Александр Рыжов

Завезли от рождения, она там всегда была, Настройки Кинетика не связаны с настройками opkg, Как и в других системах, по умолчанию приоритет за ipv6 и это иногда действительно вызывает проблемы. Приоритет ipv6 vs ipv4 для libc (т.е. почти всего) можно задать в файле /opt/etc/gai.conf

@Gourry любая инструкция актуальна на момент написания. Кроме того, нет авторов, готовых поддерживать актуальность инструкций бесконечно долго.

Посмотрите в логах веб-интерфейса, нет ли ошибок при срабатывании скриптов /opt/etc/ndm.d.

@Ponywka, почему способ с вызовом чего-либо в /opt/etc/ndm.d выглядит костыльным? Есть желание взаимодействовать с прошивкой без этой прослойки? Вижу, что в самой прошивке аналогичным образом сделаны вызовы скриптов для ppp в /var/ppp.

Тулчейн мы менять не станем. musl — это в прошивке, в Entware обычная glibc. Но версия glibc arm64 всё равно не взлетает: # ldd ./Jackett/jackett linux-vdso.so.1 (0x0000007fa3f49000) libpthread.so.0 => /opt/lib/libpthread.so.0 (0x0000007fa3eab000) libdl.so.2 => /opt/lib/libdl.so.2 (0x0000007fa3e97000) libstdc++.so.6 => /opt/lib/libstdc++.so.6 (0x0000007fa3d2c000) libm.so.6 => /opt/lib/libm.so.6 (0x0000007fa3c68000) libgcc_s.so.1 => /opt/lib/libgcc_s.so.1 (0x0000007fa3c45000) libc.so.6 => /opt/lib/libc.so.6 (0x0000007fa3ad6000) /lib/ld-linux-aarch64.so.1 => /opt/lib/ld-linux-aarch64.so.1 (0x0000007fa3f1b000) ~ # ./Jackett/jackett --version -sh: ./Jackett/jackett: not found ~ # strace ./Jackett/jackett execve("./Jackett/jackett", ["./Jackett/jackett"], 0x7fc5d637c0 /* 17 vars */) = -1 ENOENT (No such file or directory) strace: exec: No such file or directory +++ exited with 1 +++

Для www проще всего будет включить отображение блокировок в системном логе средствами прошивки. Для остальных см. соотв. наборы ipset в Entware, пример: ipset list _NDM_BFD_Ssh4

См. документацию CLI. Для веб-интерфейса это ip http lockout-policy ‹threshold› [‹duration› [‹observation-window›]]

TL;DR: Прошивочные сервисы уже защищены, а для ssh в Entware проще настроить авторизацию по ключу и закрыть вопрос. Защита от брутфорса в прошивке есть и для telnet/ssh, и для веб-интерфейса, при необходимости правила можно подкрутить самостоятельно. Если в Entware надо прикрыть только ssh, то проще отказаться от парольной авторизации. Если по какой-то причине не подходит, то использовать sshguard. Полное классическое решение fail2ban здесь смотрится сильно избыточным. Для его настройки придётся: настроить сущность для выгрузки логов в /opt/var/log (klogd, syslog-ng и пр.), настроить ротацию логов для того, чтобы не переполнить диск, настроить интеграцию fail2ban c netfilter с помощью хуков /opt/etc/ndm/netfilter.d. …в итоге получив почти то же самое и кучу новых точек отказа. Другими словами: решения, которые органично смотрятся на большом ПК иногда слабо подходят для embedded устройств. В частности, fail2ban на роутере я бы стал использовать только от полной безысходности.

Порт желательно поменять с 5353 на другой, скажем 5350, чтобы избежать конфликта с одной из встроенных служб.

Можно с помощью виртуального терминала screen или dtach. Пример можно найти здесь.

Никак. Никаких. Да. Все с USB-портами, кроме модели 4G с определённой версией прошивки.

/opt/etc/ndm/ifstatechanged.d/ отдаёт оба имени интерфейса: прошивочное и линуксовое. ~ # cat /opt/etc/ndm/ifstatechanged.d/000-gather-iflist.sh #!/bin/sh list='/tmp/iflist.txt' interface="$id: $system_name" if [ ! -f $list ]; then echo $interface > $list else echo $interface | cat $list - | sort -u > $list.tmp mv $list.tmp $list fi exit 0 Как вариант, можно надёргать соответствий там: ~ # cat /tmp/iflist.txt Bridge0: br0 Bridge1: br1 Bridge2: br2 GigabitEthernet0/0: eth2 GigabitEthernet0/1: eth2 GigabitEthernet0/2: eth2 GigabitEthernet0/3: eth2 GigabitEthernet0/4: eth2 GigabitEthernet0/5: eth2 GigabitEthernet0/6: eth2 GigabitEthernet0/7: eth2 GigabitEthernet0/8: eth2 GigabitEthernet0/Vlan1: eth2.1 GigabitEthernet0/Vlan2: eth2.2 GigabitEthernet0/Vlan3: eth2.3 GigabitEthernet0: eth2 GigabitEthernet1/0: eth3 GigabitEthernet1: eth3 Gre0: ngre0 PPTP0: ppp0 TunnelSixInFour0: tun6in4_0 UsbQmi0: qmi_br0 WifiMaster0/AccessPoint0: ra0 WifiMaster0/AccessPoint1: ra1 WifiMaster0: ra0 WifiMaster1/AccessPoint0: rai0 WifiMaster1/AccessPoint1: rai1 WifiMaster1: rai0 Wireguard0: nwg0 Wireguard4: nwg4

Признаться, да. Штука годная. Самые тяжёлые из requirements у нас уже есть.

Из /opt/etc/init.d/S52ipset-dns убрать строчку ipset add $SET_NAME $DNS.

@Dalex, в репозитории пока можете не ждать. Выпилен Qt5, нужны фичи C++20. Проще найти статически собранный бинарник и попытаться запустить на роутере.