Search the Community
Showing results for tags 'iptables'.
Found 14 results
-
Гуру iptables и сетевых стеков, нужна ваша помощь :) Настроил у себя в домашней сети маршрутизацию выборочных запросов через тор и это вот все. В локалке все работает как надо и хорошо. Но был сильно удивлен, когда решил проверить как это работает когда я подключаюсь к себе по VPN (IPSec, встроенный) и обнаружил что это не работает никак. А еще сильнее был удивлен, когда узнал что для клиентов IPSec нет своего сетевого интерфейса. Если бы он был, вопросов бы не было наверное, добавил бы новое правило прероутинга для интерфейса и все, наподобие уже работающих для локалки: iptable
-
Решил опробовать способ обхода заглушек провайдера с одного всем известного сайта. Принцип несложный - фильтровать пакеты по наличию в них HTTP строки на переадресацию. Однако четкой инструкции на мой роутер на сайте не было, поэтому попробовал реализовать это с помощью OPKG и Entware отсюда. Включил OPKG через веб-интерфейс, "накатил" Entware, сделал через SSH "opkg update" и "opkg install iptables" и прописал по инструкции такую вот команду. iptables -t raw -A PREROUTING -p tcp --sport 80 -m string --algo bm --from 50 --to 200 --hex-string "Location: http://%заглушка%/" -j DROP И врод
-
Deep Packet Inspection (DPI) - фильтровать определенный трафик
vasek00 posted a question in Keenetic Development
Возможно ли такое в данный момент времени. https://github.com/betolj/ndpi-netfilter https://github.com/ntop/nDPI -
Насмотревшись логов своего Keenetic Ultra II и страдая легкой формой "паранойи", решил поделится своими фантазиями на тему использования iptables для усложнения жизни "сканерастов" (любителей утилиты nmap). 1) Создаем в /opt/etc/netfilter.d/ файлик , например, 001filter-rules.sh следующего содержания #!/bin/sh [ "$table" != "filter" ] && exit 0 ## Сбрасываем адреса изолированных сетей в публичной сети iptables -A INPUT -i _NDM_INPUT -s 192.168.0.0/16 -j DROP iptables -A INPUT -i _NDM_INPUT -s 10.0.0.0/8 -j DROP iptables -A INPUT -i _NDM_INPUT -s 172.16.0.0/12 -j DROP iptabl
-
Решил заняться обходом блокировок у себя на роутере, тем более что сторонний VPN имеется. Попробовал по этой инструкции: OpenWRT + OpenVPN: точечный обход блокировок (entware есть). Получилось, но захотелось сделать красивее (чем 8к маршрутов) по другой инструкции: Использование OpenVPN для обхода блокировок. А вот по ней не получается: Добавляю правило iptables -A PREROUTING -t mangle -m set --match-set rublock dst,src -j MARK --set-mark 1 и через несколько секунд оно пропадает - вижу это по двум выводам tracert (с клиентского по отношению к роутеру виндового компа)
-
Здравствуйте! Подскажите, пожалуйста, как добраться к внутренностям кинетика через поднятый на нём openvpn client? Под внутренностями я имею в виду ssh и web-gui, которые доступны по адресу my.keenetic.net/78.47.125.180 изнутри сети, обслуживаемой раутером. У меня есть свой openvpn сервер, куда я подключил кинетика, но по vpn адресу, выдаваемому сервером кинетику, он откликается только "сам в себя". Т.е. зайдя на кинетик по ssh на 78.47.125.180 можно открыть там ssh сессию на него самого на его vpn адрес, но с других машин - клиентов этого же vpn server'а, попытка зайти по vpn адресу кине
-
Подскажите что не так, до этого с кинетиками дела не имел. Что у них вместо лога? %) Может какой модуль в OPKG доустановить нужно? iptables -A FORWARD -p tcp -j LOG iptables: No chain/target/match by that name. NDMS OS version 2.13.C.0.0-1 Release
-
Вот честно сколько лет занимаюсь администрированием linux серверов и не раз использовал таблицу raw для специфических задач, когда надо что-то сделать до conntrack (в принципе это единственный вариант) и никогда никакой просадки скорости не было, да и в принципе не может быть при прямых руках и грамотно написанных правилах. Может есть все таки возможность вернуть таблицу raw, если уж человек решил сам ее использовать? Если человеку не хватает стандартной прошивки и он ставит систему открытых пакетов, то он в принципе делает это на свой страх и риск. Задействовав кучу сервисов, можно не только
-
Нужны доп.модули ядра для netfilter (продвинутый iptables)
OmegaTron posted a question in Implemented Features
Что-то на новых прошивках с iptables (который ещё дополнительно приходится загружать) совсем грустно - даже на прошивках v1 оный был в комплекте и был на порядок более продвинутым. Попытки применить подобные правила : iptables -I FORWARD -p tcp --sport 80 -m string --algo bm --string "Location: http://bash.im" -j DROP iptables -I FORWARD -p tcp --sport 443 -m connbytes --connbytes 1:4 --connbytes-mode packets --connbytes-dir reply -m u32 --u32 "0x4=0x10000&&0x1E&0xffff=0x5004" -j DROP Заканчиваются фейлом. В OpenWRT работу данных правил обеспечивают пакеты На z -
Вот дошли руки нормально проверить работу openvpn. Коннектится нормально, пинги через туннель проходят в подсети 10.8.0.0, но домашняя сеть не видна и инет не работает. Вот правила firewall, которые работали на V1, а сейчас не хотят. iptables -I FORWARD -i br0 -o tun0 -j ACCEPT iptables -I FORWARD -i tun0 -o br0 -j ACCEPT iptables -I INPUT -i tun0 -j ACCEPT iptables -I INPUT -p udp --dport 1194 -j ACCEPT iptables -I FORWARD -i tun0 -j ACCEPT iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE iptables -A INPUT -i lo -j ACCEPT А вот такой вариант дал доступ к домашней сети ipta
-
Netmap на стандартной прошивке без opkg возможно?
arsik posted a question in Keenetic Community Support
нужна следующая конструкция iptables iptables -t nat -A PREROUTING -i tun0 -d 10.21.20.0/24 -j NETMAP --to 192.168.88.0/24 iptables -t nat -A POSTROUTING -o tun0 -s 192.168.88.0/24 -j NETMAP --to 10.21.20.0/24 Такое возможно сделать на стандартной прошивке? Или только через Entware-3x или подобные дополнения? -
Доброго времени суток. Помогите пожалуйста разобраться с DDOS атаками с помощью iptables. Дело такое, стоит TeamSpeakServer с открытым портом 9987 который злостно атакуют до такой степени, что после перезагрузки роутера он несколько минут всё ещё не может придти в себя и подключится к инету, проц загружен на 55-100%. Искал на форуме решение, нашёл что-то типа этого: iptables -A INPUT —in-interface _NDM_INPUT —protocol udp —dport 53 —match state —state NEW —match string —algo kmp —hex-string "|00 00 02 00 01|" —from 40 —to 45 —match recent —name DNST —update —seconds 600 —jump DR
-
Здравствуйте! Случилась оказия завести сервер который сидит за серым IP и потребовалось пробросить на него порт по туннелю от шлюза с белым IP. Схема один в один как в статье http://blog.kvv213.com/2017/03/podklyuchaemsya-k-udalennomu-routeru-zyxel-po-ipsec-vpn-cherez-strongswan-na-headless-ubuntu-14lts/ за некоторым исключением: туннель GRE/IPSec на strongswan. Туннель устанавливается, тут всё нормально: ipsec-eoip{1}: INSTALLED, TUNNEL, reqid 1, ESP in UDP SPIs: c6644240_i c9bb72d4_o ipsec-eoip{1}: 192.168.2.2/32 === 192.168.0.1/32 а вот дальше, как пробросить -
Подскажите плиззз знатоки "продукта" . Есть ли в OPKG пакет аналогичный xtables-addons-common ? Задолбали "желторотые" братья ломятся без устали .... Хочется их "убивать" на входе
