-
IT café
OpenWrt topic
Új hozzászólás Aktív témák
-
hmzs
tag
Sziasztok!
Nftables (fw4) segítségre van szükségem, valamilyen egyszerű ip tartományos ban megoldást keresek. Iptables tűzfalban ipset-et használok, de ez nincs nft-ben, geoip meg feleslegesen bonyolult megoldásnak tűnik számomra, és konkrétan nem is próbáltam. Szabadidőmben elolvastam pár írást, de sokkal előbbre nem jutottam.
Azt felfogtam, hogy kényelmes megoldás nincs, lehet parancssorban írogatni, de ez egyelőre nem riaszt. Ugyanakkor mivel nem informatikus vagyok, nem szeretnék az nft nagyon mély bugyraiba merülni, márpedig az én szintemen felfogható írást nem találtam. Szívesen veszek bármilyen ötletet, és kérem azt a részt ugorjuk át, hogy nem tudok keresni
-
hmzs
tag
válasz
vargalex
#17181
üzenetére
Szia!
Nincs semmilyen tapasztalatom ezen a téren. Iptables-t az évek során felfogtam, nft teljes homály...
Értem amit írsz, magam is gondoltam rá, de mennyire fog működni sok tartománnyal. Mondjuk úgy 50-70 tartomány.
Kicsit közvetetten válaszolok a konkrét kérdésedre. Régi tűzfalban alap beállítás ipset segítségével viszonylag egyszerű, minden tiltott ami nem magyar ip. E felett áll két szabály: egy külön engedélyező lista, és egy tiltó lista, értelemszerűen. Valami hasonlót szeretnék, de ha lehet, már nft-vel. Bár hajlok rá, hogy egy komolyabb tiltó lista is megteszi, de ha jobban megnézem a logokat, akkor inkább néhány száz lesz a tételszám, nem néhány tíz. Eleve nincs publikus tartalom a router mögött, leginkább háttértárnak használom az otthoni mikroszervert, ennek ellenére elég egzotikus helyekről is van "érdeklődés" -
-
hmzs
tag
válasz
p-viktor
#17447
üzenetére
Szia!
Nem vagyok szakértő, de win alatt: tftp. (persze, van linux alá is)
3-4 különböző TP-Link routerrel szórakoztam eddig otthon, mindig eljött a pillanat, amikor annyi mindent elállítottam az openwrt-ben, hogy összeomlott, vagy csak nem működött. TFTP-vel gond nélkül felment mindig a vágott gyári verzió, hex editorral a gyártó oldaláról letöltött firm vágása sem okozott eddig gondot.
Ha érzel affinitást saját magad megoldani, adok leírást. -
hmzs
tag
válasz
vargalex
#17449
üzenetére
Tudom, normál esetben visszaállítás, de egyedi firmöket használok, amikben benne minden konfig. És rontottam már el
Talán az egyik legtanulságosabb pillanat az volt, amikor ráébredtem, hogy szépen bemásoltam mindent, csak a felhasználói (a root név tiltva) jelszót nem. Tehát a router hibátlanul működött, csak semmilyen felületen nem lehetett belépni rá.
Az elején meg tapasztalatlanságból párszor akkor is tftp-t használtam, amikor nem is kellett volna...
De így tanul a hülyegyerek
És legalább megküzdöttem az nft-vel is, amit nem olyan rég kérdeztem tőled is. Az ipset szerű szűrés működik, kizártam minden nem magyar ip-t. -
hmzs
tag
válasz
p-viktor
#17453
üzenetére
Szia!
Gondolkodás nélkül elfogadnám vargalex ajánlatát, én csak messziről piszkálom a témát, ő meg ért hozzá
A vágott verzió a routeredhez: wa901ndv3en_cut(150409).bin
Ezt tftp-vel feltöltve lesz egy működő gyári firm-ös routered.
Letöltés után át kell nevezni! Pl: wa901nd_tp_recovery.bin-re[ Szerkesztve ]
-
hmzs
tag
Sziasztok!
Nézegettem újabb (legalábbis nekem) routereket, megakadt a szemem a tp-link ax50-en. A gyári firm gyakorlatilag openwrt, de nem találtam openwrt támogatást hozzá. Elvileg a gyári release: "OpenWrt Attitude Adjustment 12.09-rc1"
Hogy lehet erre nem gyártói openwrt-t tenni? -
hmzs
tag
válasz
yodee_
#17500
üzenetére
https://github.com/openwrt/openwrt/issues
A tűzfal hiba talán már jelentősebb.[ Szerkesztve ]
-
hmzs
tag
Több notebook dokkoló is van a lakásban vezetékkel bekötve a routerbe (igazából csak AP, de ez most mindegy), és ezeket aktívan használjuk is. Ezért tele a log ...port X is up meg down sorokkal, de ez érthetően teljesen érdektelen számomra, szeretném ha nem kerülne be a logba.
Logd-t hogy lehet testre szabni? Vagy tegyem fel a syslog-ng-t, és állítsam be, ahogy akarom?
Előre is köszi az ötleteket! -
hmzs
tag
Csatlakozom az előttem szólóhoz
Olyan router ami mindenben megfelelt volna az elvárásaimnak, annyiba kerül, amennyit már nekem nem ér. Vékonykliensből fillérekért remek router lett, a két router meg ap-ként szolgál tovább.
Próbálkoztam opnsense-szel, de túlmutat a tudásomon, openwrt meg szárnyal a kis vason is. Tartalék bőven van, egyelőre bash-ban megírtam azt a pár dolgot amire szükségem van, de hatalmas az openwrt támogatása, a legtöbb dologra van kész megoldás. -
hmzs
tag
válasz
Kenderice
#17910
üzenetére
FS Futro S920 nyár elején Lengyelországból 16eFt volt mindennel együtt (ebay). 2portos lan kártya 4eFt innen a fórumról, és nem emlékszem pontosan, de nem volt 2eFt a PCIx4 szalagkábel. Mondjuk a 4 portos kártya 8-10eFt, de szerintem a lényegen nem változtat.
Nekem a lakás adottságai miatt elég volt 2 port, kulturáltan nem tudom elvezetni a kábeleket csillagpontos topológiával, ill hogy őszinte legyek, tudnám, de annyit nem ér.Tehát nekem 22eFt volt a gigabites router 32GB ssd-vel, 2x2GB rammal, 3db gigabites porttal, nem emlékszem de kb 4 usb porttal, és még van bővítési lehetőség. A hálókártya útba esett, elmentem érte, de hogy nagyon pontos legyen a matek, +1eFt lett volna a postázás, tehát 23eFt a vége.
Most megnéztem, s920 már 24eFt, a kábel 2,4eFt a háló kártya itt a fórumon még mindig 4 ill 8eFt.[ Szerkesztve ]
-
hmzs
tag
válasz
ViZion
#17914
üzenetére
Mi a cél a dns tiltással? A ki- vagy a bemenő forgalom korlátozása?
Mert bemenőre más utat választottam, bár nem hiszem, hogy nagy durranás, de egyszerű.
Mivel nincs széles körben publikus tartalom a mikroszerveremen, külföldre is ritkán megyek, azt a döntést hoztam, hogy tiltok minden nem magyar ip-s címet. A magyar ip lista ott a bix oldalán, ezt leszedi a router, aztán berakja a tűzfalba, e mellett van egy fehér meg egy fekete lista. A router felületeit el lehet érni, csak a mögöttes hálózat védett, így távolról is bővíthető a white lista. Sok éve még ipsettel valósítottam meg, aztán nft mellett még csak külső skript sem kell hozzá. Nem mondom, hogy tuti védelem, de havonta 1-2 komolyabb próbálkozó van, még nem ütötte meg az ingerküszöbömet, hogy egy dinamikus fekete lyukat is összerakjak, de régóta gondolkozom rajta[ Szerkesztve ]
-
#17923
hmzs
tag
fatpingvin
#17922
hmzs
tag
válasz
fatpingvin
#17922
üzenetére
Az elterjedt hálókártyákhoz van driver.
-
hmzs
tag
válasz
Panthera
#17930
üzenetére
Félre értetted, vagy félre érthető voltam. A kéretlen bemenő forgalmat szűröm. Tehát a belső hálózatból indított bármilyen kérésre megérkezik a válasz, de kívülről kezdeményezett kapcsolatra (https, ftp, bármi) csak magyar ip-ről van lehetőség. Ezzel a támadások ~98%-a megszűnt. De ami nekem lényeges, az országból korlátozás nélkül bárhonnan elérem az adataimat.
[ Szerkesztve ]
-
hmzs
tag
#!/bin/sh# Minden nem HU ip-ről jövő kérés eldobása ## Változók: #DIR='/etc/BanIP'WHT='WhiteIP' # Fehér listaBLK='BlackIP' # Fekete listaHU4='hu_v4.ip' # HU ip v4 listaURL4='http://www.bix.hu/bix-ipv4-prefixes.txt'REGEX='s/[#;].*\| \|\t//g;/^$/D'# Szöveges üzenetek:FIREW='Tűzfal indítása'FW4_T='Egyéni tűzfal szabályok betöltése'FW4OK='Egyéni tűzfal betöltve'Txt_L=' # '############ Program ############mkdir -p $DIR && cd $DIRcase "$1" in-q) GET=1; logger -s "$Txt_L${FIREW} #";;log) GET=; logger -s "$Txt_L${FW4_T} #";;*) GET=; echo -e "\n$FW4_T";;esacnft delete set inet fw4 white >/dev/null 2>&1nft delete set inet fw4 black >/dev/null 2>&1# Listák létrehozása #[ -z $GET ] && {nft add set inet fw4 white{type ipv4_addr\;flags interval\;auto-merge\;comment \"whitelist\"\;}nft add set inet fw4 black{type ipv4_addr\;flags interval\;auto-merge\;comment \"blacklist\"\;}[ -s $BLK ] && nft add element inet fw4 black { $(sed "$REGEX" $BLK | awk 1 ORS=', ') }[ -s $WHT ] && nft add element inet fw4 white { $(sed "$REGEX" $WHT | awk 1 ORS=', ') }wget -q -O - $URL4 | sed "$REGEX" > $HU4[ -s $HU4 ] && nft add element inet fw4 white { $(awk 1 ORS=', ' $HU4) }# Szabályok betöltése #nft insert rule inet fw4 input_wan ip saddr != @white counter dropnft insert rule inet fw4 forward_wan ip saddr != @white counter dropnft insert rule inet fw4 forward_wan tcp dport 55555 acceptnft insert rule inet fw4 input_wan ip saddr @black counter dropnft insert rule inet fw4 forward_wan ip saddr @black counter drop[ "$1" = "log" ] && logger -s "$Txt_L${FW4OK} #" && /etc/BanList.sh log || echo -e "\n$FW4OK" && /etc/BanList.sh}Ez maga a sript, BanIP.sh nevet adtam neki. Az nft-s rész kicsit paraszt, mindent beszúr direktben a futó szabályrendszer egyes részei elé. Ellenben így ha nem megy a script, a tűzfal az alapbeállításokkal működőképes.
Init.d firewall scriptben start, restart, reload szakaszokba beszúrtam pluszba '/etc/BanIP.sh' sort, és ennyi.
"DIR='/etc/BanIP'" sorban megadott mappába dolgozik, az ott lévő fekete és fehér listákat figyelembe véve.Példaként a konkrét fehér listám, mivel nem rendkívüli a tartalma:
# Engedélyezett IP-k listája #192.168.1.0/16 # Otthoni hálózat128.30.52.0/24 # W3C ValidatorA tiltólistából csak két sor példának:
34.4.4.0/24 # GOOGLE - Google LLC34.64.0.0-34.191.255.255 # GOOGLE - Google LLCAz nft előnye, hogy elég szabadon meg lehet adni az ip tartományokat.
Kb ennyi. Ha valakinek van energiája átgondolni a szabályok betöltését az nf táblába, annak örülnék. Ill biztos vagyok benne, hogy lehetne még farigcsálni.
[ Szerkesztve ]
-
hmzs
tag
válasz
Panthera
#17944
üzenetére
Mind a fekete, mind a fehér lista általam összeállított. A működési logika szerint csak a fehér listás ip-kről fogad el kapcsolódást. Az engedélyezési lista a letöltött hu-s ip listából, és az egyénileg létrehozott fehér listából áll. A fekete listán szereplő címek mindig tiltottak, függetlenül attól, hogy szerepelnek-e a fehér listában.
Remélem így érthetőbb. -
hmzs
tag
válasz
belgast
#18029
üzenetére
Remélem nem fogok nagy hülyeséget írni, mert sok évvel ezelőttről van halvány emlékem csak.
Scan-re rányomsz, akkor látni fogsz egy listát az elérhető wifi hálózatokkal. Sok 10 másodperc is lehet, mire megjelenik minden hálózat! A neked kellőre értelemszerűen csatlakozol, és kb ennyi. Innentől a router felkapcsolódik a kiválasztott hálózatra.
Ezek után mi a cél? Mert erről nem írtál semmit.[ Szerkesztve ]
-
hmzs
tag
válasz
belgast
#18041
üzenetére
Nagyon sok leírás van a témában, talán indulásnak:
https://logout.hu/bejegyzes/suste/wds_repeater_repeater-relayd_openwrt-luci_alatt_at.html
vagy openwrt doksi:
https://openwrt.org/docs/guide-user/network/wifi/relay_configuration[ Szerkesztve ]
-
hmzs
tag
válasz
haddent
#18404
üzenetére
A felvetésen eddig nem gondolkodtam, de hasonlót tapasztalok, csak már megszoktam
Bármelyik elitebook notit (4-8. gen intel és win10) nyitom ki, speedtest.net-en mérve wifin csak kb a felét - 2/3-át tudja sebességben mint lanon.
I3 8. gen-es intel nuc wi11-el kb 2/3 sebességet mér, mint egy hp820g2 win10-zel. Ez kb igaz az elmúlt 2 évben megjelent openwrt-k mellett, bár én nem hiszem hogy itt kell keresni a hibát. Nem épp tudományos összehasonlítási alapok, nem is biztos hogy hasznos infó... -
hmzs
tag
Saját használatú gépeken az energiagazdálkodást erősen visszafogom. Igen, ki van kapcsolva, usb és pci is mindig aktív, nincs hibernálás, nincs alvás, nincs felébresztés, semmi ilyen funkció nincs engedélyezve, csak a képernyő kikapcsolás. Belegondolva, szörnyen pocsékolok
Visszatérve az offtopikhoz: nálam a feltöltés majdnem mindig magasabb sebességű, mint a le. Most is wifin ~ 250mbps le, és 350mbps feltöltési sebességet mérek, ha átülnék a másik szobába, akkor kb 50-60mbps-el magasabb lenne mindkét sebesség.
És ez évek óta így van. Változott a router, változtak a kliens gépek, a kliensek op rendszere, az openwrt verzió, a szolgáltatói router/bridge, és a lakás. Változatlan a szolgáltató (mert nincs másik), ill a router(ekből) ap-k lettek. A jelenség kb azóta megvan, hogy pppoe-s a net. -
hmzs
tag
Beleolvasva a 2,4/5GHz macerába, az elején nem sejtettem, mi lesz a megoldás. Pedig pár évvel ezelőtt bő két nap beállítgatás, fórum olvasás, hajtépés után döntöttem úgy, hogy kikapcsolom a 2,4GHz-t. Utána a két ap-nek használt router beállítása szinte csak pár kattintás volt...
Azóta csak a dfs meg a pppoe net okozott némi fejtörést (na jó, meg az egységes ssl), de mivel ezeken is túl vagyok, több mint egy éve firm-öt sem csináltam. Teljesen el fogok lustulni így, de majd ha megint hajtépéshez támad kedvem, elgondolkodom én is az ax wifin
(Az egyedi firmware miatt még nem vagyok szakértő, csak kitartó hibbista. Van olyan időszak, amikor több a szabadidőm, valamivel el kell tölteni, és ez számomra szórakoztatóbb és hasznosabb tanulás, mint c++-ban leprogramozni a hűtő-zsiráf-elefánt klasszikust) -
hmzs
tag
Tanúsítvány létrehozásához van sok leírás, bár annak idején én is félve álltam neki. Én valószínű a bonyolult utat választottam, generáltam "szolgáltatói" kulcsot, aztán ezzel hozom létre az összes eszköz (már csak 4db) tanúsítványait. Így egy tanúsítványt kell csak a winbe integrálni, utána már minden eszköz bárhonnan hiteles. Így is önaláírt, de elég egy kulcs, és a dinamikus ip-vel sincs gond.
De a szakértők majd mondanak jobb megoldást -
hmzs
tag
Köszönöm a tanácsokat.
Néztem párszor a tanúsítványokat, de a dinamikus ip-nél eddig mindig megakadtam. Nem akartam "gyári" dynip megoldásokat, így viszont nem két perc összekattintgatni egyik free certet sem. (Persze valószínű, csak nekem nem.) Majd pár hónap múlva ha lesz több időm, átgondolom, meg beleásom magam. -
hmzs
tag
Nem tudom mi az igazság, de ilyeneket olvasva mindig örülök, hogy egyedi megoldást használok. Ill mivel nincs publikus tartalom az otthoni mikroszerveren, ezért csak magyar ip-ről elérhető. (Nagy vonalakban, mert azért van némi kivétel.) Úgy gondolom, ezzel egész kezelhető a próbálkozások száma, ahogy nézem, idén volt https-en ~50, ftp-n meg ~140. Bár már ez is zavar, gondolkodom is, hogy ideje lenne a szabványos 22-es portról átrakni máshova az ftp-t.
Nem vagyok szakértő, talán épp ezért nagyon érdekel, hogy mit kell, mit lehet, ill mit érdemes beállítani otthoni rendszereken a biztonság fokozása érdekében. Ha belefér ebbe a fórumba, a magam részéről szívesen olvasnék a témában. A routerem mégis csak openwrt-s -
hmzs
tag
válasz
adika4444
#18665
üzenetére
Ezt értem, és köszi.
Azonban elsősorban inkább az openwrt beállításai érdekelnek biztonsági szempontból. Ill mennyire biztonságos az openwrt? Van bármilyen ismert sebezhetősége, van valami, amire különösen figyelni kell? Sosem találok semmi rendkívülit a leírásokban, nem olvasok sehol semmi biztonsági szempontból kritikus dolgot. Lehet hogy túlgondolom, de mindig attól tartok, hogy akadálytalanul járnak be a rendszerembe, csak én nem látom ennek a nyomát....
(Az hogy home serverem van, az csak annyiban változtat a helyzeten, hogy így a router valóban csak router tűzfal funkciókkal, a szolgáltatások nagy része ubuntus gépen fut, a wifi meg 2db openwrt-s AP-nak használt routerről biztosított.) -
hmzs
tag
válasz
feco93
#18756
üzenetére
Hasonló problémával szembesültem egy költözés után. Az árakat látva úgy döntöttem, hogy pc alapú routerem lesz, a meglévő routerek pedig csak ap-ként szolgálnak tovább. Megfelelő vékonykliens, hálókártya, openwrt, boldogság.
De ez nem javaslat, csak egy lehetséges út... -
hmzs
tag
AX3200 a leírások alapján nem egyszerű, bizonyos gyártási időpont utáni verziókon gyárilag nincs telnet, szét kell szedni a routert hogy a gyáritól különböző firm felmenjen. (boltban jelenleg ~26eFt). AX6S (kínai verzió) egy fokkal egyszerűbb, de ha találsz valahol, szólj kérlek nekem is
(Jófogáson van ax3600 20e-ért, de két hete nem válaszol az ember az írásos üzenetre, próbáld meg felhívni, hátha...) -
hmzs
tag
válasz
xabolcs
#18932
üzenetére
Igen, teljesen igazad van. A leírások szerint valóban járható út, ha van egy másik mesh képes xiaomi router kéznél.
A fórumtársra ez nem tűnik igaznak, ezért próbáltam figyelmeztetni, hogy legyen körültekintő.
Ha ismersz más módot is, kérlek írd meg vagy linkeld, biztosan nem csak engem érdekel.
(Mondjuk engem nem riaszt el némi forrasztás sem.) -
hmzs
tag
válasz
xabolcs
#18938
üzenetére
Köszönöm az infókat! Ennyire mélyen én nem ástam bele magam, de a jövőben még biztosan jól jön az összefoglalásod.
A python scriptet nem próbáltam, a patcher előbb jött szembe. Mondjuk nem volt nagy kihívás, ax6s-re már feltettem a zárt förmöt, így már volt telnet (bár nem ezt mondta magáról). De a cmd-py hibrid (vagy valami ilyesmi) működőképesnek tűnt. Próbaképp az angol nyelvet telepítettem a kínai mellé, meg pár beállítást módosítottam, ez rendben ment. Persze az openwrt volt a végcél, pár kattintással felment a segítségével. -
hmzs
tag
Megint nagyon messziről kotnyeleskedek bele, de Dynalink DL-WRX36 még van az amazonon:
https://www.amazon.com/Dynalink-DL-WRX36-8-Stream-Wireless-3-6Gbps/dp/B096K9SVCT, "Total HUF 34,760.49"
Elvileg openwrt 23.05 támogatott rá.[ Szerkesztve ]
-
hmzs
tag
Lehet hogy nem értelek, de luciben "Biztonsági mentés vagy firmware beírása" menüpontban ott a "Biztonsági mentés". Ami be van állítva, azt kimenti egy tar.gz fájlba, amit win alatt winrar vagy 7-zip is gond nélkül kezel, linux alatt meg nem kérdés, hogy olvasható. A tömörített fájlban a konfigurációs fájlokban szöveges állományok vannak, olvashatóak.
Csak a mentés beállításaiban ne felejtsd el felvenni, hogy mik legyenek a mentésben.
Pl tedd bele: /etc, így minden konfig benne lesz, aztán tudod finomítani, hogy mire is van szükséged ténylegesen.
Új hozzászólás Aktív témák
- Eladó Steam kulcsok kedvező áron!
- World of Warcraft (WoW) Díszdobozok
- Windows, Office licencek kedvező áron, egyenesen a Microsoft-tól - 2990 Ft-tól!
- Adobe Előfizetések - Adobe Creative Cloud All Apps - 12 Hónap
- Eredeti Microsoft termékek - MEGA Akciók! Windows, Office Pro Plus, Project Pro, Visio Pro stb.
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest