4.3 Alpha12 - не работает блокировка транзитных запросов

coolak-fantom · Воскресенье в 07:33

Тестировал на родном DNS-сервере Keenetic. После снятия галочки пробовал и IP перезапрашивать у прова, и полностью роутер перезагружать. Хоть убей не работает.

Запустил слушатель tcpdump в netware роутера, результаты плачевные:

~ # tcpdump -n -i br0 port 53
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on br0, link-type EN10MB (Ethernet), snapshot length 262144 bytes
10:22:57.284090 IP 192.168.1.2.52911 > 8.8.8.8.53: 1+ PTR? 8.8.8.8.in-addr.arpa. (38)
10:22:57.306600 IP 8.8.8.8.53 > 192.168.1.2.52911: 1 1/0/0 PTR dns.google. (62)
10:22:57.319001 IP 192.168.1.2.52912 > 8.8.8.8.53: 2+ A? apple.com. (27)
10:22:57.341308 IP 8.8.8.8.53 > 192.168.1.2.52912: 2 1/0/0 A 17.253.144.10 (43)

Таким образом, никакой блокировкой транзитных запросов не пахнет.

coolak-fantom · Воскресенье в 08:25

Поправил настройки, которые приводили к петле dns на самого себя. Но это не помогло, по ходу функция просто не рабочая. Роутер перезагружал после применения. Диагностика в скрытых сообщениях.

Изменено Воскресенье в 08:26 пользователем coolak-fantom

coolak-fantom · Воскресенье в 09:05

Также пробовал вручную:

Цитата

(config)> dns-proxy intercept enable
Dns::Filter::Filter: Enable intercept for system profile.
(config)> system configuration save
Core::System::StartupConfig: Saving (cli).
(config)> exit

И также ничего не перехватывается, запросы с устройств на 8.8.8.8 / 1.1.1.1 и прочее спокойно проходят. По ходу нерабочую функцию сделали, причем уже очень давно.

coolak-fantom · Воскресенье в 09:26

Тут выяснил, что это функция как раз таки для тех, кто поднимает свой DNS-сервер на роутере, отключая родной. Это отлично, поскольку мне именно для этого и нужно. Сейчас у меня вместо родного стоит скрипт ctrld:

И работает он прекрасно. Однако:

Le ecureuil · Воскресенье в 09:39

33 минуты назад, coolak-fantom сказал:

Также пробовал вручную:

И также ничего не перехватывается, запросы с устройств на 8.8.8.8 / 1.1.1.1 и прочее спокойно проходят. По ходу нерабочую функцию сделали, причем уже очень давно.

У вас хост, случаем, не в политике? Если да, то не работает ожидаемо (такая реализация), если же в основной - то это баг.

Denis P · Воскресенье в 10:19

1 час назад, coolak-fantom сказал:

По ходу нерабочую функцию сделали, причем уже очень давно.

всё работает, как и со развернутыми в Entware: adguardhome/dnsmasq так и со штатным dns-proxy, вероятно проблема в вашей конкретной конфигурации.

@Le ecureuil
заметил интересный момент, для активации "транзита запросов" или наоборот, требуется ровно 300 секунд, так задумано?

keenet07 · Воскресенье в 10:33

12 минут назад, Denis P сказал:

всё работает, как и со развернутыми в Entware: adguardhome/dnsmasq так и со штатным dns-proxy, вероятно проблема в вашей конкретной конфигурации.

@Le ecureuil
заметил интересный момент, для активации "транзита запросов" или наоборот, требуется ровно 300 секунд, так задумано?

300 сек? Никогда не пробовал ждать. Всегда считал, что там какая-то недоделка из-за которой для применения требуется либо перезапустить интерфейс, либо перезагрузить роутер.

coolak-fantom · Воскресенье в 10:40

1 час назад, Le ecureuil сказал:

У вас хост, случаем, не в политике? Если да, то не работает ожидаемо (такая реализация), если же в основной - то это баг.

Пожалуйста, подскажите, где это проверить, я проверю. Не знаком с такими терминами.

coolak-fantom · Воскресенье в 10:46

Если ChatGPT мне правильно подсказал, где проверить, то вот. Не похоже на политику. Всё в System без специальных правил.

Denis P · Воскресенье в 11:45

57 минут назад, coolak-fantom сказал:

Если ChatGPT мне правильно подсказал, где проверить, то вот. Не похоже на политику. Всё в System без специальных правил.

нет, речь об этом
https://help.keenetic.com/hc/ru/articles/360000521799-Приоритеты-подключений
не стоит слепо следовать советам нейросетей, целый help есть

coolak-fantom · Воскресенье в 12:30

44 минуты назад, Denis P сказал:

нет, речь об этом
https://help.keenetic.com/hc/ru/articles/360000521799-Приоритеты-подключений
не стоит слепо следовать советам нейросетей, целый help есть

Как бы я по его "политикам" понял, что искать в хелп-центре?

Ну что, таки баг?

Le ecureuil · Воскресенье в 14:52

4 часа назад, Denis P сказал:

@Le ecureuil
заметил интересный момент, для активации "транзита запросов" или наоборот, требуется ровно 300 секунд, так задумано?

Нет, это точно что-то не то. А можно подробнее описать?

Le ecureuil · Воскресенье в 14:53

2 часа назад, coolak-fantom сказал:

Ну что, таки баг?

Похоже на то, будем разбираться.

Denis P · Воскресенье в 15:22

21 минуту назад, Le ecureuil сказал:

Нет, это точно что-то не то. А можно подробнее описать?

оказалось что в 300 секунд было обычным совпадением, нужно всё таки изменение состояния любого интерфейса чтобы правила добавились в netfilter, ниже прикладываю self тесты

coolak-fantom · Воскресенье в 15:47

53 минуты назад, Le ecureuil сказал:

Похоже на то, будем разбираться.

Спасибо! Если от меня что-то еще нужно, такое как дополнительные логи или создание темы о баге, я с удовольствием предоставлю, только скажите.

Le ecureuil · Понедельник в 13:56

22 часа назад, coolak-fantom сказал:

Спасибо! Если от меня что-то еще нужно, такое как дополнительные логи или создание темы о баге, я с удовольствием предоставлю, только скажите.

Пока просто ждать

Войти

4.3 Alpha12 - не работает блокировка транзитных запросов

Вопрос

coolak-fantom

15 ответов на этот вопрос

Рекомендуемые сообщения

coolak-fantom

coolak-fantom

coolak-fantom

Le ecureuil

Denis P

keenet07

coolak-fantom

coolak-fantom

Denis P

coolak-fantom

Le ecureuil

Le ecureuil

Denis P

coolak-fantom

Le ecureuil

Присоединяйтесь к обсуждению

Последние посетители 0 пользователей онлайн

Обзор

Активность

Магазин

My Details

Важная информация