Александр Рыжов

https://github.com/Entware/Entware/wiki/Compile-packages-from-sources

Имелось в виду "к этому бриджу"? Боюсь, прошивка будет конфигурировать их без оглядки на дополнительные интерфейсы. Вон, для iptables есть хуки в /opt/etc/ndm/netfilter.d для сохранения кастомных правил. Ничего подобного для L2-уровня нет, насколько знаю. Вероятно, так и должно быть. Скорее всего DHCP навешивается на бридж, а не на конкретный tap-интерфейс.

Обновляются с периодичностью, пропорциональной свободному времени у авторов. Сейчас это примерно раз в полгода, значительные баги по мере выявления. Большая часть пакетов синхронизируется с OpenWrt, уникальная часть обновляется по при появления новых релизов у авторов. Если не секрет, поделитесь подробностями по интересующему пакету.

Т.е. команды выполняются без ошибок, но результата нет? К примеру: interface OpkgTap0 up ! interface Bridge0 include OpkgTap0

Здесь одна идея: интегрировать tun\tap интерфейс, который вы поднимаете в Entware, в логику прошивки. Включать\отключать этот интерфейс средствами прошивки вы не сможете, однако сможете использовать его в правилах файервола или роутинга в т.ч. прямо в веб-интерфейсе. В Entware настраиваете свой любимый tunnel/vpn/mesh софт на использование интерфейса opkgtun0 (строчными, без прописных), в моём примере это tinc: ~ # cat /opt/etc/tinc/tinc.conf … Interface = opkgtun0 ~ # cat /opt/etc/tinc/hosts/keenetic Subnet = 192.168.254.3/32 В CLI роутера необходимо добавить описание интерфейса. Логика прошивки полагается только на эту часть: interface OpkgTun0 description Tinc security-level public ip address 192.168.254.3 255.255.255.255 ip global auto ip tcp adjust-mss pmtu up ! system configuration save Обратите внимание, что адрес и подсеть вы задаёте дважды: при настройке софта в Entware и в CLI роутера. Всё! Если сетевой интерфейс работоспособен, можете использовать его на страницах веб-интерфейса: Интернет → Приоритеты подключений, Сетевые правила → Межсетевой экран, Сетевые правила → Переадресация портов, Сетевые правила → Маршрутизация (включая Маршруты DNS), Начните с этого.

Простите за занудство, это не уведомление о входе по SSH. Это уведомление о начале (только) интерактивного сеанса (только) пользователя root. Причём не важно, начат ли сеанс по SSH или нет. Пришедший с правильным паролем по SSH бот при выполнении ssh login@host 'command' следов не оставит.

Отсюда: Я понимаю это так, что AGH сначала ответит записью из кэша и только потом попытается её обновить. Во избежание побочных эффектов, я бы включал оптимистичное кэширование только в особых случаях с тормозными или нестабильными апстим DNS-серверами.

Косяк в синтаксисе. В аргументах rsync должно быть root@192.168.1.1/tmp/…

Может возможно knockd для этих целей приспособить?

Это был косяк с хостингом пакетов. Проверьте, сейчас доступен.

Windows умеет раскрашивать разными DSCP-метками трафик разных приложений. Можно этим воспользоваться.

Быстрый — попытаться установить нужный модуль из архива, Правильный — переписать зависимый софт, Нереальный — призвать назад мейнтейнера.

Точно. Я исходил из того, что таблицы роутинга вряд ли станут меняться без изменения статусов интерфейсов.

Так это ровно тот же костыль из первого поста.

Завезли от рождения, она там всегда была, Настройки Кинетика не связаны с настройками opkg, Как и в других системах, по умолчанию приоритет за ipv6 и это иногда действительно вызывает проблемы. Приоритет ipv6 vs ipv4 для libc (т.е. почти всего) можно задать в файле /opt/etc/gai.conf

@Gourry любая инструкция актуальна на момент написания. Кроме того, нет авторов, готовых поддерживать актуальность инструкций бесконечно долго.

Посмотрите в логах веб-интерфейса, нет ли ошибок при срабатывании скриптов /opt/etc/ndm.d.

@Ponywka, почему способ с вызовом чего-либо в /opt/etc/ndm.d выглядит костыльным? Есть желание взаимодействовать с прошивкой без этой прослойки? Вижу, что в самой прошивке аналогичным образом сделаны вызовы скриптов для ppp в /var/ppp.

Тулчейн мы менять не станем. musl — это в прошивке, в Entware обычная glibc. Но версия glibc arm64 всё равно не взлетает: # ldd ./Jackett/jackett linux-vdso.so.1 (0x0000007fa3f49000) libpthread.so.0 => /opt/lib/libpthread.so.0 (0x0000007fa3eab000) libdl.so.2 => /opt/lib/libdl.so.2 (0x0000007fa3e97000) libstdc++.so.6 => /opt/lib/libstdc++.so.6 (0x0000007fa3d2c000) libm.so.6 => /opt/lib/libm.so.6 (0x0000007fa3c68000) libgcc_s.so.1 => /opt/lib/libgcc_s.so.1 (0x0000007fa3c45000) libc.so.6 => /opt/lib/libc.so.6 (0x0000007fa3ad6000) /lib/ld-linux-aarch64.so.1 => /opt/lib/ld-linux-aarch64.so.1 (0x0000007fa3f1b000) ~ # ./Jackett/jackett --version -sh: ./Jackett/jackett: not found ~ # strace ./Jackett/jackett execve("./Jackett/jackett", ["./Jackett/jackett"], 0x7fc5d637c0 /* 17 vars */) = -1 ENOENT (No such file or directory) strace: exec: No such file or directory +++ exited with 1 +++

Для www проще всего будет включить отображение блокировок в системном логе средствами прошивки. Для остальных см. соотв. наборы ipset в Entware, пример: ipset list _NDM_BFD_Ssh4

См. документацию CLI. Для веб-интерфейса это ip http lockout-policy ‹threshold› [‹duration› [‹observation-window›]]

TL;DR: Прошивочные сервисы уже защищены, а для ssh в Entware проще настроить авторизацию по ключу и закрыть вопрос. Защита от брутфорса в прошивке есть и для telnet/ssh, и для веб-интерфейса, при необходимости правила можно подкрутить самостоятельно. Если в Entware надо прикрыть только ssh, то проще отказаться от парольной авторизации. Если по какой-то причине не подходит, то использовать sshguard. Полное классическое решение fail2ban здесь смотрится сильно избыточным. Для его настройки придётся: настроить сущность для выгрузки логов в /opt/var/log (klogd, syslog-ng и пр.), настроить ротацию логов для того, чтобы не переполнить диск, настроить интеграцию fail2ban c netfilter с помощью хуков /opt/etc/ndm/netfilter.d. …в итоге получив почти то же самое и кучу новых точек отказа. Другими словами: решения, которые органично смотрятся на большом ПК иногда слабо подходят для embedded устройств. В частности, fail2ban на роутере я бы стал использовать только от полной безысходности.

Порт желательно поменять с 5353 на другой, скажем 5350, чтобы избежать конфликта с одной из встроенных служб.

Можно с помощью виртуального терминала screen или dtach. Пример можно найти здесь.

Никак. Никаких. Да. Все с USB-портами, кроме модели 4G с определённой версией прошивки.