rustrict

@enpa, спасибо за исправления в 1.87! Только упущен момент в описании "ip ssh keygen default": с появлением ed25519 эта команда генерирует 3 ключа.

Попробуйте так: #!/bin/sh [ ! -x "$0" ] && exit 0 <...> Есть "+x" - выполнится, нет - exit 0.

@enpa @MuKu, в текущих мануалах 1.86 для устройств с поддержкой 3.4: Нет команды "ip ssh cipher"; В "ip ssh keygen" не упоминается ключ ed25519 в принципе, и его генерация default в частности. Ещё заметил: Нет команды "whoami". Возможно намеренно, но в базовых командах не хватает "exec"; В глоссарии ссылка на Entware в сноске ведёт к архивному репозиторию. Актуальная: https://github.com/Entware/Entware.

@Le ecureuil, можно ли в таком случае добавить возможность ручного ввода блокируемых подсетей и отдельных адресов (/32)? Я бы тогда сам задал, что хочу блокировать, как это делают, например, в Unbound. Защиты без loopback мне недостаточно, а strict слишком круто для RIPE Atlas: сразу полезли в логе блокировки служебных доменов. Май 5 02:30:33 ndnproxy possible DNS-rebind attack detected: "ipv4only.arpa." IN A "192.0.0.171". Май 5 02:30:33 ndnproxy possible DNS-rebind attack detected: "ipv4only.arpa." IN A "192.0.0.170".

К прошивочному dropbear — нет. Если есть возможность использовать Entware, то там authorized_keys работают. Подключаетесь, запускаете ndmc и вы в CLI.

Дёргайте провайдера насчёт настроек их оборудования.

3.4 Beta 2 (незарегистрированный хост в protected-сегменте): ~ # ndmc -c "sh run" | grep static ip static udp GigabitEthernet1 53 10.1.30.43 !DNS-test ~ # tcpdump -v -i br1 port 53 tcpdump: listening on br1, link-type EN10MB (Ethernet), capture size 262144 bytes 20:17:50.718700 IP (tos 0x0, ttl 56, id 43324, offset 0, flags [none], proto UDP (17), length 81) pppoe-static.mosoblast.rt.ru.51823 > 10.1.30.43.domain: 37248+ [1au] A? keenetic.com. (53) 20:17:55.717505 IP (tos 0x0, ttl 56, id 44463, offset 0, flags [none], proto UDP (17), length 81) pppoe-static.mosoblast.rt.ru.51823 > 10.1.30.43.domain: 37248+ [1au] A? keenetic.com. (53) 20:18:00.717818 IP (tos 0x0, ttl 56, id 45527, offset 0, flags [none], proto UDP (17), length 81) pppoe-static.mosoblast.rt.ru.51823 > 10.1.30.43.domain: 37248+ [1au] A? keenetic.com. (53) ^C 3 packets captured 3 packets received by filter 0 packets dropped by kernel Не стал поднимать сервер, но, я думаю, что проблем бы не возникло. С зарегистрированным устройством (в ip static не IP, а MAC целевого хоста) в private-сегменте аналогично.

Эти правила нужны для работы с DNS-прокси роутера в сегменте с security-level protected. Можно в вебе на странице переадресации портов.

Полностью согласен. Даже не поленился и хотя бы в общих чертах посмотрел, для чего это нужно Яндексу. Запустил Яндекс.Карты на Айфоне, открыл в Safari yandex.ru, а дальше вот такая красота: Summary URL: https://yandexmetrica.com:30103/p?t=UV%7CL7%2C!%22T%5Brwe%26D_%3EZIb%5CaW%2398Y.PC6k Status: 200 OK Source: Network Address: 127.0.0.1:30103 Initiator: watch.js:88 Request GET /p HTTP/1.1 Accept: */* Origin: https://yandex.ru Accept-Encoding: gzip, deflate, br Host: yandexmetrica.com:30103 User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 13_4_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.1 Mobile/15E148 Safari/604.1 Accept-Language: ru Referer: https://yandex.ru/ Connection: keep-alive Response HTTP/1.1 200 OK Content-Type: text/plain; charset=utf-8 Access-Control-Allow-Methods: GET Content-Length: 364 Access-Control-Allow-Origin: * Query String Parameters t: UV|L7,!"T[rwe&D_>ZIb\aW#98Y.PC6k Карты открыли на lo0 tcp/30103 (по Андроиду даже есть работа, где упоминают, откуда ноги у этих портов растут), а Safari через резолв yandexmetrica.com на него приконнектился и послал GET-запрос, на который ему выплюнули закодированный ответ: Km+9nRZEtshkJfOmPHfAmEHn/D05k1mogQc9n3ZgFXCHH1fi4Nsfr/FFIZJ4V66gG15lXB8p2eB3dJoUwf9aH6pn0WBuLNlR6jLmEXw3/Cyo68Tcr0xeRFNFZGfuerT/HuJpYc8i4+LynkyWjDiN701zeM2qD3ghpO1MBMQBDnGc5IIWObvEnlZvMqnKachoJ4uGm6ZBbIWm1U/dMIKdJ4v+KHYP3RrWHVNlDDXO8iALNEjmTz0mHQzEZ2VBjMYjwsYS6fR4uiG4Pl7MQZVdqUnK2Vxio5z0t+FqEU+vLyuAQprlcI3SHXWz8YsKJ4PrLrbu4KQiLpnMcBgzZ15jT8lYYg1Yqwp3cCKbkPqq/I4=

Судя по "whois yandexmetrica.com" и "dig any yandexmetrica.com @8.8.8.8" - вполне себе зарегистрированный на Яндекс и обслуживаемый их NS-ами Что-то можно накопать при гуглении. Я для себя приметил, что лезет в логе при просмотре сайтов на смартфонах с незаблокированной рекламой.

Менял так-сяк несколько часов и получилось: ipv6-icmptype 3 limit: avg 15/sec burst 30 ipv6-icmptype 128 limit: avg 15/sec burst 30 ipv6-icmptype 129 limit: avg 15/sec burst 30 Оказалось, что и 128, 129 надо бы подтянуть

@vst, можно попросить, пожалуйста, изменить (ослабить) лимит в цепочке _NDM_ICMPV6_POLICY для Time Exceeded (Type 3). У меня за роутером стоит пробник RIPE Atlas, то есть через firewall проходит заметное количество транзитных ICMPv6-пакетов, и при traceroute'ах постоянно возникает ситуация, когда на WAN пакет пришёл, а через fw до хоста не добрался. Ниже, скрытым постом, пример такой ситуации.

Зачем же рубить с плеча? Пусть будет гибкость у работающего сервиса. И потом, это просто голосовалка, я лишь предлагаю.

Предлагаю дополнить easyconfig check командой "easyconfig check exclude-captive" для отключения проверки доступности интернета через сервис NDM. Хотелось бы иметь возможность (пусть это просто надпись и лампочка) не зависеть от одного ресурса при проверке: есть интернет или нет. В настоящий момент чекер игнорирует доступность ресурсов из списка hosts, когда "отвалился" captive. Классическая картина: (config)> show internet status checked: Thu Apr 2 13:23:04 2020 enabled: yes reliable: yes gateway-accessible: yes dns-accessible: yes host-accessible: yes captive-accessible: no internet: no

@sergeyk, а чем эти ошибки вызваны непонятно? В 3.3 и раньше не сталкивался.