Jump to content

Блокировка рекламы на роутере


Recommended Posts

1 час назад, ykutik сказал:

всем спасибо, вчера сам догадался и выключил DNS-прокси на роутере командой  "opkg dns-override". И всё заработало.

Но у меня 4 вопроса,

1. зачем мы создаем файл с блокируемыми адресами:


addn-hosts=/opt/etc/hosts0

Почему нельзя всё записать в "оригинальный"  /opt/etc/hosts ? ( я сделал так)

2. И правильно ли я понимаю, что если мой подключенный диск по каким-то причинам отвалится или падет система "Opkg", то служба ДНС работать перестанет и интернета как такового не будет? тогда её надо будет включить в "CLI" ?

3. Вопрос по содержимому файла hosts, я взял файл из ссылки https://hosts-file.net/?s=Download  , правильно ли я взял самый первый, где больше всего записей? ~530 000 штук? Не заметил что роутер как-то тормозил из-за этого. Правильно дли я понимаю, что эта база содержит набор адресов с рекламой, с распространителями зловредов, следящими трекерами и прочей гадости?..

4. (Наверно глупый вопрос) Доступен ли по умолчанию из нета мой  Entware  по ssh сейчас , при условии что я не пробрасывал порты и не давал каких-либо разрешений на это? Я боюсь стать часть ботнета :)

 

 

1. зачем "ломать" оригинал? результат на выходе тот же, но тут уж дело каждого.

2. нет, не правильно, "opkg dns-override" работает в том случает, если работает opkg, к примеру если изъять флешку или снять галку с opkg, DNS-прокси снова включится.

3. тут вопрос наверное, на сколько корректно dnsmasq готов отрабатывать такое количество записей на роутере, время покажет.

4. по умолчанию закрыто, при желании необходимо пробрасывать порт, но лучше уж не порт, а цепляться к своей железке через vpn

 

Link to comment
Share on other sites

Уважаемые, а есть ли "кнопочный" способ включать/выключать блокировку? К примеру, вижу, что сайт не корректно работает с телефона, просто отключаю wifi и пробую через мобильный интернет. На ноутбуке так не сделаешь, вот и хочется какой-то простой и быстрый способ включать/выключать блокировку.


Link to comment
Share on other sites

Есть!

1 Радикальный: в вебе отключить OPKG, флешку/диск можно не извлекать

2 Стандартный: в терминале остановить сервис(ы) - /opt/etc/init.d/S($script_name) stop , где S($script_name) - имя скрипта сервиса/демона...

  • Thanks 1
Link to comment
Share on other sites

13 часа назад, ankar84 сказал:

Уважаемые, а есть ли "кнопочный" способ включать/выключать блокировку? К примеру, вижу, что сайт не корректно работает с телефона, просто отключаю wifi и пробую через мобильный интернет. На ноутбуке так не сделаешь, вот и хочется какой-то простой и быстрый способ включать/выключать блокировку.

тут был расписан где то "tor" по настройкам посмотрите тогда в его сторону, т.е. вам нужна реализация tor+DNS. Сервер DNS будет свой например на порту 5300, подправить в "torrc" файле строки для DNS

DNSPort 5300
DNSListenAddress 127.0.0.1

 

Link to comment
Share on other sites

тут был расписан где то "tor" по настройкам посмотрите тогда в его сторону, т.е. вам нужна реализация tor+DNS. Сервер DNS будет свой например на порту 5300, подправить в "torrc" файле строки для DNS
DNSPort 5300DNSListenAddress 127.0.0.1

 


Кажется вы меня не правильно поняли. Я искал способ как при настроенной блокировке рекламы для всех устройств домашней локальной сети иметь возможность очень быстро и просто вернуть исходное состояние, без блокировки, чтобы понять, не является ли причиной проблемы с тем или иным сайтом то, что какой-то (нужный) адрес заворачивается на 127.0.0.1

Думаю, можно еще как вариант dns серверы на клиенте перебивать для проверки. Но такого простого способа переключения как на смартфоне одной кнопкой выключения wifi на ноутбуке не получить.
Link to comment
Share on other sites

22 минуты назад, ankar84 сказал:


Кажется вы меня не правильно поняли. Я искал способ как при настроенной блокировке рекламы для всех устройств домашней локальной сети иметь возможность очень быстро и просто вернуть исходное состояние, без блокировки, чтобы понять, не является ли причиной проблемы с тем или иным сайтом то, что какой-то (нужный) адрес заворачивается на 127.0.0.1

Думаю, можно еще как вариант dns серверы на клиенте перебивать для проверки. Но такого простого способа переключения как на смартфоне одной кнопкой выключения wifi на ноутбуке не получить.

В данном варианте , с использованием файлов hosts, сие не возможно ... Рекомендую обратить внимание на тему "Блокировка рекламы с помощью privoxy" - там можно. Более того можно отследить "цепочку" фильтровки по каждому конкретному запросу, иметь белые и черные списки, возможность подмены хидеров, выборочное "заTorивание" заданных сайтов и многое другое .... 

А DNS серверы "клиенту" перебивать-то зачем ? Чем это-то поможет ???? 

Link to comment
Share on other sites

А DNS серверы "клиенту" перебивать-то зачем ? Чем это-то поможет ???? 

Насколько я понимаю блокировка рекламы происходит на роутере при помощи файла hosts, и если на клиенте прописать в качестве dns сервера не роутер, а провайдерские dns серверы, по моему, это должно позволить всем рекламным fqdn из файла hosts разрешается в их реальные адреса, а не в 127.0.0.1

Link to comment
Share on other sites

1 час назад, ankar84 сказал:


Кажется вы меня не правильно поняли. Я искал способ как при настроенной блокировке рекламы для всех устройств домашней локальной сети иметь возможность очень быстро и просто вернуть исходное состояние, без блокировки, чтобы понять, не является ли причиной проблемы с тем или иным сайтом то, что какой-то (нужный) адрес заворачивается на 127.0.0.1

Думаю, можно еще как вариант dns серверы на клиенте перебивать для проверки. Но такого простого способа переключения как на смартфоне одной кнопкой выключения wifi на ноутбуке не получить.

У вас первая часть - DNSmasq для всех, для желающих "tor". У клиента настройки броузера для tor или без настроек.

  • Thanks 1
Link to comment
Share on other sites

Всем добрый день.

Есть не совсем стандартная ситуация, есть мама и есть айфон. Мама у меня любитель полазить по всяким сайтам, на которых очень часть происходят редиректы на сайты подписок, одно неловокое движение и она уже оформила подписку типа  moy-m-portal.ru и с счёта съело 100 рублей. Я уже замучался это все дело отключать, понятное дело рядовой пользователь не поймет где произошёл редирект и открылась какая-то хрень, поэтому хочу накатить прокси на giga и заставлять iphone выходить только через vpn канал (а тот в свою очередь цепляется к keenetic на котором поднят прокси). Вот хотел спросить какой прокси посоветуете с каким то умным списком, готов ручками вбить сайты, лучше конечно чтобы прокся как то сама анализировала всякие злополучные редиректы. Услуги аля детский интернет не подходят потому что там разрешены тока бибигоны всякие и смешарики .

Link to comment
Share on other sites

1 час назад, utya сказал:

Всем добрый день.

Есть не совсем стандартная ситуация, есть мама и есть айфон. Мама у меня любитель полазить по всяким сайтам, на которых очень часть происходят редиректы на сайты подписок, одно неловокое движение и она уже оформила подписку типа  moy-m-portal.ru и с счёта съело 100 рублей. Я уже замучался это все дело отключать, понятное дело рядовой пользователь не поймет где произошёл редирект и открылась какая-то хрень, поэтому хочу накатить прокси на giga и заставлять iphone выходить только через vpn канал (а тот в свою очередь цепляется к keenetic на котором поднят прокси). Вот хотел спросить какой прокси посоветуете с каким то умным списком, готов ручками вбить сайты, лучше конечно чтобы прокся как то сама анализировала всякие злополучные редиректы. Услуги аля детский интернет не подходят потому что там разрешены тока бибигоны всякие и смешарики .

Может будет проще - подключить отдельный "контентный" счет с которого будут проводится списания средств в случае совершения вызова на номер контентной услуги (01.05.2014 оператор предоставляет абоненту такую возможность и он равен 0р., по данному вопросу могут сделать "круглые глаза" что нет такого).

Link to comment
Share on other sites

44 минуты назад, vasek00 сказал:

Может будет проще - подключить отдельный "контентный" счет с которого будут проводится списания средств в случае совершения вызова на номер контентной услуги (01.05.2014 оператор предоставляет абоненту такую возможность и он равен 0р., по данному вопросу могут сделать "круглые глаза" что нет такого).

а как услуга называется точно, чтобы гуглить правильно

Link to comment
Share on other sites

48 минут назад, vasek00 сказал:

Только мне кажется что это не то. Только если при заходи на страницу не инициализируется отправка USSD запроса или отправка СМС.

Link to comment
Share on other sites

Всем привет, на последней 2,09 отладочной, а возможно и предпоследней все сломалось, в логах все гуд, ошибок не пишет, все hosts подгружает,dnsmasq запускается, но сайты с черного списка грузятся. Не пойму в чем дело :(

Link to comment
Share on other sites

13 часа назад, pavelts сказал:

Всем привет, на последней 2,09 отладочной, а возможно и предпоследней все сломалось, в логах все гуд, ошибок не пишет, все hosts подгружает,dnsmasq запускается, но сайты с черного списка грузятся. Не пойму в чем дело :(

Тоже на выходных решил перейти на 2.09, т.к. на 2.08 надоело каждый раз после перезагрузки прописывать выключение/включение LED по планировщику, а не тут то было, перестала блокироваться реклама, опять вернулся на 2.08, и что странно, 2.08 хоть и бета, а давно нет обновлений.

Link to comment
Share on other sites

  • 1 month later...

Продолжим "сцепку" DNSMasq + DNScrypt-proxy (на Yandex сервера). На клиентах должен стоять IP DNS это адрес роутера. Может что-то и не так - поздно уже.

1.

(config)> opkg dns-override
(config)> system configuration save

2.

Настройки DNSMasq как и выше. Файл hosts0 для блокировки рекламы созданный на основе "wget -O /opt/tmp/hosts0 http://winhelp2002.mvps.org/hosts.txt"

*** dnsmasq.conf

server=127.0.0.1#65053
no-resolv
addn-hosts=/opt/tmp/hosts0

Установка DNScrypt-proxy как выше, только команда на запуск подправить

*** dnscrypt-proxy

... "--local-address=127.0.0.1:65053 --daemonize -R yandex"

Сменить наименование скриптов для запуска на "S56dnsmasq" и "S57dnscrypt-proxy"

3.

Настроить на странице #tools.settings системное время указав IP адреса в место мнемоник - 91.206.16.3, 77.73.64.23, 95.104.192.10, 192.36.143.130

4.

Перезапуск, должны получить следующие

/ # ps | grep dns
  826 nobody    3812 S    dnsmasq
  836 root      4076 S    dnscrypt-proxy --local-address=127.0.0.1:65053 --daemonize -R yandex
/ # 

или по логу

Mar 08 18:01:13ndm Dns::Manager: RPC-only mode enabled.
...
Mar 08 18:01:14dnsmasq[826] started, version 2.77test1 cachesize 150
Mar 08 18:01:14dnsmasq[826] compile time options: IPv6 GNU-getopt no-RTC no-DBus no-i18n no-IDN DHCP DHCPv6 no-Lua TFTP conntrack ipset auth no-DNSSEC no-ID loop-detect inotify
Mar 08 18:01:14dnsmasq[826] using nameserver 127.0.0.1#65053
Mar 08 18:01:14dnsmasq[826] read /opt/etc/hosts - 2 addresses
Mar 08 18:01:14root Started dnsmasq from .
Mar 08 18:01:14dnscrypt-proxy[836] Starting dnscrypt-proxy 1.9.1
Mar 08 18:01:14root Started  from .
Mar 08 18:01:14dnscrypt-proxy[836] Generating a new session key pair
Mar 08 18:01:14dnscrypt-proxy[836] Done
Mar 08 18:01:14dnscrypt-proxy[836] Server certificate with serial #1473333050 received
Mar 08 18:01:14dnscrypt-proxy[836] This certificate is valid
Mar 08 18:01:14dnscrypt-proxy[836] Chosen certificate #1473333050 is valid from [2016-11-21] to [2017-11-21]
Mar 08 18:01:14dnscrypt-proxy[836] The key rotation period for this server may exceed the recommended value. This is bad for forward secrecy.
Mar 08 18:01:14dnscrypt-proxy[836] Server key fingerprint is 90E3:CE87:D095:...:0F59
Mar 08 18:01:14dnscrypt-proxy[836] Proxying from 127.0.0.1:65053 to 77.88.хх.хх:ххх53
...
Mar 08 18:01:14dnsmasq[826] read /opt/tmp/hosts0 - 13356 addresses
...
Mar 08 21:36:17ndm Core::System::Clock: system time has been changed.
Mar 08 21:36:17ndm Ntp::Client: time synchronized with "95.104.192.10".
Mar 08 21:36:17ndm Core::Schedule::Manager: raised action "stop" by "schedule1".
Mar 08 21:36:17pppd[766] System time change detected.

5.

Проверим запрос на какой либо сайт

Скрытый текст

41    роутер    77.88.хх.хх    UDP    556    46287?ххх53 Len=512
Frame 41: 556 bytes on wire (4448 bits), 556 bytes captured (4448 bits)
Internet Protocol Version 4, Src: роутер, Dst: 77.88.хх.хх
User Datagram Protocol, Src Port: 46287, Dst Port: ххх53
Data (512 bytes)
    Data: 90e3ce87d09521ad9f2ebda3b32e9d1243e0ed2856beca8c...

42    77.88.хх.хх    роутер    UDP    409    ххх53?46287 Len=365
Frame 42: 409 bytes on wire (3272 bits), 409 bytes captured (3272 bits)
Internet Protocol Version 4, Src: 77.88.хх.хх, Dst: роутер
User Datagram Protocol, Src Port: ххх53, Dst Port: 46287
Data (365 bytes)
    Data: 7236666e76576a38f7da7e5baaef2815769d9efd1528efaa...

44    роутер    77.88.хх.хх    UDP    556    46287?ххх53 Len=512

46    77.88.хх.хх    роутер    UDP    412    ххх53?46287 Len=368

6.

DNSMasq был проверен ранее при конфиге

server=77.88.8.8
server=77.88.8.1
no-resolv
addn-hosts=/opt/tmp/hosts0

7.

Проверка блокировки рекламы пару адресов из hosts0 и сайт https://www.gismeteo.ru/

Кэширование на роутере DNS запросов проверил лан анализатором на клиенте и по захвату пакетов на роутере  -> если не чего не просмотрел то все работает, роутер сразу отдает IP адреса минуя запрос (на клиенте Windows делал ipconfig /flashdns и в FF нажимал ctrl-F5) а на роутере таких запросов уже не было

"роутер    77.88.хх.хх    UDP    556    46287?ххх53 Len=512"

Примечание - может yandex и не очень подходит, так как на многих сайтах есть yandex.redirect (ну тут уже настройки самого yandex если вы клиент его)

Edited by vasek00
  • Thanks 1
Link to comment
Share on other sites

20 часов назад, vasek00 сказал:

ps | grep dns 826 nobody 3812 S dnsmasq 836 root 4076 S dnscrypt-proxy --local-address=127.0.0.1:65053 --daemonize -R yandex

Выполнил все по инструкции ,но почему то не работает .,теперь сайты не открываются, хотя пинг до них есть.

ps | grep dns
6822 nobody    3812 S    {dnsma
6897 root      4076 S    {dnscr

По пунктам все выполнял. Блокировка рекламы ранее была установлена ,работала. Решил попробовать dnscrypt но все никак не получается запустить его совместно с блокировкой рекламы. Знаний не хватает;((

Edited by vlad
Link to comment
Share on other sites

20 часов назад, vasek00 сказал:

DNSMasq был проверен ранее при конфиге


server=77.88.8.8
server=77.88.8.1
no-resolv
addn-hosts=/opt/tmp/hosts0

Какие настройки забить в dnsmasq.conf? Эти или из пункта 2? Пробовал оба варианта ,результат одинаковый. 

ps | grep dns
6822 nobody    3812 S    {dnsma
6897 root      4076 S    {dnscr

Link to comment
Share on other sites

1 час назад, vlad сказал:

Какие настройки забить в dnsmasq.conf? Эти или из пункта 2? Пробовал оба варианта ,результат одинаковый. 

ps | grep dns
6822 nobody    3812 S    {dnsma
6897 root      4076 S    {dnscr

Если на пальцах dnsmasq слушает 53 порт и потом отправляет запрос на основании строчки

server=77.88.8.8

или resolv (то что дает провайдер) если нет строчки которая ниже

no-resolv

при использовании dnscrypt-proxy и строчки "server"

--local-address=127.0.0.1:65053 --daemonize -R yandex 

dnsmasq.conf
server=127.0.0.1#65053

при получении запроса по 53 порту от клиента, он будет отправлен на 127.0.0.1#65053 где получит демон dnscrypt-proxy зашифрует и отправит в данном примере на yandex сервер (77.88.хх.хх:ххх53)

"IP_роутера    77.88.хх.хх    UDP    556    46287?ххх53 Len=512"

в итоге имеем конф файл dnsmasq.conf

server=127.0.0.1#65053
no-resolv
addn-hosts=/opt/tmp/hosts0

 

  • Thanks 2
Link to comment
Share on other sites

В ‎19‎.‎02‎.‎2016 в 15:09, Александр Рыжов сказал:

 

Поместите в файл /opt/etc/ndm/netfilter.d/010-intercept-dns.sh следующее содержимое:


#!/bin/sh

[ "$table" != "nat" ] && exit 0

lan_ip=$(ndmq -p 'show interface Bridge0' -P address)

iptables -t nat -I PREROUTING -p udp -m udp --dport 53 -j DNAT --to-destination $lan_ip:65053
iptables -t nat -I PREROUTING -p tcp -m tcp --dport 53 -j DNAT --to-destination $lan_ip:65053

 

а если этого файла нет, можно посмотреть его полное содержание, или в нем только эти строчки и больше не чего?

Link to comment
Share on other sites

А при связке dnscrypt и dnsmasq с вышеуказанными правилами, не получается ли, что dnsmasq в принципе ничего не слышит, все запросы сразу уходят на порт 65053, т.е. их сразу обрабатывает dnscrypt, соответственно защита от рекламы и не работает?

Если в dnsmasq.conf указать,например, параметр port= 65052, и в 010-intercept-dns.sh  указать тот же порт, то на Гига 2 всё заработало, по крайней мере, реклама блокируется, в логах dnsmasq указывает, что использует nameserver 127.0.0.1:65053.

Либо может при настройках, которые выше указывал vasek00,  попробовать убрать файл 010-intercept-dns.sh ?

 

Edited by kimli80
Link to comment
Share on other sites

5 часов назад, kimli80 сказал:

А при связке dnscrypt и dnsmasq с вышеуказанными правилами, не получается ли, что dnsmasq в принципе ничего не слышит, все запросы сразу уходят на порт 65053, т.е. их сразу обрабатывает dnscrypt, соответственно защита от рекламы и не работает?

Если в dnsmasq.conf указать,например, параметр port= 65052, и в 010-intercept-dns.sh  указать тот же порт, то на Гига 2 всё заработало, по крайней мере, реклама блокируется, в логах dnsmasq указывает, что использует nameserver 127.0.0.1:65053.

Либо может при настройках, которые выше указывал vasek00,  попробовать убрать файл 010-intercept-dns.sh ?

 

В моих постах без какого либо 010-intercept-dns.sh, повторюсь при указании в строке server = 8.8.8.8 будет обычная работа слушать 53 порт проверить предварительно строчку

addn-hosts

и отправить запрос далее на сервер DNS, при повторении запроса проверить его у себя в кеш (dnsmasq). Теперь меняете сервер который запущен на

server=127.0.0.1#65053

тот же самый отсыл что и выше только на dsncrypt-proxy. Если хотите можете проверить запросы от клиента ПК и просмотр через захват пакетов на роутере, на клиенте чистите кеш DNS и в броузере повтор ссылки на страницу которая пару минут назад была открыта и смотрите будут ли запросы от dncrypt-proxy на сервер DNS или сразу ответ.

Данная тема про блокировку на данном форуме датирована февралем 2016 где так же был ответ от ndm

Цитата

Есть команда opkg dns-override. Она гасит внутренний прокси (он начинает работать в RPC-режиме), когда подключают /opt. И 53-й порт свободен.

смысл тогда зачем использовать iptables для 53->65053?

Так же можете попробовать для анализа и кой какие настройки для DNS  :

cache-size=250 (кол-во записей) no-negcache (отключение кэш ошибочных DNS запросов) local-ttl=7200 neg-ttl=14400 (времени жизни кэша в секундах )
log-facility=/opt/var/log/dnsmasq.log log-queries (протоколирование DNS запросов ) clear-on-reload (очистка DNS кэша при перезапуске)

 

Link to comment
Share on other sites

  • 1 month later...

Что то не могу понять, каким образом dnsmasq в "холостую" потребляет трафик?

Или есть проблема с отображением счетчиков при пробросе порта?

используется скрипт из первого сообщения(т.к. при работе через 53 порт vpn пчилайна не резолвит брасы при реконекте): 

Скрытый текст

#!/bin/sh

[ "$table" != "nat" ] && exit 0

lan_ip=$(ndmq -p 'show interface Bridge0' -P address)

iptables -t nat -I PREROUTING -p udp -m udp --dport 53 -j DNAT --to-destination $lan_ip:65053
iptables -t nat -I PREROUTING -p tcp -m tcp --dport 53 -j DNAT --to-destination $lan_ip:65053

 

при этих параметрах, потребителей почти нет (ну или специально не качается.по страничкам не ходится)

выключаю dnsmasq: 

~ # /opt/etc/init.d/S56dnsmasq stop
 Checking dnsmasq...              alive.
 Shutting down dnsmasq...              done.

на главной странице наблюдаю:

58fb2a210408f_nodmsq.jpg.b679bf3b8b6cfebf336b41d0c589c027.jpg

далее включаю dnsmasq:

~ # /opt/etc/init.d/S56dnsmasq start
 Starting dnsmasq...              done.

на главной странице наблюдаю колебания на прием в пределах 1,5 мегабита постоянно:

58fb2a2234710_yesdmsq.jpg.e77e6efc50f54e0bf7c509c83c275c9a.jpg

Что не так, куда смотреть? 

Думал мало ли, куча пакетов стоит и т.п., так для проверки сбросил роутер в дефолт, вернул конфиги обратно , далее форматнул флешку, переставил entware, результат тот же.

Link to comment
Share on other sites

Имею запущенный "dnsmasq + dnscrypt-proxy (yandex), на родном 53порту" нет не одного лок.клиента (только данный ПК для съема информации) за три минуты через интервал 10мин не более 70-80 пакетов среди которых был замечен только nod32 (для данного клиента) и сам роутер сервис mdm (UDP) но данный сервис с объемом данных можно считать стат.погрешностью так же включен был KeenDNS и кое что по 443. Забыл сказать провайдер не сотовый оператор.

Это к вопросу именно

Цитата

Что то не могу понять, каким образом dnsmasq в "холостую" потребляет трафик?

а не что запущенно на роутере и пробросы.

Edited by vasek00
Link to comment
Share on other sites

12 часа назад, vasek00 сказал:

Имею запущенный "dnsmasq + dnscrypt-proxy (yandex), на родном 53порту" нет не одного лок.клиента (только данный ПК для съема информации) за три минуты через интервал 10мин не более 70-80 пакетов среди которых был замечен только nod32 (для данного клиента) и сам роутер сервис mdm (UDP) но данный сервис с объемом данных можно считать стат.погрешностью так же включен был KeenDNS и кое что по 443. Забыл сказать провайдер не сотовый оператор.

Это к вопросу именно

а не что запущенно на роутере и пробросы.

В том то и дело, что запущен был только dnsmasq с этим скриптом:

Скрытый текст

/bin/sh

[ "$table" != "nat" ] && exit 0

lan_ip=$(ndmq -p 'show interface Bridge0' -P address)

iptables -t nat -I PREROUTING -p udp -m udp --dport 53 -j DNAT --to-destination $lan_ip:65053
iptables -t nat -I PREROUTING -p tcp -m tcp --dport 53 -j DNAT --to-destination $lan_ip:65053

 

в таком варианте стало до крайностей доходить:

Скрытый текст
Apr 24 03:12:11ndm
kernel: nf_conntrack: table full (16384), dropping packet
Apr 24 03:12:11ndm
Core::Syslog: last message repeated 8 times.
Apr 24 03:12:16ndm
kernel: net_ratelimit: 588 callbacks suppressed
Apr 24 03:12:16ndm
kernel: nf_conntrack: table full (16384), dropping packet
Apr 24 03:12:16ndm
Core::Syslog: last message repeated 16 times.
Apr 24 03:12:21ndm
kernel: net_ratelimit: 892 callbacks suppressed
Apr 24 03:12:21ndm
kernel: nf_conntrack: table full (16384), dropping packet
Apr 24 03:12:21ndm
Core::Syslog: last message repeated 24 times.
Apr 24 03:12:26ndm
kernel: net_ratelimit: 491 callbacks suppressed
Apr 24 03:12:26ndm
kernel: nf_conntrack: table full (16384), dropping packet
Apr 24 03:12:26ndm
Core::Syslog: last message repeated 32 times.
Apr 24 03:12:31dnsmasq[25245]
failed to send packet: Operation not permitted
Apr 24 03:12:31ndm
kernel: net_ratelimit: 651 callbacks suppressed
Apr 24 03:12:31ndm
kernel: nf_conntrack: table full (16384), dropping packet
Apr 24 03:12:31ndm
Core::Syslog: last message repeated 9 times.
Apr 24 03:12:41ndm
kernel: net_ratelimit: 176 callbacks suppressed
Apr 24 03:12:41ndm
kernel: nf_conntrack: table full (16384), dropping packet
Apr 24 03:12:41ndm
Core::Syslog: last message repeated 17 times.
Apr 24 03:12:52ndm
kernel: net_ratelimit: 83 callbacks suppressed
Apr 24 03:12:52ndm
kernel: nf_conntrack: table full (16384), dropping packet
Apr 24 03:12:53ndm
Core::Syslog: last message repeated 25 times.
Apr 24 03:23:09ndm
kernel: net_ratelimit: 57 callbacks suppressed
Apr 24 03:23:09ndm
kernel: nf_conntrack: table full (16384), dropping packet
Apr 24 03:23:09ndm
Core::Syslog: last message repeated 33 times.
Apr 24 03:24:30ndm
kernel: net_ratelimit: 107 callbacks suppressed
Apr 24 03:24:30ndm
kernel: nf_conntrack: table full (16384), dropping packet
Apr 24 03:24:30ndm
Core::Syslog: last message repeated 41 times.
Apr 24 03:24:39ndm
kernel: net_ratelimit: 29 callbacks suppressed
Apr 24 03:24:39ndm
kernel: nf_conntrack: table full (16384), dropping packet
Apr 24 03:24:39ndm
Core::Syslog: last message repeated 49 times.
Apr 24 03:24:48ndm
kernel: net_ratelimit: 142 callbacks suppressed
Apr 24 03:24:48ndm
kernel: nf_conntrack: table full (16384), dropping packet
Apr 24 03:24:48ndm
Core::Syslog: last message repeated 57 times.
Apr 24 03:24:56ndm
kernel: net_ratelimit: 819 callbacks suppressed
Apr 24 03:24:56ndm
kernel: nf_conntrack: table full (16384), dropping packet
Apr 24 03:24:56ndm
Core::Syslog: last message repeated 65 times.
Apr 24 03:25:01ndm
kernel: net_ratelimit: 939 callbacks suppressed
Apr 24 03:25:01ndm
kernel: nf_conntrack: table full (16384), dropping packet
Apr 24 03:25:02ndm
Core::Syslog: last message repeated 73 times.
Apr 24 03:25:07ndm
kernel: net_ratelimit: 432 callbacks suppressed
Apr 24 03:25:07ndm
kernel: nf_conntrack: table full (16384), dropping packet
Apr 24 03:25:07ndm
Core::Syslog: last message repeated 81 times.
Apr 24 03:25:15ndm
kernel: net_ratelimit: 1047 callbacks suppressed
Apr 24 03:25:15ndm
kernel: nf_conntrack: table full (16384), dropping packet
Apr 24 03:25:15ndm
Core::Syslog: last message repeated 89 times.
Apr 24 03:25:20ndm
kernel: net_ratelimit: 640 callbacks suppressed
Apr 24 03:25:20ndm
kernel: nf_conntrack: table full (16384), dropping packet
Apr 24 03:25:20ndm
Core::Syslog: last message repeated 97 times.
Apr 24 03:25:25ndm
kernel: net_ratelimit: 356 callbacks suppressed
Apr 24 03:25:25ndm
kernel: nf_conntrack: table full (16384), dropping packet
Apr 24 03:25:25ndm
Core::Syslog: last message repeated 105 times.
Apr 24 03:25:31ndm
kernel: net_ratelimit: 1324 callbacks suppressed
Apr 24 03:25:31ndm
kernel: nf_conntrack: table full (16384), dropping packet
Apr 24 03:25:31ndm
Core::Syslog: last message repeated 113 times.
Apr 24 03:25:36ndm
kernel: net_ratelimit: 704 callbacks suppressed
Apr 24 03:25:36ndm
kernel: nf_conntrack: table full (16384), dropping packet
Apr 24 03:25:36ndm
Core::Syslog: last message repeated 121 times.
Apr 24 03:25:41ndm
kernel: net_ratelimit: 803 callbacks suppressed
Apr 24 03:25:41ndm
kernel: nf_conntrack: table full (16384), dropping packet
Apr 24 03:25:41ndm
Core::Syslog: last message repeated 129 times.
Apr 24 03:25:46ndm
kernel: net_ratelimit: 744 callbacks suppressed
Apr 24 03:25:46ndm
kernel: nf_conntrack: table full (16384), dropping packet
Apr 24 03:25:46ndm
Core::Syslog: last message repeated 137 times.
Apr 24 03:25:51ndm
kernel: net_ratelimit: 1033 callbacks suppressed
Apr 24 03:25:51ndm
kernel: nf_conntrack: table full (16384), dropping packet
Apr 24 03:25:51ndm
Core::Syslog: last message repeated 145 times.
Apr 24 03:25:51dnsmasq[25245]
failed to send packet: Operation not permitted
Apr 24 03:25:56ndm
kernel: net_ratelimit: 302 callbacks suppressed
Apr 24 03:25:56ndm
kernel: nf_conntrack: table full (16384), dropping packet
Apr 24 03:25:56ndm
Core::Syslog: last message repeated 9 times.
Apr 24 03:26:13ndm
kernel: net_ratelimit: 412 callbacks suppressed
Apr 24 03:26:13ndm
kernel: nf_conntrack: table full (16384), dropping packet
Apr 24 03:26:29ndm
Core::Syslog: last message repeated 21 times.
Apr 24 03:26:39ndm
kernel: net_ratelimit: 517 callbacks suppressed
Apr 24 03:26:39ndm
kernel: nf_conntrack: table full (16384), dropping packet
Apr 24 03:26:40ndm
Core::Syslog: last message repeated 29 times.
Apr 24 03:26:52ndm
kernel: net_ratelimit: 413 callbacks suppressed
Apr 24 03:26:52ndm
kernel: nf_conntrack: table full (16384), dropping packet
Apr 24 03:26:52ndm
Core::Syslog: last message repeated 37 times.
Apr 24 03:26:57ndm
kernel: net_ratelimit: 281 callbacks suppressed
Apr 24 03:26:57ndm
kernel: nf_conntrack: table full (16384), dropping packet
Apr 24 03:26:57ndm
Core::Syslog: last message repeated 45 times.
Apr 24 03:27:02ndm
kernel: net_ratelimit: 561 callbacks suppressed
Apr 24 03:27:02ndm
kernel: nf_conntrack: table full (16384), dropping packet
Apr 24 03:27:02ndm
Core::Syslog: last message repeated 53 times.
Apr 24 03:27:09ndm
kernel: net_ratelimit: 64 callbacks suppressed
Apr 24 03:27:09ndm
kernel: nf_conntrack: table full (16384), dropping packet
Apr 24 03:27:09ndm
Core::Syslog: last message repeated 61 times.
Apr 24 03:29:34ndm
kernel: net_ratelimit: 188 callbacks suppressed
Apr 24 03:29:34ndm
kernel: nf_conntrack: table full (16384), dropping packet
Apr 24 03:29:34ndm
Core::Syslog: last message repeated 69 times.
Apr 24 03:29:34dnsmasq[25245]
failed to send packet: Operation not permitted
Apr 24 03:29:45ndm
kernel: net_ratelimit: 228 callbacks suppressed
Apr 24 03:29:45ndm
kernel: nf_conntrack: table full (16384), dropping packet
Apr 24 03:29:45ndm
Core::Syslog: last message repeated 9 times.

Без блокировки рекламы тоже не вариант, некоторые сайты на столько обвешивают странички рекламой, что старенький iPad mini на этих страницах начинает "захлебываться".

В итоге повесил запрещающие правила на резервного провайдера и все сразу "успокоилось"

z1.jpg.02ac4c6fb487fd1974504ce4a7b9f0b9.jpg

Жаль, что никто не подсказал, как посмотреть, кто и куда "долбится" что бы это не методом исключения искать.

И возник вопрос, 65053 порт пробросился из за UPnP? или из за скрипта? я думал, что он по умолчанию из вне не должен быть доступен.

Link to comment
Share on other sites

1 час назад, m__a__l сказал:

Без блокировки рекламы тоже не вариант, некоторые сайты на столько обвешивают странички рекламой, что старенький iPad mini на этих страницах начинает "захлебываться".

Может будет лучше найти решение по блокировке рекламы на самом планшете? Попав в любую другую сеть кроме домашнего роутера ваш мобильный девайс будет снова «захлёбываться».

Link to comment
Share on other sites

2 часа назад, m__a__l сказал:

В том то и дело, что запущен был только dnsmasq с этим скриптом .....

Теперь оказывается, что есть еще одно подключение к провайдеру в первом посту не было. Настройка  /opt/etc/dnsmasq.conf в самом начале не подразумевалась, что у вас будет два канала (хоть резервный хоть нет,  они оба подняты и имеют маршруты)

no-resolv
server=77.88.8.88#1253
server=77.88.8.2#1253
port=65053

как что себя поведет система нужно смотреть.

Тут я уже писал разницу запуска dnsmasq с разными параметрами в конфиге. Покажите выполнение команды - "netstat -ntulp" что она у вас покажет, она должна показать кто на каких портах в данном случае. Второе что стоит в поле "server" да и лучше уж весь conf.

Edited by vasek00
Link to comment
Share on other sites

2 часа назад, Александр Рыжов сказал:

Может будет лучше найти решение по блокировке рекламы на самом планшете? Попав в любую другую сеть кроме домашнего роутера ваш мобильный девайс будет снова «захлёбываться».

Решение есть, это другой браузер, но это менее удобно и как допилят для iOS, будет и iPsec Virtual IP, пока юзается как подключение к домашней сети.

 

1 час назад, vasek00 сказал:

Покажите выполнение команды - "netstat -ntulp" что она у вас покажет, она должна показать кто на каких портах в данном случае. Второе что стоит в поле "server" да и лучше уж весь conf.

 

Скрытый текст

~ # netstat -ntulp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:39112           0.0.0.0:*               LISTEN      19505/miniupnpd
tcp        0      0 0.0.0.0:8200            0.0.0.0:*               LISTEN      914/minidlna
tcp        0      0 0.0.0.0:139             0.0.0.0:*               LISTEN      21483/nqcs
tcp        0      0 127.0.0.1:41230         0.0.0.0:*               LISTEN      172/ndm
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      838/nginx
tcp        0      0 78.47.xxx.xxx:8081      0.0.0.0:*               LISTEN      838/nginx
tcp        0      0 0.0.0.0:51413           0.0.0.0:*               LISTEN      915/transmissiond
tcp        0      0 0.0.0.0:21              0.0.0.0:*               LISTEN      815/pure-ftpd (SERV
tcp        0      0 0.0.0.0:53              0.0.0.0:*               LISTEN      614/ndnproxy
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      886/dropbear
tcp        0      0 0.0.0.0:3129            0.0.0.0:*               LISTEN      915/transmissiond
tcp        0      0 0.0.0.0:65053           0.0.0.0:*               LISTEN      25245/dnsmasq
tcp        0      0 0.0.0.0:445             0.0.0.0:*               LISTEN      21483/nqcs
tcp        0      0 ::1:5569                :::*                    LISTEN      16758/dhcp6s
tcp        0      0 :::51413                :::*                    LISTEN      915/transmissiond
tcp        0      0 :::53                   :::*                    LISTEN      614/ndnproxy
tcp        0      0 :::22                   :::*                    LISTEN      886/dropbear
tcp        0      0 :::23                   :::*                    LISTEN      816/telnetd
tcp        0      0 :::65053                :::*                    LISTEN      25245/dnsmasq
udp        0      0 127.0.0.1:41231         0.0.0.0:*                           172/ndm
udp        0      0 127.0.0.1:41232         0.0.0.0:*                           172/ndm
udp        0      0 192.168.1.1:48660      0.0.0.0:*                           914/minidlna
udp        0      0 0.0.0.0:65053           0.0.0.0:*                           25245/dnsmasq
udp        0      0 0.0.0.0:50730           0.0.0.0:*                           21483/nqcs
udp        0      0 0.0.0.0:54321           0.0.0.0:*                           614/ndnproxy
udp        0      0 0.0.0.0:53              0.0.0.0:*                           614/ndnproxy
udp        0      0 0.0.0.0:67              0.0.0.0:*                           16749/ndhcps
udp        0      0 0.0.0.0:67              0.0.0.0:*                           16748/ndhcps
udp        0      0 0.0.0.0:68              0.0.0.0:*                           16752/ndhcpc
udp        0      0 0.0.0.0:68              0.0.0.0:*                           16755/ndhcpc
udp        0      0 89.178.xxx.xxx:53318    0.0.0.0:*                           172/ndm
udp        0      0 192.168.1.1:42058      0.0.0.0:*                           19505/miniupnpd
udp        0      0 127.0.0.1:4445          0.0.0.0:*                           21483/nqcs
udp        0      0 0.0.0.0:1900            0.0.0.0:*                           19505/miniupnpd
udp        0      0 239.255.255.250:1900    0.0.0.0:*                           914/minidlna
udp        0      0 0.0.0.0:44911           0.0.0.0:*                           614/ndnproxy
udp        0      0 89.178.xxx.xxx:123      0.0.0.0:*                           17062/ntpd
udp        0      0 10.125.8.11:123         0.0.0.0:*                           17062/ntpd
udp        0      0 10.1.30.1:123           0.0.0.0:*                           17062/ntpd
udp        0      0 192.168.1.1:123        0.0.0.0:*                           17062/ntpd
udp        0      0 46.188.xxx.xxx:123        0.0.0.0:*                           17062/ntpd
udp        0      0 127.0.0.1:123           0.0.0.0:*                           17062/ntpd
udp        0      0 0.0.0.0:123             0.0.0.0:*                           17062/ntpd
udp        0      0 0.0.0.0:137             0.0.0.0:*                           821/nqnd
udp        0      0 0.0.0.0:138             0.0.0.0:*                           821/nqnd
udp        0      0 127.0.0.1:54666         0.0.0.0:*                           172/ndm
udp        0      0 0.0.0.0:4500            0.0.0.0:*                           924/charon
udp        0      0 0.0.0.0:59033           0.0.0.0:*                           21483/nqcs
udp        0      0 89.178.xxx.xxx:4043     0.0.0.0:*                           172/ndm
udp        0      0 0.0.0.0:58830           0.0.0.0:*                           614/ndnproxy
udp        0      0 0.0.0.0:51413           0.0.0.0:*                           915/transmissiond
udp        0      0 192.168.1.1:5351       0.0.0.0:*                           19505/miniupnpd
udp        0      0 0.0.0.0:500             0.0.0.0:*                           924/charon
udp        0      0 0.0.0.0:1022            0.0.0.0:*                           821/nqnd
udp        0      0 0.0.0.0:1023            0.0.0.0:*                           821/nqnd
udp        0      0 :::65053                :::*                                25245/dnsmasq
udp        0      0 :::547                  :::*                                16758/dhcp6s
udp        0      0 :::53                   :::*                                614/ndnproxy
udp        0      0 a6c4::1e6f:65ff:fe4e:5930:123 :::*                                17062/ntpd
udp        0      0 a6c4::5a8b:f3ff:fe6b:10b0:123 :::*                                17062/ntpd
udp        0      0 a6c4::5a8b:f3ff:fe6b:10b0:123 :::*                                17062/ntpd
udp        0      0 a6c4::5a8b:f3ff:fe6b:10b0:123 :::*                                17062/ntpd
udp        0      0 a6c4::5a8b:f3ff:fe6b:10b0:123 :::*                                17062/ntpd
udp        0      0 a6c4::1e6f:65ff:fe4e:5930:123 :::*                                17062/ntpd
udp        0      0 a6c4::5a8b:f3ff:fe6b:10b0:123 :::*                                17062/ntpd
udp        0      0 a6c4::5a8b:f3ff:fe6b:10b0:123 :::*                                17062/ntpd
udp        0      0 a6c4::5a8b:f3ff:fe6b:10b2:123 :::*                                17062/ntpd
udp        0      0 a6c4::1e6f:65ff:fe4e:5930:123 :::*                                17062/ntpd
udp        0      0 a6c4::5a8b:f3ff:fe6b:10b0:123 :::*                                17062/ntpd
udp        0      0 ::1:123                 :::*                                17062/ntpd
udp        0      0 :::123                  :::*                                17062/ntpd
udp        0      0 :::35990                :::*                                16758/dhcp6s

 

и сам конфиг(днс взяты от обоих провайдеров):

Скрытый текст

no-resolv
server=85.21.192.5
server=213.234.192.7
server=195.98.160.26
server=80.253.27.101
server=213.234.192.8
server=85.21.192.3
port=65053
addn-hosts=/opt/etc/hosts0

 

если не сложно, подскажите как понять откуда идут запросы, с каких именно адресов? к примеру выключу блокирующее правило и что нужно запустить, что бы понять кто использует dnsmasq? если через tcpdump то с какими параметрами запускать?

Link to comment
Share on other sites

1. 0.0.0.0:53 порту ndnproxy

2. 0.0.0.0:65053 порту dnsmasq

мне нравятся 0.0.0.0 => слушать на всех интерфейсах (ну со всех сторон)

3. сама строчка "server" сервера для обработки запросов

тут обращаю внимание что вы хотели этим добиться если включив все сервера от провайдера имея один маршрут пр умолчанию (например на провайдера1,а резерв на провайдера2), будет ли обрабатывать ваш запрос DNS сервер провайдера 2 из сегмента чужой сети провайдера1 или наоборот. Сервера то вбили но маршрут до них не написали, что имею ввиду DNS2 должны идти по своему маршруту на канал2 а не по default (что активно и в какой последовательности у вас идут DNS сервера тут уже смотреть надо, тем более что "no-resolv" отключен - брать текущие от провайдера).

4. А с пере направлением портом  уже потом.

Сначала разобраться с каналами и с серверами DNS.

tcpdump есть примеры в интернете, какие интерфейсы через команду ifconfig, для "холостого режима" хватит и собственного обработчика - захват пакетов на сетевом, но тут будет один интерфейс, все зависит от того какие у вас каналы провайдеров?.

 

Edited by vasek00
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...