 67 -j DROP , pcnt = 35 -- bcnt = 11480

-p IPv4 -i eoip0 --ip-proto udp --ip-sport 67 --ip-dport 68 -j DROP , pcnt = 6 -- bcnt = 1968

 

Bridge chain: OUTPUT, entries: 0, policy: ACCEPT

 

17.            Перегружаем роутер, чтобы убедиться, что все работает после загрузки.

Проверяем через ebtables -L –Lc

 

18.            Настраиваем устройства, которые должны работать в «чужой» сети.

Настраиваем Ip руками.

Ip 192.168.Х.201 - 192.168.Х.254 (эти адреса не раздаются по DHCP)

Маска 255.255.255.0

Шлюз 192.168.Х.1 или 192.168.Х.101

 

Через какого провайдера пускать наружу, рулим на keenetic.

 

19.            Наслаждаемся жизнью

У меня все работает отлично.

Нагрузка на Extra не превышает 80%, если даже смотришь UHD канал.

Устройства Триколор прекрасно видят друг друга.

 

Не удобно только то, что все устройства показываются в разделе Список устройств.

Понять, какие чужие, а какие свои, можно только по IP.

 

 

объединение сетей.docx

Edited June 2, 2022 by manson

[azuza]

Приветствую!

Все сделал на KN-1810 по инструкции из предыдущего поста с тем отличием, что OPKG установил во встроенное UBIFS.  Модули есть, но, не грузятся:

login as: root
root@172.16.0.1's password:


BusyBox v1.35.0 (2022-04-13 08:47:51 UTC) built-in shell (ash)

~ #
~ # lsmod | grep ebt
ebtable_nat 1217 0 - Live 0x8ac82000
ebt_ip 1542 0 - Live 0x8ac87000
ebtable_filter 1225 0 - Live 0x8ae5a000
ebtables 17521 2 ebtable_nat,ebtable_filter, Live 0x8ae38000
~ # ls -1 /lib/modules/4.9-ndm-5/ebt*
/lib/modules/4.9-ndm-5/ebt_802_3.ko
/lib/modules/4.9-ndm-5/ebt_among.ko
/lib/modules/4.9-ndm-5/ebt_arp.ko
/lib/modules/4.9-ndm-5/ebt_arpreply.ko
/lib/modules/4.9-ndm-5/ebt_dnat.ko
/lib/modules/4.9-ndm-5/ebt_ip.ko
/lib/modules/4.9-ndm-5/ebt_ip6.ko
/lib/modules/4.9-ndm-5/ebt_limit.ko
/lib/modules/4.9-ndm-5/ebt_mark.ko
/lib/modules/4.9-ndm-5/ebt_mark_m.ko
/lib/modules/4.9-ndm-5/ebt_pkttype.ko
/lib/modules/4.9-ndm-5/ebt_redirect.ko
/lib/modules/4.9-ndm-5/ebt_snat.ko
/lib/modules/4.9-ndm-5/ebt_stp.ko
/lib/modules/4.9-ndm-5/ebt_vlan.ko
/lib/modules/4.9-ndm-5/ebtable_broute.ko
/lib/modules/4.9-ndm-5/ebtable_filter.ko
/lib/modules/4.9-ndm-5/ebtable_nat.ko
/lib/modules/4.9-ndm-5/ebtables.ko
~ # /opt/etc/init.d/Sebt start
insmod: can't insert '/lib/modules/4.9-ndm-5/ebtables.ko': File exists
insmod: can't insert '/lib/modules/4.9-ndm-5/ebtable_filter.ko': File exists
insmod: can't insert '/lib/modules/4.9-ndm-5/ebt_ip.ko': File exists
insmod: can't insert '/lib/modules/4.9-ndm-5/ebtable_nat.ko': File exists
/opt/etc/init.d/Sebt: line 8: ebtables: not found
/opt/etc/init.d/Sebt: line 10: ebtables: not found
/opt/etc/init.d/Sebt: line 11: ebtables: not found
~ #

Текст Sebt:

#!/bin/sh
insmod /lib/modules/4.9-ndm-5/ebtables.ko
insmod /lib/modules/4.9-ndm-5/ebtable_filter.ko
insmod /lib/modules/4.9-ndm-5/ebt_ip.ko
insmod /lib/modules/4.9-ndm-5/ebtable_nat.ko

ebtables -F

ebtables -A INPUT -i eoip0 -p ipv4 --ip-proto udp --ip-dport 67:68 -j DROP
ebtables -A FORWARD -i eoip0 -p ipv4 --ip-proto udp --ip-dport 67:68 -j DROP

Интернет покурил, но ничего подходящего по такой ситуации не нашел. Прошу помочь разобраться.

Edited June 1, 2022 by azuza

[manson]

Такое впечатление, что не встал ebtables.

Запустите

opkg install ebtables

Что говорит? 

[manson]

>

insmod: can't insert '/lib/modules/4.9-ndm-5/ebtables.ko': File exists

Такая ошибка должна возникать при повторном запуске Sebt - модуль уже инстралирован при запуске

[azuza]

9 часов назад, manson сказал:

Такое впечатление, что не встал ebtables.

Запустите

opkg install ebtables

Что говорит? 

Да, вы правы, забыл проинсталлить ebtables - сам лопух. Также смущало:

insmod: can't insert '/lib/modules/4.9-ndm-5/ebtables.ko': File exists

Поэтому решил накатить OPKG поверху, но не пошло - в логе много ошибок. Все снес

erase storage:

, накатил по новой 

opkg install ebtables

 и все полетело.

Благодарю за помощь.

 

[manson]

insmod: can't insert '/lib/modules/4.9-ndm-5/ebtables.ko': File exists

Как раз эта "ошибка" показывает, что все нормально -  модуль успешно инсталлирован (при запуске или вручную) и второй раз система не хочет его инсталлировать.

 

[azuza]

Цитата

insmod: can't insert '/lib/modules/4.9-ndm-5/ebtables.ko': File exists
insmod: can't insert '/lib/modules/4.9-ndm-5/ebtable_filter.ko': File exists
insmod: can't insert '/lib/modules/4.9-ndm-5/ebt_ip.ko': File exists
insmod: can't insert '/lib/modules/4.9-ndm-5/ebtable_nat.ko': File exists
/opt/etc/init.d/Sebt: line 8: ebtables: not found
/opt/etc/init.d/Sebt: line 10: ebtables: not found
/opt/etc/init.d/Sebt: line 11: ebtables: not found

По логике так, но почему тогда у меня вылезало "not found" наряду с "File exists"?

[manson]

Ошибка can't insert возникала (и будет возникать при повторном запуске) на строках с insmod.

А ошибка not found возникала на строках ebtables, так как модуль не был установлен.

[Monstr86]

Добрый день,

Большое спс за подробную инструкцию, все получилось, фильтр работает, счетчик заблокированных пакетов увеличивается, но роутер клиент на мгновение выдает ip адрес из своей сети клиентам из основной, хотя клиенты остаются с правильными настройками, роутер постоянно отправляет уведомление о новом клиенте. Это нормально?

[mcdemon]

On 5/26/2022 at 4:28 AM, manson said:

insmod /lib/modules/4.9-ndm-5/ebtables.ko

insmod /lib/modules/4.9-ndm-5/ebtable_filter.ko

insmod /lib/modules/4.9-ndm-5/ebt_ip.ko

insmod /lib/modules/4.9-ndm-5/ebtable_nat.ko

думаю лучше поменять на:

MOD="/lib/modules/`uname -r`" # путь до модулей

insmod $MOD/ebtables.ko
insmod $MOD/ebtable_filter.ko
insmod $MOD/ebt_ip.ko
insmod $MOD/ebtable_nat.ko