vasek00

Пользователь спросил я ответил. За все время существования на данном форуме прошел с обычной через 2.08 до 2.09. Ставил обновление несколько раз на K-II удаленно, про дом.речь не идет он под боком - проблем пока не было. Каждый использует свою методику обновления, как я и писал ранее про свою домашний на последнем релизе, все остальные только на том что проверил на домашнем, так что на удаленных отставание 1 или в крайнем случае 2 недели. Опять же каждый кто ее 2.09 ставит дает себе отчет, а кто не дает тот учиться так сказать на своих ошибках пусть даже на своих шишках но учиться и винить ему придется только себя, есть альтернатива без шишек это остаться с тем что есть на стабильной.

В чем?

Опасность в чем? На K-II работает сейчас например v2.09(AAFG.2)A1 и v2.09(AAFG.3)A0, ставите, запускаете если все заработает, то далее отслеживаете только те изменения которые вам необходимы. Например клиенты на стат с привязкой по MAC как выясняется подвержены минимальным проблемам при изменении DHCP сервера, над которым сейчас ведутся работы.

Подождем lib из 11 сейчас же ревизия /usr/lib/libxtables.so.10 или /opt/lib/libxtables.so.10 Тут уже есть много примеров и которые могут работать в месте на основе DNSMasq с плюсом IPSet Суть DNSMasq прием и обработка запросов DNS от клиента с проверкой по файлу hosts который обновляется автоматом (или в ручную создается). Меньше таких сайтов посещаете - меньше оставляем следы своего прибывания. Суть IPSet готовые команды выше практически все это создать список неугодных IP адресов поместив их в "geoblock" или свое имя и использовать его в одном входящем INPUT правиле iptables. Создавать большой список не есть гуд, а может к вам и не ломятся или один "залетный" то можно только для него. И не забываем, что разработчик тоже учитывает реалии жизни. https://forum.keenetic.net/topic/139-блокировка-рекламы-на-роутере/ https://forum.keenetic.net/topic/97-блокировка-сбора-информации-windows-10/

Раз уж пошла такая "пьянка" то интересно так же модуль для netfilter типа xt_TARPIT и в iptables libipt_TARPIT — TARPIT — широко известный в узких кругах инструмент для активного противодействия (D)DoS-атакам и сканированиям TCP-портов, способный в определенный обстоятельствах неплохо проучить атакующего. Суть его работы сводится к следующему: он подтверждает открытие входящего TCP-соединения, после чего устанавливает размер окна TCP равным нулю, что блокирует возможность корректного закрытия соединения. В результате система атакующего получает очередное «повисшее» соединение, в то время как ваша система ничего не замечает (хуки netfilter отрабатывают раньше, чем стандартный сетевой стек ядра, дополнительно может потребоваться отключение трекинга соединений в conntrack через действие NOTRACK). При агрессивной атаке подобная тактика может вызвать у атакующего серьезные проблемы. Особенно сильно такому воздействию подвержены системы семейства Windows, на которых, как правило, и работают атакующие ботнеты. открытие порта для пустых соединений iptables -A INPUT -i $IF -p tcp -m tcp --destination-port ххх -j TARPIT или для всех оставшихся последняя запись iptables -A INPUT -p tcp -m tcp -j TARPIT Основной минус это временной интервал timeout. типа xt_DELUDE — DELUDE — не столь опасный, но тем не менее тоже полезный инструмент противодействия сканированию TCP-портов. Работает он следующим образом: на SYN-пакеты он отвечает SYN,ACK-пакетами, создавая видимость открытого порта, на все остальные пакеты он отвечает RST (чтобы не создавать лишних проблем). Таким образом, DELUDE позволяет ввести атакующего в заблуждение, создав у него неверное впечатление о состоянии ваших портов. Что имеем так это все в - /lib/modules/3.4.113 /lib/modules/3.4.113 # ls -l | grep xt_ -rw-r--r-- 1 root root 2008 Jan 20 22:40 xt_CLASSIFY.ko -rw-r--r-- 1 root root 3400 Jan 20 22:40 xt_DSCP.ko -rw-r--r-- 1 root root 4944 Jan 20 22:40 xt_TEE.ko -rw-r--r-- 1 root root 7196 Jan 20 22:40 xt_TPROXY.ko -rw-r--r-- 1 root root 4336 Jan 20 22:40 xt_addrtype.ko -rw-r--r-- 1 root root 1908 Jan 20 22:40 xt_comment.ko -rw-r--r-- 1 root root 3644 Jan 20 22:40 xt_connbytes.ko -rw-r--r-- 1 root root 3144 Jan 20 22:40 xt_connmark.ko -rw-r--r-- 1 root root 2676 Jan 20 22:40 xt_dscp.ko -rw-r--r-- 1 root root 3092 Jan 20 22:40 xt_ecn.ko -rw-r--r-- 1 root root 2304 Jan 20 22:40 xt_esp.ko -rw-r--r-- 1 root root 11360 Jan 20 22:40 xt_hashlimit.ko -rw-r--r-- 1 root root 2648 Jan 20 22:40 xt_helper.ko -rw-r--r-- 1 root root 2200 Jan 20 22:40 xt_hl.ko -rw-r--r-- 1 root root 2552 Jan 20 22:40 xt_iprange.ko -rw-r--r-- 1 root root 2152 Jan 20 22:40 xt_length.ko -rw-r--r-- 1 root root 2116 Jan 20 22:40 xt_owner.ko -rw-r--r-- 1 root root 2984 Jan 20 22:40 xt_physdev.ko -rw-r--r-- 1 root root 2084 Jan 20 22:40 xt_pkttype.ko -rw-r--r-- 1 root root 3772 Jan 20 22:40 xt_policy.ko -rw-r--r-- 1 root root 2456 Jan 20 22:40 xt_quota.ko -rw-r--r-- 1 root root 12368 Jan 20 22:40 xt_recent.ko -rw-r--r-- 1 root root 6060 Jan 20 22:40 xt_set.ko -rw-r--r-- 1 root root 5332 Jan 20 22:40 xt_socket.ko -rw-r--r-- 1 root root 2492 Jan 20 22:40 xt_statistic.ko -rw-r--r-- 1 root root 2400 Jan 20 22:40 xt_string.ko /lib/modules/3.4.113 #

Рассмотрите вариант с помощью ipset, тем более IP адреса можно добавлять самому в готовый список. Создание списка из wget -O- http://www.ipdeny.com/ipblocks/data/countries Далее загнать его например в geoblock и на нужный "порт" (переменная, номер порта куда направить) ... ipset create geoblock hash:net,port for net in $(wget -O- http://www.ipdeny.com/ipblocks/data/countries/ru.zone); do ipset add geoblock $net,порт done iptables -I INPUT -m state --state NEW -m set --match-set geoblock src -j REJECT ... ... add geoblock 91.217.136.0/24,tcp:порт add geoblock 91.246.25.0/24,tcp:порт add geoblock 5.172.0.0/19,tcp:порт add geoblock 46.249.0.0/19,tcp:порт ... /opt/tmp # iptables -nvL | grep geoblock 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW match-set geoblock src reject-with icmp-port-unreachable /opt/tmp # /opt/tmp # ipset --list geoblock ... 62.168.224.0/19,tcp:порт 128.204.0.0/18,tcp:порт 185.5.160.0/22,tcp:порт 194.126.168.0/22,tcp:порт ... сам список можно сформировать в ручную в место того чтоб брать wget с ipdeny, его формат простой например для зоны .... 167.149.0.0/16 168.163.0.0/16 199.103.106.0/24 199.103.111.0/24 199.103.112.0/24 204.79.161.0/24 204.79.162.0/23 204.79.166.0/23 204.79.229.0/24 5.1.96.0/21 Например ru.zona - 123КБ, ch.zone - 30KБ. Ну или с DROP Тут по моему был пример ipset при блокировки рекламы.

Данная тема уже не раз поднималась наверное с 2012г на форумах по данной возможности, даже в SDK есть варианты такой загрузки ... * usb boot command intepreter. Derived from diskboot ... printf ("\nLoading from USB device %d, partition %d: " "Name: %.32s Type: %.32s\n", dev, part, info.name, info.type); ... U_BOOT_CMD( usbboot, 3, 1, do_usbboot, "usbboot - boot from USB device\n", "loadAddr dev:part\n" ); ... Но видимо основное почему нет - покупать будут ради "железа" и только то что дешевле. в некоторых смартфонах есть такая процедура восстановления прошивки, через ONG кабель с USB-flash записать прошивку в память.

Про балансировку уже было написано и сказанно мной - самая простая (минимальных знаний требует) это с использованием nexthop, так же мной было предупреждение для сайтов типа dfiles в которых идет контроль соединений, по второму вопросу не знаю как у других для того что вы написали нужны знания не на уровне обычного пользователя, а необходимо иметь хоть не большой уровень знаний в данной области. Если есть то вы начинаете а с моей стороны помощь в силу моей грамотности, а может и еще кто примет участие. Данные ответы основаны на ваших вопросах.

Опять не внимательно читаете на данный момент времени Это есть уже в прошивке и реализовано как описано выше на приоритетах - основной будет тот канал на котором приоритет выше. Приложенная выкладка просто для пояснения что и как. Опять же по ссылкам не только про балансировку написано.

Опять же читать ссылки видимо не хочется, писалось же не раз в данном случае (речь о прошивки) есть маршрут по умолчанию он же default через который идет выход в интернет и канал резервирования. При наличие двух каналов в тек.реализации один который основной другой резервный поднимаются оба канала, но только на одном стоит default тот у которого приоритет выше, когда один пропадает то происходит переопределение маршрута на default на нужный интерфейс другого канала, это делает система (можно так же pingcheck использовать) на основании приоритетов. Если стоит Entware то переключение можно организовать самому из анализа ifconfig/route (ip ro) и работоспособности канала (проверить его можно как душе угодно, например ping через нужный интерфейс) там по ссылкам куча вариантов была по реализации. О чем речь выше например на Viva два канала один 4G(lte_br0) другой pppoe (ppp0), активный тот который default. Примечание обращать внимание не на IP на название интерфейсов. lte_br0 Link encap:Ethernet HWaddr 00:1E:10:хх:хх:хх inet addr:100.64.75.132 Bcast:100.64.75.135 Mask:255.255.255.248 inet6 addr: хх::хх:хх:хх:хх/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:217 errors:0 dropped:0 overruns:0 frame:0 TX packets:294 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:60799 (59.3 KiB) TX bytes:46141 (45.0 KiB) ppp0 Link encap:Point-to-Point Protocol inet addr:хх.хх.хх.72 P-t-P:хх.хх.хх.1 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1 RX packets:2972 errors:0 dropped:0 overruns:0 frame:0 TX packets:4360 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:519083 (506.9 KiB) TX bytes:435465 (425.2 KiB) wimax0 Link encap:Ethernet HWaddr 00:1E:10:хх:хх:хх inet6 addr: хх::хх:хх:хх:хх/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:210 errors:0 dropped:0 overruns:0 frame:0 TX packets:258 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:59812 (58.4 KiB) TX bytes:50708 (49.5 KiB) Destination Gateway Genmask Flags Metric Ref Use Iface 10.52.129.36 100.64.75.129 255.255.255.255 UGH 0 0 0 lte_br0 IP_DNS1 * 255.255.255.255 UH 0 0 0 ppp0 IP_DNS2 * 255.255.255.255 UH 0 0 0 ppp0 хх.хх.хх.1 * 255.255.255.255 UH 0 0 0 ppp0 10.52.129.56 100.64.75.129 255.255.255.255 UGH 0 0 0 lte_br0 100.64.75.128 * 255.255.255.248 U 0 0 0 lte_br0 192.168.1.0 * 255.255.255.0 U 0 0 0 br0 default 100.64.75.129 0.0.0.0 UG 0 0 0 lte_br0

Можно посмотреть и для грамотного "примастеринга" ..../htdocs/.... , а так например /rci/interface/ip/global .../rci/show/ip/route .../rci/show/ip/nat Как и было сказано ранее Вопрос только в том, насколько можно подойти в ее организации без ущерба. Опять же простое решение применение https как и было сказано выше.

Добавлю так же так как IP 10.10.160.21 а DNS: 10.10.150.хх, 10.10.200.хх то как и сказали ранее добавить маршрут, то скорей всего это 10.10.0.0/255.255.0.0 или 10.0.0.0/255.0.0.0 на шлюз 10.10.160.1.

Для начало отключите торренты на giga и попробуйте, из ваше self видно что очень много вы на торрент возложили (он работает с большим кол-вом кусочков файлов). Так же FAR очень специфичен в некоторых.

А что тогда в вашем посту значит ... C:\temp>net use New connections will be remembered. Status Local Remote Network ------------------------------------------------------------------------------- OK G: \\192.168.1.254\pub Microsoft Windows Network The command completed successfully. Я в своем речь вел про доступ к файлу Z:\test-txt или шара с Keenetic-II смонтирована в винде. net use Новые подключения не будут запомнены. Состояние Локальный Удаленный Сеть ------------------------------------------------------------------------------- OK Z: \\My-keen\data\Tets Microsoft Windows Network Команда выполнена успешно. доступ к данному файлу осуществляется по SMB2 как видно и по Netbios через TCP

FAR на 32bit работает без проблем, samba из entware пакета. F4 открыл исправил содержимое файла F2, опять изменил F2 и Esc ни каких заморочек. K-II тот же проц, шара на Keenetic Аналогично если сделать как диск Z: на Keemetic

У меня один раз была заморочка с wi-fi на K-II (проц тот же) то же думал помер wi-fi (он же на отдельном чипе) но было все банально просто так как есть кнопка для включения wi-fi, то в процессе описанных вами процедур прошивок возможно она нажата, да и в веб ее функции настраиваются. Второе новые версии ПО отличаются в конфиге названиями интерфейсов поэтому рекомендуют сброс и настройка заново), у меня этот процес прошел без болезненно переход по 2.04-2.06 и потом 2.08 (только добавил в конфиг строчки которые тут на форуме есть при переходе на 2.08)

V1 на данном аппарате не было да и на втором то же, втрое - речь только о том что, как вы говорите один раз или было раньше, тогда почему так же один раз нельзя для гарантийного.

Я речь веду о разделе mtd1, маленький пример только из серии K-II (прошел этап 2.04 до 2.08) и Viva. Вот тут вижу - "lanwanip" переменная, и новый сервис "coludalias"

Но тогда всегда есть риск при обновлении устройства - если что ... то .... (но правда есть uboot для recovery), но тем не менее далеко ходить не надо есть например одна запись переменная как lastwanip=ххх.ххх.ххx.191 (май 2014), lastwanip=yyy.yyy.yyy.45 (май 2016) сейчас она же, есть еще одна которой нет в 2014 но уже есть сейчас (появляются новые сервисы) => вывод, что если не злоупотреблять то можно. Речь идет об одноразовом использовании.

Если учитываем первый пост то самый раз, при его значении "пусто" не выходил, первый выход - получите дату, да и тут можно придумать (запрос с проверкой sernumb или тог же servicetag).

Место хранить там же где лежат переменные sernumb, servicetag и т.д. у роутера.

K-II на обоих 2.08(AAFG.5)A11 получились не "понятки" один с PPTP белый, другой на PPPoE так же белый K-1 (192.168.11.1) и PPPoE, лок клиент ПК1 interface IPIP0 security-level public ip address 192.168.100.1 255.255.255.0 ip dhcp client dns-routes ip dhcp client name-servers tunnel destination ууууу.mykeenetic.ru up ! ip route 192.168.1.0 255.255.255.0 192.168.100.1 IPIP0 auto K-2 (192.168.1.1) и PPTP, лок клиент ПК2(LAN) и ПК3(wi-fi) ! isolate-private ... ! interface IPIP0 security-level private ip address 192.168.100.2 255.255.255.0 ip dhcp client dns-routes ip dhcp client name-servers tunnel destination ххххх.mykeenetic.ru up ! ip route 192.168.11.0 255.255.255.0 192.168.100.2 IPIP0 auto При настройке вручную все заработало как и хотел в одну сторону, т.е. ПК1 с К-1 видел нормально ПК2 и ПК c К-2 в обратно нет (так и должно быть). При проверки isolate-private на обоих K-II т.е. ее в "no" не чего не изменилось по доступу c ПК1 на ПК2/ПК3, в обратную сторону можно было достучаться только до K-1 192.168.1.1. Вернул все в состояние до рабочего (первый раз) это К-1 IPIP0 public, K-2 IPIP0 private, ПК1 не видет ПК2/ПК3 но виден только K-2 (192.168.1.1) => думаю проблема с маршрутом на сеть 192.168.1.0, смотрю по WEB и делаю применить опять же те которые были - 192.168.11.0 / 255.255.255.0 192.168.100.2 IPIP0 auto. Проверяю с ПК1 на ПК2/ПК3 нет но виден K-2 (192.168.1.1). К-1 (show)> interface IPIP0 id: IPIP0 index: 0 type: IPIP description: interface-name: IPIP0 link: up connected: yes state: up mtu: 1472 tx-queue: 0 address: 192.168.100.1 mask: 255.255.255.0 uptime: 1808 global: no security-level: public (show)> К-2 (show)> interface IPIP0 id: IPIP0 index: 0 type: IPIP description: interface-name: IPIP0 link: up connected: yes state: up mtu: 1380 tx-queue: 0 address: 192.168.100.2 mask: 255.255.255.0 uptime: 1224 global: no security-level: private (show)> С K-1 так же не видно ПК2 и ПК3, только К-2 Так же обратил внимание две версии но в одном К-1 есть IPIP0 в /#broadband.globals на другом К-2 нет в WEB, в настройках маршрута есть данный интерфейс. Перегружаю K-1 из WEB, в журнале Dec 04 14:19:20ndm Network::Interface::SecureIPTunnel: "IPIP0": tunnel is down: retry to resolve remote endpoint. Dec 04 14:19:21ndm Network::Interface::Tunnel: "IPIP0": resolved destination yy.yy.yy.29 (yyyyy.mykeenetic.ru). Dec 04 14:19:21ndm Network::Interface::Tunnel: "IPIP0": resolved source хх.хх.хх.15. Dec 04 14:19:22ndm Network::Interface::Base: "IPIP0": network MTU is 1472. Dec 04 14:19:22ndm Network::Interface::SecureIPTunnel: "IPIP0": tunnel is ready. Для информации SL_FORWARD 1 60 SL_PROTECT all -- * ipip0 0.0.0.0/0 0.0.0.0/0 ctstate NEW _NDM_SNAT 4 312 _NDM_STATIC_SNAT all -- * ipip0 0.0.0.0/0 0.0.0.0/0 192.168.1.0/24 via 192.168.100.1 dev ipip0 scope link 192.168.100.0/24 dev ipip0 proto kernel scope link src 192.168.100.1 На K-2 в логе вообще тишина на изменения на К-1, даже спустя 30мин. Будем перегружать аппаратно. Нашел ошибку первоначальной работы данной схемы на K-2 в конфиге не было вообще строчки "isolate-private", обновление данного роутера до 2.08 происходило через заливку файла firmware c уже обновленного K-II.

/flash/startup-config он же символьная ссылка /dev/mtdblock/... 11 ndmpart partitions found on MTD device raspi Creating 11 MTD partitions on "raspi": ... ххххххххххх: "Config" .... Cогласен, что нужно только то что нужно. Для меня так же 15минут поставить новую entware (только ту которая текущая на данный момент времени, так как релизы имеют свойство изменяться, улучшаться и исправленные ошибки и не дочеты пред.версий), потом конфиги в /opt/etc.

Вопрос, а зачем его конфиг так сложно вытаскивать, если он спокойно лежит "/flash/startup-config" берем куда надо, в место # Делаем архив конфига ndmq -p "show running-config" -P message | gzip > ${BACSTORDIR}config-${DATE}.gz Да и Entware наверное не стоит копировать весь его (так как библиотеки и версии приложений тоже меняются) возможно достаточно /opt/etc

Теперь все понятно.