dimon27254

Предложите вариант "ступенчатого" использования ip2net, когда он будет группировать уже имеющиеся подсети /24 (не конкретные IP) в более крупные /23, /22, /21, /20 и т.д. Это было бы действительно полезное его применение. По документации и своим тестам я вижу, что ip2net собирает только IP, а уже готовые подсети игнорирует и выдает без изменений. Если и использовать ip2net для "сборки" кандидатов, то мне пока непонятно, как потом очищать исходный список кандидатов при подсетях крупнее /24, ведь через grep/sed уже не найдется соответствие, например, для 1.1.1.4 и 1.1.0.0/22.

@FLK прав, наиболее "ресурсоемкой" задачей является свёртывание адресов-кандидатов в подсети. Я тестировал на списке из 11 тысяч адресов, на KN-1012 обработка занимала около двух секунд. В реальности, конечно, такие списки кандидатов могут собраться только при неработающем cron 😅 Я рассмотрю ваше предложение по очистке ascn_ips при нахождении совпадения в ascn_subnets.

Планирую исключить вообще из обработки Antiscan такие адреса. Не будет ни блокировки по IP/подсетям, ни накопления в списке кандидатов.

Можно, но ранее было пожелание загружать собственные списки заблокированных адресов, и для этих целей вообще в целом я и запланировал отдельные ipset и работу с ними. Адреса-исключения появятся "за компанию".

К 1.3 планировал реализовать вынесение пользовательских списков в отдельные ipset. Там как раз хочу сделать отдельно черный список адресов и также список адресов, на которые не будет распространяться работа Antiscan.

Вероятно, это проблема с переменной среды PATH. Попробуйте добавить следующую строку в crontab перед всеми задачами: PATH=/opt/bin:/opt/sbin:/sbin:/usr/sbin:/bin:/usr/bin

С данным списком все в порядке, однако, не срабатывает его обработка и "свертывание" в подсети. Судя по всему, у вас какие-то неполадки с cron - он или не запускает задачу, или что-то в процессе выполнения идет не так. Cron у вас уже был ранее настроен, или воспользовались инструкцией по ссылке из первого сообщения?

Возможно, что-то иначе работает в Safari. Я проверял в Chrome на Android и Windows. @eralde @Anna_ стоит отметить, что если изменить тему браузера при открытом веб-интерфейсе, то он под неё не подстраивается. Смена стиля происходит только после перезагрузки страницы. Так и задумано?

Прикрепите пожалуйста, вывод команды: ipset list ascn_candidates -s

Быть может, вы имели ввиду подстройку темы веб-интерфейса под тему системы/браузера. Такое сейчас есть и работает.

Такая ситуация возможна. Дело в том, что система при определенных обстоятельствах, например, смене состояния подключений к интернету или VPN, делает многократную перезапись всех таблиц netfilter. В процессе каждой перезаписи вызывается hook-скрипт, приведенный в логе. В нем реализовано ожидание, пока система "освободит" таблицы netfilter (ключ -w для iptables). Однако, иногда iptables не успевает "дождаться", пока система завершит свою работу, и "выбрасывает" такую ошибку. В целом, это не критично, т.к. правила Antiscan в один из вызовов с высокой долей вероятности все равно восстановятся. На крайний случай, если правила все-таки не применились, можете вручную выполнить команду, которая запустит восстановление правил: antiscan update_rules

Неполадка с сертификатами у вас какая-то, wget не может проверить сертификат, отдаваемый github. Попробуйте в Entware переустановить ca-bundle: opkg install ca-bundle --force-reinstall

Какая-то проблема с вашей стороны Может быть, не обновляли Entware давно. Только что сейчас проверил, онлайн установка на свежем Entware работает корректно: По HTTP пробовать бессмысленно, там идет переадресация на HTTPS:

А если в консоли ввести: wget https://github.com/dimon27254/antiscan/releases/download/1.2/antiscan_1.2_all.ipk Какой будет результат?

Нет. Установили wget-ssl, затем сразу же вводите команду для установки Antiscan.

@eralde @Anna_ в 4.3.2 исправлено. Спасибо!

@eralde @Anna_ подтверждаю исправление в 4.3.2. Спасибо!

@Le ecureuil исправление в 4.3.2 также подтверждаю. Спасибо!

Вышла новая версия 1.2. Новое: 1) Сохранение списка адресов кандидатов на блокировку в файл. 2) Защита устройств, подключенных к роутеру и использующих перенаправление портов (предложено @avn и @kaguyashaa). Обратите внимание: в "PORTS" необходимо будет указать номер порта устройства (поле "направлять на порт" в веб-интерфейсе), на который направляется трафик, а не номер, который "смотрит" в интернет ("открыть порт"). 3) Настройка маски для правил iptables (предложил @avn). RULES_MASK="255.255.255.255" Значением по умолчанию является 255.255.255.255 (/32), что соответствует версиям 1.0 и 1.1. При необходимости вы можете установить иное значение, например, 255.255.255.0. Это расширит "область наблюдения" за множественными соединениями - в этом случае IP, принадлежащие одной подсети /24 и превышающие установленные в конфиге пороги, будут вноситься в список блокировки. 4) Ручная очистка списков адресов. /opt/etc/init.d/S99ascn flush Можно очистить как все три списка - кандидатов на блокировку, заблокированных IP и подсетей, так и каждый по отдельности. Пример: /opt/etc/init.d/S99ascn flush subnets Будет выполнена очистка ipset'ов, а затем удалены с накопителя файлы соответствующих списков. Улучшения: 1) Сохранение списков в файл теперь не требует бессрочного хранения записей (сообщил @snark). Обратите внимание: если в 1.1 у вас было включено сохранение списков, то при обновлении на 1.2 значение параметров RECENT_CONNECTIONS_BANTIME и SUBNETS_BANTIME автоматически изменится на "0" - бессрочное хранение, что будет соответствовать логике версии 1.1. Измените данные значения, если вам не требуется бессрочное хранение. 2) Упрощен вызов Antiscan из консоли. Вместо /opt/etc/init.d/S99ascn в консоли можно вводить просто antiscan. Пример: antiscan status Исправления: 1) Правила iptables не обновлялись при вызове reload, если в ascn.conf изменялись параметры ограничения множественных соединений. 2) При обновлении Antiscan в консоли появлялась ненужная строка "/opt/etc/ascn.conf".

По моему мнению, вероятность того, что в одной подсети со злоумышленниками, делающими свои грязные дела с нескольких адресов, будет легитимный клиент - крайне мала) В этом случае подсеть не будет заблокирована, пока в ней не "соберётся" 254 адреса.

@avn об ip2net мне известно, уже пользовался им ранее. Однако, он работает только с конкретными адресами, и не сворачивает уже имеющиеся подсети в более крупные - просто выдает их без изменений. Тогда может получиться ещё больше записей в ipset, чем сейчас, если не делать тонкую настройку.

/24 мной была выбрана намеренно, т.к. по ней можно легко и быстро отслеживать и подсчитывать "похожие" адреса, просто проверяя совпадение первых трех октетов, т.е. 1.2.3.1, 1.2.3.14, 1.2.3.94 и так далее. Если количество "похожих" адресов больше порогового, на основе этих же трех октетов создается запись в ipset 1.2.3.0/24 для блокировки подсети целиком. С /23, /22 и более крупными такой "фокус" уже не пройдет. В данном направлении улучшений я пока что не планирую.

Не совсем понял, что вы имеете ввиду и в каких именно из правил. Для connlimit я маску не указываю явно, она автоматически ставится /32.

Бессрочное хранение включается только для списков заблокированных IP и подсетей. Список кандидатов на блокировку продолжает хранить записи в соответствии с установленным в конфиге сроком (DIFFERENT_IP_CANDIDATES_STORAGETIME), если вы явно не установите 0. При этом, кандидаты не сохраняются в постоянной памяти вовсе - при каждой перезагрузке роутера/скрипта они будут наполняться заново. Вариант с аптаймом устройства в год я полноценно не рассматривал, т.к. лично у меня роутер работает от обновления к обновлению. Однако, в данном случае на длительном аптайме полноценную точечную очистку записей реализовать не представляется возможным - максимальный срок хранения записей в ipset при использовании timeout составляет 2147483 секунды, что чуть меньше 25 дней. Ввиду этого ограничения при SAVE_IPSETS=1 значение timeout для ascn_ips и ascn_subnets полностью исключается и записи хранятся без срока. Могу, например, к следующей версии исключить принудительную установку "бессрочного" хранения для ipset, чтобы вы могли и дальше устанавливать свой таймаут. Однако, в этом случае я не вижу смысла в сохранении в файлы вовсе, если, условно говоря, через день/несколько часов записи все равно удалятся. Или есть вариант реализовать дополнительную задачу в cron, которая будет, например, раз в 3 месяца принудительно очищать все ipset и удалять сохраненные файлы, чтобы они могли наполняться "с нуля".

В версии 1.1 появилась возможность загрузки списков IP и подсетей из файлов. Включите функционал сохранения в файлы: SAVE_IPSETS=1 Укажите путь к каталогу, где будут храниться файлы со списками заблокированных адресов: IPSETS_SAVE_PATH="/tmp/mnt/MYDISK/antiscan" При запуске Antiscan будет искать в указанном каталоге файлы ipset_ascn_ips.txt и ipset_ascn_subnets.txt. Файлы должны быть в читаемом для команды ipset restore виде. Пример для ipset_ascn_ips.txt: create ascn_ips hash:ip family inet hashsize 1024 maxelem 65536 add ascn_ips 1.2.3.4 add ascn_ips 5.6.7.8 Пример для ipset_ascn_subnets.txt: create ascn_subnets hash:net family inet hashsize 1024 maxelem 65536 add ascn_subnets 1.2.3.0/24 add ascn_subnets 4.5.6.0/24