Jump to content

Search the Community

Showing results for tags 'iptables'.

  • Search By Tags

    Type tags separated by commas.
  • Search By Author

Content Type


Forums

  • Keenetic Community
    • Keenetic Development
    • Keenetic Community Support
    • KeeneticOS Testing
    • Mobile App
  • Open Package Support
    • Opkg Help
    • Opkg Cookbook
    • Opkg Cookbook RUS

Find results in...

Find results that contain...


Date Created

  • Start

    End


Last Updated

  • Start

    End


Filter by number of...

Joined

  • Start

    End


Group


Location


Web-site


Interests


Occupation


AOL Account


ICQ Account


WLM


YAHOO


Facebook Account


Twitter Account


Skype Account


Youtube Account


Google+ Account


Keenetic

Found 22 results

  1. Гуру iptables и сетевых стеков, нужна ваша помощь :) Настроил у себя в домашней сети маршрутизацию выборочных запросов через тор и это вот все. В локалке все работает как надо и хорошо. Но был сильно удивлен, когда решил проверить как это работает когда я подключаюсь к себе по VPN (IPSec, встроенный) и обнаружил что это не работает никак. А еще сильнее был удивлен, когда узнал что для клиентов IPSec нет своего сетевого интерфейса. Если бы он был, вопросов бы не было наверное, добавил бы новое правило прероутинга для интерфейса и все, наподобие уже работающих для локалки: iptable
  2. Решил опробовать способ обхода заглушек провайдера с одного всем известного сайта. Принцип несложный - фильтровать пакеты по наличию в них HTTP строки на переадресацию. Однако четкой инструкции на мой роутер на сайте не было, поэтому попробовал реализовать это с помощью OPKG и Entware отсюда. Включил OPKG через веб-интерфейс, "накатил" Entware, сделал через SSH "opkg update" и "opkg install iptables" и прописал по инструкции такую вот команду. iptables -t raw -A PREROUTING -p tcp --sport 80 -m string --algo bm --from 50 --to 200 --hex-string "Location: http://%заглушка%/" -j DROP И врод
  3. Подскажите что не так, до этого с кинетиками дела не имел. Что у них вместо лога? %) Может какой модуль в OPKG доустановить нужно? iptables -A FORWARD -p tcp -j LOG iptables: No chain/target/match by that name. NDMS OS version 2.13.C.0.0-1 Release
  4. Возможно ли такое в данный момент времени. https://github.com/betolj/ndpi-netfilter https://github.com/ntop/nDPI
  5. Насмотревшись логов своего Keenetic Ultra II и страдая легкой формой "паранойи", решил поделится своими фантазиями на тему использования iptables для усложнения жизни "сканерастов" (любителей утилиты nmap). 1) Создаем в /opt/etc/netfilter.d/ файлик , например, 001filter-rules.sh следующего содержания #!/bin/sh [ "$table" != "filter" ] && exit 0 ## Сбрасываем адреса изолированных сетей в публичной сети iptables -A INPUT -i _NDM_INPUT -s 192.168.0.0/16 -j DROP iptables -A INPUT -i _NDM_INPUT -s 10.0.0.0/8 -j DROP iptables -A INPUT -i _NDM_INPUT -s 172.16.0.0/12 -j DROP iptabl
  6. Решил заняться обходом блокировок у себя на роутере, тем более что сторонний VPN имеется. Попробовал по этой инструкции: OpenWRT + OpenVPN: точечный обход блокировок (entware есть). Получилось, но захотелось сделать красивее (чем 8к маршрутов) по другой инструкции: Использование OpenVPN для обхода блокировок. А вот по ней не получается: Добавляю правило iptables -A PREROUTING -t mangle -m set --match-set rublock dst,src -j MARK --set-mark 1 и через несколько секунд оно пропадает - вижу это по двум выводам tracert (с клиентского по отношению к роутеру виндового компа)
  7. Здравствуйте! Подскажите, пожалуйста, как добраться к внутренностям кинетика через поднятый на нём openvpn client? Под внутренностями я имею в виду ssh и web-gui, которые доступны по адресу my.keenetic.net/78.47.125.180 изнутри сети, обслуживаемой раутером. У меня есть свой openvpn сервер, куда я подключил кинетика, но по vpn адресу, выдаваемому сервером кинетику, он откликается только "сам в себя". Т.е. зайдя на кинетик по ssh на 78.47.125.180 можно открыть там ssh сессию на него самого на его vpn адрес, но с других машин - клиентов этого же vpn server'а, попытка зайти по vpn адресу кине
  8. Вот честно сколько лет занимаюсь администрированием linux серверов и не раз использовал таблицу raw для специфических задач, когда надо что-то сделать до conntrack (в принципе это единственный вариант) и никогда никакой просадки скорости не было, да и в принципе не может быть при прямых руках и грамотно написанных правилах. Может есть все таки возможность вернуть таблицу raw, если уж человек решил сам ее использовать? Если человеку не хватает стандартной прошивки и он ставит систему открытых пакетов, то он в принципе делает это на свой страх и риск. Задействовав кучу сервисов, можно не только
  9. Что-то на новых прошивках с iptables (который ещё дополнительно приходится загружать) совсем грустно - даже на прошивках v1 оный был в комплекте и был на порядок более продвинутым. Попытки применить подобные правила : iptables -I FORWARD -p tcp --sport 80 -m string --algo bm --string "Location: http://bash.im" -j DROP iptables -I FORWARD -p tcp --sport 443 -m connbytes --connbytes 1:4 --connbytes-mode packets --connbytes-dir reply -m u32 --u32 "0x4=0x10000&&0x1E&0xffff=0x5004" -j DROP Заканчиваются фейлом. В OpenWRT работу данных правил обеспечивают пакеты На z
  10. Вот дошли руки нормально проверить работу openvpn. Коннектится нормально, пинги через туннель проходят в подсети 10.8.0.0, но домашняя сеть не видна и инет не работает. Вот правила firewall, которые работали на V1, а сейчас не хотят. iptables -I FORWARD -i br0 -o tun0 -j ACCEPT iptables -I FORWARD -i tun0 -o br0 -j ACCEPT iptables -I INPUT -i tun0 -j ACCEPT iptables -I INPUT -p udp --dport 1194 -j ACCEPT iptables -I FORWARD -i tun0 -j ACCEPT iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE iptables -A INPUT -i lo -j ACCEPT А вот такой вариант дал доступ к домашней сети ipta
  11. нужна следующая конструкция iptables iptables -t nat -A PREROUTING -i tun0 -d 10.21.20.0/24 -j NETMAP --to 192.168.88.0/24 iptables -t nat -A POSTROUTING -o tun0 -s 192.168.88.0/24 -j NETMAP --to 10.21.20.0/24 Такое возможно сделать на стандартной прошивке? Или только через Entware-3x или подобные дополнения?
  12. Доброго времени суток. Помогите пожалуйста разобраться с DDOS атаками с помощью iptables. Дело такое, стоит TeamSpeakServer с открытым портом 9987 который злостно атакуют до такой степени, что после перезагрузки роутера он несколько минут всё ещё не может придти в себя и подключится к инету, проц загружен на 55-100%. Искал на форуме решение, нашёл что-то типа этого: iptables -A INPUT —in-interface _NDM_INPUT —protocol udp —dport 53 —match state —state NEW —match string —algo kmp —hex-string "|00 00 02 00 01|" —from 40 —to 45 —match recent —name DNST —update —seconds 600 —jump DR
  13. Здравствуйте! Случилась оказия завести сервер который сидит за серым IP и потребовалось пробросить на него порт по туннелю от шлюза с белым IP. Схема один в один как в статье http://blog.kvv213.com/2017/03/podklyuchaemsya-k-udalennomu-routeru-zyxel-po-ipsec-vpn-cherez-strongswan-na-headless-ubuntu-14lts/ за некоторым исключением: туннель GRE/IPSec на strongswan. Туннель устанавливается, тут всё нормально: ipsec-eoip{1}: INSTALLED, TUNNEL, reqid 1, ESP in UDP SPIs: c6644240_i c9bb72d4_o ipsec-eoip{1}: 192.168.2.2/32 === 192.168.0.1/32 а вот дальше, как пробросить
  14. Здравствуйте. Стала потребность поднять OpenVPN на роутере, ip динамический. До этого поднимал openvpn на windows только. Немного далек от этого всего, но посидев несколько дней на форуме вроде что-то понимаю. Поставил entware 3-x, установил OpenVPN через скрипт из темы Все установилось нормально вроде как, ошибок не видел. Логи с вебинтерфейса после перезапуска системы Выполнил ~ # route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface default * 0.0.0.0 U 0 0
  15. Подскажите плиззз знатоки "продукта" . Есть ли в OPKG пакет аналогичный xtables-addons-common ? Задолбали "желторотые" братья ломятся без устали .... Хочется их "убивать" на входе
  16. Соединение до удаленного сервера поднимается, маршрут прописался через ip route. Но удаленный хост(он же сервер/шлюз) в тунеле не пингуется. Прописал правила фаервола, которые на V1 работали. # Разрешаем внутрисетевой обмен iptables -I INPUT -i lo -j ACCEPT # Открываем доступ к vpn снаружи iptables -A INPUT -p tcp --dport 1723 -j ACCEPT # Правила для 47 порта iptables -A INPUT -p 47 -j ACCEPT iptables -A OUTPUT -p 47 -j ACCEPT # PPTP internet iptables -I INPUT -i ppp+ -j ACCEPT iptables -I FORWARD -i ppp+ -j ACCEPT iptables -I FORWARD -o ppp+ -j ACCEPT iptables -I OUTPUT -o ppp+ -j
  17. Продолжение из http://forum.keenetic.net/topic/61-правила-iptables-для-openvpn/?do=findComment&comment=11451 Лог в прикрепленном файле При этом если запускаешь вручную (sh 051-openvpn-iptables.sh) - все в порядке. Содержание скриптов: Если не запускать - пинга до кинетика с сервера нет. Запуск filter.sh этого не меняет. Запуск 051-openvpn-iptables.sh - дает пинг. iptables: Таблицы маршрутизации: 192.168.1.0/24 - локалка, где находится сервер(192.168.1.5) 192.168.137.0/24 - локалка, где находится клиент(192.168.137.1) 192.168.3
  18. Скажите есть ли поддержка connlimit? Установил "Debian stable на кинетике" прошивка v2.08(AAFG.4)A7 keenetic II. пробуем: root@Keenetic:/# iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 20 --connlimit-mask 32 -j DROP iptables: No chain/target/match by that name. пока только одно предположение что нет поддержки connlimit. извините если не в тот раздел пишу...
  19. Здравствуйте. Уже поднимался данный вопрос на форуме, но так и не было ответа... Есть ошибка при добавлении правил iptables iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT iptables: Protocol wrong type for socket. Или так iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables: Protocol wrong type for socket. Все остальное вроде работает.
  20. Прошу помощи в решении данной проблемы, настраиваю файервол, но при прописывании правил получаю это: ~ # iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT ip6tables: Protocol wrong type for socket. ~ # iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT ip6tables: Protocol wrong type for socket. причем аналогичные правила существуют в iptables, такое ощущение, что ядро iptables работает нормально, но при попытке добавить правило с модулем например conntrack выдает ошибку, есть у кого нибудь идеи?
  21. Имею IPv6 туннель и префикс 2001:DB8:804e::/48 через него. LAN IPv4: 192.168.0.0/24 через SLAAC/static LAN IPv6: 2001:DB8:804e::/64 хочу раздать клиентам IPv4 192.168.1.0/24 и IPv6 2001:DB8:804e:1::/64 Клиент адреса получил но пакетов нет (могу только с роутера сделать ping 192.168.1.4) Как настроить iptables/ip6tables і маршрут чтоб была связь между LAN и клиентами, ну и інтернет трафик через тунель был? Мой openvpn.conf local port 1194 proto udp dev tun ca ca.crt cert keenetic.crt key keenetic.key dh dh.pem user nobody group nobody keepalive 10 90 pers
  22. Привет ребята, прошу помощи и сразу хочу сказать что я не являюсь каким то специалистом. Проблема следующего характера - установил и поднял сервер umurmur-openssl ( Все отлично работает из под локальной сети ) но для того что бы ко мне могли зайти люди через dyndns мне просто - напросто нужно открыть порт в этом и вся проблема. open port 64738 for TCP and UDP in /etc/config/firewall. Перерыл весь раздел etc - фаерволом там и не пахнет, пробовал открывать через сам роутер, ничего не получается. Вообщем хелп ребята!
×
×
  • Create New...