Перейти к содержанию
Официальное хранилище ПО в виде файлов
  • 4

Пользовательские скрипты

ankar84

Ответ от ankar84,

 Поделиться

Вопрос

ankar84 Старожил

ankar84

Опубликовано
Опубликовано

Доброго дня!

После внедрения DoT/DoH в прошивку необходимость в dnscrypt-proxy из Entware для меня лично немного уменьшилась. Теперь запросы от роутера и его клиентов могут быть защищены от перехвата и подмены из коробки 👍

Остается проблема со смартфонами на Android. Они дополнительно (к тому серверу, что прописан в их сетевых настройках) посылают DNS запросы напрямую на 8.8.8.8. А вот эти запросы уже могут быть и перехвачены и подменены. 

Сейчас я решаю эту проблему с помощью вот такого скрипта в Entware - то есть правилом iptables перенаправляю ("приземляю") все проходящие запросы 53\UDP на dnscrypt-proxy.

Так вот: хочется внедрения вот таких пользовательских скриптов из коробки. с тем же набором hook scripts

Дополнительно - очень желательна так же реализация выполнения пользовательских скриптов по времени (по cron).

PS. Ну, а по части функционала dnscrypt-proxy в плане фильтрации по черным спискам запрос в развитие уже оформили.

4 ответа на этот вопрос

Рекомендуемые сообщения

  • 0
Le ecureuil Старожил

Le ecureuil

Опубликовано
Опубликовано

Если вы включите Интернет-фильтр, то все запросы "мимо", включая даже dot/doh мимо - будет завернуты на роутер или дропнуты. Такая штука существует для plaintext udp/53 и tcp/53 еще с 2.06, а для dot/doh появилась в 3.0.

Что еще осталось, кроме black-list?

Запуск скриптов по cron считаю избыточным, потому что в системе без opkg это излишество (скрипты хранить негде), а с opkg вы так и так можете поставить cron.

  • Спасибо 1
  • Лайк 1
  • 0
ankar84 Старожил

ankar84

Опубликовано
  • Автор
Опубликовано
1 час назад, Le ecureuil сказал:

Если вы включите Интернет-фильтр, то все запросы "мимо", включая даже dot/doh мимо - будет завернуты на роутер или дропнуты. Такая штука существует для plaintext udp/53 и tcp/53 еще с 2.06, а для dot/doh появилась в 3.0

Да, вы ответили в другой теме! Спасибо за развернутый ответ и тут.

Хочу уточнить лишь один момент. Если не установлен ни один из 3 интернет фильтров в компонентах и прописаны DoT серверы и один обычный сервер на странице Интернет-Фильтр, то сказанное вами так же действует?

Скрытый текст

image.png.7a1587666e41cca57d0df8d27aca1e4f.png

 

1 час назад, Le ecureuil сказал:

Что еще осталось, кроме black-list?

Вот все фичи dnscrypt

Скрытый текст

Features

  • DNS traffic encryption and authentication. Supports DNS-over-HTTPS (DoH) using TLS 1.3, and DNSCrypt.
  • DNS query monitoring, with separate log files for regular and suspicious queries
  • Filtering: block ads, malware, and other unwanted content. Compatible with all DNS services
  • Time-based filtering, with a flexible weekly schedule
  • Transparent redirection of specific domains to specific resolvers
  • DNS caching, to reduce latency and improve privacy
  • Local IPv6 blocking to reduce latency on IPv4-only networks
  • Load balancing: pick a set of resolvers, dnscrypt-proxy will automatically measure and keep track of their speed, and balance the traffic across the fastest available ones.
  • Cloaking: like a HOSTS file on steroids, that can return preconfigured addresses for specific names, or resolve and return the IP address of other names. This can be used for local development as well as to enforce safe search results on Google, Yahoo and Bing.
  • Automatic background updates of resolvers lists
  • Can force outgoing connections to use TCP
  • Supports SOCKS proxies
  • Compatible with DNSSEC

Жирным выделил, то что сейчас нужно (фильтрация по сути только и осталась). Зеленым выделил то, что реализовано в той или иной степени в прошивке.

2 часа назад, Le ecureuil сказал:

Запуск скриптов по cron считаю избыточным, потому что в системе без opkg это излишество (скрипты хранить негде), а с opkg вы так и так можете поставить cron.

Принял, в целом согласен. Сейчас у меня по крону добавляются маршруты до определенного списка адресов через OpenVPN сервер.

И все же, по теме. В принципе в будущем возможна ли реализация таких пользовательских скриптов без Entware?

Или для этого как раз и интегрирована Entware из коробки? (что в принципе логично).

  • 0
Le ecureuil Старожил

Le ecureuil

Опубликовано
Опубликовано
20 часов назад, ankar84 сказал:

Да, вы ответили в другой теме! Спасибо за развернутый ответ и тут.

Хочу уточнить лишь один момент. Если не установлен ни один из 3 интернет фильтров в компонентах и прописаны DoT серверы и один обычный сервер на странице Интернет-Фильтр, то сказанное вами так же действует?

Нет, перехват включается только при активации DNS-фильтров.

Если DNS-фильтры не включены, то весь транзитный DNS (не предназначенный роутеру) пройдет мимо.

  • 0
Le ecureuil Старожил

Le ecureuil

Опубликовано
Опубликовано
20 часов назад, ankar84 сказал:

Принял, в целом согласен. Сейчас у меня по крону добавляются маршруты до определенного списка адресов через OpenVPN сервер.

 И все же, по теме. В принципе в будущем возможна ли реализация таких пользовательских скриптов без Entware?

 Или для этого как раз и интегрирована Entware из коробки? (что в принципе логично).

OpenVPN давно пора сделать лучше, подождем до этого момента.

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку вопросов

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю