OmegaTron

Движок съел теги, с третьей правки удалось вернуть текст назад. Почти весь. В процессе ...

Намедни душа наконец не выдержала поэта и что-то наконец радикально наковырнулось. Всё началось, как это обычно водится, с флуда в syslog. В него по кругу сыпали однотипные сообщения 2019-02-04 08:54:01 Kernel.Warning 192.168.1.10 Feb 4 08:54:00 ndm: kernel: do_page_fault(): sending SIGSEGV to sh for invalid read access from 00000034 2019-02-04 08:54:01 Kernel.Warning 192.168.1.10 Feb 4 08:54:00 ndm: kernel: epc = 76fcc818 in libuClibc-1.0.17.so[76f92000+a1000] 2019-02-04 08:54:01 Kernel.Warning 192.168.1.10 Feb 4 08:54:00 ndm: kernel: ra = 0042dac4 in busybox[400000+89000] и 2019-02-04 08:54:01 User.Error 192.168.1.10 Feb 4 08:54:00 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/002rules: exit соdе -1. 2019-02-04 08:54:01 User.Error 192.168.1.10 Feb 4 08:54:00 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/001rules: exit соdе -1. 2019-02-04 08:54:01 User.Error 192.168.1.10 Feb 4 08:54:00 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/002rules: exit соdе -1. и dropbear при этом начисто отвалился. Попытки стрясти текущий лог у вебморды, как это в подобных случаях бывает успеха не возымели - загрузка /ci/log.txt ушла в глухой loop. После ребута флуд прекратился, но вот dropbear так и не зацепился - в логе мелькнула вот такая строчка 2019-02-04 09:05:47 User.Info 192.168.1.10 Jan 30 04:33:46 ndm: Opkg::Manager: /opt/etc/init.d/rc.unslung: dropbear already running. если верить файлу self-теста процессов dropbear'a в наличии не было вообще. Я уж грешным делом подумал, что покрешилась ФС т.к. Омни в логах жаловался, что стоит флешку чекнуть т.к. что-то с ней не так, но таки нет - find I/O ошибок не выдавал, а e2fsck нашёл лишь одну слегка поломанную ноду Inode 655373 is in use, but has dtime set. Fix? yes теперь вопрос - что это было, что поломалось и как "починить" ?

К слову, "воскресает" nllda с такими параметрами (MAC-адрес в примере изменён) /usr/sbin/nllda -I Bridge0 -p Home -M 00:00:00:00:00:00 -x 13 -n Keenetic_Omni -D ZyXEL Keenetic Omni II (NDMS 2.13.C.0.0-1): kn_rf -m router -V 2.13.C.0.0-1 -u nobody -P 80 -A 192.168.0.1 -S private -b

Пока немного не до конца понимаю данную технологию и интересует вопрос, куда пишется сжатое содержимое RAM ? Туда же в RAM (в отдельную область) ? Если это так, то имеет ли смысл использовать zRam для всего объёма RAM, при учёте, что там 50% занято текущими процессами ?

Что-то я на 2.13 потерял настройку свопа через веб-фейс. Раньше она на 2.11 была в приложениях, теперь её там нет (да и не только там). В приниципе настроил всё через telnet, но просто интересно - эту настройку ликвидировали как класс или это у меня что-то отвалилось ?

Ясно Ну я то не в курсе ибо разработкой прошивок не занимаюсь ))) А nllda тем не менее продолжает воскресать, хотя в startup-конфиге значится деактивированным, а в running-конфиге эта запись даже не появляется.

Ну, у меня есть настроенный интерфейс eth2.2, который смотрит в провайдерскую сеть (на нём настроен dhcp клиент) из провайдерской сети на Омни из-за accepted clients 0.0.0.0 тоже могут "смотреть" на этот интерфейс. Поэтому я хотел ограничить запросы внутренним интерфейсом br0/адресом в моей локальной сети Ну, дефакто opkg я как таковой в данном случае не использовал - отключил старт через веб-морду и заюзал комплектную бинарь с нужным ключём через скрипт в автозапуске.

Ну так ndmq как раз и эмулирует запросы к веб-фейсу (я это делаю через curl), я же говорил о применение конфигов так сказать напрямую, без посредников. За примеры тем не менее спасибо - возможно пригодятся в каких-либо костылях

Судя по хелпу ndmc, он умеет лишь выдавать версию, сам хелп и запускать сессию cli. Неплохо было бы, если бы он умел применять конфиг для cli или (и) выполнять cli-сценарии. Можно конечно вывернуться и подсунуть конфиг веб-фейсу сэмулировав запросы, но это дополнительный гемморой

Мде. После ребута процесс nllda всё же реанимировался. При том, что в конфиге висит interface Bridge0 lldp disable

Конкретно эти - без контекста 😅 т.к. показалось, что они не имеют какой-либо привязки Про конфиг я совсем забыл (да и не заглядывал туда практически), а там оказывается сценарий для CLI, по которому можно составить откатные команды (как всё в итоге банально оказалось). Итого получилось следующее : no ipv6 subnet Default interface ISP no ipv6 address auto interface ISP no ipv6 prefix auto interface ISP no ipv6 name-servers auto заминка возникла лишь с последней командой (config)> interface ISP no ipv6 name-servers auto name servers provided by the interface network aren't accepted и процесс dhcp6s остался висеть, но после перезагрузки ушёл и он. Помимо этого, после ребута воскрес процесс nllda, который я ранее дезактивировал командой interface Bridge0 lldp disable сейв конфига при этом я делал и в логах он зафиксирован (т.е. он реанимировался в том числе и в самый первый раз, когда я его грохал, о чём я писал выше и где удивлялся, что он не был дезактивирован). Возможно проблема в этом ? interface Bridge0 rename Home попробовал рубануть lldp командой interface Home lldp disable и процесс тоже грохнулся. Чуть позже погляжу после ребута не реанимировался ли процесс. В конфиге интерфейса сейчас есть строка lldp disable при дезактивации lldp по Bridge0 её не было (сливал конфиг в тот период и есть с чем сравнить), хотя процесс при этом прибивался.

В саппорте дали сводку по цепочкам iptables

Так, то ли лыжи не едут, то ли я ... no ipv6 address auto Command::Base error[7405600]: no such command: address. no ipv6 prefix auto Command::Base error[7405600]: no such command: prefix. no ipv6 name-servers auto Command::Base error[7405600]: no such command: name-servers. А где брать "name" для"no ipv6 subnet" я вообще не понял 😕

Ранее видать не обращал внимания, но после того как обновился на 2.13 заметил в списке накопителей "Встроенное хранилище" размером 512 кб выхлоп df показывает лишь раздел /storage с такими габаритами, пустой судя по выхлопу ls (ls -lanh). Каково предназначение данного раздела на нынешних прошивках ? Такое же, как на прошивках первого поколения ? Почему такие миниатюрные габариты (против 1.8 мб на старых прошивках) ? Куда утекло 38% этого 512 кб-го раздела, если учесть то, что он "пустой" ?

Отключение lldp помогло лишь в устранении процесса nllda, nlldo продолжает висеть с ключём "nobody". До ipv6 пока руки не дошли.

Собственно сабж. Не нашёл возможности сконфигурировать udpxy для работы лишь с конкретной подсетью ни через веб-морду, ни через cli. Я конечно могу рубануть автозапуск udpxy и стартовать udpxy скриптом/вручную с нужными ключами, но хотелось бы более цивилизованного решения

Смущает, ибо касательно такого нюанса я был не в курсе ))) Плюс оно ранее не удалялось, по крайней мере через веб-морду. Разве что через cli ... ОК

optware => dropbear & ssh => busybox ps Спасибо, пойду штудировать мануал 😕 Хотя меня конечно больше бы устроила возможность полностью выпилить ipv6 ибо провайдер поклал болт на него и сказал, что продолжит. А по wmond есть мысли ? К слову, при повторном просматривании списка процессов наткнулся на тройку сервисов, которые тоже вызвали вопросы [RtmpCmdQTask] [RtmpWscTask] [RtmpMlmeTask] никакого софта по работе с видео или IP-камерами я у себя не припомню. Кстати, а почему cli-мануал до сих пор рассситан на 2.08 ? http://files.keenopt.ru/cli_manual/Keenetic_Omni_II/2018-04-17/ Где найти свежий ? Команды отключения lldp там нет, но я её нашёл - ранее отрубал, но то ли не сохранил изменения, то ли рубанул лишь на одном из интерфейсов. По поводу ipv6 буду сейчас буду смотреть мануал.

Просматривая список процессов обнаружил кучу "левых" процессов, в частности, отвечающих за IPV6 (который я очень хотел бы убрать из списка компонентов, ибо ipv6 мне светит, но он зараза не убирается), а именно radvd (аж 2 копии), dhcp6s, rdisc6d и dhcp6c. Причём 2 последних, судя по ключам, смотрят на тот же интерфейс, на который смотрит ndhcpc -местный dhcp-клиент, как я понимаю (через cli был настроен определённый вендор для клиента dhcp на отдельном интерфейсе). Ну и помимо IPV6 есть ещё пара процессов мозолящих глаза - nlldo и nllda, которые судя по гуглу, отвечают на zyxel'e за какие-то манипуляции не то с самбой, не то с netbios'ом (выяснять не стал), только вот нюанс - самбу я полностью исключил из списка компонентов. Ну и напоследок - ещё хотелось бы понять, за что отвечают процессы wmond и ndnproxy.

На Киннетиках с прошивкой первого поколения в комплекте iptables был (есть) модуль webstr, которым удобно банить конкретные линки (на чём собственно и строится встроенный механизм блокировки), по крайней мере http (чего впрочем зачастую хватает за глаза, хотя в последнее время ситуация конечно меняется). На нынешних прошивках/устройствах подобного модуля обнаружено не было, в связи с чем встал вопрос, есть ли на данный момент возможность банить линки (не хосты) через iptables иными средствами ? p.s. Говоря про "иные средства" я подразумеваю их в контексте iptables (а именно модули или надстройки), а не какие-либо облачные решения или прокси типа сквида/privoxy. Интересует именно "автономный" вариант с iptables без привлечения дополнительного софта.

Ей богу, прямо тайны Мадридского двора ))) Меня эта самая функциональность и ответственные за неё цепочки и интересуют, по причине чего собственно и была заведена тема. Одно дело видеть в выхлопе листинга iptables цепочки INPUT/FORWARD/OUTPUT (либо иные стандартные) и другое - частокол неясных субцепей. Пользуясь случаем спрошу - что там за "механизм" такой наяривает, что таблица переписывается заново чуть ли не каждые 10-20 секунд ? Даже протестировать вменяемо правило невозможно - сбрасывается. А писать каждое правило в скрипт в /opt/etc/ndm/netfilter.d/ ради его банальной проверки сильно напрягает.

Эта та которая Legacy ? Просто уже реально надоели все эти падения и ребуты. Причём 2.11.C.0.0-2, которой я пользовался до апдейта на 2.13.C.0.0-1 падала куда чаще 2.13.C.0.0-1 😕 Можно ли как-то экспортировать модули iptables для использования их на "обычной", не экспериментальной прошивке, в которой будут все необходимые ограничения ? Надеюсь ))) https://forum.keenetic.net/topic/3523-автообновление-прошивки-на-zyxelях/ Ну про плохое питание даже не знаю. Разве может флешка SanDisk Cruzer Fit перегрузить usb по питанию (используется только она) ?

Да походу всё к тому и идёт. Вот к слову текущий набор компонентов base storage corewireless opkg opkg-kmod-fs pppoe usb ppe dhcpd igmp opkg-kmod-netfilter opkg-kmod-netfilter-addons pingcheck udpxy ftp ip6 Как видите, совсем не густо. Так всё же - разве своп не поможет ? Или там используется исключительно RAM для работы ? Меня на данный волнует вопрос стабильности. С самого момента покупки сей роутер только и знает, что падает и перезагружается. То сырая прошивка из коробки, у которой был ворох глюков и на которой пробу ставить было негде, потом неясные глюки которые переодически всплывали время от времени, потом недокументированный автоапдейт, потом ещё и ещё ... Роутер всего один раз имел аптайм в 1 месяц, обычно это от 1 до 7 дней, изредка 2 недели

Так в том то и дело, что компонентов самый минимум. Только самое необходимое (комплектный cifs на пару с ntfs и fat и то отрубил, равно как и кучу других мелочей - весь софт практически из entware). Чуть позже могу скинуть список компонентов, если интересует. Вот это уже проясняет дело. А своп решит проблему ? Да мне draft нужен лишь из-за расширенной поддержки модулей iptables. Были бы они в satble-релизе я бы к draft даже близко не подходил.

Эээ ... Так в чём дело то ?