vasek00

Dnsmasq поставил все ОК.

Есть ли возможность обновить dnsmasq до 2.78 https://security.googleblog.com/2017/10/behind-masq-yet-more-dns-and-dhcp.html

ОК

Значит я не знаю что в настоящие время вкладывают в понятие - "лайк" и где ставить или не ставить.

Вернемся к истокам тут все логично, но тогда нелогичен сам конфиг выше где повторюсь данные команды не кто в ручную не добавлял. Так же для справки Суть того вопроса (и всех последующих по данной теме) была использовать фильтрацию в bridge0 т.е. если есть два роутера K1 и K2 соединенные LAN и с клиентами K1.1 и K2.1 - нужно было развязать этих клиентов от всей Bridge0-Home.

О сколько нам открытий чудных Готовят просвещенья дух И Опыт, сын ошибок трудных, И Гений, парадоксов друг, И Случай, бог изобретатель Могу так же привести примеры (про себя) где у меня работает, а других баги с данного форума. Думаю и сами можете найти кучу примеров из своей практики, да и не из своей. Так что это не аргумент. Мне так же нравится ставить лайки но не да такой же степени.

Да это выход, а потом опять так как не даю гарантии, что он не измениться после посещения WEB страницы именно посещения. Пример как то уже обсуждал тут на форуме на примере интерфейсов так как Bridge0 и он основной то зачем тогда на Home VLAN/WifiMaster0/AccessPoint0 стоит "private" interface FastEthernet0/Vlan1 description "Home VLAN" security-level private interface WifiMaster0/AccessPoint0 rename AccessPoint security-level private interface Bridge0 rename Home security-level private можно удалять security-level private на остальных кроме Bridge, но потом они все равно там появятся, это частный пример можно поднять и еще привемр.

Наверное второе лучше и не мешало бы как то конф файл контролировать (только не решением делать сброс к заводским с последующей настройкой)

В смысле то что у меня стоят и что - флага на их использования или запуска НЕТ (используется по мере надобности или опробование разных вариантов/задач). В WEB для данных сервисов галка отключена, в логе есть строки об их применении Например Второе заметил если что-то использовали ранее например ipsec а потом отказались то он "наглухо" сохранит настройки в конфиге Хотя должен был бы подчистить конфиг.

Уже давно писал, что данные службы запускаются игнорируя "галку" в WEB, да и не только они.

Не было такого как и в 2.09-2.10 так же на KII. Значит в моей схеме что-то блокировало. Как например switch (другой роутер) в локальной сети из-за которого была ромашка при просмотре в разделе /#home.hosts, как только убрали и просмотр заработал. Так что все может быть.

Давно значит не был.

2.11A3-1 интересное новшество (наверное связанное c LLDP) на данной странице /#home.hosts если у вас в сети есть еще один роутер zyxel (или их несколько) то в списке устройств появиться url ссылка на данное устройство, хорошо бы наверное тогда всплывающее (при подведение мышки к данной позиции) не большое окно в котором была бы информация раз она уже есть по LLDP (релиз прош.текущий). Версия WEB старая.

Интересен RAWDNAT RAWDNAT The RAWDNAT target will rewrite the destination address in the IP header, much like the NETMAP target. --to-destination addr[/mask] Network address to map to. The resulting address will be constructed the following way: All 'one' bits in the mask are filled in from the new address. All bits that are zero in the mask are filled in from the original address. See the RAWSNAT help entry for examples and constraints. Самое простое если две сети которые связываются находятся в одном поле IP адресов 192.168.1.2--роутер-------инет-------роутер-192.192.168.1.100

Для любителей списков блокировки больших и малых

Как то уже выкладывал тест через SNMP оценку загрузки процем когда списки большие (при просмотре страниц интернета) то же думал, что сильно нагружают но нагрузки не было.

Из прочитанной данной теме имеем у вас на роутере Клиент ---->------53порт--->---5353--dnscrypt-proxy------>------Интернет При запросе клиентом он запрос сразу на dnscrypt-proxy далее анализ фильтра если попал то ответ клиенту, если нет то запрос в интернет. dnscrypt-proxy есть списки по мнемонике и по IP и так же чем они богаче тем лучше. У меня нет ни каких баннеров, опять вопрос к спискам?

Я описал принцип работы. Как понять фразу Рад выложить картинки но при моем возможном месте уже не судьба - 0,02MB

Как вы правильно отметили все зависит от списка который нужно фильтровать - "malwaredom_block" - 1157 записей, "mvps_block" - 13237 создавались на основе Судя по вашему ответу Предполагаю у вас родной DNS + dnscrypt. Только остановлюсь на маленькой справке по работе связки - DNSmasq + dnscrypt (без всяких пере направлений 53->5353, а сразу DNSmasq на 53 - "opkg dns-override" ). От клиента приходит запрос на 53 который контролирует DNSmasq, сопоставляя запрос со списком фильтрации он принимает решение отправить сразу моментально ответ клиенту или согласно двум записям (или одной server=) отправить его далее на локальный сервис dnscrypt который уже сразу отправляет (тут не используется не какой список, а только функции шифрованного запроса). Так же учтем работу cache который есть везде DNSmasq ключ "cache-size=1500" или даже "cache-size=0" и на клиенте Windows или другом.

Приведу еще несколько интересных параметров для использования ... # ResolverName random # ResolversList /opt/share/dnscrypt-proxy/dnscrypt-resolvers.csv # LocalAddress 127.0.0.1:65153 # MaxActiveRequests 250 # EDNSPayloadSize 1252 # IgnoreTimestamps no # TCPOnly no # BlockIPv6 no # QueryLogFile /opt/tmp/dns-queries.log # LogFile /opt/var/log/dnscrypt-proxy.log # LogLevel 6 # Syslog off # SyslogPrefix dnscrypt ## Block both domain names and IP addresses: # BlackList domains:"/opt/tmp/dnscrypt-blacklist-domains.txt" ips:"/opt/tmp/dnscrypt-blacklist-ips.txt" ## Same as the above + log the blocked queries in a file. ## The log file can be prefixed with ltsv: (ex: ltsv:/tmp/log.txt) in order to # BlackList domains:"/opt/tmp/dnscrypt-blacklist-domains.txt" logfile:"/opt/var/log/dnscrypt-blocked.log" # BlackList ips:"/opt/etc/dnscrypt-blacklist-ips.txt" logfile:"/opt/var/log/dnscrypt-blocked.log" # BlackList domains:"/opt/etc/dnscrypt-blacklist-domains.txt" ips:"/opt/tmp/dnscrypt-blacklist-ips.txt" logfile:"/opt/var/log/dnscrypt-blocked.log" По смыслу имен боле менее понятно назначение. Не поделитесь наработкой в чем лучше по резке рекламы?

Вы не учитываете то что роутер выполняет тут две функции - конечная точка туннеля раз и отправить пакет до нужной точки (страница в интернете) два. На другой же стороне был роутер2 с чистым IP и поднятым PPTP сервером, через него и был выход на speedtest. ПК----роутер1(PPTP-клиент)---Интернет---(PPTP-сервер)роутер2

За рекламой ее блокировкой следит у меня Dnsmasq, для него есть два списка "malwaredom_block" - 1157 записей, "mvps_block" - 13237 записей, так что хватает. Можете включить лог и посмотреть что получается, только потом выключить #log-queries #log-facility=/opt/var/log/dnsmasq.log #log-async=25 Два резолвера при "all-servers" - отсылка запроса. Запрос DNS от клиента получение его dnsmasq проверка на разрешение из списка если ок то отсылка его на два адреса резолвера, а с какого придет быстрей ответ тот и берется в работу для отправки клиенту. Так что вопрос не ясен по поводу блокировки рекламы.

Ошибаться буду не я, а стандарты на каналы и настройки самого канала PT + Keenetic (канал PPPoE и в нем PPTP, так как повторюсь настройки те которые предлагает прошивка на роутере)

Это конечно хорошо - блок данных больше, вы знаете расчеты это хорошо, но за свою практику ими не пользовался, только автомат - "Автоподстройка TCP-MSS" на интерфейсах.

На 2.11 да и ранее не замечал такого - ExtII, все есть и там и там. Есть клиент находится и там и там. На второй точке прописывал клиентов сразу как только они туда попадали.