[Как правильно использовать netfilter в opkg]

11 минуту назад, kroleg сказал:

Проблема - чего?

Незапуска скриптов в netfilter.d?

А где там про это? Я, что-то не увидел.

 

Да вроде не по диагонали читал ... Проверяйте syslog на наличие подобных ошибок и если они там проскакивают, обновляйте iptables. Я оч. сильно сомневаюсь, что проблема в чём-то ином, раз на данный тред сослался zyxmon.

[Как правильно использовать netfilter в opkg]

  

25 минут назад, kroleg сказал:

Это ответ на вопрос "почему скрипты в netfilter.d не выполняются"?

Подозреваю, это был жирный намёк, куда идти. Я не поленился и вбил в поиск "ndmslin" (с настройкой "искать везде") и сразу вышел на указанный выше тред, где разбирается проблема.

з.ы. Совершенно не в теме по причине того что не до роутеров сейчас, но т.к. висела подписка на эту тему, заглянул на огонёк, дабы поискать для вас по форуму 😂 Заняло минуту ...

 

[Странное поведение dhcpd]

А реакция на ARP Flux со стороны самого роутера регулируется ? Пока применил аналогичные твики

echo '1'>/proc/sys/net/ipv4/conf/all/arp_announce
echo '2'>/proc/sys/net/ipv4/conf/all/arp_ignore

что были предложены выше и флуд из syslog'a при использовании вирт.машины с несколькими интерфейсами ушёл

[Как правильно использовать netfilter в opkg]

1 час назад, avn сказал:

А Вы не посмотрели где у меня скрипты лежат? Все отлично будет. Если у Вас таблица не вызывается, значит она роутеру не нужна и перезаписываться не будет. А если вызовется, то отработает штатный скрипт (смотри опять путь к файлу).

Да, проглядел. ОК. попробую. Спасибо.

[Как правильно использовать netfilter в opkg]

3 часа назад, avn сказал:

Проще так в init.d

NAT-таблица как минимум при реконнекте перезапишется, тут нужен скрипт в wan.d. Ваше предложение будет работать до первой (авто) перезаписи таблицы. Меж тем, старый вариант после перезагрузки тогда снова заработал. Видать в процессе работы где-то что-то отваливается и лезет сбой. Ну да бог с ним. С тем костылём тоже всё вполне работает.

[Как правильно использовать netfilter в opkg]

Собственно, так и оказалось. NAT таблица никак не задействуется в моём случае (хз по каким причинам), что показывает такой скрипт

[ ! -x "$0" ] && exit 0

echo "type $type" >> /opt/Data/netfilter.d.log
echo "table $table" >> /opt/Data/netfilter.d.log
echo '###' >> /opt/Data/netfilter.d.log

и его выхлоп :

type iptables
table filter
###
type iptables
table mangle
###
type ip6tables
table filter
###
type ip6tables
table mangle

пришлось использовать таблицу filter и городить костыль с чекенгом NAT-таблицы :

[ ! "$(iptables -nvL POSTROUTING -t nat --line-numbers|grep -E "MASQUERADE.*192.168.1.88.*dpt:3535")" ] && iptables -t nat -I POSTROUTING -s 192.168.1.119 -p tcp --dport 3535 -j MASQUERADE

 

[Как правильно использовать netfilter в opkg]

По какой причине в netfilter.d может не отрабатывать условие [ "$table" != "nat" ] ? Правила для NAT - таблицы при нём тупо не иницируются, будто NAT - таблица не обрабатывается вовсе. С таблицами mangle и filter таких проблем нет.

[Не компилируется ndmq из исходников с github.]

Теперь дошло Эх 😕

[Не компилируется ndmq из исходников с github.]

28 минут назад, zyxmon сказал:

ndmq - это утилита для работы с настройками кинетиков, Работает с прошивкой кинетиков и на других устройствах работать не будет.

Это понятно. Да вроде о них речь и шла в сообщении. А вы о чём подумали ?

28 минут назад, zyxmon сказал:

В Entware эта утилита собирается только для mips/mipsel и устанавливается только на кинетики.

Эм. А почему ? Мне например удобно было бы работать с ней через гаджеты на ведре, а не городить огород с curl'ом и xml-ми (уже нагорожен, для необходимых функций).

28 минут назад, zyxmon сказал:

См - https://github.com/The-BB/keendev

Тут только вроде от ndmq makefile или я не на то смотрю ?

[Не компилируется ndmq из исходников с github.]

Решил собрать для себя статичные бинарники под пару платформ, взял исходники [url=https://github.com/ndmsystems/ndmq/archive/1.0.2.tar.gz]тут[/url], натравил gcc на ndmq.c (это максимум, на что хватает моих знаний в плане обращения с gcc), получил отлуп в виде[code]./ndmq.c:25:22: fatal error: ndm/core.h: No such file or directory[/code]судя по всему, к исходникам чего-то недоложили.

Где взять ?)))

Вдогонку ещё пара вопросов - может есть уже готовые сборки ? Под win,  armv7, armv8(x64), mipsel ? ndmq из entware это конечно хорошо, но такой софт как по мне, должен работать независимо.

К слову, он там с RCI (json) дружить ещё не начал ? А то на гитхабе дата исходников от 2015 года. Мб есть какой форк ? Или аналог ?

[HWNAT ?]

В 23.05.2020 в 00:29, Le ecureuil сказал:

Они в одном пакете под названием "Сетевой ускоритель", так еще с 2.05 идет.

Понятно. Просто непонятки возникли из-за этой статьи

]

HWNAT – аппаратный ускоритель. Присутствует не на всех устройствах (обычно на младших моделях отсутствует и присутствует на старших).

А Omni II вроде совсем не старшая модель, поэтому у меня и возник диссонанс 

[Скрипты из /opt/etc/ndm/* выполняются даже без наличия +x]

В 22.05.2020 в 23:43, rustrict сказал:

Попробуйте так:

#!/bin/sh
 
[ ! -x "$0" ] && exit 0

<...>

Есть "+x" - выполнится, нет - exit 0.

Спасибо. То, что нужно. Вопрос решён Тему можно закрывать.

[HWNAT ?]

Сейчас поднимаю данные по роутеру (давно не юзал), установленной прошивке, софту, модулям и т.д. Так вот. Среди модулей затесался модуль hw_nat, который как я понимаю, обеспечивает HWNAT  

hw_nat 26476 0 - Live 0x81540000 (O)

В принципе его выгрузка через rmmod об этом и сообщает

May 21 00:48:12 ndm: kernel: Ralink/MTK HW NAT 5.0.3.0-10 Module Disabled

но среди компонентов я его не увидел, как через cli (это всё, что содержало "nat" - в гугле эти компоненты значатся "как шлюз прикладного уровня (ALG) для xxx", где xxx тот или иной протокол)

nathelper-ftp
nathelper-pptp
nathelper-rtsp
nathelper-sip
nathelper-h323

ни в веб-фейсе, где судя по всему значился SWNAT

 

Прошивка та же, что и в подписи. Вопрос в том, должен ли быть hw_nat среди модулей в прошивке данного устройства ? Нормально ли они кореллируют на пару с SWNAT ? Есть ли смысл в принципе в HWNAT ?

[cron "из коробки"]

Повесил задачу на выполнение каждые полчаса, теперь она засирает syslog. Как перекрыть поток флуда от данной конкретной задачи, не перекрывая логгирования crond'a в syslog на корню, при том, что

this version of syslogd ignores /etc/syslog.conf

и решения типа этого не годятся ?

[Скрипты из /opt/etc/ndm/* выполняются даже без наличия +x]

13 минуты назад, r13 сказал:

exit 0 в начале скрипта добавьте

Понятно. А без модификации никак ? Просто набросал ручной скрипт-переключатель, который включает или выключает правила по запросу. Изначальная задумка была менять права. Сейчас приходится копировать/удалять/перемещать файл. В принципе можно будет убрать exit 0 за комментарий "#" и sed'ом его добавлять/убирать, но это костыль, имхо

[Скрипты из /opt/etc/ndm/* выполняются даже без наличия +x]

Доброго времени суток. Давненько не заходил на форум, ввиду того, что роутер был отдан на временное пользование родственникам, а теперь он вновь вернулся ко мне

Так вот. Понадобилось мне временно деактивировать пару скриптов в /opt/etc/ndm/netfilter.d и после смены их прав на 644 их выполнение не прекратилось. Только после перемещения скриптов в иную директорию их выполнение было прекращено. Почему ?

Каким макаром можно отменить выполнение конкретных скриптов ? Если для этого требуется модификация скриптов, то какая ? Можно ли обойтись без их изменения ?

[Функция веб-фейса "показать пароль" не даёт залогиниться с первого раза.]

4 часа назад, eralde сказал:

Проблема в том, что кнопка "Войти" съезжает вниз?

Да, сразу после нажатия кнопки "войти", из-за чего её приходится жать повторно (и иногда не с первого раза попадаешь т.к. по инерции повторно жмёшь на то же место, где кнопка была секундой ранее).

4 часа назад, eralde сказал:

У нас в планах есть замена строки "Показать пароль" на иконку внутри самого поля для ввода пароля. Это должно решить вашу проблему.

ОК

[Функция веб-фейса "показать пароль" не даёт залогиниться с первого раза.]

14 минуты назад, Илья Картавенко сказал:

@OmegaTron, сбросьте настройки хрома (все) скорее всего что то в хроме.

На двух устройствах одинаковая ситуация. 44-й и 54 хром. UA-десктопный.

6 минут назад, Mamay сказал:

Трабла хрома. В иных браузерах такого нет!

[Функция веб-фейса "показать пароль" не даёт залогиниться с первого раза.]

Вроде мелочь, но уже успело набить оскомину - при залогинивании через веб-фейс хром (мобильный) автоматом вводит лог-пасс и как только я жму "войти" как чёрт из табакерки вылезает предложение веб-фейса о показе пароля, из-за чего мне снова приходится жать "войти". Можно что-то с этим сделать ?

[Unhandled kernel unaligned access]

Да когда же это закончится ...

Очередное падение и флуд в syslog :

Feb  9 15:25:52 ndm: Network::Interface::Switch: "FastEthernet0/1": switch link up at port 1.
Feb  9 18:20:38 ndm: kernel: Unhandled kernel unaligned access[#1]:
Feb  9 18:20:38 ndm: kernel: Cpu 0
Feb  9 18:20:38 ndm: kernel: $ 0   : 00000000 00000001 00000001 8029f980
Feb  9 18:20:38 ndm: kernel: $ 4   : 77867d98 83377d78 83377e68 803104e8
Feb  9 18:20:38 ndm: kernel: $ 8   : 00000001 00000002 802dfab7 00000000
Feb  9 18:20:38 ndm: kernel: $12   : 00000000 00000000 00000000 00000000
Feb  9 18:20:38 ndm: kernel: $16   : 77867d98 77867d98 65687445 00000000
Feb  9 18:20:38 ndm: kernel: $20   : 80cce4a0 83c18ea8 00000fa0 00a816c0
Feb  9 18:20:38 ndm: kernel: $24   : 00000000 00000000                  
Feb  9 18:20:38 ndm: kernel: $28   : 83376000 83377cc8 00000707 80186510
Feb  9 18:20:38 ndm: kernel: Hi    : 000000cb
Feb  9 18:20:38 ndm: kernel: Lo    : bc2b9fa6
Feb  9 18:20:38 ndm: kernel: epc   : 80183be4 dev_get_stats+0x1c/0x120
Feb  9 18:20:38 ndm: kernel:     Tainted: P           O
Feb  9 18:20:38 ndm: kernel: ra    : 80186510 dev_seq_printf_stats+0x24/0x1f4
Feb  9 18:20:38 ndm: kernel: Status: 1100ec03    KERNEL EXL IE 
Feb  9 18:20:38 ndm: kernel: Cause : 00800010
Feb  9 18:20:38 ndm: kernel: BadVA : 65687481
Feb  9 18:20:38 ndm: kernel: PrId  : 00019650 (MIPS 24KEc)
Feb  9 18:20:38 ndm: kernel: Modules linked in: fastvpn(PO) hw_nat(O) zram mt76x2_ap(O) rtsoc_eth(PO) usbextras(PO) nls_utf8 xt_IPMARK(O) xt_ACCOUNT(O) nls_cp1251 usb_storage xt_DNETMAP(O) xt_length2(O) arptable_filter sd_mod ohci_hcd sr_mod nls_cp437 xt_DELUDE(O) xt_CHAOS(O) sg ext4 xt_LOGMARK(O) xt_STEAL(O) nls_cp866 xt_ipp2p(O) xt_DHCPMAC(O) jffs2 xt_psd(O) ehci_hcd xt_TPROXY xt_RAWNAT(O) xt_SYSRQ(O) xt_TARPIT(O) usbcore xt_geoip(O) xt_iprange xt_NOTRACK ipt_ULOG ip6t_rt xt_connbytes xt_addrtype xt_recent lzo_decompress ip6t_mh xt_string cdrom resetnds(PO) hmac des_generic xt_iface(O) mtdoops_proc(O) nacct(PO) xt_comment nf_tproxy_core xt_helper nfnetlink_log xt_ecn xt_socket ipt_ECN ip_set_hash_ipportip compat_xtables(O) xt_fuzzy(O) ip_set_hash_net rt_timer_wdg xt_ipv4options(O) xt_esp xt_CT zlib_deflate iptable_rawpost(O) ipt_ah xt_NFQUEUE jbd2 nls_base ip_set_hash_ipport ip6t_ipv6header xt_hl xt_hashlimit xt_dscp lzo_compress nfnetlink_queue phr(PO) mbcache xt_length ip_set_hash_ipportnet ip_se [...]
Feb  9 18:20:38 ndm: kernel: Process ndm (pid: 305, threadinfo=83376000, task=830d6d40, tls=76c24960)
Feb  9 18:20:38 ndm: kernel: Stack : 00000002 83c37800 00000003 800b5efc 77867d98 83c18e80 83377f08 80186510
Feb  9 18:20:38 ndm: kernel:         00000000 80cce4a0 81470c00 00000000 00000000 00000000 00000000 00000000
Feb  9 18:20:38 ndm: kernel:         00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000
Feb  9 18:20:38 ndm: kernel:         00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000
Feb  9 18:20:38 ndm: Core::Syslog: last message repeated 2 times.
Feb  9 18:20:38 ndm: kernel:         ...
Feb  9 18:20:38 ndm: kernel: Call Trace:
Feb  9 18:20:38 ndm: kernel: [<80183be4>] dev_get_stats+0x1c/0x120
Feb  9 18:20:38 ndm: kernel: [<80186510>] dev_seq_printf_stats+0x24/0x1f4
Feb  9 18:20:38 ndm: kernel: [<801866f8>] dev_seq_show+0x18/0x44
Feb  9 18:20:38 ndm: kernel: [<800bbcfc>] seq_read+0x3d0/0x510
Feb  9 18:20:38 ndm: kernel: [<800e3e88>] proc_reg_read+0x44/0x90
Feb  9 18:20:38 ndm: kernel: [<8009be60>] vfs_read+0xa0/0x17c
Feb  9 18:20:38 ndm: kernel: [<8009c34c>] sys_read+0x50/0xb0
Feb  9 18:20:38 ndm: kernel: [<80011250>] stack_done+0x20/0x44
Feb  9 18:20:38 ndm: kernel: 
Feb  9 18:20:38 ndm: kernel: 
Feb  9 18:20:38 ndm: kernel: Code: afb20018  8c920114  00808825 <8e42003c> 1440001d  00a08025  8e420040  10400031  00000000 
Feb  9 18:20:38 ndm: kernel: ---[ end trace a254306d3c767974 ]---
Feb  9 18:21:37 ndm: Core::Watchdog: Statistics collector thread holds INTERFACE_PART (64) lock 60 seconds acquired Feb  9 18:20:37.
Feb  9 18:22:37 ndm: Core::Watchdog: Statistics collector thread holds INTERFACE_PART (64) lock 120 seconds acquired Feb  9 18:20:37.
Feb  9 18:23:37 ndm: Core::Watchdog: Statistics collector thread holds INTERFACE_PART (64) lock 180 seconds acquired Feb  9 18:20:37.
Feb  9 18:24:37 ndm: Core::Watchdog: Statistics collector thread holds INTERFACE_PART (64) lock 240 seconds acquired Feb  9 18:20:37.
Feb  9 18:25:37 ndm: Core::Watchdog: Statistics collector thread holds INTERFACE_PART (64) lock 300 seconds acquired Feb  9 18:20:37.
Feb  9 18:26:37 ndm: Core::Watchdog: Statistics collector thread holds INTERFACE_PART (64) lock 360 seconds acquired Feb  9 18:20:37.
Feb  9 18:27:37 ndm: Core::Watchdog: Statistics collector thread holds INTERFACE_PART (64) lock 420 seconds acquired Feb  9 18:20:37.
Feb  9 18:28:37 ndm: Core::Watchdog: Statistics collector thread holds INTERFACE_PART (64) lock 480 seconds acquired Feb  9 18:20:37.
Feb  9 18:29:37 ndm: Core::Watchdog: Statistics collector thread holds INTERFACE_PART (64) lock 540 seconds acquired Feb  9 18:20:37.
Feb  9 18:30:37 ndm: Core::Watchdog: Statistics collector thread holds INTERFACE_PART (64) lock 600 seconds acquired Feb  9 18:20:37.
Feb  9 18:31:37 ndm: Core::Watchdog: Statistics collector thread holds INTERFACE_PART (64) lock 660 seconds acquired Feb  9 18:20:37.
Feb  9 18:32:37 ndm: Core::Watchdog: Statistics collector thread holds INTERFACE_PART (64) lock 720 seconds acquired Feb  9 18:20:37.
Feb  9 18:33:37 ndm: Core::Watchdog: Statistics collector thread holds INTERFACE_PART (64) lock 780 seconds acquired Feb  9 18:20:37.

Тут в недавней теме винили во всех бедах entware и предлагали проверить наличие проблем без него. Только вот какая заковыка - сейчас syslog пишется в файл силами того самого entware. Так что если я от него откажусь, у меня не будет возможности снимать syslog в режиме 24/7. При возникновении проблем /ci/log.txt тупо не отдаётся и его загрузка уходит в loop. Посему у меня вопрос - что делать ?

Ну и до кучи пожелание - неплохо было бы иметь возможность писать системный лог на накопитель силами самого роутера.

["Сломался" entware и отвалился dropbear]

3 часа назад, Le ecureuil сказал:

Дело в том, что Omni II не рассчитывался на то, что на нем будет использоваться opkg. От слова совсем.

Он падал и нестабильно работал ещё задолго до использования мной opkg, чего только стоила прошивка из коробки (помню тогда саппорт тикетами завалил), ну да это отдельный разговор.

4 часа назад, Le ecureuil сказал:

Естественно, что постоянные проблемы с заканчивающимся ОЗУ могут иметь место, все же 64 Мб реально мало даже для всех сетевых функций, которые есть в полном наборе компонентов в 2.15.

Я не так давно перечислял список компонентов, ну да повторюсь

base,corewireless,dhcpd,ftp,igmp,ip6,opkg,opkg-kmod-fs,opkg-kmod-netfilter,opkg-kmod-netfilter-addons,pingcheck,ppe,pppoe,storage,udpxy,usb

ОЗУ занято не более чем на половину (как раз те самые 32 мб), а из entware там постоянно висят лишь lighttpd который крайне редко используется, socat, который пишет syslog, да dropbear.

4 часа назад, Le ecureuil сказал:

Если есть претензии к нему при работе без opkg, то тут возможна (все в  жизни бывает) аппаратная неисправность - при наличии показаний его можно заменить через техподдержку.

Так все гарантийные сроки давно вышли. Роутер год пролежал в запасниках, а потом как я начал его юзать я всё надеялся, что это временно, а потом уже и гарантия вышла.

["Сломался" entware и отвалился dropbear]

4 часа назад, Le ecureuil сказал:

Издеваетесь над устройством, вот оно и не выдержало )

В том то и дело, что как раз наоборот. У меня стоит минимальный набор пакетов - lighttpd, tar, jq, xmlstarlet и прочая мелочёвка типа полного grep'a и sed'a необходимая для нормальной работы в шеллом. Пронзать неевклидовы пространства я от роутера не требую и обычно стараюсь его игнорировать. Недавно его нестабильность (аптайм редко держится больше 1-3 дней) меня вконец задолбала и я завёл своп (128 мб) и zram (16 мб при 64 RAM), вероятно это косвенно и послужило причиной недавних проблем (тут мне так никто и не сказал, что это за ошибки и с чем они связаны).

Увы и ах, но по сравнению с имеющимся киннетиком с прошивкой первого поколения, омни с прошивкой второго поколения это жуткое и нестабильное нечто, которое имеет мне мозг с самой покупки (могу при желании поднять историю тикетов в саппорт) и я очень сомневаюсь, что мой новый роутер будет Zyxel  Радует, что хоть коммьюнити и саппорт отзывчивые

["Сломался" entware и отвалился dropbear]

16 минут назад, vasek00 сказал:

важно удалить файл "/opt/var/run/dropbear.pid"

ОК, сейчас потру через ftp и ребутну.

upd: Помогло, спасибо Интересно, что это в этот раз приключилось и почему привело к таким плачевным последствиям ?

["Сломался" entware и отвалился dropbear]

15 минут назад, Александр Рыжов сказал:

Если перегрузиться без флешки, сообщения об ошибках есть?

Какие конкретно ? Те, что флудом шли ? Они ушли после первого же ребута. А вот dropbear так и не поднялся. Завтра буду под микроскопом изучать что там с бинарниками, правами и скриптами. Глянул пока скрипты мелькнувшие в логах - с ними всё ОК. Некоторые процессы вполне себе инициализировались. Например lighttpd.

["Сломался" entware и отвалился dropbear]

Сообщение вернул - движку не понравились строки с "code" без тегов внутри тега code и он отожрал весь текст после этого. Заменил на кириллицу, теперь всё ОК.