|
|
|
Dicrock
Стаж: 12 лет 11 месяцев Сообщений: 1142
|
Dicrock ·
04-Май-20 21:39
(4 года 11 месяцев назад, ред. 04-Май-20 21:39)
Правило
Цитата:
iptables -I FORWARD -p tcp --sport 80 -m u32 --u32 "0x1E&0xFFFF=0x5010 && 0x73=0x7761726e && 0x77=0x696e672e && 0x7B=0x72742e72" -j DROP
перестало работать для FORWARD трафика. Для INPUT всё работает.
upd: Поправка правило почему сейчас не отрабатывает на http://rutr.life, зато для https://rutr.life/forum/index.php работает. С другими сайтами вроде нет проблем.
|
|
|
|
witacao
Стаж: 14 лет 10 месяцев Сообщений: 99
|
witacao ·
06-Май-20 21:18
(спустя 1 день 23 часа)
Давно в тему не заходил, года три как на Ростелекоме(Ростов-на-Дону, прошивка Томато) добросовестно работал скрипт, который указан нынче как устаревший
скрытый текст
iptables -t raw -N lawfilter
iptables -t raw -A lawfilter -p tcp --sport 80 -m string --hex-string 'Location: http://95.167.13.50' --algo bm --from 50 --to 200 -j DROP
iptables -t raw -A lawfilter -p tcp --sport 80 -m string --hex-string 'Location: http://warning.rt.ru/' --algo bm --from 50 --to 200 -j DROP
iptables -t raw -A lawfilter -p tcp --sport 80 -m string --hex-string 'Location: http://block.ip.center.rt.ru' --algo bm --from 50 --to 200 -j DROP
iptables -t raw -I PREROUTING -j lawfilter
Решил прописать обновлённый, потому как иногда, очень редко, но бывает, что http sные адреса выдают пустой экран или пишут, что ответ от сервера очень долгий, потому вот вам от ворот поворот.Очень редко, но бывает.
скрытый текст
iptables -t mangle -I FORWARD -p tcp -m tcp --sport 80 -m u32 --u32 "0x1e&0xffff=0x5010&&0x73=0x7761726e&&0x77=0x696e672e&&0x7B=0x72742e72" -m comment --comment "Rostelecom HTTP FORWARD" -j DROP
iptables -t mangle -I FORWARD -p tcp -m connbytes --connbytes 2: --connbytes-mode packets --connbytes-dir reply -m u32 --u32 "0x4=0x10000 && 0x1E&0xffff=0x5004" -m comment --comment "Rostelecom non-HTTP FORWARD" -j DROP
iptables -t mangle -I OUTPUT -p tcp -m tcp --sport 80 -m u32 --u32 "0x1e&0xffff=0x5010&&0x73=0x7761726e&&0x77=0x696e672e&&0x7B=0x72742e72" -m comment --comment "Rostelecom HTTP OUTPUT" -j DROP
iptables -t mangle -I OUTPUT -p tcp -m connbytes --connbytes 2: --connbytes-mode packets --connbytes-dir reply -m u32 --u32 "0x4=0x10000 && 0x1E&0xffff=0x5004" -m comment --comment "Rostelecom non-HTTP OUTPUT" -j DROP
прописал и...... Ростелеком начал блокировать всё и вся. Вернулся к устаревшему скрипту - всё хорошо, ничего не блокируется, все сайты открываются. Может, кому из ростовских пользователей Ростелекома пригодится - не прописывайте обновлённые скрипты, юзайте "устаревшие", они отлично работают 
|
|
|
|
vlad_ns
Стаж: 15 лет 1 месяц Сообщений: 1786
|
vlad_ns ·
11-Май-20 12:00
(спустя 4 дня, ред. 11-Май-20 12:00)
witacao писал(а):
79394496но бывает, что httpsные адреса выдают пустой экран
Так правила, вами перечисленные, относятся к http - это 80-й порт (--sport 80), для https, правила должны "ссылаться" на 443 порт. Из шапки это к примеру:
Код:
iptables -t mangle -I PREROUTING -p tcp --sport 443 -m connbytes --connbytes 1:4 --connbytes-mode packets --connbytes-dir reply -m u32 --u32 "0x4=0xd4310 && 0x1E&0xffff=0x5004" -j DROP
Вообще, чтобы посмотреть, срабатывают ли правила, можно в консоли вывезти счётчики правил, например так:
Код:
iptables -t raw -vnL PREROUTING
где "-t raw" - таблица, если другая, укажите её. Вывезти все правила (там можно увидеть и таблицы):
Если используется IPv6, то к этим командам добавляются аналогичные, но начинаются на ip6tables вместо iptables. Ещё как вариант, использовать более изощрённые способы, как из этого топика: [linux] обход DPI при помощи transparent proxy или nfqueue. Автор там 99% работы проделал за пользователя.
|
|
|
|
witacao
Стаж: 14 лет 10 месяцев Сообщений: 99
|
witacao ·
12-Май-20 23:06
(спустя 1 день 11 часов, ред. 12-Май-20 23:06)
В консоли роутера ? Подключаться к нему через ssh?
|
|
|
|
AddRemover
Стаж: 15 лет Сообщений: 22
|
AddRemover ·
13-Май-20 16:46
(спустя 17 часов)
Случайно наткнулся на эту тему и попробовал обход с помощью iptables.
Интересный конечно вариант )
Но к сожалению, правила помогают только для нешифрованного трафика по 80му порту.
Т.е. этот сайт открывается нормально, тот же linkedin - нет.
Пока откатил обход через TOR... но часто выпадают медленные цепочки и хотелось бы более элегантного решения.
москва онлайм по проводу. Маршрутизатор с OpenWRT.
|
|
|
|
Гуфыч
Стаж: 14 лет 2 месяца Сообщений: 8903
|
Гуфыч ·
13-Май-20 17:47
(спустя 1 час)
AddRemover писал(а):
79434990но часто выпадают медленные цепочки и хотелось бы более элегантного решения
В файле torrc можно зафиксировать конкретную ноду или даже страны.
Код:
ExitNodes {Nl}, {DE}
|
|
|
|
AddRemover
Стаж: 15 лет Сообщений: 22
|
AddRemover ·
13-Май-20 18:01
(спустя 14 мин.)
Гуфыч писал(а):
79435365
AddRemover писал(а):
79434990но часто выпадают медленные цепочки и хотелось бы более элегантного решения
В файле torrc можно зафиксировать конкретную ноду или даже страны.
Код:
ExitNodes {Nl}, {DE}
конечно, у меня так и сделано. Причем некоторые страны исключены:
Код:
ExcludeExitNodes {RU}, {BY}, {UA}, {KZ}, {UZ}
ExitNodes {GB},{NL},{FR}
вопрос у меня по сабжу, работают ли еще правила iptables для онлайма в москве или нет.
У меня работает но частично. 80 порт норм, а 443 (https) - нет.
В общем, у меня нет проблем с обходом запретов, у меня проблемы с iptables и временем 
вариант с iptables из шапки гораздо эффективнее, чем вариант с TOR, по этому хотелось бы целиком перейти на него, оставив TOR только для TLD .onion и .exit
|
|
|
|
Dicrock
Стаж: 12 лет 11 месяцев Сообщений: 1142
|
Dicrock ·
14-Май-20 01:33
(спустя 7 часов, ред. 14-Май-20 01:33)
vlad_ns писал(а):
Так правила, вами перечисленные, относятся к http - это 80-й порт (--sport 80), для https, правила должны "ссылаться" на 443 порт.
Хм ... Ростелеком (Москва, и др.) : IPv4, raw prerouting, Новые от ValdikSS
Цитата:
Свежие правила для блокировки TCP RST (у не-HTTP-правила убран порт 443, подкорректирован connbytes):
"Свежее" правило у меня тоже кстати не заботало, а вот старое, 3-х летней давности, процитированное вами продолжает.
|
|
|
|
vlad_ns
Стаж: 15 лет 1 месяц Сообщений: 1786
|
vlad_ns ·
14-Май-20 17:17
(спустя 15 часов, ред. 14-Май-20 17:17)
Dicrock писал(а):
79437936Хм ...
В контексте вопроса witacao, у него этих правил нет.
Dicrock писал(а):
79437936а вот старое, 3-х летней давности, процитированное вами продолжает.
Так то правило было в качестве примера и для дом.ру. У вас что дом.ру или ростелеком? У witacao ростелеком, там только новое правило предложенное по вашей ссылке ( https://rutr.life/forum/viewtopic.php?p=76830573#76830573) которое с его слов не работает. А в старом нету 443 порта. Просто человек witacao спрашивает, надо помочь.
|
|
|
|
Dicrock
Стаж: 12 лет 11 месяцев Сообщений: 1142
|
Dicrock ·
14-Май-20 23:24
(спустя 6 часов)
Видать мы про разные случаи. Я про правило от ValdikSS для РТ 3-х годичной давности. Ранее оно фигурировало в шапке (вроде бы) и там был 443-й целевой порт Вот я о чём. В общем, махните рукой ...
|
|
|
|
witacao
Стаж: 14 лет 10 месяцев Сообщений: 99
|
witacao ·
15-Май-20 00:08
(спустя 43 мин., ред. 15-Май-20 00:08)
Dicrock писал(а):
Видать мы про разные случаи. Я про правило от ValdikSS для РТ 3-х годичной давности. Ранее оно фигурировало в шапке (вроде бы) и там был 443-й целевой порт Вот я о чём. В общем, махните рукой ...
Не надо махать рукой, благодаря vlad_ns проблема решилась - человек подтолкнул в сторону, куда надо рыть
Для Ростелекома (Ростов-на-Дону), работают следующие правила:
скрытый текст
iptables -t raw -I PREROUTING -p tcp --sport 80 -m string --hex-string 'Location: http://warning.rt.ru' --algo bm --from 50 --to 200 -j DROP
iptables -t mangle -I PREROUTING -p tcp --sport 443 -m connbytes --connbytes 1:4 --connbytes-mode packets --connbytes-dir reply -m u32 --u32 "0x4=0x10000 && 0x1E&0xffff=0x5004" -j DROP
И для прошивки Tomato by Shibby надо добавить команду в скрипте инициализации : modprobe -a xt_connbytes
Теперь и по 443 порту удачно заглушка обходится.
|
|
|
|
Dicrock
Стаж: 12 лет 11 месяцев Сообщений: 1142
|
Dicrock ·
15-Май-20 00:52
(спустя 44 мин.)
witacao, я имел ввиду махнуть рукой на возникшую путаницу ...
|
|
|
|
vlad_ns
Стаж: 15 лет 1 месяц Сообщений: 1786
|
vlad_ns ·
15-Май-20 10:04
(спустя 9 часов)
Рад, что достигнут нужный результат :).
|
|
|
|
Dicrock
Стаж: 12 лет 11 месяцев Сообщений: 1142
|
Dicrock ·
17-Май-20 03:47
(спустя 1 день 17 часов, ред. 17-Май-20 03:47)
Может знатоки iptables подскажут, что не так с правилом
Код:
iptables -I FORWARD -p tcp --sport 80 -m u32 --u32 "0x1E&0xFFFF=0x5010 && 0x73=0x7761726e && 0x77=0x696e672e && 0x7B=0x72742e72" -j DROP
которое не работает на рутрекере для FORWARD, но работает для OUTPUT ? Причём по http проблема именно на http://rutr.life и для FORWARD трафика. FORWARD + http://rutr.life/forum/index.php успешно обходятся. Если правило вкорячено на целевом устройстве в OUTPUT, то проблем нет. С http://rutr.life идёт редирект на http://rutr.life/forum/index.php и тут его DPI подлавливает. Вот пакет с редиректом http://sendfile.su/1560637 на заглушку.
|
|
|
|
vlad_ns
Стаж: 15 лет 1 месяц Сообщений: 1786
|
vlad_ns ·
17-Май-20 12:17
(спустя 8 часов, ред. 17-Май-20 12:17)
Dicrock
Я сейчас сделаю не популярное, дам ссылку на описание https://ru.wikibooks.org/wiki/Iptables
Там есть такая картинка:
Вся разница в типе трафика, точнее его предназначении forward - транзитный трафик (левая часть картинки), input и output - трафик к/от внутренним процессам сервера (правая часть). Чтобы их не разделять, я использую prerouting, влияет сразу на оба типа трафика. На картинке всё видно. Тут ещё есть деталь, касающаяся назовём их так аппаратных маршрутизаторов (те самые которые продают в магазинах), у них в схеме работы ,есть так называемые чёрные ящики, чаще всего в настройках их называют ускоритель nat, аппаратный nat. Вот это штука призвана увеличить производительность таких устройств, но при этом она ломает алгоритм с той картинки и правила могут не работать. Обычно эту штуку можно отключить.
По поводу редиректа, да там обычный редирект (http 302), это делает обыкновенный прокси. По идее правила типа таких
Код:
iptables -t raw -I PREROUTING -p udp --sport 53 -m string --hex-string "|05030311|" --algo bm --from 50 --to 80 -j DROP
iptables -t raw -I PREROUTING -p tcp --sport 80 -m string --hex-string 'Location: http://lawfilter.ertelecom.ru' --algo bm --from 150 --to 350 -j DROP
это решают. Я иначе поступаю, тут я писал об этом. Там правда про подсовывание рекламы, но смысл такой же, провайдер своим прокси нагло лезет с редиректом (302) на свою рекламу.
Ошибочка, скорее всего заглушку так не победить (по ссылке на рекламу), если сделать так, то скорее всего будет "бесконечный" редирект (с прокси провайдера на клиента, а с клиента опять и т.д.). Так что да, iptables должен в начале отбросить пакет.
|
|
|
|
Dicrock
Стаж: 12 лет 11 месяцев Сообщений: 1142
|
Dicrock ·
18-Май-20 09:09
(спустя 20 часов, ред. 18-Май-20 09:09)
Лишний раз ткнуть в матчасть будет не лишним
Цитата:
Тут ещё есть деталь, касающаяся назовём их так аппаратных маршрутизаторов (те самые которые продают в магазинах), у них в схеме работы ,есть так называемые чёрные ящики, чаще всего в настройках их называют ускоритель nat, аппаратный nat. Вот это штука призвана увеличить производительность таких устройств, но при этом она ломает алгоритм с той картинки и правила могут не работать. Обычно эту штуку можно отключить.
Не в курсе случаем, что это за фича на роутерах zyxel ? Так бы отрубил
Цитата:
По поводу редиректа, да там обычный редирект (http 302), это делает обыкновенный прокси. По идее правила типа таки это решают.
Таблицы raw на том роутере нет в принципе :/
Код:
iptables v1.4.21: can't initialize iptables table `raw': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
а упомянутое мной выше правило находясь в FORWARD (равно как и в таблице mangle) проблемы не решает, хотя счётчик при запросе http://rutr.life срабатывает. Правило
Код:
iptables -I FORWARD -p tcp --sport 80 -m string --hex-string 'Location: http://warning.rt.ru' --algo bm --from 97 --to 128 -j DROP
которое успешно работает для http://rutr.life на другом, более старом роутере здесь тоже не работает, находясь в цепочке как до, так и после u32-правила. Счётчик так же срабатывает (а правило u32 остаётся не у дел и наоборот, в зависимости от расположения правила в цепочке).
В общем, опуститься на более "низкий" уровень работы iptables у меня нет возможности из-за ограничений прошивки, а на текущем правила что u32, что bm для FORWARD трафика (по неизвестным мне причинам) корёжит. На рутрекере. На других сайтах подобного не наблюдал. Пока.
|
|
|
|
vlad_ns
Стаж: 15 лет 1 месяц Сообщений: 1786
|
vlad_ns ·
18-Май-20 13:34
(спустя 4 часа, ред. 18-Май-20 13:34)
Dicrock писал(а):
79464025Не в курсе случаем, что это за фича на роутерах zyxel ? Так бы отрубил
Ну, в последний раз пользовался ими в 2008 и то это был adsl. Могу только предложить самостоятельно и внимательно, поковырять все настройки, может что-то про nat встретится.
Dicrock писал(а):
79464025Таблицы raw на том роутере нет в принципе :/
Гм, да, развожу руками.
Dicrock писал(а):
79464025а упомянутое мной выше правило находясь в FORWARD (равно как и в таблице mangle) проблемы не решает, хотя счётчик при запросе http://rutr.life срабатывает.
Как вариант проработать снова с input и output, по смехе они как раз параллельно с forward. Ну либо попробовать альтернативные прошивки tomatousb, openwrt, dd-wrt, ну а потом только заменить на что-то новое, либо как я, собрать отдельный мини-пк типа такого или такого и т.п. таких вариантов полно в качестве маршрутизатора, тогда уж точно всё будет работать как надо.
|
|
|
|
Dicrock
Стаж: 12 лет 11 месяцев Сообщений: 1142
|
Dicrock ·
19-Май-20 11:34
(спустя 21 час, ред. 19-Май-20 11:34)
vlad_ns писал(а):
Ну, в последний раз пользовался ими в 2008 и то это был adsl. Могу только предложить самостоятельно и внимательно, поковырять все настройки, может что-то про nat встретится.
Погуглил на эту тему. У zyxel'eй данная фича называется HWNAT и
Цитата:
Присутствует не на всех устройствах (обычно на младших моделях отсутствует и присутствует на старших).
у меня именно "младшая" модель. Тем не менее, я посмотрел список компонентов и там таки был некий "Сетевой ускоритель". Но это судя по всему SWNAT т.к. он
Цитата:
Присутствует на всех моделях.
а HWNAT, если верить данной статье в наборе компонентов зовётся "Аппаратный обработчик пакетов", а у меня его и в помине нет.
Ну и в довесок я глянул список компонентов через cli на предмет наличия компонентов, которые так или иначе связаны с nat и нашёл лишь компоненты вида "шлюз прикладного уровня (ALG) для xxx"
Цитата:
nathelper-ftp
nathelper-pptp
nathelper-rtsp
nathelper-sip
nathelper-h323
Я ещё могу у саппорта уточнить по поводу аппаратного ускорителя, но с большей долей вероятности его у меня нет.
|
|
|
|
vlad_ns
Стаж: 15 лет 1 месяц Сообщений: 1786
|
vlad_ns ·
19-Май-20 13:11
(спустя 1 час 37 мин.)
Dicrock
Я точно не знаю чем у них отличаются аппаратный или программный nat если смысл их один и тот же, то что тот, что этот могут менять прохождение пакетов. С другой стороны сообщение типа "can't initialize iptables table `raw': Table does not exist" говорит о каком-то другом недостатке. Через modprob или lsmod можно посмотреть все модули, которые можно использовать.
|
|
|
|
Dicrock
Стаж: 12 лет 11 месяцев Сообщений: 1142
|
Dicrock ·
20-Май-20 16:22
(спустя 1 день 3 часа, ред. 20-Май-20 16:22)
vlad_ns, проверил схему с правилами, FORWARD-трафиком на программном варианте OpenWRT под vbox - там проблем нет. Пакеты от DPI успешно отбрасываются правилами iptables. Похоже затык в самом роутере/прошивке.
Цитата:
С другой стороны сообщение типа "can't initialize iptables table `raw': Table does not exist" говорит о каком-то другом недостатке. Через modprob или lsmod можно посмотреть все модули, которые можно использовать.
ОК. Гляну модули и скину список
upd:
скрытый текст
Код:
fastvpn 126005 0 - Live 0x81580000 (PO)
hw_nat 26476 0 - Live 0x81540000 (O)
zram 10170 1 - Live 0x81de4000
mt76x2_ap 819025 1 - Live 0x81f00000 (O)
rtsoc_eth 44736 0 - Live 0x81c20000 (PO)
usbextras 1153 0 - Live 0x833df000 (PO)
nls_utf8 881 0 - Live 0x8334d000
xt_IPMARK 929 0 - Live 0x83314000 (O)
xt_ACCOUNT 9057 0 - Live 0x833dc000 (O)
nls_cp1251 3665 0 - Live 0x83312000
usb_storage 38745 1 - Live 0x833d0000
xt_DNETMAP 9505 0 - Live 0x83348000 (O)
xt_length2 2833 0 - Live 0x8336d000 (O)
arptable_filter 593 0 - Live 0x833c9000
sd_mod 25313 2 - Live 0x83340000
ohci_hcd 14289 0 - Live 0x83368000
sr_mod 12212 0 - Live 0x83308000
nls_cp437 4433 0 - Live 0x83304000
xt_DELUDE 1521 0 - Live 0x8335e000 (O)
xt_CHAOS 1841 0 - Live 0x8335d000 (O)
sg 16337 0 - Live 0x83350000
ext4 270498 1 - Live 0x83380000
xt_LOGMARK 1745 0 - Live 0x83303000 (O)
xt_STEAL 721 0 - Live 0x832fc000 (O)
nls_cp866 3921 0 - Live 0x832b0000
xt_ipp2p 7601 0 - Live 0x832fe000 (O)
xt_DHCPMAC 1505 0 - Live 0x832b1000 (O)
jffs2 93339 1 - Live 0x832c0000
xt_psd 30849 0 - Live 0x83248000 (O)
ehci_hcd 34769 0 - Live 0x83250000
xt_TPROXY 3937 0 - Live 0x83264000
xt_RAWNAT 3601 0 - Live 0x83267000 (O)
xt_SYSRQ 3665 0 - Live 0x83269000 (O)
xt_TARPIT 4257 1 - Live 0x83276000 (O)
usbcore 116469 5 usbextras,usb_storage,ohci_hcd,ehci_hcd, Live 0x83280000
xt_geoip 3073 0 - Live 0x83246000 (O)
xt_iprange 1089 0 - Live 0x8323f000
xt_NOTRACK 577 0 - Live 0x83242000
ipt_ULOG 4033 0 - Live 0x8322d000
ip6t_rt 1617 0 - Live 0x8321a000
xt_connbytes 1617 0 - Live 0x83225000
xt_addrtype 2257 0 - Live 0x8322f000
xt_recent 6513 0 - Live 0x8323c000
lzo_decompress 1560 1 zram, Live 0x8322a000
ip6t_mh 753 0 - Live 0x8321f000
xt_string 801 0 - Live 0x8322b000
cdrom 32950 1 sr_mod, Live 0x83230000
resetnds 851 0 - Live 0x83227000 (PO)
hmac 2337 0 - Live 0x8320e000
des_generic 18250 0 - Live 0x83220000
xt_iface 945 0 - Live 0x8320c000 (O)
mtdoops_proc 5873 0 - Live 0x83214000 (O)
nacct 10878 0 - Live 0x83210000 (PO)
xt_comment 513 0 - Live 0x83208000
nf_tproxy_core 760 1 xt_TPROXY,[permanent], Live 0x831d4000
xt_helper 881 0 - Live 0x83207000
nfnetlink_log 6211 0 - Live 0x831dc000
xt_ecn 1377 0 - Live 0x831ff000
xt_socket 2785 0 - Live 0x831c7000
ipt_ECN 1425 0 - Live 0x831fe000
ip_set_hash_ipportip 21921 0 - Live 0x83200000
compat_xtables 2160 14 xt_IPMARK,xt_ACCOUNT,xt_DNETMAP,xt_length2,xt_DELUDE,xt_CHAOS,xt_LOGMARK,xt_STEAL,xt_ipp2p,xt_DHCPMAC,xt_psd,xt_RAWNAT,xt_SYSRQ,xt_TARPIT, Live 0x831d1000 (O)
xt_fuzzy 1105 0 - Live 0x831d3000 (O)
ip_set_hash_net 23233 0 - Live 0x831f8000
rt_timer_wdg 954 0 - Live 0x831f5000
xt_ipv4options 689 0 - Live 0x831a8000 (O)
xt_esp 833 0 - Live 0x831f7000
xt_CT 2305 0 - Live 0x831c6000
zlib_deflate 19577 1 jffs2, Live 0x831f0000
iptable_rawpost 609 0 - Live 0x831ca000 (O)
ipt_ah 753 0 - Live 0x831cc000
xt_NFQUEUE 1553 0 - Live 0x831ce000
jbd2 45934 1 ext4, Live 0x831e0000
nls_base 5279 5 nls_utf8,nls_cp1251,nls_cp437,nls_cp866,usbcore, Live 0x831ae000
ip_set_hash_ipport 20529 0 - Live 0x831c0000
ip6t_ipv6header 1169 0 - Live 0x8319f000
xt_hl 817 0 - Live 0x8318a000
xt_hashlimit 6081 0 - Live 0x831a4000
xt_dscp 1009 0 - Live 0x83196000
lzo_compress 2451 1 zram, Live 0x831a6000
nfnetlink_queue 6865 0 - Live 0x831bc000
phr 49073 3 mt76x2_ap, Live 0x831b0000 (PO)
mbcache 4334 1 ext4, Live 0x83194000
xt_length 753 0 - Live 0x83191000
ip_set_hash_ipportnet 27969 0 - Live 0x83198000
ip_set_bitmap_port 4817 0 - Live 0x8318c000
ip6t_ah 897 0 - Live 0x83187000
xt_policy 2081 0 - Live 0x83185000
xt_physdev 1393 0 - Live 0x83183000
ip6t_eui64 737 0 - Live 0x83174000
exportfs 3096 0 - Live 0x8317b000
crc_itu_t 1052 0 - Live 0x83179000
xt_CLASSIFY 609 0 - Live 0x83176000
zlib_inflate 14179 1 jffs2, Live 0x8317c000
xt_owner 737 0 - Live 0x83173000
xt_statistic 865 0 - Live 0x83170000
ip6t_frag 945 0 - Live 0x8316e000
loop 12401 0 - Live 0x83158000
xt_quota2 2273 0 - Live 0x83167000 (O)
ts_kmp 1473 0 - Live 0x8313b000
xt_connmark 1153 0 - Live 0x8311f000
ts_fsm 2833 0 - Live 0x830ef000
xt_pkttype 705 0 - Live 0x83160000
xt_lscan 2001 0 - Live 0x83127000 (O)
md5 1393 0 - Live 0x83163000
xt_DSCP 1633 0 - Live 0x83162000
scsi_mod 78040 4 usb_storage,sd_mod,sr_mod,sg, Live 0x83140000
xt_quota 801 0 - Live 0x8310f000
ts_bm 1649 0 - Live 0x830f2000
ip_set_bitmap_ipmac 5585 0 - Live 0x830fe000
ip_set_hash_netiface 26609 0 - Live 0x83118000
aead 4513 0 - Live 0x830de000
ip_set_bitmap_ip 5793 0 - Live 0x830e0000
nf_conntrack_proto_udplite 2001 0 - Live 0x830fb000
usb_common 611 1 usbcore, Live 0x830e3000
xt_TEE 2289 0 - Live 0x830e5000
ip_set_hash_netport 25809 0 - Live 0x83110000
arp_tables 9026 1 arptable_filter, Live 0x830f8000
md4 2833 0 - Live 0x830e8000
arpt_mangle 913 0 - Live 0x830ed000
fuse 60958 0 - Live 0x83100000
ip_set_list_set 6625 0 - Live 0x830dc000
xt_condition 1793 0 - Live 0x830da000 (O)
ip6t_hbh 1361 0 - Live 0x830d0000
обратите внимание в частности на вторую строку, в которой обнаружился некий модуль "hw_nat". В общем, дело обстоит всё интереснее и интереснее. Хардварного NAT'а вроде не должно быть, но походу он есть  Надо будет потрясти саппорт. Пусть разъяснят, что к чему.
|
|
|
|
vlad_ns
Стаж: 15 лет 1 месяц Сообщений: 1786
|
vlad_ns ·
20-Май-20 17:21
(спустя 58 мин.)
Dicrock
Сейчас не помню, но модуль можно выгрузить (теми же командами), чтоб он не работал (если он конечно сейчас работает, это тоже можно проверить), ну и проверить, это быстрее будет, чем в саппорт трясти :).
|
|
|
|
popez
Стаж: 18 лет 5 месяцев Сообщений: 135
|
popez ·
20-Май-20 18:26
(спустя 1 час 4 мин.)
Домрушка опять все поменяла. Нужно добавить/заменить iptables -t raw -I PREROUTING -p udp --sport 53 -m string --hex-string "|BCBA9D31|" --algo bm --from 50 --to 80 -j DROP
А вот с ipv6 все сложнее. При включенном ipv6 приходит reset, хотя активно правило:
iptables -t raw -I PREROUTING -p tcp --sport 443 --tcp-flags RST RST -j DROP
И как отбрасывать это rst?
|
|
|
|
kx77
Стаж: 12 лет 4 месяца Сообщений: 816
|
kx77 ·
20-Май-20 22:01
(спустя 3 часа)
popez писал(а):
И как отбрасывать это rst?
ip6tables ?
|
|
|
|
popez
Стаж: 18 лет 5 месяцев Сообщений: 135
|
popez ·
20-Май-20 23:44
(спустя 1 час 42 мин.)
А, и правда. Оказывается, правила для ip6tables не отрабатывали ввиду отсутствия таблицы raw, заменил на mangle и сработало. Одной проблемой меньше.
|
|
|
|
Dicrock
Стаж: 12 лет 11 месяцев Сообщений: 1142
|
Dicrock ·
21-Май-20 02:55
(спустя 3 часа, ред. 21-Май-20 02:55)
vlad_ns писал(а):
79478176Dicrock
Сейчас не помню, но модуль можно выгрузить (теми же командами), чтоб он не работал (если он конечно сейчас работает, это тоже можно проверить), ну и проверить, это быстрее будет, чем в саппорт трясти :).
В логе даже строчка проскочила
Код:
May 21 00:48:12 ndm: kernel: Ralink/MTK HW NAT 5.0.3.0-10 Module Disabled
только ситуации с рутрекером на целевом (FORWARD) устройстве это не изменило. Значит есть что-то ещё. Всмысле, не только модуль, а что-то ещё.
p.s. А что там по поводу других модулей ? Их как-то или для чего-то ещё можно использовать (это возвращаясь к прошлому вопросу) ?
|
|
|
|
vlad_ns
Стаж: 15 лет 1 месяц Сообщений: 1786
|
vlad_ns ·
21-Май-20 12:58
(спустя 10 часов, ред. 21-Май-20 12:58)
Dicrock писал(а):
79481074А что там по поводу других модулей ? Их как-то или для чего-то ещё можно использовать (это возвращаясь к прошлому вопросу) ?
Через "modinfo название_модуля", можно посмотреть описания модуля. Ну и как обычно, искать в интернете.
popez писал(а):
79480594Оказывается, правила для ip6tables не отрабатывали ввиду отсутствия таблицы raw
Всё там есть:
скрытый текст
Код:
root@home-router:/# ip6tables-save
# Generated by ip6tables-save v1.6.1 on Thu May 21 12:51:27 2020
*nat
:PREROUTING ACCEPT [6096:446862]
:INPUT ACCEPT [304:21446]
:OUTPUT ACCEPT [1296:316527]
:POSTROUTING ACCEPT [2969:450243]
-A PREROUTING -p tcp -m tcp --dport 53 -j REDIRECT --to-ports 53
-A PREROUTING -p udp -m udp --dport 53 -j REDIRECT --to-ports 53
-A PREROUTING -i br0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3129
-A PREROUTING -i br0 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3130
-A PREROUTING -i br0 -p udp -m udp --dport 123 -j REDIRECT --to-ports 123
COMMIT
# Completed on Thu May 21 12:51:27 2020
# Generated by ip6tables-save v1.6.1 on Thu May 21 12:51:27 2020
*raw
:PREROUTING ACCEPT [5281854:2187607339]
:OUTPUT ACCEPT [4498187:3615504828]
-A PREROUTING -m set --match-set blacklist6 src -j DROP
-A PREROUTING -m set --match-set ms-telemetry-6 dst -j DROP
-A PREROUTING -p udp -m udp --sport 53 -m string --hex-string "|05030311|" --algo bm --from 50 --to 80 -j DROP
-A PREROUTING -p udp -m udp --sport 53 -m string --hex-string "|2a022698a00200010000000000030017|" --algo bm --from 50 --to 80 -j DROP
-A PREROUTING -p tcp -m tcp --sport 80 -m string --string "Location: http://lawfilter.ertelecom.ru" --algo bm --from 150 --to 450 -j DROP
-A PREROUTING -p tcp -m tcp --sport 443 -m u32 --u32 "0x4&0xff0000=0x140000&&0x34&0xffff0000=0x50040000" -j DROP
COMMIT
# Completed on Thu May 21 12:51:27 2020
# Generated by ip6tables-save v1.6.1 on Thu May 21 12:51:27 2020
*mangle
:PREROUTING ACCEPT [5281854:2187607339]
:INPUT ACCEPT [3969342:1665636609]
:FORWARD ACCEPT [1327787:523323034]
:OUTPUT ACCEPT [4498187:3615504828]
:POSTROUTING ACCEPT [6536327:4198246369]
COMMIT
# Completed on Thu May 21 12:51:27 2020
# Generated by ip6tables-save v1.6.1 on Thu May 21 12:51:27 2020
*filter
:INPUT DROP [753961:60799859]
:FORWARD DROP [198160:14074994]
:OUTPUT ACCEPT [4498187:3615504828]
-A INPUT -i lo -j ACCEPT
-A INPUT -i br0 -j ACCEPT
-A INPUT -p tcp -m conntrack --ctstate INVALID -j REJECT --reject-with tcp-reset
-A INPUT -p ipv6-icmp -j ACCEPT
-A INPUT -s fe80::/10 -p udp -m udp --dport 546 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i br0 -j ACCEPT
-A FORWARD -p tcp -m conntrack --ctstate INVALID -j REJECT --reject-with tcp-reset
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p ipv6-icmp -j ACCEPT
COMMIT
# Completed on Thu May 21 12:51:27 2020
|
|
|
|
popez
Стаж: 18 лет 5 месяцев Сообщений: 135
|
popez ·
21-Май-20 15:02
(спустя 2 часа 3 мин.)
vlad_ns писал(а):
79482637Всё там есть:
Нет https://bitbucket.org/padavan/rt-n56u/src/master/trunk/configs/boards/RT-N65U/ker...config#lines-559
Не уверен, что стоит включать, раз по каким-то причинам была выключена.
|
|
|
|
Dicrock
Стаж: 12 лет 11 месяцев Сообщений: 1142
|
Dicrock ·
22-Май-20 06:16
(спустя 15 часов, ред. 22-Май-20 06:16)
В общем,всё чудесатее и чудесатее. Команда "no ppe" в cli zyxel'я (не путать с шеллом) вышибла и SWNAT и HWNAT, судя по логу
Код:
May 22 12:57:29 ndm: Network::Interface::Rtx::Ppe: all PPE disabled.
May 22 12:57:29 ndm: kernel: Ralink/MTK HW NAT 5.0.3.0-10 Module Disabled
May 22 12:57:29 ndm: kernel: SWNAT is cleaning up...
May 22 12:57:29 ndm: kernel: SWNAT is unregistered
May 22 12:57:29 ndm: kernel: PPPoE/IPoE LAN software acceleration is disabled
но проблема тем не менее не ушла. В общем я ХЗ, в чём затык. Возможно в самих компонентах, обеспечевающих работу правил iptables. Надо трясти саппорт/разработчиков.
vlad_ns писал(а):
Через "modinfo название_модуля", можно посмотреть описания модуля. Ну и как обычно, искать в интернете.
Да это понятно. Я просто не понял, что конкретно искать ? И как мне может помочь найденное ?
|
|
|
|
vlad_ns
Стаж: 15 лет 1 месяц Сообщений: 1786
|
vlad_ns ·
22-Май-20 10:26
(спустя 4 часа)
Dicrock писал(а):
79487454Я просто не понял, что конкретно искать ? И как мне может помочь найденное ?
Пару тройку раз приходилось это делать, например чтоб работал мониторинг системы coretemp и nct6775, на этом настоял пакет sensors, при объединении пары интерфейсов, чтоб из 2х1Гб получить 2Гб, использовал модуль bonding. Я к тому что, никогда не знаешь что нужно, а узнаёшь либо экспериментально, либо в описании так и написано что нужно включить модуль. Как-то так.
|
|
|
|
QiTaiXia
Стаж: 16 лет 10 месяцев Сообщений: 6
|
QiTaiXia ·
27-Май-20 20:56
(спустя 5 дней)
Ростелеком Москва(Онлайм). При коннекте к 7-zip.org или t.me SYN идёт в чёрную дыру, никаких ответных пакетов не приходит:
Код:
1 0.000000 192.168.0.200 159.65.89.65 TCP 74 58926 → 443 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM=1 TSval=571098326 TSecr=0 WS=128
2 1.014144 192.168.0.200 159.65.89.65 TCP 74 [TCP Retransmission] 58926 → 443 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM=1 TSval=571099341 TSecr=0 WS=128
3 3.031400 192.168.0.200 159.65.89.65 TCP 74 [TCP Retransmission] 58926 → 443 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM=1 TSval=571101358 TSecr=0 WS=128
Ещё неделю назад такого не было, в ответ шли RST от DPI.
Получается, уже вставили шайтан-машину в разрыв провода. Пока, видимо, фильтруются только телеграмные айпи. Ждём активного DPI для остальных сайтов, после чего данная тема станет неактуальной.
ЗЫ На рутрекере всё те же RST, так что текущие правила для https пока работают.
|
|
|
|
