dimon27254

Новая версия 1.8.1. Улучшения: 1) Оптимизирована работа с cron (сообщил @Denis P). 2) Обновлен внешний вид сообщений Antiscan в консоли (предложил @spatiumstas). NEW: установка Antiscan теперь возможна с помощью одной команды, которую нужно ввести в консоли: opkg update && opkg install curl && curl -fsSL https://raw.githubusercontent.com/dimon27254/antiscan/refs/heads/main/install.sh | sh Скрипт скачает последнюю версию пакета с GitHub, а также проверит наличие cron и установит его при необходимости.

Управление ntce filter profile появилось в веб-интерфейсе. Рассмотрите предложение сделать шейпинг трафика приложений?

Проверил, работает корректно. Спасибо!

Исключите 80 порт из honeypot, ограничившись его "обычной" защитой. Боты прекрасно заглянут в гости на всякие 21, 22, 23, 25, и многие другие Идея как раз в том, что honeypot следит за портами, на которые пользователь точно не пойдет, потому что никогда ими не воспользуется.

Никакой самоблокировки не будет, если вы укажете порты, которыми сами не пользуетесь. Соответственно, в этом случае и нет смысла в настройке критериев "жесткости" блокировки. Если вы в HONEYPOT_PORTS укажете порты, на которые сами обращаетесь, и там будет настройка количества подключений и времени, то какой вообще смысл в использовании honeypot?) Получится полное повторение функционала, который уже реализован.

@eralde @Anna_ До 5.0 Alpha 11 время всегда отображалось в секундах. Теперь показывается в часах:минутах:секундах, к чему нужно привыкать) Однако для пиров, где хэндшейк ни разу не устанавливался, просочились "нереальные" значения, которые возвращает система: Скройте их, пожалуйста, за тире, как было раньше Проверял на KN-1012.

В 5.0 Alpha 11 появилась подпись "сменить пароль". Спасибо!

@eralde @Anna_ В 5.0 Alpha 11 исправлено. Спасибо!

@eralde @Anna_ Подтверждаю исправление в 5.0 Alpha 11. Спасибо!

Исправление не подтверждаю. Логотип также не загружается, но текст ошибки немного изменился:

@eralde @Anna_ В 5.0 Alpha 11 линия отсутствует. Спасибо!

@eralde @Anna_ @Infy В последней Alpha 11 отсутствуют ссылки на переход в веб ретрансляторов через HTTPS: Ссылки из Списка клиентов ведут на IP-адреса, а не доменные имена. Проверял на KN-1811.

@Le ecureuil, у меня на 5.0 Alpha 11 тоже перестало воспроизводиться. Успели внести какие-то правки?

С поиском категорий есть сложности - тут они отображаются на русском языке, в отличие от других мест веб-интерфейса.

@eralde @Anna_ Лично мне "мастер быстрой настройки" Wireguard-сервера понравился. Все достаточно просто и понятно. Хотелось бы когда-нибудь в будущем увидеть: 1. Возможность повторного экспорта конфига для пира в любое удобное время, а не только при первичном его добавлении. Здесь есть ограничения со стороны системы в связи с отсутствием доступа к приватным ключам, но, может быть, когда-то это будет улучшено. 2. Ручную настройку IP для пиров. Сейчас она отсутствует. 3. Более светлый текст в блоке с данными конфига. Сейчас он бледноват что в светлой, что в темной темах. 4. Улучшение читаемости QR-кода в темной теме. Из-за отсутствия белых полей вокруг изображения, код оказывается нечитаемым. 5. Развернуть иконку скачивания конфига на 180 градусов. Сейчас она выглядит как выгрузка, а не скачивание. Проверял на KN-1012 с 5.0 Alpha 11.

@eralde @Anna_ В 5.0 Alpha 11 поправлено. Спасибо!

@Le ecureuil Если обратиться из интернета к домену 4 уровня, открыв какую-нибудь страницу или скачав файл, то nginx зависает, начиная загружать процессор: Теряется доступ к веб-интерфейсу Кинетика как внутри локальной сети, так и из интернета. В логах оказывается тишина с ip http log access. Перезагрузка роутера, перезапуск nginx путем включения-выключения логирования или перезапуском service http возвращает доступ к Кинетику до следующего обращения к домену 4 уровня. Проверял в 5.0 Alpha 10.

Вышла новая версия 1.8. Новое: 1) Блокировка адресов с помощью "ловушки" (honeypot) (предложил @odin). В реализации Antiscan honeypot представляет собой ловушку на портах, которые вы укажите в новом параметре HONEYPOT_PORTS. Порты, указанные для работы ловушки, остаются закрытыми, но на них запускается отслеживание входящих подключений. Важно: отслеживание работает только на портах самого роутера. Если вы укажете порты, которые далее переадресуются на какое-либо устройство в локальной сети, ловушка не сработает. Если потенциальный бот или любой другой нелегитминый клиент подключится к портам HONEYPOT_PORTS, его адрес будет помещен в список ascn_honeypot и заблокирован. Срок хранения записей в данном списке устанавливается в параметре HONEYPOT_BANTIME. Блокировка будет для портов, указанных в PORTS, PORTS_FORWARDED и HONEYPOT_PORTS. По аналогии со списком IP и кандидатов, для списка блокировки по ловушке работает свертывание в подсети /24 с последующей очисткой затронутых записей. Обратите внимание: в HONEYPOT_PORTS нужно указывать порты, на которых нет каких-либо сервисов, "смотрящих" в интернет. В противном случае все клиенты, подключающиеся к этим портам, будут блокироваться, кроме указанных в списке исключения. 2) Опциональное сохранение накопленных IP и подсетей по команде antiscan stop. NDMS при размонтировании раздела с Entware "подает" всем скриптам в init.d команду stop. Это можно использовать для вызова сохранения накопленных IP и подсетей при запланированной перезагрузке роутера - например, в процессе обновления прошивки или ручной перезагрузке из веб-интерфейса. Также это будет полезно при изменении настроек Antiscan, если вы вызываете antiscan stop. Установите SAVE_ON_EXIT=1, чтобы включить данный функционал. Улучшения: 1) Отображение версии Antiscan при вызове antiscan status. Теперь не обязательно вызывать antiscan version, чтобы узнать установленную версию Antiscan. Пакет версии 1.7 был удален из заголовка темы. Все новые релизы, начиная с 1.8, будут публиковаться только на GitHub.

Начиная с 5.0 Alpha 9, данная неприятная ситуация уже не актуальна. Окно регистрации открывается быстро, и ответ от NDSS ожидается в фоне. Когда он приходит, появляется ссылка на Базу знаний с информацией о случайном MAC.

Honeypot в реализации Antiscan не будет что-либо эмулировать. Порты-ловушки будут закрытыми. С помощью правила iptables будет проводиться просто проверка на факт подключения к этим портам, и далее занесение в список блокировки по IP. Если за портами-ловушками будут рабочие сервисы, и номера портов совпадают с PORTS, то потребуется завести список доверенных адресов и занести его в исключения. Иначе легитимный клиент после подключения сразу же окажется заблокирован.

Honeypot будет еще одним опциональным способом "ловли" нелегитимных клиентов. Если в интернет "смотрят" нестандартные порты вида 8443, 65080 и им подобные, до которых боты добираются далеко не в первую очередь, honeyport с "ловушкой" на 22, 80 или 443 окажется полезным. Например, защищаем порт 65080, но ставим "ловушку" на 22. Бот пытается подключиться к 22, и попадает в список блокировки по IP. Попытки подключения на 65080 у него уже провалятся. Если "налетит" большое количество ботов из одной подсети - они все будут занесены в список IP-блокировки, который потом по расписанию свернется в целую подсеть.

Верно.

Это вы можете сделать в собственном скрипте, который недавно выкладывали на форуме. Я против добавления в Antiscan работы с внешними сервисами, которые требуют авторизации, даже опционально. Более того, с доступом к сервису наблюдаю проблемы - срабатывает "16 килобайтная" блокировка.

Спасибо за предложение! В следующей версии (1.8) сможете протестировать работу.

Только в startup-config. object-group ip нельзя увидить в Entware или еще где-либо, т.к. они используются только для IPsec: Другими словами, добавлять подсети в динамическую маршрутизацию через object-group fqdn нельзя. Только домены и IP-адреса.