Александр Рыжов

Чтобы распутать что в итоге промаркировано и отправлено (?) в отдельную таблицу #220, созданную strongswan'ом. На non-ndms2 девайсах я это вижу: … Chain FORWARD (policy DROP) target prot opt source destination ACCEPT all -- 192.168.1.0/24 10.9.96.0/24 policy match dir in pol ipsec

Речь не только о save. Скажем, что творится с маркировкой ipsec тоже не увидишь: ~ # iptables -L ... Chain _NDM_IPSEC_FORWARD (1 references) target prot opt source destination ACCEPT all -- anywhere anywhere UNKNOWN match `ndmmark' DROP all -- 10.9.96.0/24 192.168.1.0/24 ... Chain _NDM_IPSEC_INPUT_FILTER (1 references) target prot opt source destination ACCEPT all -- anywhere anywhere UNKNOWN match `ndmmark' DROP all -- 10.9.96.0/24 192.168.1.0/24 Chain _NDM_IPSEC_OUTPUT_FILTER (1 references) target prot opt source destination ACCEPT all -- anywhere anywhere UNKNOWN match `ndmmark' DROP all -- 192.168.1.0/24 10.9.96.0/24

Получается, что рабочих вариантов iptables для ndmsv2 на текущий момент нет? В http://pkg.entware-keenetic.ru/binaries/keenle то же самое.

Что-то отвалилось при последнем апдейте? ~ # iptables-save … Can't find library for match `ndmmark'

@imag0611, нет никаких причин поддерживать чужую проприетарщину. Все механизмы работы OPKG-компонента перед вами, а дальше — сами.

Простите что влезаю. Видел единственный use case когда надо ронять линк: залипание порта провайдера, когда помогал только физический дисконнект.

Можете выполнять DROP или REJECT — всё равно. Если пакеты (много пакетов!:)) прилетели к вам на сетевой интерфейс, защищаться поздно. Защита от DDoS обычно выполняется другими способами, к кинетикам отношение не имеющими.

@demos.vlz, вроде как несколько лет уже. См. uBoot env, там больше одной «специфичной» переменной.

Кто ж неволит? Выполняйте dns-override, если сильно хочется. В данной теме необходимости в этом нет. Ок.

Далее выяснится, что облачный хостинг отвалился, придётся ещё один костыль приделывать. Или Зачем вам такое счастье, когда можно оставить системный резолвер в работе. Кроме того, это решение для неподготовленных пользователей, обходящих командную строку по широкой дуге. Выполнив opkg dns-override, DHCP службу вы тоже отключите. Зачем?

А что, и, главное, куда будете прописывать ndss.11.zyxel.ndmsystems.com для того, чтобы роутер мог как прежде получать обновления? Бесполезно, никто не читает:)

В консоль лазить целевой аудитории совсем не проще, это решение для неподготовленных пользователей. Кроме того, dns-override отключит системный резолвер совсем и роутер даже не сможет после подачи питания установить системную дату. Ближайший поддерживаемый dnscrypt-proxy аналог — это OpenDNS, ныне принадлежащий Cisco. Тоже бесплатный. Открылся куда раньше, чем SkyDNS. Чего?:)

Так надо, чтобы завернуть транзитные запросы от клиентов на dnscrypt-proxy. Нужно, если хотите. Гостевую сеть цели защищать не было. Откроет для пакетов, прилетающих с 192.168.1.0/24, т.е. никак не откроет. Удастся разрешить. Все резолвы с самого роутера, включая имена PPTP, серверов обновления NDM или NTP-служб резолвятся без участия dnscrypt-proxy, т.к. они не транзитные. Проверено с помощью tcpdump не вышестоящем узле. Да.

Цель данного решения — дать возможность неподготовленным владельцам кинетиков использовать сторонний софт на роутере с USB-портом для решения какой-то одной конкретной задачи. При этом не надо заморачиваться с форматированием флешки в какую-то специальную файловую систему или вникать в командную строку Linux. USB-накопитель, подключенный к кинетику, можно продолжать параллельно использовать для других нужд, например для UPnP/DLNA-контента или скачивания торрентов. Что это? Самым простым и распространённым способом блокировки доступа к определённым ресурсам со стороны провайдера остаётся искажение DNS-ответов. Всецело поддерживая ограничение доступа к неправомерной информации хочу заметить, что с помощью DNS это делать топорно: в моём случае вместо блокировки одной страницы оказались заблокированы почти полторы тысячи доменов. Предложенное здесь решение, основанное на dnscrypt-proxy, позволяет шифровать DNS запросы-ответы для того, чтобы провайдер не мог в них вмешиваться. Если ваш провайдер тоже подменяет DNS-ответы — решение вам поможет. Как установить? Создайте на USB-носителе папку install и положите в неё файл, приложенный к этому посту *. Убедитесь, что у вас установлен компонент opkg в составе прошивки, Подключите USB-носитель к роутеру, Разрешите использование opkg, выберите ваш USB-носитель в выпадающем списке на этой странице и нажмите кн.«Применить», Добавьте правильно трансляции сетевых адресов (NAT) как на приложенном скриншоте ниже (192.168.1.1 — локальный адрес вашего роутера, если вы его не меняли специально, он будет именно такой). Как использовать? Просто используйте интернет как привыкли, теперь домашние устройства защищены от перехвата и подмены DNS-ответов. Для того, чтобы настройки на любом клиенте вступили в силу, надо очистить на нём DNS-кэш, скажем, с помощью перезагрузки. Как удалить? Удалите правило трансляции сетевых адресов (NAT), добавленное при настройках, Отключите флешку от роутера кнопкой «▲», Сотрите с флешки папки bin, etc, root, sbin * Keenetic LTE/DSL/VOX не поддерживаются. dnscrypt-proxy-mipsel.tgz

@KorDen, он правда тяжеловат. Проверено на отнюдь не самом слабом железе.

Прикольное начинание, когда-то сам думал его развивать, да как-то всё было не досуг: было влом тянуть кабель от тарелки (DVB-S) или от телека (DVB-C). tvheadend помимо основного функционала по трансляции может служить DVR'ом с EPG для IPTV- и DVB-эфира одновременно. Плагины для получения программы передач российских каналов когда-то коллективно писали.

@Mamay, снова, вновь, опять: у кого уже стоит Entware, тем чайнические standalone решения не нужны.

@Mamay, если вы используете Entware, standalone решения вам не нужны. Вы можете запустить darkstat двумя командами.

Это отдельно стоящее решение, с Entware или chroot'ed Debian'ом никак не связанное. Работать вместе с перечисленными сущностями (ровно как и любыми другими) не будет. Поправил. Оставьте поле пустым. Никак. Хотя стоп, можно, но для этого надо лезть в командную строку кинетика, вводить следующие команды, что противоречит смыслу начинаний. opkg timezone auto system configuration save

Кому будет интересно, может попробовать в работе на старших кинетиках IDS suricata, пакет недавно был добавлен в Entware. Synology использует его в своих роутерных прошивках.

Да не, всё в порядке. Darkstat использует libpcap и в conntrack не лезет. После запуска br0 переводится в promiscuous mode и вперёд. Проверено со включенным PPE на IPoE.

Никак: dnscrypt-proxy служит для совсем других целей. Он не кеширует запросы, не ведёт списки исключений и не обслуживает зоны. Поэтому его целесообразно использовать как апстрим для dnsmasq, bind или другого DNS-сервера, обслуживающего локалку.

Все параметры передаются при запуске в /opt/etc/init.d/S09dnscrypt-proxy.

Цель данного решения — дать возможность неподготовленным владельцам кинетиков использовать сторонний софт на роутере с USB-портом для решения какой-то одной конкретной задачи. При этом не надо заморачиваться с форматированием флешки в какую-то специальную файловую систему или вникать в командную строку Linux. USB-накопитель, подключенный к кинетику, можно продолжать параллельно использовать для других нужн, например для UPnP/DLNA-контента или скачивания торрентов. Что это? Это программа сбора сетевой статистики, позволяющая оценить куда обращаются клиенты роутера и сколько при этом трафика они потребляют. Как установить? Создайте на USB-носителе папку install и положите в неё файл, приложенный к этому посту *. Убедитесь, что у вас установлен компонент opkg в составе прошивки, Подключите USB-носитель к роутеру, Разрешите использование opkg, выберите ваш USB-носитель в выпадающем списке на этой странице и нажмите кн.«Применить». Как использовать? Перейдите по этой ссылке. Для удобства можно добавить ссылку в закладки браузера. Как удалить? Отключите флешку от роутера кнопкой «▲», Сотрите на флешке папки etc и bin. * Keenetic LTE/DSL/VOX не поддерживаются. darkstat_mipsel.tgz

Для любителей посканировать я в своё время добавил в репозиторий portspoof. Кстати, при желании софтину можно настроить так, чтобы владельцам nmap'а отправлялся exploit:)