Search the Community
Showing results for tags 'iptables'.
-
Гуру iptables и сетевых стеков, нужна ваша помощь :) Настроил у себя в домашней сети маршрутизацию выборочных запросов через тор и это вот все. В локалке все работает как надо и хорошо. Но был сильно удивлен, когда решил проверить как это работает когда я подключаюсь к себе по VPN (IPSec, встроенный) и обнаружил что это не работает никак. А еще сильнее был удивлен, когда узнал что для клиентов IPSec нет своего сетевого интерфейса. Если бы он был, вопросов бы не было наверное, добавил бы новое правило прероутинга для интерфейса и все, наподобие уже работающих для локалки: iptable
-
Решил опробовать способ обхода заглушек провайдера с одного всем известного сайта. Принцип несложный - фильтровать пакеты по наличию в них HTTP строки на переадресацию. Однако четкой инструкции на мой роутер на сайте не было, поэтому попробовал реализовать это с помощью OPKG и Entware отсюда. Включил OPKG через веб-интерфейс, "накатил" Entware, сделал через SSH "opkg update" и "opkg install iptables" и прописал по инструкции такую вот команду. iptables -t raw -A PREROUTING -p tcp --sport 80 -m string --algo bm --from 50 --to 200 --hex-string "Location: http://%заглушка%/" -j DROP И врод
-
Подскажите что не так, до этого с кинетиками дела не имел. Что у них вместо лога? %) Может какой модуль в OPKG доустановить нужно? iptables -A FORWARD -p tcp -j LOG iptables: No chain/target/match by that name. NDMS OS version 2.13.C.0.0-1 Release
-
Deep Packet Inspection (DPI) - фильтровать определенный трафик
vasek00 posted a question in Keenetic Development
Возможно ли такое в данный момент времени. https://github.com/betolj/ndpi-netfilter https://github.com/ntop/nDPI -
Насмотревшись логов своего Keenetic Ultra II и страдая легкой формой "паранойи", решил поделится своими фантазиями на тему использования iptables для усложнения жизни "сканерастов" (любителей утилиты nmap). 1) Создаем в /opt/etc/netfilter.d/ файлик , например, 001filter-rules.sh следующего содержания #!/bin/sh [ "$table" != "filter" ] && exit 0 ## Сбрасываем адреса изолированных сетей в публичной сети iptables -A INPUT -i _NDM_INPUT -s 192.168.0.0/16 -j DROP iptables -A INPUT -i _NDM_INPUT -s 10.0.0.0/8 -j DROP iptables -A INPUT -i _NDM_INPUT -s 172.16.0.0/12 -j DROP iptabl
-
Решил заняться обходом блокировок у себя на роутере, тем более что сторонний VPN имеется. Попробовал по этой инструкции: OpenWRT + OpenVPN: точечный обход блокировок (entware есть). Получилось, но захотелось сделать красивее (чем 8к маршрутов) по другой инструкции: Использование OpenVPN для обхода блокировок. А вот по ней не получается: Добавляю правило iptables -A PREROUTING -t mangle -m set --match-set rublock dst,src -j MARK --set-mark 1 и через несколько секунд оно пропадает - вижу это по двум выводам tracert (с клиентского по отношению к роутеру виндового компа)
-
Здравствуйте! Подскажите, пожалуйста, как добраться к внутренностям кинетика через поднятый на нём openvpn client? Под внутренностями я имею в виду ssh и web-gui, которые доступны по адресу my.keenetic.net/78.47.125.180 изнутри сети, обслуживаемой раутером. У меня есть свой openvpn сервер, куда я подключил кинетика, но по vpn адресу, выдаваемому сервером кинетику, он откликается только "сам в себя". Т.е. зайдя на кинетик по ssh на 78.47.125.180 можно открыть там ssh сессию на него самого на его vpn адрес, но с других машин - клиентов этого же vpn server'а, попытка зайти по vpn адресу кине
-
Вот честно сколько лет занимаюсь администрированием linux серверов и не раз использовал таблицу raw для специфических задач, когда надо что-то сделать до conntrack (в принципе это единственный вариант) и никогда никакой просадки скорости не было, да и в принципе не может быть при прямых руках и грамотно написанных правилах. Может есть все таки возможность вернуть таблицу raw, если уж человек решил сам ее использовать? Если человеку не хватает стандартной прошивки и он ставит систему открытых пакетов, то он в принципе делает это на свой страх и риск. Задействовав кучу сервисов, можно не только
-
Нужны доп.модули ядра для netfilter (продвинутый iptables)
OmegaTron posted a question in Implemented Features
Что-то на новых прошивках с iptables (который ещё дополнительно приходится загружать) совсем грустно - даже на прошивках v1 оный был в комплекте и был на порядок более продвинутым. Попытки применить подобные правила : iptables -I FORWARD -p tcp --sport 80 -m string --algo bm --string "Location: http://bash.im" -j DROP iptables -I FORWARD -p tcp --sport 443 -m connbytes --connbytes 1:4 --connbytes-mode packets --connbytes-dir reply -m u32 --u32 "0x4=0x10000&&0x1E&0xffff=0x5004" -j DROP Заканчиваются фейлом. В OpenWRT работу данных правил обеспечивают пакеты На z -
Вот дошли руки нормально проверить работу openvpn. Коннектится нормально, пинги через туннель проходят в подсети 10.8.0.0, но домашняя сеть не видна и инет не работает. Вот правила firewall, которые работали на V1, а сейчас не хотят. iptables -I FORWARD -i br0 -o tun0 -j ACCEPT iptables -I FORWARD -i tun0 -o br0 -j ACCEPT iptables -I INPUT -i tun0 -j ACCEPT iptables -I INPUT -p udp --dport 1194 -j ACCEPT iptables -I FORWARD -i tun0 -j ACCEPT iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE iptables -A INPUT -i lo -j ACCEPT А вот такой вариант дал доступ к домашней сети ipta
-
Netmap на стандартной прошивке без opkg возможно?
arsik posted a question in Keenetic Community Support
нужна следующая конструкция iptables iptables -t nat -A PREROUTING -i tun0 -d 10.21.20.0/24 -j NETMAP --to 192.168.88.0/24 iptables -t nat -A POSTROUTING -o tun0 -s 192.168.88.0/24 -j NETMAP --to 10.21.20.0/24 Такое возможно сделать на стандартной прошивке? Или только через Entware-3x или подобные дополнения? -
Доброго времени суток. Помогите пожалуйста разобраться с DDOS атаками с помощью iptables. Дело такое, стоит TeamSpeakServer с открытым портом 9987 который злостно атакуют до такой степени, что после перезагрузки роутера он несколько минут всё ещё не может придти в себя и подключится к инету, проц загружен на 55-100%. Искал на форуме решение, нашёл что-то типа этого: iptables -A INPUT —in-interface _NDM_INPUT —protocol udp —dport 53 —match state —state NEW —match string —algo kmp —hex-string "|00 00 02 00 01|" —from 40 —to 45 —match recent —name DNST —update —seconds 600 —jump DR
-
Здравствуйте! Случилась оказия завести сервер который сидит за серым IP и потребовалось пробросить на него порт по туннелю от шлюза с белым IP. Схема один в один как в статье http://blog.kvv213.com/2017/03/podklyuchaemsya-k-udalennomu-routeru-zyxel-po-ipsec-vpn-cherez-strongswan-na-headless-ubuntu-14lts/ за некоторым исключением: туннель GRE/IPSec на strongswan. Туннель устанавливается, тут всё нормально: ipsec-eoip{1}: INSTALLED, TUNNEL, reqid 1, ESP in UDP SPIs: c6644240_i c9bb72d4_o ipsec-eoip{1}: 192.168.2.2/32 === 192.168.0.1/32 а вот дальше, как пробросить
-
Здравствуйте. Стала потребность поднять OpenVPN на роутере, ip динамический. До этого поднимал openvpn на windows только. Немного далек от этого всего, но посидев несколько дней на форуме вроде что-то понимаю. Поставил entware 3-x, установил OpenVPN через скрипт из темы Все установилось нормально вроде как, ошибок не видел. Логи с вебинтерфейса после перезапуска системы Выполнил ~ # route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface default * 0.0.0.0 U 0 0
-
Подскажите плиззз знатоки "продукта" . Есть ли в OPKG пакет аналогичный xtables-addons-common ? Задолбали "желторотые" братья ломятся без устали .... Хочется их "убивать" на входе
-
Соединение до удаленного сервера поднимается, маршрут прописался через ip route. Но удаленный хост(он же сервер/шлюз) в тунеле не пингуется. Прописал правила фаервола, которые на V1 работали. # Разрешаем внутрисетевой обмен iptables -I INPUT -i lo -j ACCEPT # Открываем доступ к vpn снаружи iptables -A INPUT -p tcp --dport 1723 -j ACCEPT # Правила для 47 порта iptables -A INPUT -p 47 -j ACCEPT iptables -A OUTPUT -p 47 -j ACCEPT # PPTP internet iptables -I INPUT -i ppp+ -j ACCEPT iptables -I FORWARD -i ppp+ -j ACCEPT iptables -I FORWARD -o ppp+ -j ACCEPT iptables -I OUTPUT -o ppp+ -j
-
Продолжение из http://forum.keenetic.net/topic/61-правила-iptables-для-openvpn/?do=findComment&comment=11451 Лог в прикрепленном файле При этом если запускаешь вручную (sh 051-openvpn-iptables.sh) - все в порядке. Содержание скриптов: Если не запускать - пинга до кинетика с сервера нет. Запуск filter.sh этого не меняет. Запуск 051-openvpn-iptables.sh - дает пинг. iptables: Таблицы маршрутизации: 192.168.1.0/24 - локалка, где находится сервер(192.168.1.5) 192.168.137.0/24 - локалка, где находится клиент(192.168.137.1) 192.168.3
-
Скажите есть ли поддержка connlimit? Установил "Debian stable на кинетике" прошивка v2.08(AAFG.4)A7 keenetic II. пробуем: root@Keenetic:/# iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 20 --connlimit-mask 32 -j DROP iptables: No chain/target/match by that name. пока только одно предположение что нет поддержки connlimit. извините если не в тот раздел пишу...
-
Здравствуйте. Уже поднимался данный вопрос на форуме, но так и не было ответа... Есть ошибка при добавлении правил iptables iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT iptables: Protocol wrong type for socket. Или так iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables: Protocol wrong type for socket. Все остальное вроде работает.
-
Прошу помощи в решении данной проблемы, настраиваю файервол, но при прописывании правил получаю это: ~ # iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT ip6tables: Protocol wrong type for socket. ~ # iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT ip6tables: Protocol wrong type for socket. причем аналогичные правила существуют в iptables, такое ощущение, что ядро iptables работает нормально, но при попытке добавить правило с модулем например conntrack выдает ошибку, есть у кого нибудь идеи?
-
Имею IPv6 туннель и префикс 2001:DB8:804e::/48 через него. LAN IPv4: 192.168.0.0/24 через SLAAC/static LAN IPv6: 2001:DB8:804e::/64 хочу раздать клиентам IPv4 192.168.1.0/24 и IPv6 2001:DB8:804e:1::/64 Клиент адреса получил но пакетов нет (могу только с роутера сделать ping 192.168.1.4) Как настроить iptables/ip6tables і маршрут чтоб была связь между LAN и клиентами, ну и інтернет трафик через тунель был? Мой openvpn.conf local port 1194 proto udp dev tun ca ca.crt cert keenetic.crt key keenetic.key dh dh.pem user nobody group nobody keepalive 10 90 pers
-
Привет ребята, прошу помощи и сразу хочу сказать что я не являюсь каким то специалистом. Проблема следующего характера - установил и поднял сервер umurmur-openssl ( Все отлично работает из под локальной сети ) но для того что бы ко мне могли зайти люди через dyndns мне просто - напросто нужно открыть порт в этом и вся проблема. open port 64738 for TCP and UDP in /etc/config/firewall. Перерыл весь раздел etc - фаерволом там и не пахнет, пробовал открывать через сам роутер, ничего не получается. Вообщем хелп ребята!