vasek00

Dnsmasq.conf server=127.0.0.1#65053 no-resolv addn-hosts=/opt/tmp/hosts0 Запуск dnscrypt-proxy c вашим DNS сервером или как ниже ... "--local-address=127.0.0.1:65053 --daemonize -R yandex" Или чуть более подробно что нужно сделать от 08.03.17

Продолжим "сцепку" DNSMasq + DNScrypt-proxy (на Yandex сервера). На клиентах должен стоять IP DNS это адрес роутера. Может что-то и не так - поздно уже. 1. (config)> opkg dns-override (config)> system configuration save 2. Настройки DNSMasq как и выше. Файл hosts0 для блокировки рекламы созданный на основе "wget -O /opt/tmp/hosts0 http://winhelp2002.mvps.org/hosts.txt" *** dnsmasq.conf server=127.0.0.1#65053 no-resolv addn-hosts=/opt/tmp/hosts0 Установка DNScrypt-proxy как выше, только команда на запуск подправить *** dnscrypt-proxy ... "--local-address=127.0.0.1:65053 --daemonize -R yandex" Сменить наименование скриптов для запуска на "S56dnsmasq" и "S57dnscrypt-proxy" 3. Настроить на странице #tools.settings системное время указав IP адреса в место мнемоник - 91.206.16.3, 77.73.64.23, 95.104.192.10, 192.36.143.130 4. Перезапуск, должны получить следующие / # ps | grep dns 826 nobody 3812 S dnsmasq 836 root 4076 S dnscrypt-proxy --local-address=127.0.0.1:65053 --daemonize -R yandex / # или по логу Mar 08 18:01:13ndm Dns::Manager: RPC-only mode enabled. ... Mar 08 18:01:14dnsmasq[826] started, version 2.77test1 cachesize 150 Mar 08 18:01:14dnsmasq[826] compile time options: IPv6 GNU-getopt no-RTC no-DBus no-i18n no-IDN DHCP DHCPv6 no-Lua TFTP conntrack ipset auth no-DNSSEC no-ID loop-detect inotify Mar 08 18:01:14dnsmasq[826] using nameserver 127.0.0.1#65053 Mar 08 18:01:14dnsmasq[826] read /opt/etc/hosts - 2 addresses Mar 08 18:01:14root Started dnsmasq from . Mar 08 18:01:14dnscrypt-proxy[836] Starting dnscrypt-proxy 1.9.1 Mar 08 18:01:14root Started from . Mar 08 18:01:14dnscrypt-proxy[836] Generating a new session key pair Mar 08 18:01:14dnscrypt-proxy[836] Done Mar 08 18:01:14dnscrypt-proxy[836] Server certificate with serial #1473333050 received Mar 08 18:01:14dnscrypt-proxy[836] This certificate is valid Mar 08 18:01:14dnscrypt-proxy[836] Chosen certificate #1473333050 is valid from [2016-11-21] to [2017-11-21] Mar 08 18:01:14dnscrypt-proxy[836] The key rotation period for this server may exceed the recommended value. This is bad for forward secrecy. Mar 08 18:01:14dnscrypt-proxy[836] Server key fingerprint is 90E3:CE87:D095:...:0F59 Mar 08 18:01:14dnscrypt-proxy[836] Proxying from 127.0.0.1:65053 to 77.88.хх.хх:ххх53 ... Mar 08 18:01:14dnsmasq[826] read /opt/tmp/hosts0 - 13356 addresses ... Mar 08 21:36:17ndm Core::System::Clock: system time has been changed. Mar 08 21:36:17ndm Ntp::Client: time synchronized with "95.104.192.10". Mar 08 21:36:17ndm Core::Schedule::Manager: raised action "stop" by "schedule1". Mar 08 21:36:17pppd[766] System time change detected. 5. Проверим запрос на какой либо сайт 6. DNSMasq был проверен ранее при конфиге server=77.88.8.8 server=77.88.8.1 no-resolv addn-hosts=/opt/tmp/hosts0 7. Проверка блокировки рекламы пару адресов из hosts0 и сайт https://www.gismeteo.ru/ Кэширование на роутере DNS запросов проверил лан анализатором на клиенте и по захвату пакетов на роутере -> если не чего не просмотрел то все работает, роутер сразу отдает IP адреса минуя запрос (на клиенте Windows делал ipconfig /flashdns и в FF нажимал ctrl-F5) а на роутере таких запросов уже не было "роутер 77.88.хх.хх UDP 556 46287?ххх53 Len=512" Примечание - может yandex и не очень подходит, так как на многих сайтах есть yandex.redirect (ну тут уже настройки самого yandex если вы клиент его)

Думаю проблема в настройках на оконечниках, а точнее в клиентах (если например Windows). Со своей стороны могу сказать windows 7 с yandex диска выжимаю максимум своего канала на 100Мбит при 17mc до данного сервера, когда то давно все что мог получить не более 4000KB, сейчас все в норме на Windows 7.

А тут я не согласен, так как в какой то версии 2.0х была возможность использовать USB->LAN на базе asix проверял на 100Мbit для K-II. Думаю при использовании на 1000 на том же asix (пусть даже USB и потянет только хотя бы 200Мбит) было бы уже интересно имея на 100Мб роутере канал выше 100Мбит. Сейчас это выглядит так.

Нашел ошибку, якобы сбой на flash, с начало посыпалось на разделе NTFS потом почему то на Ext-4 и как результат "EXT4-fs (sda1): Remounting filesystem read-only". Проблемы на NTFS только по лог сообщениям, как сказать "в живую все нормально" проблем не видно по работе на данном разделе. Вынужден был на втором разделе перейти на NTFS так как скорость на нем при копировании на максимуме для K-II, а на Ext не более 3 все это на одной 32GB от Kingston DataTraveler .

В догонку, перезапуск на v2.09(AAFG.7)A3 Mar 04 19:59:35ndm Dlna::Server: "Data:/Video/" directory added. Mar 04 19:59:35ndm Dlna::Server: "OPT_L:/tmp/Video/" directory added. ... Mar 04 19:59:35ndm Opkg::Manager: disk is set to: 2c9b66df-....-66dff589d201: Mar 04 19:59:35ndm Opkg::Manager: configured init script: "/opt/etc/init.d/rc.unslung". Mar 04 19:59:35ndm Core::Hotplug::Manager: scanning hardware... Mar 04 19:59:36ndm Core::Hotplug::Manager: scanning hardware: done. Mar 04 19:59:36ndm Core::Init: system ready, core startup time is 27 seconds. Mar 04 19:59:37ndm Ntp::Client: unable to communicate with "1.pool.ntp.org". все встало на свои места /dev/sda1 on /tmp/mnt/OPT_L type ext4 (rw,relatime,data=ordered) /dev/sda2 on /tmp/mnt/Data type tntfs (rw,nosuid,noexec,noatime,uid=0,gid=1000,umask=02,allow_utime=0020,nls=utf8,...,mft_zone_multiplier=1) /dev/sda1 on /opt type ext4 (rw,relatime,data=ordered)

С начало не обратил внимание на v2.09(AAFG.7)A3 на одном установленном Entware /dev/sda1 on /tmp/mnt/OPT_L type ext4 (ro,relatime,data=ordered) /dev/sda1 on /opt type ext4 (ro,relatime,data=ordered) /dev/sda2 on /tmp/mnt/Data type tntfs (rw,nosuid,noexec,noatime,uid=0,gid=1000,umask=02,allow_utime=0020,nls=utf8,...,mft_zone_multiplier=1) /etc # cat mtab rootfs / rootfs rw 0 0 /dev/root / squashfs ro,relatime 0 0 tmpfs /dev tmpfs rw,nosuid,noexec,relatime 0 0 ... /dev/sda1 /tmp/mnt/OPT_L ext4 ro,relatime,data=ordered 0 0 /dev/sda1 /opt ext4 ro,relatime,data=ordered 0 0 /dev/sda2 /tmp/mnt/Data tntfs rw,nosuid,noexec,noatime,uid=0,gid=1000,umask=02,allow_utime=0020,nls=utf8,min_prealloc_size=64k,max_prealloc_size=29285372,readahead=4M,perm,user_xattr,case_sensitive,fail_safe,hidden=show,dotfile=show,protected_system=ignore,errors=continue,mft_zone_multiplier=1 0 0 /etc # тут на flash два раздела - первый ext4 второй ntfs, раньше до переустановки (аналогично) было все нормально в такой же конфигурации на другом установленном Entware и с другой версией прошивки /dev/sda1 on /tmp/mnt/OPT_L type ext4 (rw,relatime,data=ordered) /dev/sda1 on /opt type ext4 (rw,relatime,data=ordered) тут на flash один раздел - ext4 в первом случае раздел OPT_L имеет атрибут - RO и естественно запись не дает, хотя сег. сделал update и upgrade его, много чего обновил. где мог допустить косяк? Похоже не мой, так как в mtab он стоит уже с RO

СПС за то что уже есть, мне пока string да RAW и TARPIT пока хватит.

В догонку на последней 2.09.A.3.0-7 куча всего Интересн RAW и TARPIT

Все lib для iptables находятся в /lib/modules/3.4.113/xt_*.ko данного lib для "psd" нет, так же нет и TARPIT на предпоследней v2.09(AAFG.6)A3 . Вы все боретесь со сканированием портов это так серьезно. Если почитать про данный модуль в интернете, то информация датирована в основном до 2012года.

Опустите скорость канала к минимуму, хотя бы до 10-15% от его пропускной и посмотрите. При так сказать атаке он будет доступен на все 100%. И способ NTP использует только UDP пакеты размером 468 байт.

Нет про данную прогу (из которой скрины) уже писал тут на форуме.

Подтверждаю DHCP работал. Повторюсь про что шла речь.

Речь с начала шла о времени, теперь уже дошли до обновления. Нужно проверить, например на роутере интернета нет - вариант есть /tmp имеет атрибут на запись, в нем есть файл hosts а как на счет добавить строчку 91.218.112.167 ndss.11.zyxel.ndmsystems.com - или же вариант (config)> ip host ndss.11.zyxel.ndmsystems.com 91.218.112.167 Dns::Manager: Added static record for "ndss.11.zyxel.ndmsystems.com", address 91.218.112.167. (config)> system configuration save Core::ConfigurationSaver: Saving configuration... (config)> / # ping ndss.11.zyxel.ndmsystems.com PING ndss.11.zyxel.ndmsystems.com (91.218.112.167): 56 data bytes 64 bytes from 91.218.112.167: seq=0 ttl=55 time=17.032 ms 64 bytes from 91.218.112.167: seq=1 ttl=55 time=16.815 ms ^C --- ndss.11.zyxel.ndmsystems.com ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max = 16.815/16.923/17.032 ms / # cat /tmp/hosts 127.0.0.1 localhost ::1 localhost / # по конфигу строка ip host ndss.11.zyxel.ndmsystems.com 91.218.112.167

Достаточно в настройках tools.settings в разделе системное время прописать в место 0.pool.ntp.org, 1.pool.ntp.org и т.д. IP адреса например 91.206.16.3, 77.73.64.23, 95.104.192.10, 192.36.143.130

Дело в том что есть датчики (тут же на форуме их кол-во так же есть) их можно компоновать в нужную картину (карту, т.е. несколько карт) для анализа, ассоциация их с именами интерфейсов для *unix и для многих роутеров, т.е. - самый первый это клиент wi-fi на broadcom, что то качает по wi-fi, за ним идет вариант отображения байтиков на данном датчике; - ppp0 - MY-Keen вход интернета, за ним идет вариант отображения байтиков на данном датчике; - ra0 - My-ExtII точка доступа для wi-fi клиентов канал 2,4GHz за ним идет вариант отображения байтиков на данном датчике; на последнем нарисована (карта) схема прохождения доступа клиента wi-fi до канала интернета, через My-ExtII -> Me-Keen -> Инет: Клиент_Wifi--->2,4GHz-->ra0(My-ExtII)--->eth2.1(My-ExtII он же LAN)--->eth2.1(My-Keen он же LAN)--->CPU(My-Keen)--->ppp0(My-Keen)--->Интернет

А как же на 2013 устройтсво - ALL-VPN10 - VPN/Firewall/WLAN/WAN Router стоимость подходящая на платформа на MT6856. Dual WAN for load balancing и т.д. http://www.netsolusi.com/our-products/allnet/ Многое что есть там сейчас появляется и в прошивках Zyxel только с 2016г.

О какой критики может идти речь, спс за "@Linux advanced routing & Traffic Control....". В данном случае на то он и форум для обсуждения тех или иных вопрос Вопрос только в необходимости данных правил. Повторюсь - многое уже придумано и людьми которые понимают в этом побольше нас с вами, но меня уж точно. ДА.

Тогда зачем ## Блокируем фрагментированные пакеты iptables -A INPUT -i _NDM_INPUT -f -j DROP Продолжим изыскание переменные: ipfrag_high_thresh = 256Кб очередь фрагмент.пакетов , ipfrag_low_thresh = 192Кб нижний порог, ipfrag_time = 30 сек.

Можно узнать процент попадания в созданные правила - чего либо. Например про ICMP я бы обратил внимание например на две переменные "icmp_ratelimit" (по значению не более 1000*0.01=10) и "icmp_ratemask" (по значению 6168 ограничения на ICMP: Destination Unreachable=3, ICMP Source Quench=4, ICMP Time Exceeded=11, ICMP Parameter Problem12 или равно 2^3+2^4+2^11+2^12); "icmp_echo_ignore_broadcasts" равна 1 (т.е. включено или проще говоря защита от smurf атак) Это я к чему - кое над чем уже подумали до нас.

Странно если бы они их не умели читать, пользователь нажимает кнопку и система снимает данные - т.е. для обычного пользователя самое то. Был я там в поддержке, меня не все так радует.

Все дело в том, что система из коробки для решения каких либо вопросов которые могут возникнуть по работе роутера мало информативна (тот же лог или selftest) и пользователь старается найти хоть какие то данные которые могут натолкнуть на решение его проблемы. все мы к чему то стремимся.

Что мешает на основе режиме ТД организовать все что вам нужно, а не переводить в режим "Усилителя" или "Адаптера".

Про youtube.com по поводу IP адрес и их кол-во, можно посмотреть (нужен установленный whois) / # whois -h whois.radb.net '!gAS15169' | grep / .... 173.194.0.0/24 173.194.1.0/24 173.194.2.0/23 173.194.2.0/24 173.194.3.0/24 173.194.4.0/23 173.194.4.0/24 ... 173.194.44.0/23 173.194.44.0/24... 173.194.252.0/23 173.194.252.0/24 173.194.253.0/24 173.194.254.0/23 173.194.254.0/24 173.194.255.0/24 ... ... где AS15169 - orign запись данной зоны, хотя по "nslookup youtube.com" их всего-то Name: youtube.com Address 1: 173.194.44.66 Address 2: 173.194.44.69 Address 3: 173.194.44.65 Address 4: 173.194.44.68 Address 5: 173.194.44.72 Address 6: 173.194.44.73 Address 7: 173.194.44.71 Address 8: 173.194.44.64 Address 9: 173.194.44.70 Address 10: 173.194.44.67 Address 11: 173.194.44.78 Address 12: 2a00:1450:4010:c03::88 lr-in-x88.1e100.net Да и "youtube" адреса пересекаются с "google" Потом говорят IP адресов v4 не хватает.

2.09(AAFG.3)A3 - ts_bm, ts_kmp имеются. / # iptables -A INPUT -p udp --dport 53 -m string --algo bm --hex-string "|00 01 00 00 00 00 00 01 06|google|03|com|00 00 02|" -j DROP / # iptables -nvL | grep STRING 0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53 STRING match "|000100000000000106676f6f676c6503636f6d000002|" ALGO name bm TO 65535 / #