-
Posts
1248 -
Joined
-
Last visited
-
Days Won
25
Александр Рыжов last won the day on June 8 2023
Александр Рыжов had the most liked content!
Equipment
-
Keenetic
Tera II
Recent Profile Visitors
Александр Рыжов's Achievements
-
Как настроить разделение трафика от разных приложений?
Александр Рыжов replied to ZeroUnderscoreOu's question in Обмен опытом
Windows умеет раскрашивать разными DSCP-метками трафик разных приложений. Можно этим воспользоваться. -
Быстрый — попытаться установить нужный модуль из архива, Правильный — переписать зависимый софт, Нереальный — призвать назад мейнтейнера.
-
Корректное изменение таблицы маршрутизации
Александр Рыжов replied to ivanvan's topic in Вопросы по сборке и настройке Opkg
Точно. Я исходил из того, что таблицы роутинга вряд ли станут меняться без изменения статусов интерфейсов.- 10 replies
-
- netfilter.d
- routing table
-
(and 2 more)
Tagged with:
-
Корректное изменение таблицы маршрутизации
Александр Рыжов replied to ivanvan's topic in Вопросы по сборке и настройке Opkg
Так это ровно тот же костыль из первого поста.- 10 replies
-
- netfilter.d
- routing table
-
(and 2 more)
Tagged with:
-
Странная проблема с curl
Александр Рыжов replied to MonoBOY's topic in Вопросы по сборке и настройке Opkg
Завезли от рождения, она там всегда была, Настройки Кинетика не связаны с настройками opkg, Как и в других системах, по умолчанию приоритет за ipv6 и это иногда действительно вызывает проблемы. Приоритет ipv6 vs ipv4 для libc (т.е. почти всего) можно задать в файле /opt/etc/gai.conf -
@Gourry любая инструкция актуальна на момент написания. Кроме того, нет авторов, готовых поддерживать актуальность инструкций бесконечно долго.
- 80 replies
-
ipset-dns для выборочного роутинга
Александр Рыжов replied to Александр Рыжов's topic in Каталог готовых решений Opkg
Посмотрите в логах веб-интерфейса, нет ли ошибок при срабатывании скриптов /opt/etc/ndm.d. -
Тулчейн мы менять не станем. musl — это в прошивке, в Entware обычная glibc. Но версия glibc arm64 всё равно не взлетает: # ldd ./Jackett/jackett linux-vdso.so.1 (0x0000007fa3f49000) libpthread.so.0 => /opt/lib/libpthread.so.0 (0x0000007fa3eab000) libdl.so.2 => /opt/lib/libdl.so.2 (0x0000007fa3e97000) libstdc++.so.6 => /opt/lib/libstdc++.so.6 (0x0000007fa3d2c000) libm.so.6 => /opt/lib/libm.so.6 (0x0000007fa3c68000) libgcc_s.so.1 => /opt/lib/libgcc_s.so.1 (0x0000007fa3c45000) libc.so.6 => /opt/lib/libc.so.6 (0x0000007fa3ad6000) /lib/ld-linux-aarch64.so.1 => /opt/lib/ld-linux-aarch64.so.1 (0x0000007fa3f1b000) ~ # ./Jackett/jackett --version -sh: ./Jackett/jackett: not found ~ # strace ./Jackett/jackett execve("./Jackett/jackett", ["./Jackett/jackett"], 0x7fc5d637c0 /* 17 vars */) = -1 ENOENT (No such file or directory) strace: exec: No such file or directory +++ exited with 1 +++
-
TL;DR: Прошивочные сервисы уже защищены, а для ssh в Entware проще настроить авторизацию по ключу и закрыть вопрос. Защита от брутфорса в прошивке есть и для telnet/ssh, и для веб-интерфейса, при необходимости правила можно подкрутить самостоятельно. Если в Entware надо прикрыть только ssh, то проще отказаться от парольной авторизации. Если по какой-то причине не подходит, то использовать sshguard. Полное классическое решение fail2ban здесь смотрится сильно избыточным. Для его настройки придётся: настроить сущность для выгрузки логов в /opt/var/log (klogd, syslog-ng и пр.), настроить ротацию логов для того, чтобы не переполнить диск, настроить интеграцию fail2ban c netfilter с помощью хуков /opt/etc/ndm/netfilter.d. …в итоге получив почти то же самое и кучу новых точек отказа. Другими словами: решения, которые органично смотрятся на большом ПК иногда слабо подходят для embedded устройств. В частности, fail2ban на роутере я бы стал использовать только от полной безысходности.
-
ipset-dns для выборочного роутинга
Александр Рыжов replied to Александр Рыжов's topic in Каталог готовых решений Opkg
Порт желательно поменять с 5353 на другой, скажем 5350, чтобы избежать конфликта с одной из встроенных служб. -
Автозапуск скрипта в случае отвала
Александр Рыжов replied to zaffacy's topic in Вопросы по сборке и настройке Opkg
Можно с помощью виртуального терминала screen или dtach. Пример можно найти здесь.