Александр Рыжов

Windows умеет раскрашивать разными DSCP-метками трафик разных приложений. Можно этим воспользоваться.

Быстрый — попытаться установить нужный модуль из архива, Правильный — переписать зависимый софт, Нереальный — призвать назад мейнтейнера.

Точно. Я исходил из того, что таблицы роутинга вряд ли станут меняться без изменения статусов интерфейсов.

Так это ровно тот же костыль из первого поста.

Завезли от рождения, она там всегда была, Настройки Кинетика не связаны с настройками opkg, Как и в других системах, по умолчанию приоритет за ipv6 и это иногда действительно вызывает проблемы. Приоритет ipv6 vs ipv4 для libc (т.е. почти всего) можно задать в файле /opt/etc/gai.conf

@Gourry любая инструкция актуальна на момент написания. Кроме того, нет авторов, готовых поддерживать актуальность инструкций бесконечно долго.

Посмотрите в логах веб-интерфейса, нет ли ошибок при срабатывании скриптов /opt/etc/ndm.d.

@Ponywka, почему способ с вызовом чего-либо в /opt/etc/ndm.d выглядит костыльным? Есть желание взаимодействовать с прошивкой без этой прослойки? Вижу, что в самой прошивке аналогичным образом сделаны вызовы скриптов для ppp в /var/ppp.

Тулчейн мы менять не станем. musl — это в прошивке, в Entware обычная glibc. Но версия glibc arm64 всё равно не взлетает: # ldd ./Jackett/jackett linux-vdso.so.1 (0x0000007fa3f49000) libpthread.so.0 => /opt/lib/libpthread.so.0 (0x0000007fa3eab000) libdl.so.2 => /opt/lib/libdl.so.2 (0x0000007fa3e97000) libstdc++.so.6 => /opt/lib/libstdc++.so.6 (0x0000007fa3d2c000) libm.so.6 => /opt/lib/libm.so.6 (0x0000007fa3c68000) libgcc_s.so.1 => /opt/lib/libgcc_s.so.1 (0x0000007fa3c45000) libc.so.6 => /opt/lib/libc.so.6 (0x0000007fa3ad6000) /lib/ld-linux-aarch64.so.1 => /opt/lib/ld-linux-aarch64.so.1 (0x0000007fa3f1b000) ~ # ./Jackett/jackett --version -sh: ./Jackett/jackett: not found ~ # strace ./Jackett/jackett execve("./Jackett/jackett", ["./Jackett/jackett"], 0x7fc5d637c0 /* 17 vars */) = -1 ENOENT (No such file or directory) strace: exec: No such file or directory +++ exited with 1 +++

Для www проще всего будет включить отображение блокировок в системном логе средствами прошивки. Для остальных см. соотв. наборы ipset в Entware, пример: ipset list _NDM_BFD_Ssh4

См. документацию CLI. Для веб-интерфейса это ip http lockout-policy ‹threshold› [‹duration› [‹observation-window›]]

TL;DR: Прошивочные сервисы уже защищены, а для ssh в Entware проще настроить авторизацию по ключу и закрыть вопрос. Защита от брутфорса в прошивке есть и для telnet/ssh, и для веб-интерфейса, при необходимости правила можно подкрутить самостоятельно. Если в Entware надо прикрыть только ssh, то проще отказаться от парольной авторизации. Если по какой-то причине не подходит, то использовать sshguard. Полное классическое решение fail2ban здесь смотрится сильно избыточным. Для его настройки придётся: настроить сущность для выгрузки логов в /opt/var/log (klogd, syslog-ng и пр.), настроить ротацию логов для того, чтобы не переполнить диск, настроить интеграцию fail2ban c netfilter с помощью хуков /opt/etc/ndm/netfilter.d. …в итоге получив почти то же самое и кучу новых точек отказа. Другими словами: решения, которые органично смотрятся на большом ПК иногда слабо подходят для embedded устройств. В частности, fail2ban на роутере я бы стал использовать только от полной безысходности.

Порт желательно поменять с 5353 на другой, скажем 5350, чтобы избежать конфликта с одной из встроенных служб.

Можно с помощью виртуального терминала screen или dtach. Пример можно найти здесь.

Никак. Никаких. Да. Все с USB-портами, кроме модели 4G с определённой версией прошивки.