|
Skrypt a'la Peerguardian - ochrona przed organizacjami
|
| skupi |
Dodano 11-01-2013 16:08
|
User
Posty: 39
Dołączył: 09/01/2008 16:55
|
Witam
Szukałem już wszędzie, jednak informacji o tego typu skrypcie dla tomato nie znalazłem. Mamy skrypty od blokowania reklam itd.
Wbudowany klient torrenta w tomato posiada możliwość korzystania z bazy iblocklist jednak tylko dla siebie.
Czy nie dało by się wykorzystać tej listy do ochrony całej sieci routera z tomato? Jeśli ktoś wie jak to proszę o przedstawienie rozwiązania. |
| |
|
|
| shibby |
Dodano 11-01-2013 18:20
|
SysOp
Posty: 17140
Dołączył: 15/01/2009 20:30
|
W duzym skrocie bo pisze z tabletu. Bierzesz plik level1 z transmission. Jezeli jest skompresowany to gunzip him. Nastepnie robisz cut po dwukropku i zapisujesz drugs wartosc i juz masz plik z samymi ipkami. Nastepnie w petli zaczylujesz linie i dodajesz do iptables do lancucha forward dwie regulki jako reject. Jedna gdy ow ip z listy jest jako source i druga gdy jest destination. To wszystko. Jezeli nikt tego do jutra nie oskryptuje to ja napisze skrypt.
Router: Unifi Cloud Gateway Max
Switch: Unifi USW-Lite-16-PoE
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| maciej2 |
Dodano 12-01-2013 09:10
|
Super User
Posty: 418
Dołączył: 19/12/2010 16:35
|
Zobacz to:
http://www.maeyanie.com/2008/12/efficient-iptables-peerguardian-blocklist/ |
| |
|
|
| Pirek |
Dodano 12-01-2013 13:19
|
Power User
Posty: 293
Dołączył: 12/06/2006 01:35
|
Cytat
Zobacz to:
http://www.maeyanie.com/2008/12/efficient-iptables-peerguardian-blocklist/
temat wygląda na ciekawy dodatek do tomato.
@shibby - czy można to dodać na stałe do tomato?
wygląda, że trzeba dodać ipset http://ipset.netfilter.org/install.html oraz poprawiony i skompilowany skrypt pg2ipset.c https://github.com/ilikenwf/pg2ipset oraz napisać skrypt, żeby wszystko działało.
Asus RT-N16 [B4] Tomato v1.28 K26 USB K26 123 EN-AIO
|
| |
|
|
| skupi |
Dodano 16-01-2013 00:06
|
User
Posty: 39
Dołączył: 09/01/2008 16:55
|
No to czekam/my na Shibbiego, pewnie coś mądrego wymyśli  chwilowo chyba zajęty jest zmianą hosta |
| |
|
|
| p4v3u |
Dodano 02-03-2013 10:56
|
User
Posty: 130
Dołączył: 19/08/2006 15:22
|
To bardzo ciekawa inicjatywa była, coś Wam się może udało wymyślić? |
| |
|
|
| maciej2 |
Dodano 02-03-2013 21:21
|
Super User
Posty: 418
Dołączył: 19/12/2010 16:35
|
Przecież w linku co podałem macie
curl -L http://www.bluetack.co.uk/config/level1.gz | gunzip -c | pg2ipset - - LEVEL1 | ipset -R
That line will load the level 1 PG blocklist into an IPSet called R0;LEVEL1R43;. You can then add iptables rules like this:
iptables -A INPUT -m set --set LEVEL1 src -j DROP
iptables -A FORWARD -m set --set LEVEL1 src -j DROP
iptables -A FORWARD -m set --set LEVEL1 dst -j REJECT
iptables -A OUTPUT -m set --set LEVEL1 dst -j REJECT
Aby sprawdzić czy działa do LEVEL1 dopisać jakiś ip i z niego wejść.
Tylko takie coś może bardzo obciążać router.
Ja tego nie testowałem i nie mam zamiaru :P
ASUS RT-AC66U v B1 - Asuswrt-Merlin
ASUS WL-500gP v2 - FreshTomato
|
| |
|
|
| Pirek |
Dodano 03-03-2013 03:08
|
Power User
Posty: 293
Dołączył: 12/06/2006 01:35
|
Cytat maciej2 napisał(a):
Przecież w linku co podałem macie
curl -L http://www.bluetack.co.uk/config/level1.gz | gunzip -c | pg2ipset - - LEVEL1 | ipset -R
That line will load the level 1 PG blocklist into an IPSet called R0;LEVEL1R43;. You can then add iptables rules like this:
iptables -A INPUT -m set --set LEVEL1 src -j DROP
iptables -A FORWARD -m set --set LEVEL1 src -j DROP
iptables -A FORWARD -m set --set LEVEL1 dst -j REJECT
iptables -A OUTPUT -m set --set LEVEL1 dst -j REJECT
Aby sprawdzić czy działa do LEVEL1 dopisać jakiś ip i z niego wejść.
Tylko takie coś może bardzo obciążać router.
Ja tego nie testowałem i nie mam zamiaru :P
brak skompilowanego pod tomato pg2ipset i ipset :)
Asus RT-N16 [B4] Tomato v1.28 K26 USB K26 123 EN-AIO
|
| |
|
|
| maciej2 |
Dodano 03-03-2013 10:44
|
Super User
Posty: 418
Dołączył: 19/12/2010 16:35
|
To można tak zrobić, że ściągnąć level1.gz - rozpakować - nastepnie w pętli wyciągnąć ip. Tutaj regex się przyda, ja zaś nie jestem w tym dobry.
Ja osobiście odradzam ten zbiór ip, stosowałem go z transmission i czasem dawał w kość : obciążenie, dłuższy czas oczekiwania na peerów itd.
Jeżeli chcecie mieć jakiegoś firewalla to lepiej zainwestować w lepszy sprzęt i z niego zrobić firewall.
ASUS RT-AC66U v B1 - Asuswrt-Merlin
ASUS WL-500gP v2 - FreshTomato
|
| |
|
' target='_blank'>Link
