vasek00

netstat -ntulp

Что у вас жидко, даже в этой ветке есть весь спектр который дает PRTG (смотрите правило установки PRTG у вас счетчиков 10, в правельной установке с получением ключа и хотя-бы триал на 30дней их 100)

Поправка в Dnsmasq.conf добавить две строчки Разница контроль 53 порта.

Есть ли возможность сборки пакета к текущему кол-во пакетов Entware 1. iodine (Linux/*BSD/Win32, также имеются клиенты под Android, Maemo, WinMobile, Mac OS X) http://ftp.debian.org/debian/pool/main/i/iodine/ - 20170115 iodine_0.7.0-7_mipsel.deb iodine_0.7.0-7_mips.deb 2. dns2tcp http://ftp.debian.org/debian/pool/main/d/dns2tcp/ - 20170307 dns2tcp_0.5.2-1.1+b2_mipsel.deb dns2tcp_0.5.2-1.1+b2_mips.deb в OpenWRT пакет nstx, dns2tcp Вдогонку нашел iodine в тек.репозитарии Entware

Только при покупке обращать не только на емкость и размер но и на другие параметры. Снижая параметр AAM снижается скорость путём уменьшения скорости передвижения головок.

EtherIP конечно же по RFC3378, но в WEB страница имеет имя - EoIP Tunnel и как следствие по lsmod - etherip. dmesg | grep etherip <6>[ 31.610000] etherip: Ethernet over IPv4 tunneling driver Раньше была библиотека конкретная ipip в некоторых сборках, если ее не было то добавлялась. insmod ipip ip tunnel add tun0 mode ipip remote x.x.x.x local y.y.y.y ifconfig tun0 172.16.1.2 netmask 255.255.255.250 iptables -t mangle -A POSTROUTING -p tcp --tcp-flags SYN,RST SYN -o tun0 -j TCPMSS --clamp-mss-to-pmtu route add -net 192.168.10.0 netmask 255.255.255.0 gw 172.16.10.2 dev tun0

Запоздалая справка по dd-wrt но все же, настройка в WEB можно в bridge. Данная реализация зависит от роутера (его памяти) но если есть USB то через доп пакет для нужного ядра, так как там их 3.2 до 4.х. Пример ниже в прошивке. И про ipsec в wiki

Я делаю так, стоит Entware добавил пакет "snmpd" создал простой конфиг запускаем В PRTG запускаем анализ сети, он вылавливает все что есть, далее останавливаем не нужные счетчики (или удаляем). Рисум нужную карту (одну или несколько в зависимости что нужно увидеть) и смотрим результат.

А как же на счет SDK а так же для 7628 в programming описанном 8-канальном арбитре или опять же "MT7628 в Introduction to Mediatek QoS". Библиотека датирована 2014годом.

Hardware QoS есть не во всех, но все поддерживают Soft. Да и речь думаю идет об программном.

А зачем что то изобретать если уже есть наработки даже у самой Mediatek, есть 4 очереди - low, default, high, highest. Каждая очередь настраивается пользователем (или в крайнем случае системой) на диапазон от ХХ и до YYКБайт/с (или как в SDK - %). Пользователю дать возможность привязки данных очередей к хостам или сегментам, конечно это уже не IntelliQoS. Про приоритет трафика например для DNS это уже мечта.

Насчет определения что не положено, MT7628 в Introduction to Mediatek QoS например : MTK/Ralink SW/HW QoS APIs architecture implements 4 QoS models: DRR, SPQ, SPQ+DRR(mixed), and SFQ речь ниже только о SW – DRR (HTB, Rate limited) 4 класса pfifo или группы The bandwidth of every QOS_QUEUE depends on user setting. – SPQ (PRIO, Priority schedule) так же 4 группы high и нижняя low QOS_QUEUE1 has the high priority, QOS_QUEUE4 has the lowest priority – Mixed (SPQ+HTB) QOS_QUEUE1 has the high priority, QOS_QUEUE2 has the middle priority, QOS_QUEUE3 and QOS_QUEUE4 are DRR, depending on user’s setting. – Fairness QoS (на пальцах гарантировать доставку) Fairness QoS does not shape traffic but only schedules the transmission of packets, based on 'flows'. The goal is to ensure fairness so that each flow is able to send data in turn, thus preventing any single flow from drowning out the rest. Вопрос необходимости в данной модели, хотя наверное что-то по умолчанию можно было поставить.

В моих постах без какого либо 010-intercept-dns.sh, повторюсь при указании в строке server = 8.8.8.8 будет обычная работа слушать 53 порт проверить предварительно строчку addn-hosts и отправить запрос далее на сервер DNS, при повторении запроса проверить его у себя в кеш (dnsmasq). Теперь меняете сервер который запущен на server=127.0.0.1#65053 тот же самый отсыл что и выше только на dsncrypt-proxy. Если хотите можете проверить запросы от клиента ПК и просмотр через захват пакетов на роутере, на клиенте чистите кеш DNS и в броузере повтор ссылки на страницу которая пару минут назад была открыта и смотрите будут ли запросы от dncrypt-proxy на сервер DNS или сразу ответ. Данная тема про блокировку на данном форуме датирована февралем 2016 где так же был ответ от ndm смысл тогда зачем использовать iptables для 53->65053? Так же можете попробовать для анализа и кой какие настройки для DNS : cache-size=250 (кол-во записей) no-negcache (отключение кэш ошибочных DNS запросов) local-ttl=7200 neg-ttl=14400 (времени жизни кэша в секундах ) log-facility=/opt/var/log/dnsmasq.log log-queries (протоколирование DNS запросов ) clear-on-reload (очистка DNS кэша при перезапуске)

Если на пальцах dnsmasq слушает 53 порт и потом отправляет запрос на основании строчки server=77.88.8.8 или resolv (то что дает провайдер) если нет строчки которая ниже no-resolv при использовании dnscrypt-proxy и строчки "server" --local-address=127.0.0.1:65053 --daemonize -R yandex dnsmasq.conf server=127.0.0.1#65053 при получении запроса по 53 порту от клиента, он будет отправлен на 127.0.0.1#65053 где получит демон dnscrypt-proxy зашифрует и отправит в данном примере на yandex сервер (77.88.хх.хх:ххх53) "IP_роутера 77.88.хх.хх UDP 556 46287?ххх53 Len=512" в итоге имеем конф файл dnsmasq.conf server=127.0.0.1#65053 no-resolv addn-hosts=/opt/tmp/hosts0

Dnsmasq.conf server=127.0.0.1#65053 no-resolv addn-hosts=/opt/tmp/hosts0 Запуск dnscrypt-proxy c вашим DNS сервером или как ниже ... "--local-address=127.0.0.1:65053 --daemonize -R yandex" Или чуть более подробно что нужно сделать от 08.03.17

Продолжим "сцепку" DNSMasq + DNScrypt-proxy (на Yandex сервера). На клиентах должен стоять IP DNS это адрес роутера. Может что-то и не так - поздно уже. 1. (config)> opkg dns-override (config)> system configuration save 2. Настройки DNSMasq как и выше. Файл hosts0 для блокировки рекламы созданный на основе "wget -O /opt/tmp/hosts0 http://winhelp2002.mvps.org/hosts.txt" *** dnsmasq.conf server=127.0.0.1#65053 no-resolv addn-hosts=/opt/tmp/hosts0 Установка DNScrypt-proxy как выше, только команда на запуск подправить *** dnscrypt-proxy ... "--local-address=127.0.0.1:65053 --daemonize -R yandex" Сменить наименование скриптов для запуска на "S56dnsmasq" и "S57dnscrypt-proxy" 3. Настроить на странице #tools.settings системное время указав IP адреса в место мнемоник - 91.206.16.3, 77.73.64.23, 95.104.192.10, 192.36.143.130 4. Перезапуск, должны получить следующие / # ps | grep dns 826 nobody 3812 S dnsmasq 836 root 4076 S dnscrypt-proxy --local-address=127.0.0.1:65053 --daemonize -R yandex / # или по логу Mar 08 18:01:13ndm Dns::Manager: RPC-only mode enabled. ... Mar 08 18:01:14dnsmasq[826] started, version 2.77test1 cachesize 150 Mar 08 18:01:14dnsmasq[826] compile time options: IPv6 GNU-getopt no-RTC no-DBus no-i18n no-IDN DHCP DHCPv6 no-Lua TFTP conntrack ipset auth no-DNSSEC no-ID loop-detect inotify Mar 08 18:01:14dnsmasq[826] using nameserver 127.0.0.1#65053 Mar 08 18:01:14dnsmasq[826] read /opt/etc/hosts - 2 addresses Mar 08 18:01:14root Started dnsmasq from . Mar 08 18:01:14dnscrypt-proxy[836] Starting dnscrypt-proxy 1.9.1 Mar 08 18:01:14root Started from . Mar 08 18:01:14dnscrypt-proxy[836] Generating a new session key pair Mar 08 18:01:14dnscrypt-proxy[836] Done Mar 08 18:01:14dnscrypt-proxy[836] Server certificate with serial #1473333050 received Mar 08 18:01:14dnscrypt-proxy[836] This certificate is valid Mar 08 18:01:14dnscrypt-proxy[836] Chosen certificate #1473333050 is valid from [2016-11-21] to [2017-11-21] Mar 08 18:01:14dnscrypt-proxy[836] The key rotation period for this server may exceed the recommended value. This is bad for forward secrecy. Mar 08 18:01:14dnscrypt-proxy[836] Server key fingerprint is 90E3:CE87:D095:...:0F59 Mar 08 18:01:14dnscrypt-proxy[836] Proxying from 127.0.0.1:65053 to 77.88.хх.хх:ххх53 ... Mar 08 18:01:14dnsmasq[826] read /opt/tmp/hosts0 - 13356 addresses ... Mar 08 21:36:17ndm Core::System::Clock: system time has been changed. Mar 08 21:36:17ndm Ntp::Client: time synchronized with "95.104.192.10". Mar 08 21:36:17ndm Core::Schedule::Manager: raised action "stop" by "schedule1". Mar 08 21:36:17pppd[766] System time change detected. 5. Проверим запрос на какой либо сайт 6. DNSMasq был проверен ранее при конфиге server=77.88.8.8 server=77.88.8.1 no-resolv addn-hosts=/opt/tmp/hosts0 7. Проверка блокировки рекламы пару адресов из hosts0 и сайт https://www.gismeteo.ru/ Кэширование на роутере DNS запросов проверил лан анализатором на клиенте и по захвату пакетов на роутере -> если не чего не просмотрел то все работает, роутер сразу отдает IP адреса минуя запрос (на клиенте Windows делал ipconfig /flashdns и в FF нажимал ctrl-F5) а на роутере таких запросов уже не было "роутер 77.88.хх.хх UDP 556 46287?ххх53 Len=512" Примечание - может yandex и не очень подходит, так как на многих сайтах есть yandex.redirect (ну тут уже настройки самого yandex если вы клиент его)

Думаю проблема в настройках на оконечниках, а точнее в клиентах (если например Windows). Со своей стороны могу сказать windows 7 с yandex диска выжимаю максимум своего канала на 100Мбит при 17mc до данного сервера, когда то давно все что мог получить не более 4000KB, сейчас все в норме на Windows 7.

А тут я не согласен, так как в какой то версии 2.0х была возможность использовать USB->LAN на базе asix проверял на 100Мbit для K-II. Думаю при использовании на 1000 на том же asix (пусть даже USB и потянет только хотя бы 200Мбит) было бы уже интересно имея на 100Мб роутере канал выше 100Мбит. Сейчас это выглядит так.

Нашел ошибку, якобы сбой на flash, с начало посыпалось на разделе NTFS потом почему то на Ext-4 и как результат "EXT4-fs (sda1): Remounting filesystem read-only". Проблемы на NTFS только по лог сообщениям, как сказать "в живую все нормально" проблем не видно по работе на данном разделе. Вынужден был на втором разделе перейти на NTFS так как скорость на нем при копировании на максимуме для K-II, а на Ext не более 3 все это на одной 32GB от Kingston DataTraveler .

В догонку, перезапуск на v2.09(AAFG.7)A3 Mar 04 19:59:35ndm Dlna::Server: "Data:/Video/" directory added. Mar 04 19:59:35ndm Dlna::Server: "OPT_L:/tmp/Video/" directory added. ... Mar 04 19:59:35ndm Opkg::Manager: disk is set to: 2c9b66df-....-66dff589d201: Mar 04 19:59:35ndm Opkg::Manager: configured init script: "/opt/etc/init.d/rc.unslung". Mar 04 19:59:35ndm Core::Hotplug::Manager: scanning hardware... Mar 04 19:59:36ndm Core::Hotplug::Manager: scanning hardware: done. Mar 04 19:59:36ndm Core::Init: system ready, core startup time is 27 seconds. Mar 04 19:59:37ndm Ntp::Client: unable to communicate with "1.pool.ntp.org". все встало на свои места /dev/sda1 on /tmp/mnt/OPT_L type ext4 (rw,relatime,data=ordered) /dev/sda2 on /tmp/mnt/Data type tntfs (rw,nosuid,noexec,noatime,uid=0,gid=1000,umask=02,allow_utime=0020,nls=utf8,...,mft_zone_multiplier=1) /dev/sda1 on /opt type ext4 (rw,relatime,data=ordered)

С начало не обратил внимание на v2.09(AAFG.7)A3 на одном установленном Entware /dev/sda1 on /tmp/mnt/OPT_L type ext4 (ro,relatime,data=ordered) /dev/sda1 on /opt type ext4 (ro,relatime,data=ordered) /dev/sda2 on /tmp/mnt/Data type tntfs (rw,nosuid,noexec,noatime,uid=0,gid=1000,umask=02,allow_utime=0020,nls=utf8,...,mft_zone_multiplier=1) /etc # cat mtab rootfs / rootfs rw 0 0 /dev/root / squashfs ro,relatime 0 0 tmpfs /dev tmpfs rw,nosuid,noexec,relatime 0 0 ... /dev/sda1 /tmp/mnt/OPT_L ext4 ro,relatime,data=ordered 0 0 /dev/sda1 /opt ext4 ro,relatime,data=ordered 0 0 /dev/sda2 /tmp/mnt/Data tntfs rw,nosuid,noexec,noatime,uid=0,gid=1000,umask=02,allow_utime=0020,nls=utf8,min_prealloc_size=64k,max_prealloc_size=29285372,readahead=4M,perm,user_xattr,case_sensitive,fail_safe,hidden=show,dotfile=show,protected_system=ignore,errors=continue,mft_zone_multiplier=1 0 0 /etc # тут на flash два раздела - первый ext4 второй ntfs, раньше до переустановки (аналогично) было все нормально в такой же конфигурации на другом установленном Entware и с другой версией прошивки /dev/sda1 on /tmp/mnt/OPT_L type ext4 (rw,relatime,data=ordered) /dev/sda1 on /opt type ext4 (rw,relatime,data=ordered) тут на flash один раздел - ext4 в первом случае раздел OPT_L имеет атрибут - RO и естественно запись не дает, хотя сег. сделал update и upgrade его, много чего обновил. где мог допустить косяк? Похоже не мой, так как в mtab он стоит уже с RO

СПС за то что уже есть, мне пока string да RAW и TARPIT пока хватит.

В догонку на последней 2.09.A.3.0-7 куча всего Интересн RAW и TARPIT

Все lib для iptables находятся в /lib/modules/3.4.113/xt_*.ko данного lib для "psd" нет, так же нет и TARPIT на предпоследней v2.09(AAFG.6)A3 . Вы все боретесь со сканированием портов это так серьезно. Если почитать про данный модуль в интернете, то информация датирована в основном до 2012года.

Опустите скорость канала к минимуму, хотя бы до 10-15% от его пропускной и посмотрите. При так сказать атаке он будет доступен на все 100%. И способ NTP использует только UDP пакеты размером 468 байт.