Hirdetés
-
Mobvoi TicWatch Pro 5 Enduro - kitartás kartárs?
ma WearOS 3.5, két kijelző, hosszú üzemidő, és zavaró apróságok a legújabb TicWatch modellben.
-
The First Descendant - Napokon belül megkapjuk a megjelenési dátumot
gp Hamarosan vége a várakozásnak, reméljük a fejlesztők tartják magukat az ígéretükhöz.
-
Összemoshatja a Google és a Magic Leap a valódi és a digitális világokat
it Együttműködésbe kezdett a Google és a Magic Leap nevű AR-startup.
-
PROHARDVER!
TP-Link WR1043ND - N450 router
Új hozzászólás Aktív témák
-
vargalex
Topikgazda
válasz sto1911 #25126 üzenetére
Hi!
A factory gyári firmware-ra készült, a sysupgrade pedig már telepített OpenWrt frissítésre.
Természetesen a flash-ba elfér, marad is 960 KB szabad hely, amiből kb. 720 KB használható is.
SSH-n frissítve automatikusan reboot-ol, ha az mtd parancsot -r kapcsolóval hívod (a leírások egyébként így írják).
Viszont néhány embernek gondja akadt az 1.1-es verzióval, így elérhetővé tettem a korábbi, 1.02.1-es verziót is. Erről még megvárhatod mások véleményét is. (Nálam sem a samba sebességével, sem a transmission sebességével nem volt gond 1.1 alatt.)
Alex
-
sto1911
veterán
válasz sto1911 #25141 üzenetére
Jelentem a storage-ot megcsinaltam, akkora user error volt, hogy inkabb le se irom.
A http tiltasat viszont nem talaltam azota se, tuzfalon tiltsam? Esetleg egy altalanos tuzfalszabalyzatot tud ajanlani valaki? Ha jol latom most accept minden iranyba.
Mi a leggyorsabb masolasi mod egyebkent, amit barhonnan elerhetek? Winscp-re gondoltam, abbol van portable is, most tesztelem, 600-800k a sebesseg, gondolom ennyit bir a cpu (bar ha belegondolok, akkor nem is kell tobb...
[ Szerkesztve ]
-
vargalex
Topikgazda
válasz sto1911 #25157 üzenetére
Hi!
Ha nem változtattál a tűzfal config-on, nem másik router mögött vagy és publikus IP-t ad a szolgáltatód (nem privátot, mint pl. Mobilnet esetén), akkor kívülről az ssh (és az scp) a 2222-es, az ftp a 2221-es, a LuCI a HTTPS (443), a transmission GUI pedig a 9091-es porton érhető el. Feltétel még természetesen, hogy ahonnan próbálkozol ezek a portok ne legyenek tiltva.
[ Szerkesztve ]
Alex
-
sto1911
veterán
válasz sto1911 #25161 üzenetére
A webes felulet szerint 22-esre van allitva az ssh, megsem megy
(Elnezest a sok ertetlenkedesert, elso OWRT-m, amit hosszu tavra tervezek)Ill. az extra feluleteket is szeretnem tiltani (particionalo, samba stb.)
@(#25163) kbhuinfo: router nelkul megy szepen?
[ Szerkesztve ]
-
kbhuinfo
tag
válasz sto1911 #25164 üzenetére
Mivel a lease time és mac összerendelés elég szigorú itt, ezért várnom kell délig, hogy teszteljek...
Este jön a szerelő, remélem hoz modemet magával.Köszi a választ, majd jelzem, hogy mi az eredmény kb. 13:00 körül!
Üdv,
BalázsVan egy szint, ami felett nem mész egy bizonyos szint alá...
-
vargalex
Topikgazda
válasz sto1911 #25164 üzenetére
Hi!
Igen, a dropbear (SSH daemon) valóban úgy van config-olva, hogy a 22-es porton hallgasson. Az, hogy kívülről a 2222-es porton legyen elérhető, tűzfal szabályokkal szabályokkal oldottam meg, azért, hogy ne kelljen külön dropbear példányt futtatni. Illetve ezen a porton Brute Force támadás elleni védelem is megvalósításra került.
Az ezt végző tűzfal szabályok:
/etc/config/firewall-ban (LuCI-ban Network->Firewall->Traffic Rules):
config 'rule'
option 'target' 'ACCEPT'
option '_name' 'ssh_WAN'
option 'src' 'wan'
option 'proto' 'tcp'
option 'dest_ip' '192.168.1.1'
option 'dest_port' '22'Ez ugye annyit csinál, hogy a WAN oldalról a 192.168.1.1-es IP 22-es portjára irányuló forgalmat engedélyezi (ez átirányítás nélkül nem lehetséges, mert kívülről nem megcímezhető a 192.168.1.1).
Illetve hozzá tartozóan a /etc/firewall.user-ben (Luci-ban Network->Firewall->CustomRules
iptables --table nat -I zone_wan_prerouting -p $PROTO --dport $PROTECTEDPORT -m state --state NEW -m recent --set --name $SERVICE -j DNAT --to-destination 192.168.1.1:$SERVICEPORT
iptables --table nat -I zone_wan_prerouting -p $PROTO --dport $PROTECTEDPORT -m state --state NEW -m recent --update --seconds 60 --hitcount $BRUTEFORCE_PROTECTION_START --name $SERVICE -j DNAT --to-destination 192.168.1.1:$BRUTEFORCE_DROPPORT
iptables --table nat -I zone_wan_prerouting -p $PROTO --dport $PROTECTEDPORT -m state --state NEW -m recent --rcheck --seconds 60 --hitcount $BRUTEFORCE_PROTECTION_START --name $SERVICE -j LOG --log-prefix "BruteForce-${SERVICE} "Ez forwardolja a WAN oldalra 2222-es portra érkező kérést a 192.168.1.1 22-es portjára, miközben figyeli a próbálkozások számát. A megadott küszöbérték elérésekor egy nem használt (DROP-olt) portra irányítja és logol.
[ Szerkesztve ]
Alex
-
-
bpmcwap
senior tag
válasz sto1911 #25214 üzenetére
???? Lehet nálam van a hiba????
A kapcsolat alaphelyzetbe állt
A kiszolgálóhoz való kapcsolat alaphelyzetbe állt az oldal letöltése közben.
A webhely ideiglenesen nem érhető el vagy túlterhelt. Próbálja újra pár
perc múlva.
Ha semmilyen oldalt nem tud letölteni, ellenőrizze a számítógépe hálózati
kapcsolatát.
Ha a számítógépet vagy a hálózatot tűzfal vagy proxy védi, ellenőrizze, hogy a
Firefox számára engedélyezett-e a webhozzáférés.[ Szerkesztve ]
Túrista vagyok
-
deminos
aktív tag
válasz sto1911 #25400 üzenetére
Itt tudod leszedni a legújabb DD-wrt buildeket : ftp://ftp.dd-wrt.com/others/eko/BrainSlayer-V24-preSP2/.
Személy szerint a legutolsó 2011-es buildet használom és tökéletesen működik. Több, mint 60 napja megállás nélkül, ami nagy szó ennél a tourternál, mert valamiért a többi verziót nem komálta. Ált. a wifi része nem ment, de voltak egyéb bugok is, viszont ez a build nekem nagyon bevált : ftp://ftp.dd-wrt.com/others/eko/BrainSlayer-V24-preSP2/2011/12-20-11-r18024/tplink_tl-wr1043nd/
Xiaomi 11 Lite 5G NE
-
gerokrisz
tag
válasz sto1911 #25419 üzenetére
Azért, mert NEM TUDOM mit rontottam el.
Visszatettem a gyári szoftvert, utána minden jól ment.
De pár napja azt csinálj amit leírtam...
Tegnap este a SYS villogás helyett égve maradt, és mindenhol elment a net.
Utána kikapcsoltam, a modemet is. 10perc múlva be, és minden jól ment.
Reggel már az én gépemen nem volt net, DNS nem elérhető hibára hivatkozva.
Bedugtam a másik hálókártyát tökéletesen ment.
Ma úgy dél körül pedig az se ment.Nemrég újraindítottam, így lett net. Viszont a SYS nem villog, és nem jön be a menüje. Így semmit nem tudok rajta állítani, resetet viszont nem akarok mert portok vannak beállítva.
Restartolni este fogom tudni, mert a többi gépen a net most használatban van. Csak nem tudok rájönni, hogy mi lehet a hiba.
Türelem... A hosszú élet ritka!
-
veterán
válasz sto1911 #25496 üzenetére
Szia!
Ne akard te azt! Még véletlenül se'!
Intruder2k5-nek volt valami visszaállítós képe, hogy soroson mit kell vissatolni, csak azt nem tudom, hogy hol. O.o--------------------
YEY! Mit találtam!Üdv. core2
[ Szerkesztve ]
-
xabolcs
őstag
-
Johnsones
tag
válasz sto1911 #25831 üzenetére
köszi a segítséget
kijavítottam:iptables -I FORWARD -m iprange --src-range $LOCAL_IP -m string --string $URL_STRING --algo bm -m time --weekdays Mon,Tue,Wed,Thu,Fri --timestart $TIME_START --timestop $TIME_END -j DROP
de sajna még mindig hibát dob...
Enabling Brute Force protection for SSH on port 22
Enabling Brute Force protection for FTP on port 21
Blocking sample.com from 192.168.1.100-192.168.1.200 at time interval 10:00 - 16:00
iptables v1.4.10: Couldn't load match `iprange'ile not foundTry `iptables -h' or 'iptables --help' for more information.
Optimizing conntrack
Loading interfaceskérhetnék arra segítséget, hogy a wireless kliensek ne lássák a lan hálózatot és csak a netet
köszönöm...[ Szerkesztve ]
-
vargalex
Topikgazda
válasz sto1911 #25889 üzenetére
A dyndns az OpenWrt alatt egy shell script. ps- el így látod:
/bin/sh /usr/lib/ddns/dynamic_dns_updater.sh myddns
Alapban nem logol, ha szeretnéd bekapcsolni, az is megoldható.
[ Szerkesztve ]
Alex
-
vargalex
Topikgazda
válasz sto1911 #25898 üzenetére
Hi!
Valószínűleg törölted (automatikus törlés nem szokott lenni, ezért nem mondom, hogy valami telepítésekor törlődött).
Nézd meg a /overlay/usr/bin könyvtár tartalmát. Ha a 10.03.1-ben az új megoldás van már alkalmazva, akkor találsz ott egy scp symlinket, ami az (overlay-whiteout)-ra Ha még a régi megoldás van, akkor lesz ott egy META_* file, amiben lesz egyD scp
sor.
[ Szerkesztve ]
Alex
-
vargalex
Topikgazda
válasz sto1911 #25900 üzenetére
Hi!
Ja, hogy leszedted a dropbear-t. Akkor a remove törölte, ugyanis az scp a dropbear csomag része:
root@OpenWrt:~# opkg files dropbear
Package dropbear (2011.54-2) is installed on root and has the following files:
/usr/bin/dbclient
/usr/bin/scp
/etc/dropbear/dropbear_rsa_host_key
/etc/init.d/dropbear
/usr/bin/dropbearkey
/etc/config/dropbear
/etc/dropbear/dropbear_dss_host_key
/usr/sbin/dropbear
/usr/bin/sshiptables-save nincs. A /etc/config/firewall-ban tudod config-olni a tűzfalat, illetve a /etc/firewall.user-ben tudsz saját iptables parancsokat írni. Az 1.1-es build-emben így néz ki:
/etc/config/firewall:
config defaults
option syn_flood 1
option input ACCEPT
option output ACCEPT
option forward REJECT
# Uncomment this line to disable ipv6 rules
# option disable_ipv6 1
config zone
option name lan
option network 'lan'
option input ACCEPT
option output ACCEPT
option forward REJECT
config zone
option name wan
option network 'wan'
option input DROP
option output ACCEPT
option forward REJECT
option masq 1
option mtu_fix 1
config forwarding
option src lan
option dest wan
# We need to accept udp packets on port 68,
# see https://dev.openwrt.org/ticket/4108
config rule
option src wan
option proto udp
option dest_port 68
option target ACCEPT
option family ipv4
# Allow IPv4 ping
config rule
option src wan
option proto icmp
option icmp_type echo-request
option family ipv4
option target ACCEPT
# Allow DHCPv6 replies
# see https://dev.openwrt.org/ticket/10381
config rule
option src wan
option proto udp
option src_ip fe80::/10
option src_port 547
option dest_ip fe80::/10
option dest_port 546
option family ipv6
option target ACCEPT
# Allow essential incoming IPv6 ICMP traffic
config rule
option src wan
option proto icmp
list icmp_type echo-request
list icmp_type destination-unreachable
list icmp_type packet-too-big
list icmp_type time-exceeded
list icmp_type bad-header
list icmp_type unknown-header-type
list icmp_type router-solicitation
list icmp_type neighbour-solicitation
option limit 1000/sec
option family ipv6
option target ACCEPT
# Allow essential forwarded IPv6 ICMP traffic
config rule
option src wan
option dest *
option proto icmp
list icmp_type echo-request
list icmp_type destination-unreachable
list icmp_type packet-too-big
list icmp_type time-exceeded
list icmp_type bad-header
list icmp_type unknown-header-type
option limit 1000/sec
option family ipv6
option target ACCEPT
# include a file with users custom iptables rules
config include
option path /etc/firewall.user
config 'rule' 'transmission_web'
option 'target' 'ACCEPT'
option '_name' 'transmission_web'
option 'src' 'wan'
option 'proto' 'tcp'
option 'dest_port' '9091'
config 'rule'
option 'target' 'ACCEPT'
option '_name' 'ssh_WAN'
option 'src' 'wan'
option 'proto' 'tcp'
option 'dest_ip' '192.168.1.1'
option 'dest_port' '22'
config 'rule'
option 'target' 'ACCEPT'
option '_name' 'ftp_WAN'
option 'src' 'wan'
option 'proto' 'tcp'
option 'dest_ip' '192.168.1.1'
option 'dest_port' '21'
config 'rule'
option 'target' 'ACCEPT'
option '_name' 'Transmission'
option 'src' 'wan'
option 'proto' 'tcpudp'
option 'dest_port' '21234'
config 'rule'
option 'target' 'ACCEPT'
option '_name' 'Luci_HTTPS'
option 'src' 'wan'
option 'proto' 'tcp'
option 'dest_port' '443'
config rule
option src 'lan'
option name 'block_internet_access_IP'
option src_ip '192.168.1.181'
option target 'DROP'
option dest 'wan'
option extra '-m time --weekdays Mon,Tue,Wed,Thu,Fri --timestart 10:00 --timestop 22:00'
option enabled '0'Ebből az utolsó rule-t ne tedd be, mert 10.03.1 alatt enabled opció biztos nincs, és az extra opcióban sem vagyok biztos, hogy lenne.
/etc/firewall.user:
# This file is interpreted as shell script.
# Put your custom iptables rules here, they will
# be executed with each firewall (re-)start.
BRUTEFORCE_PROTECTION_START=3
BRUTEFORCE_DROPPORT=55555
PROTO=tcp
ROUTERIP=$(uci get network.lan.ipaddr)
########################################
#SSH Brute Force protection on port 2222
PROTECTEDPORT=2222
SERVICEPORT=22
SERVICE=SSH
echo Enabling Brute Force protection for $SERVICE on port $SERVICEPORT
iptables --table nat -I zone_wan_prerouting -p $PROTO --dport $PROTECTEDPORT -m state --state NEW -m recent --set --name $SERVICE -j DNAT --to-destination $ROUTERIP:$SERVICEPORT
iptables --table nat -I zone_wan_prerouting -p $PROTO --dport $PROTECTEDPORT -m state --state NEW -m recent --update --seconds 60 --hitcount $BRUTEFORCE_PROTECTION_START --name $SERVICE -j DNAT --to-destination $ROUTERIP:$BRUTEFORCE_DROPPORT
iptables --table nat -I zone_wan_prerouting -p $PROTO --dport $PROTECTEDPORT -m state --state NEW -m recent --rcheck --seconds 60 --hitcount $BRUTEFORCE_PROTECTION_START --name $SERVICE -j LOG --log-prefix "BruteForce-${SERVICE} "
########################################
########################################
#FTP Brute Force protection on port 2221
PROTECTEDPORT=2221
SERVICEPORT=21
SERVICE=FTP
echo Enabling Brute Force protection for $SERVICE on port $SERVICEPORT
iptables --table nat -I zone_wan_prerouting -p $PROTO --dport $PROTECTEDPORT -m state --state NEW -m recent --set --name $SERVICE -j DNAT --to-destination $ROUTERIP:$SERVICEPORT
iptables --table nat -I zone_wan_prerouting -p $PROTO --dport $PROTECTEDPORT -m state --state NEW -m recent --update --seconds 60 --hitcount $BRUTEFORCE_PROTECTION_START --name $SERVICE -j DNAT --to-destination $ROUTERIP:$BRUTEFORCE_DROPPORT
iptables --table nat -I zone_wan_prerouting -p $PROTO --dport $PROTECTEDPORT -m state --state NEW -m recent --rcheck --seconds 60 --hitcount $BRUTEFORCE_PROTECTION_START --name $SERVICE -j LOG --log-prefix "BruteForce-${SERVICE} "
########################################
########################################
#Block URL on certain time for specified IP
#
#URL_STRING=facebook.com
#LOCAL_IP=192.168.1.188
#TIME_START=10:00
#TIME_END=16:00
#
#echo Blocking $URL_STRING from $LOCAL_IP at time interval $TIME_START - $TIME_END
#iptables -I FORWARD -s $LOCAL_IP -m string --string $URL_STRING --algo bm -m time --weekdays Mon,Tue,Wed,Thu,Fri --timestart $TIME_START --timestop $TIME_END -j DROP
########################################Az idő alapú szűréshez viszont kell az iptables-mod-ipopt csomag.
(#25901): Igen, ez a régi megoldás.
[ Szerkesztve ]
Alex
-
vargalex
Topikgazda
válasz sto1911 #25908 üzenetére
Hi!
Vigyázz, mert ha a wan zone default policy-ját átállítod ACCEPT-re, akkor minden portot nyit! Az INPUT láncba insertálás pedig működik rendesen. Nem lehet, hogy az OpenSSH-t nem úgy config-oltad, hogy a WAN interface-on is hallgatózzon?
Szerk.: Az iptables -nxvL paranccsal meg is nézheted, hogy valóban a lánc elejére kerül.
[ Szerkesztve ]
Alex
-
vargalex
Topikgazda
válasz sto1911 #25911 üzenetére
Nekem megy az INPUT-ban. Sőt, mennie is kell, mert:
root@OpenWrt:~# iptables -nxvL INPUT
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
144 11674 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
2484 214671 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
19 1192 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
32 1676 syn_flood tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02
701 73313 input_rule all -- * * 0.0.0.0/0 0.0.0.0/0
701 73313 input all -- * * 0.0.0.0/0 0.0.0.0/0
root@OpenWrt:~# iptables -nxvL input
Chain input (1 references)
pkts bytes target prot opt in out source destination
322 38496 zone_lan all -- br-lan * 0.0.0.0/0 0.0.0.0/0
373 32815 zone_wan all -- eth0.2 * 0.0.0.0/0 0.0.0.0/0Azaz az INPUT lánc utolsó eleme az input lánc, aminek a második eleme a zone_wan lánc. Tehát a zone_wan mindenképpen az INPUT után értékelődik ki.
[ Szerkesztve ]
Alex
-
vargalex
Topikgazda
válasz sto1911 #25928 üzenetére
Hi!
Természetesen lehet. A /overlay mappa tartalmát kell mentened, amit egyébként a LuCI-ból is megtehetsz a System->Backup/Restore alatt).
Természetesen mehet dd-vel is (vagy cat-al), ilyen esetben a /dev/mtd3-at kell mentened (ez a rootfs_data partíció, azaz a jffs2, amit a /overlay-ba csatol).
A mentés:
dd if=/dev/mtd3 of=/mnt/rootfs_data_save
Visszaállítás pl.:
mtd write /mnt/rootfs_data_save rootfs_data
Én mondjuk az overlay mentését ajánlom (LuCI tar.gz-be tömörítve menti és ezt tudja visszatölteni), mert egyrészt így filerendszer szinten történik módosítás, másrészt az elmentett tar.gz-ben láthatod is a config-ok (és minden más) tartalmát.
Alex
-
vargalex
Topikgazda
válasz sto1911 #25975 üzenetére
Hi!
Az mtd-nél az utolsó paraméter mondja meg, hogy melyik partícióra kell írni. Visszaállításkor ez a rootfs_data (ez van a /overlay-ba mountolva). Firmware felírásakor a firmware (illetve DD-Wrt alatt a linux).
A flash-ban található partíciókról acat /proc/mtd
paranccsal kaphatsz információt.
A -r kapcsoló újraindítja a routert a parancs végrehajtása után. Szerintem ilyen esetben nem kell (de még nem próbáltam ilyen visszaállítást).
[ Szerkesztve ]
Alex
-
vargalex
Topikgazda
válasz sto1911 #25984 üzenetére
Hi!
Konkrétan a rootfs_data partíciót még nem állítottam így vissza. Viszont az art, u-boot partíciókat igen (egyéni firmware fordítással írhatóvá tettem, flash IC csere után volt szükségem rá). Így szerintem a rootfs_data is működik.
Közben megnéztem a LuCI forrását, mentésre a
sysupgrade --create-backup xxx.tar.gz
parancsot használja. Ez csak a config file-okat, passwd, host, group, shadow, stb. file-okat menti. A telepített programokat nem. Visszaállításnál
"tar -xzC/ xxx.tar.gz >/dev/null 2>&1
parancsot futtat.
Ha nem akarsz mtd-t használni, akkor egyszerűbb, ha lemented a /overlay tartalmát (ott minden módosított config-od, telepített programod benne lesz) pl. tar-al. Majd visszaállításnál egyszerűen kicsomagolod.
Alex
-
raidx
őstag
válasz sto1911 #26056 üzenetére
A használt vinyó saját tápos házikóba csücsül így a router csak a webcamot kell, ellássa energiával meg saját magát.
______________Felraktam az új firmware-et és úgy tűnik, gyorsult a a rendszer.
Vagy csak nekem tűnik úgy?--------------------------
Kezdhetem elölről a frissítést, most jövök rá, hogy megtartotta az eredeti beállításokat. Alapból bejelölt, én meg nem vettem ki.
Ez a sietség ára.
[ Szerkesztve ]
Aki nem próbálja meg a lehetetlent, az a lehetségest sem fogja elérni soha. (Goethe) RaidX
-
sellerbuyer
őstag
válasz sto1911 #26332 üzenetére
Bekapcsolod a WAN-nál és megadsz neki valamilyen nagyon alacsony sávot le és fel is.
Aztán pedig:
speedtest.net[ Szerkesztve ]
Új hozzászólás Aktív témák
Állásajánlatok
Cég: Ozeki Kft.
Város: Debrecen
Cég: Promenade Publishing House Kft.
Város: Budapest