dimon27254

Вышла новая версия 1.1. Новое (предложено @MDP и @kaguyashaa) 1) Бессрочное хранение адресов в ipset. Укажите "0" в параметрах длительности блокировки конфига ascn.conf. Пример: RECENT_CONNECTIONS_BANTIME=0 SUBNETS_BANTIME=0 2) Сохранение списков заблокированных адресов и подсетей в память с возможностью дальнейшего восстановления после повторного запуска. Настройка осуществляется с помощью параметров "SAVE_IPSETS", "IPSETS_SAVE_PATH". По умолчанию сохранение выключено. Для включения укажите "1" в параметре "SAVE_IPSETS", а также путь к каталогу, где планируете хранить списки адресов в "IPSETS_SAVE_PATH". Пример: SAVE_IPSETS=1 IPSETS_SAVE_PATH="/tmp/mnt/MYDISK/antiscan" Обратите внимание: при включенном сохранении адресов игнорируются установленные значения длительности блокировки адресов и подсетей - автоматически включается "бессрочное" хранение. Сохранение списков производится с помощью задачи в cron каждые 5 дней в 00:00. Период изменяется аналогично задаче чтения кандидатов, текст задачи: 0 0 */5 * * /opt/etc/init.d/S99ascn save_ipsets & Исправления: 1) При удалении/переустановке пакета файл crontab не очищается от задач Antiscan, если в них вносились изменения.

Только на TCP.

Перманентная блокировка может сыграть злую шутку в неподходящий момент.. а если вы случайно сами себя удаленно заблокируете?

В целом, такое возможно. Однако, изначально я решил это не реализовывать, так как потребуется постоянная периодическая запись ipset на флешку/внутреннюю память, что может негативно сказаться на их ресурсе.

Списки заблокированных хостов и подсетей представляют собой ipset. Они не сохраняются где-либо в памяти роутера/флешки, и при каждой перезагрузке будут наполняться заново по мере поступления запросов на порты.

Antiscan - простой инструмент для выявления и блокировки IP с подозрительной активностью (например, сканеры портов и служб). Предыстория от @FLK, поясняющая актуальность данного инструмента: Antiscan представляет собой небольшой скрипт на shell с config-файлом и хук-скриптом netfilter.d. Предназначен для устройств Keenetic/Netcraze, поддерживающих Entware. Возможности: 1) Блокировка хостов, открывающих множество соединений с одного IP-адреса. 2) Блокировка хостов, открывающих единичные соединения с множества IP, принадлежащих одной подсети /24. 3) Блокировка хостов по пользовательскому черному/белому списку. 4) Геоблокировка в режиме черного/белого списка. Требования для корректной работы скрипта: 1) Установленный компонент "Модули ядра для подсистемы Netfilter" (начиная с версии ПО 4.3 доступен без "Протокол IPv6"). 2) Предварительно настроенный и готовый к работе cron. Можно воспользоваться простой и понятной инструкцией: https://web.archive.org/web/20231004003915/https://forums.zyxmon.org/viewtopic.php?f=5&t=5257 Установка: 1. Офлайн вариант: 1.1. Скачать пакет из вложения и загрузить на устройство/внешний накопитель. 1.2. Выполнить команду: opkg install "/путь_к_пакету/antiscan_1.6.1_all.ipk" 2. Онлайн вариант: 2.1. Выполнить команду: opkg update && opkg install wget-ssl ca-bundle && opkg install https://github.com/dimon27254/antiscan/releases/download/1.6.1/antiscan_1.6.1_all.ipk 3. Указать unix-имена интерфейсов интернет-подключений в файле "/opt/etc/antiscan/ascn.conf". В 4.3+ просмотр unix-имен интерфейсов доступен по команде: show interface {интерфейс} system-name 4. Настроить чтение и хранение списков адресов, если это требуется, в файле "/opt/etc/antiscan/ascn.conf". 5. Запустить Antiscan командой: antiscan start (NEW) Начиная с версии 1.4 настройка Antiscan (редактирование конфигурационного файла, списка cron-задач, пользовательских списков адресов) возможна с использованием web4static от @spatiumstas. Важно: Antiscan является IPv4-only, работает только для протокола TCP. Принцип работы: Описание параметров в ascn.conf: Описание задач в ascn_crontab.txt: Использование Antiscan: {start|stop|restart|status|list|reload|flush|update_rules|read_candidates|read_ndm_ipsets|save_ipsets|update_ipsets|update_crontab} start начать работу скрипта (создать правила, ipset'ы, начать сбор IP) stop остановить работу скрипта (удалить правила, очистить ipset'ы, отменить блокировку) restart остановить и заново начать работу скрипта status отобразить статус Antiscan и количество заблокированных IP, подсетей list {ips|subnets|ndm_lockout} отобразить список и количество заблокированных IP/подсетей reload обновить конфигурацию Antiscan (перечитать файл ascn.conf) flush [candidates|ips|subnets|custom_whitelist|custom_blacklist|custom_exclude|geo|ndm_lockout] очистить списки адресов и удалить их файлы update_rules проверить наличие правил iptables, и добавить их при отсутствии (для hook-скрипта netfilter.d) read_candidates обработать список адресов кандидатов для блокировки по подсетям (запускается вручную или по расписанию) read_ndm_ipsets считать системные списки блокировки по ip lockout-policy (запускается вручную или по расписанию) save_ipsets сохранить списки накопленных адресов в файлы (запускается вручную или по расписанию) update_ipsets {custom|geo} обновить пользовательские списки адресов или подсети для геоблокировки (запускается вручную или по расписанию) update_crontab обновить задачи Antiscan в файле crontab История версий: Исходный код доступен на github: https://github.com/dimon27254/antiscan antiscan_1.6.1_all.ipk

Нет, политики вам в этом случае не требуются. Вы для всего сегмента ставите ограничение в 200, а определенные устройства, для которых в настройках вы явно установите ограничение в 300, получат именно 300.

К сожалению, для Домашней сети невозможно указать общее ограничение скорости через веб-интерфейс. Это требуется выполнить через CLI, первая команда в сообщении @FLK: Для конкретного устройства ограничение уже можно установить в веб-интерфейсе. Таким образом, для всех устройств сегмента ограничение будет 200 Мбит/с, а для избранных устройств - 300.

Добрый день! Спасибо за напоминание по теме Отображение кнопок одновременно у нескольких серверов точно исправлено. А вот "след" от кнопок у меня воспроизводился в момент, когда отписывался по другим исправлениям в 4.3.1. Сейчас никак не хочет.. быть может, что-то "самоизлечилось" после автоматических обновлений браузера 😅

Это ожидаемое поведение: А это уже недоработка со стороны системы. Я о ней довольно давно писал, пока что не исправлено:

Не заработал. Поведение полностью идентично 4.3.0 - также требуется менять tls-priorities на сервере.

Проверил в 4.3.1 - IP корректно добавляются. Спасибо!

@eralde @Anna_ @Test Pilot В мобильной версии окно подтверждения может прокручиваться, даже если не занимает всю высоту видимой области: Проверял на KN-1012 с 4.3.1.

@eralde @Anna_ @Test Pilot На ретрансляторах Mesh-системы возможность изменения часового пояса заблокирована. Это ограничение видно в Параметрах системы: Однако, в окне выбора страны никаких ограничений на смену часового пояса нет. Сохранение настроек повлечет за собой "ругань" системы в логе. Проверял на KN-3210 с 4.3.1.

@eralde @Anna_ в 4.3.1 недочетик больше не воспроизводится. Спасибо за исправление!

@eralde @Anna_ на последних preview с включением порта проблем нет. Спасибо!

@Le ecureuil В 4.3.1 все еще актуально.

@eralde @Anna_ Начиная с 4.3.0 элементы меню перестали сливаться с фоном. Спасибо

@eralde @Anna_ В 4.3.1 на мобильных устройствах подсказка более не отображается. Спасибо!

@eralde @Anna_ В 4.3.1 с кнопками все в порядке. Спасибо!

@eralde @Anna_ В 4.3.1 подсказка корректно отображается. Спасибо!

@eralde @Anna_ В 4.3.1 кнопочки аккуратно переносятся. Спасибо за исправление

@eralde @Anna_ В 4.3.1 все красиво и ровненько: Спасибо

@eralde @Anna_ Новый вариант сокращения значительно лучше: Спасибо!

@eralde @Anna_ @Test Pilot В 4.3.1 при разворачивании бокового меню снова появилось кратковременное "мерцание" элементов: Для сравнения, 4.3.0: