dimon27254

Перманентная блокировка может сыграть злую шутку в неподходящий момент.. а если вы случайно сами себя удаленно заблокируете?

В целом, такое возможно. Однако, изначально я решил это не реализовывать, так как потребуется постоянная периодическая запись ipset на флешку/внутреннюю память, что может негативно сказаться на их ресурсе.

Списки заблокированных хостов и подсетей представляют собой ipset. Они не сохраняются где-либо в памяти роутера/флешки, и при каждой перезагрузке будут наполняться заново по мере поступления запросов на порты.

Antiscan - простой инструмент для выявления и блокировки IP с подозрительной активностью (например, сканеры портов и служб). Предыстория от @FLK, поясняющая актуальность данного инструмента: Antiscan представляет собой небольшой скрипт на shell с config-файлом и хук-скриптом netfilter.d. Предназначен для устройств Keenetic/Netcraze, поддерживающих Entware. Возможности: 1) Блокировка хостов, открывающих множество соединений с одного IP-адреса. 2) Блокировка хостов, открывающих единичные соединения с множества IP, принадлежащих одной подсети /24. Требования для корректной работы скрипта: 1) Установленный компонент "Модули ядра для подсистемы Netfilter" (начиная с версии ПО 4.3 доступен без "Протокол IPv6"). 2) Предварительно настроенный и готовый к работе cron. Можно воспользоваться простой и понятной инструкцией: https://web.archive.org/web/20231004003915/https://forums.zyxmon.org/viewtopic.php?f=5&t=5257 Установка: 1. Скачать пакет из вложения и загрузить на устройство/внешний накопитель. 2. Выполнить команду: opkg install "/путь_к_пакету/antiscan_1.0_all.ipk" 3. Указать unix-имена интерфейсов интернет-подключений в файле "/opt/etc/ascn.conf". В 4.3+ просмотр unix-имен интерфейсов доступен по команде: show interface {интерфейс} system-name 4. Запустить командой: /opt/etc/init.d/S99ascn start Важно: Antiscan является IPv4-only. В настоящее время поддержка IPv6 не планируется к реализации. Принцип работы: Описание параметров в ascn.conf: Период чтения списка кандидатов по умолчанию равен 1 минуте. Вы можете его изменить, отредактировав задачу в crontab. Текст задачи: */1 * * * * /opt/etc/init.d/S99ascn read_candidates & Использование S99ascn: {start|stop|restart|status|list|reload|update_rules|read_candidates} start начать работу скрипта (создать правила, ipset'ы, начать сбор IP) stop остановить работу скрипта (удалить правила, очистить ipset'ы, отменить блокировку) restart остановить и заново начать работу скрипта status отобразить статус Antiscan и количество заблокированных IP, подсетей list {ips|subnets} отобразить список и количество заблокированных IP/подсетей reload обновить конфигурацию Antiscan (перечитать файл ascn.conf) update_rules проверить наличие правил iptables, и добавить их при отсутствии (для hook-скрипта netfilter.d) read_candidates обработать список адресов кандидатов для блокировки по подсетям (запускается вручную или по расписанию) Исходный код доступен на github: https://github.com/dimon27254/antiscan Замечания, предложения, и конструктивная критика по работе инструмента приветствуется antiscan_1.0_all.ipk

Нет, политики вам в этом случае не требуются. Вы для всего сегмента ставите ограничение в 200, а определенные устройства, для которых в настройках вы явно установите ограничение в 300, получат именно 300.

К сожалению, для Домашней сети невозможно указать общее ограничение скорости через веб-интерфейс. Это требуется выполнить через CLI, первая команда в сообщении @FLK: Для конкретного устройства ограничение уже можно установить в веб-интерфейсе. Таким образом, для всех устройств сегмента ограничение будет 200 Мбит/с, а для избранных устройств - 300.

Добрый день! Спасибо за напоминание по теме Отображение кнопок одновременно у нескольких серверов точно исправлено. А вот "след" от кнопок у меня воспроизводился в момент, когда отписывался по другим исправлениям в 4.3.1. Сейчас никак не хочет.. быть может, что-то "самоизлечилось" после автоматических обновлений браузера 😅

Это ожидаемое поведение: А это уже недоработка со стороны системы. Я о ней довольно давно писал, пока что не исправлено:

Не заработал. Поведение полностью идентично 4.3.0 - также требуется менять tls-priorities на сервере.

Проверил в 4.3.1 - IP корректно добавляются. Спасибо!

@eralde @Anna_ @Test Pilot В мобильной версии окно подтверждения может прокручиваться, даже если не занимает всю высоту видимой области: Проверял на KN-1012 с 4.3.1.

@eralde @Anna_ @Test Pilot На ретрансляторах Mesh-системы возможность изменения часового пояса заблокирована. Это ограничение видно в Параметрах системы: Однако, в окне выбора страны никаких ограничений на смену часового пояса нет. Сохранение настроек повлечет за собой "ругань" системы в логе. Проверял на KN-3210 с 4.3.1.

@eralde @Anna_ в 4.3.1 недочетик больше не воспроизводится. Спасибо за исправление!

@eralde @Anna_ на последних preview с включением порта проблем нет. Спасибо!

@Le ecureuil В 4.3.1 все еще актуально.

@eralde @Anna_ Начиная с 4.3.0 элементы меню перестали сливаться с фоном. Спасибо

@eralde @Anna_ В 4.3.1 на мобильных устройствах подсказка более не отображается. Спасибо!

@eralde @Anna_ В 4.3.1 с кнопками все в порядке. Спасибо!

@eralde @Anna_ В 4.3.1 подсказка корректно отображается. Спасибо!

@eralde @Anna_ В 4.3.1 кнопочки аккуратно переносятся. Спасибо за исправление

@eralde @Anna_ В 4.3.1 все красиво и ровненько: Спасибо

@eralde @Anna_ Новый вариант сокращения значительно лучше: Спасибо!

@eralde @Anna_ @Test Pilot В 4.3.1 при разворачивании бокового меню снова появилось кратковременное "мерцание" элементов: Для сравнения, 4.3.0:

@eralde @Anna_ подтверждаю исправление в 4.3.1. Спасибо!

@eralde @Anna_ В 4.3.1 исправлено. Спасибо!