19 Marca 2024 10:35:59
Nawigacja
· Strona Główna
· Forum

· Tomato by Shibby
· FreshTomato


Wątki na forum
Najnowsze dyskusje
· [Howto] Xpenology na...
· Optware na CIFS
· RT-AX56U - Status kl...
· Asus TUF-AX3000_V2 p...
· [MOD] FreshTomato-MI...
· Multiroom N z wykorz...
· [S] Asus RT-AC68U E1
· [S] ASUS RT-AC68U
· [MOD] FreshTomato-AR...
· Rozłączanie klient...
· serwer VPN za wan'em
· Przejscie z dyndns f...
· WDR3600 i problem z WAN
· Jaki USB hub do syno...
· [S] Karta sieciowa Q...
· Asus rt-n18u port fo...
· Netflix dzielenie ko...
· Nextcloud konfigurac...
· Netgear WNR3500L
· [MOD] Tomato64 (x86-64)
Najpopularniejsze obecnie wątki
· Optware na CIFS [42]
· [Howto] Xpenology... [7]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
36% [151 głosów]

Broadcom ARM
Broadcom ARM
52% [216 głosów]

Atheros
Atheros
5% [22 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
1% [3 głosów]

Intel/AMD/VIA
Intel/AMD/VIA
1% [5 głosów]

Żaden z powyższych
Żaden z powyższych
4% [15 głosów]

Ogółem głosów: 416
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38
Twoje IP
44.197.251.102
Zobacz wątek
OpenLinksys » :: PORTAL :: » Tutoriale
 Drukuj wątek
Iptables Tomato
susser
Dzien dobry,

chcialbym sie dowiedziec, czy jest mozliwosc zablokowania za pomoca iptables calego kraju i jak napisac taka regulke?

Pozdrawiam
 
cross
całego kraju? Musisz znać adresację klas IP dla tego kraju. (jakie adresy IP są w danym kraju a to może być mozolna sprawa) - to jest rozwiązanie dla hostów bez resolv'a czyli zmiany domeny odwrotnej w skrócie bez domeny w adresie. A co do pozostałości. Każdy kraj ma swoją uniwersalną domenę zazwyczaj jest to *.de *.pl itd wystarczy zablokować ruch przez router FORWARD do danej domeny.
 
susser
Witam,

dzieki za odpowiedz,

tylko ze jak dam cos takiego iptables -A INPUT -m geoip --src-cc CN,UA,TW -j DROP
to tomato mowi, ze nie ma takiej paczki...
 
cross
http://man.sethuper.com/iptables-blokowanie-adresow-ip-wedlug-krajow

Bo ją trzeba pobrać pierw.
 
susser
wiec sciagnalem paczke, tylko jakos nie chce ruszyc moglbys prosze napisac jak dokladnie moglbym to zrobic, paczke sciagnalem pod optware...
 
shibby
w moim tomato masz moduł ipset, użyj go

przykład
http://blog.laimbock.com/2013/09/22/how-to-block-countries-with-ipdeny-ip-country-blocks-ipset-and-iptables-on-el6/

interesuje cię od "Really big hammer R11; block an entire country"
Proxmox VE: i7-7700T, 48GB RAM, 3x2TB SSD, 1x1TB SSD, 512GB NVMe, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology DS920+
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
 
susser
jakos to nie chce dzialac shibby...

robie tak:

root@SerVer:/tmp/home/root# for IP in $(wget -O R11; http://www.ipdeny.com/ipblocks
/data/countries/ru.zone{RU}.zone)
> do
> ipset -A geoblock $IP
> done
Connecting to www.ipdeny.com (192.241.240.22:80)
wget: server returned error: HTTP/1.1 404 Not Found

i lipa...
 
kamilj

for IP in $(wget -O - http://www.ipdeny.com/ipblocks/data/countries/ru.zone)
do
   # really big hammer - block countryX, period
   sudo ipset add geoblock $IP
done

zobacz tak
------------------------------------------------------------------------------
[b]RegulaminOpenlinksys.info v0.1
[url=http://openlinksys.info/forum/viewthread.p
 
susser
teraz jest takie cos:
-sh: sudo: not found
-sh: sudo: not found
-sh: sudo: not found
-sh: sudo: not found
-sh: sudo: not found
-sh: sudo: not found

Połączony z 01 December 2014 17:29:22:
a bez sudo wyglada to tak:

Try `ipset -H' or 'ipset --help' for more information.
Bad argument `add'

Połączony z 01 December 2014 17:53:17:
ogolnie juz przy wydaniu pierwszej komendy jest lipa, bo nie moze znalezc modulu

modprobe -v ipset
modprobe: module ipset not found in modules.dep
Edytowany przez susser dnia 01-12-2014 17:53
 
sapcio2
A czy czasem ten moduł w tomato nie nazywa się ip_set ??
-------------------------------------------------------------------------------------------------------------------------------------------------------------------
Asus RT-N16 - tomato-K26USB-1.28.RT-N5x-MIPSR2-115-NEWDRIVER
 
susser
racja nazywa sie ip_set, tylko, ze to i tak nic nie daje, jak wpisze to:

ipset create geoblock hash:net

to dostaje:

Bad argument `create'
Try `ipset -H' or 'ipset --help' for more information.

a u was to dziala?

Połączony z 03 December 2014 11:04:22:
ogolnie nic nie dziala, czy mielibyscie moze jakies propozycje, jest to dla mnie bardzo wazne...

Z gory dziekuje i pozdrawiam
Edytowany przez susser dnia 03-12-2014 11:04
 
kamilj
Tyle że nadal wpisujesz ipset zamiast ip_set


sudo ip_set add geoblock $IP


Takie wpisanie też nic nie daje ??
------------------------------------------------------------------------------
[b]RegulaminOpenlinksys.info v0.1
[url=http://openlinksys.info/forum/viewthread.p
 
susser
niestety pokazuje sie to:

-sh: ip_set: not found
 
kamilj
Może ten link coś ci podpowie
http://www.varlog.pl/2010/03/ipset-zn...-nieznany/
------------------------------------------------------------------------------
[b]RegulaminOpenlinksys.info v0.1
[url=http://openlinksys.info/forum/viewthread.p
 
shibby
eh to była tylko wskazówka a nie tutorial kopiuj/wklej dla tomato :/

tu jest dobrze opisane:
https://github.com/RMerl/asuswrt-merlin/wiki/Using-ipset

oczywiście jest to dla rmerlin mod więc pamiętajcie o zmianie ścieżek. Nie mniej jednak widać jakie moduły trzeba załadować i jak wygląda składnia poleceń.
Proxmox VE: i7-7700T, 48GB RAM, 3x2TB SSD, 1x1TB SSD, 512GB NVMe, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology DS920+
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
 
susser
mam pytanie, gdzie mam zapisac ten skrypt w tomato, w init czy firewall?
 
shibby
init wykonuje się tylko raz przy starcie routera. Firewall każdorazowo przy przeładowaniu usługi iptables. Tak więc firewall jak najbardziej Smile
Proxmox VE: i7-7700T, 48GB RAM, 3x2TB SSD, 1x1TB SSD, 512GB NVMe, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology DS920+
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
 
susser
wszystko zaladowane iptables --list wskazuje ze regula dziala iptables -I INPUT -m set --match-set BlockedCountries src -j DROP, ale nic nie blokuje, co robic ?

Połączony z 06 December 2014 14:26:33:
sorry dziala, cofam pytanie. Zablokowalem Polske, czyli sam siebie...

Połączony z 06 December 2014 18:58:53:
Dziekuje wszystkim za wspaniala pomoc w osiagnieciu celu!

Na koniec chcialbym pokazac jak trzeba to zrobic i sie przy tym nie narobic...

Zacznijmy:

1. Utworzcie prosze najpierw dokument tekstowy i nazwijcie go np: firewall-start

2. Nastepnie wklejcie prosze do nowo utworzonego dokumentu ten skrypt:


#!/bin/sh

# Loading ipset modules
lsmod | grep "ipt_set" > /dev/null 2>&1 || \
for module in ip_set ip_set_nethash ip_set_iphash ipt_set
do
    insmod $module
done

# Preparing folder to cache downloaded files
IPSET_LISTS_DIR=/opt/ipset_lists
[ -d "$IPSET_LISTS_DIR" ] || mkdir -p $IPSET_LISTS_DIR

# Block incoming traffic from some countries. cn and pk is for Russia #and Kazakhstan. See other countries code at http://www.ipdeny.com/#ipblocks/
if [ "$(ipset --swap BlockedCountries BlockedCountries 2>&1 | grep 'Unknown set')" != "" ]
then
    ipset -N BlockedCountries nethash
    for country in ru kz
    do
        [ -e $IPSET_LISTS_DIR/$country.lst ] || wget -q -O $IPSET_LISTS_DIR/$country.lst http://www.ipdeny.com/ipblocks/data/countries/$country.zone
        for IP in $(cat $IPSET_LISTS_DIR/$country.lst)
        do
            ipset -A BlockedCountries $IP
        done
    done
fi
iptables -I INPUT -m set --match-set BlockedCountries src -j DROP


3. We wklejonym skrypcie odszukajcie polecenie "for country in" , jak widzicie ja blokuje 2 kraje Rosje oraz Kazahstan.
Nastepna czynnosc to zmiana sciezki w IPSET_LISTS_DIR=/opt/ipset_lists, ja mam np: opt, do tego katalogu beda sciagniete wszystkie ip danego kraju, ktory chcecie zablokowac.


4. Zapiszcie skrypt i przeniescie go do katalogu, np: Nie zapomnijcie utworzyc katalogu scripts.

5. To juz ostatnia czynnosc: Wklejcie nastepujaca sciezke do Scripts Firewall w Tomato i zapiszcie. Oczywiscie na samym koncu restartujecie wasz router.

Połączony z 06 December 2014 19:00:37:

Cytat

susser napisał(a):

wszystko zaladowane iptables --list wskazuje ze regula dziala iptables -I INPUT -m set --match-set BlockedCountries src -j DROP, ale nic nie blokuje, co robic ?

Połączony z 06 December 2014 14:26:33:
sorry dziala, cofam pytanie. Zablokowalem Polske, czyli sam siebie...

Połączony z 06 December 2014 18:58:53:
Dziekuje wszystkim za wspaniala pomoc w osiagnieciu celu!

Na koniec chcialbym pokazac jak trzeba to zrobic i sie przy tym nie narobic...

Zacznijmy:

1. Utworzcie prosze najpierw dokument tekstowy i nazwijcie go np: firewall-start

2. Nastepnie wklejcie prosze do nowo utworzonego dokumentu ten skrypt:


#!/bin/sh

# Loading ipset modules
lsmod | grep "ipt_set" > /dev/null 2>&1 || \
for module in ip_set ip_set_nethash ip_set_iphash ipt_set
do
    insmod $module
done

# Preparing folder to cache downloaded files
IPSET_LISTS_DIR=/opt/ipset_lists
[ -d "$IPSET_LISTS_DIR" ] || mkdir -p $IPSET_LISTS_DIR

# Block incoming traffic from some countries. ru and kz  is for Russia #and Kazakhstan. See other countries code at http://www.ipdeny.com/#ipblocks/
if [ "$(ipset --swap BlockedCountries BlockedCountries 2>&1 | grep 'Unknown set')" != "" ]
then
    ipset -N BlockedCountries nethash
    for country in ru kz
    do
        [ -e $IPSET_LISTS_DIR/$country.lst ] || wget -q -O $IPSET_LISTS_DIR/$country.lst http://www.ipdeny.com/ipblocks/data/countries/$country.zone
        for IP in $(cat $IPSET_LISTS_DIR/$country.lst)
        do
            ipset -A BlockedCountries $IP
        done
    done
fi
iptables -I INPUT -m set --match-set BlockedCountries src -j DROP


3. We wklejonym skrypcie odszukajcie polecenie "for country in" , jak widzicie ja blokuje 2 kraje Rosje oraz Kazahstan.
Nastepna czynnosc to zmiana sciezki w IPSET_LISTS_DIR=/opt/ipset_lists, ja mam np: opt, do tego katalogu beda sciagniete wszystkie ip danego kraju, ktory chcecie zablokowac.


4. Zapiszcie skrypt i przeniescie go do katalogu, np: Nie zapomnijcie utworzyc katalogu scripts.

5. To juz ostatnia czynnosc: Wklejcie nastepujaca sciezke do Scripts Firewall w Tomato i zapiszcie. Oczywiscie na samym koncu restartujecie wasz router.


Połączony z 14 December 2014 23:09:06:
Witam wszystkich,

chcialbym jeszcze dodac, ze w jednym skrypcie mozecie zablokowac max 5 krajow. Zeby blokowac wiecej musicie dodac nowy skrypt i pozmieniac sciezki.

Jak sprawdzic czy Tomato naprawde blokuje te kraje:
Wpisujecie w System Commands: iptables --list i sprawdzacie czy jest podwojny wpis w chain INPUT( match-set BlockedCountrie src) , jak jest pojedynczy to znaczy, ze nie blokuje. Dlaczego tak sie dzieje, nie pytajcie... :)
Jezeli to co napisalem okaze sie u was nie prawda, to zablokujcie pl, wtedy bedziecie wiedziec czy blokuje.

Pozdrawiam
Edytowany przez susser dnia 14-12-2014 23:09
 
b3rok
Hmmm, a czy założenie nie jest błędne? IMHO lepiej zrobić "blokuj wszystkich" a "wpuszczaj tylko polske".

Bo co z Chinami, Bialorusia, USA (z tych krajow bylo sporo prob wlamu) itp. itd.

Założenie jak Twoje miałem kiedyś, ale zostało zweryfikowane przy konfiguracji firewalla na Synology.
I. Huawei HG8240 + 1x Netgear r7000 @FreshTomato + Synology DS1512+
II. TP-Link TL-WDR4300 @Obsy OpenWRT Gargoyle
III. TP-Link TL-WDR3600 @Obsy OpenWRT Gargyle
 
susser
Dla moich rozwiazan nie jest to bledne, nie widzialem na swoim serwerze jeszcze kogos z Chin albo Usa, takze nie bede blokowal tych krajow.
Moze podzielibys sie swoim zalozeniem, zeby inni mogli tez z tego skorzystac?
Jak w takim razie zablokowac wszystko oprocz Polski, mowimy o Tomato by Shibby oczywiscie...
Pozdrawiam
 
Przejdź do forum
Zaloguj
Wprowadź adres e-mail lub nazwę użytkownika

Hasło



Nie masz jeszcze konta? Zarejestruj się.

Zapomniałeś/aś hasła?
Aktualnie online
· Gości online: 8

· Użytkowników online: 0

· Łącznie użytkowników: 24,117
· Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.

Adooni
18-03-2024 19:20
Asus napisał coś takiego Note: Guest network is currently designed to allow the first set of each band (2.4G, 5G, 5G-1) available to the AiMesh node. Only one set is available for each band.

Adooni
18-03-2024 19:15
@p4v3u Ciezko powiedziec sam pewnie będziesz miusiał sprawdzić. ja u kumpla a AC68Uwyciągnąłem okolo 400 Mbit przy laczy 500 wiec sie nie bawilem i dla niego bylo to akcepowalne

Adooni
18-03-2024 19:12
a masz ustawione Sync to AiMesh Node na router only?

tamtosiamto
17-03-2024 13:11
czy uzywa ktos aimesh asusa? Mam siec goscinna, ktora ma niby korzystc tylko z glownego rutera, a korzyst tez z noda i ciul wie czemu , glowny do dslac68u, nod ac66b1

p4v3u
15-03-2024 19:47
Dzień dobry, dawno tu nie zaglądałem. Czy stary AC68 do FTTH od Orange 900/300 pozwoli w pełni wykorzystać pasmo? Do autoryzacji za ONT konieczne ustawienie VLAN35 na WAN i PppoE-client.

maxikaaz
10-03-2024 10:22
Tak tylko tu zostawię, jako ciekawostkę Wink https://kittenlabs
.de/real-gaming-ro
u...ng-router/

shibby
12-02-2024 11:03
MTU zależy od typu połączenia. Inne jest dla połączenia kablowego inne dla wdzwanianego (pppoe)

PanRatio
11-02-2024 10:02
Jak podłączę Funboxa6 do światłowodu, to ma MTU 1540, a we FreshTomato max to MTU 1500 i samo zmienia na 1492. Tak ma być?

tamtosiamto
04-02-2024 10:36
jakby cos, to mam w dobrej cenie dir868l juz przerobiony na AC66U_B1 Grin i ac56u przerobiony na ac68u(dziala aimesh) tyle ze z wlacznikiem na zapalke Smile

Adooni
03-02-2024 10:36
widze ze oba sa na aledrogo i u nas mozesz sprawdzac w dziale sprzedam

70,131,892 unikalnych wizyt