29 Listopada 2021 10:02:37
Nawigacja
· Strona Główna
· Forum

· Tomato by Shibby
· FreshTomato


Wątki na forum
Najnowsze dyskusje
· [DIY] NAS bez kompro...
· Jaki router wybrać-...
· [S] Sprzedam Asus SC...
· AiMESH Asusa.
· Merlin/transmission ...
· Jaki Router ? PILNE !
· WNR3500Lv2
· Przekierowanie użyt...
· Debrick netgear R7000
· [S] Unifi U6-LITE
· Przepustowość łą...
· Błąd nr 13 - insta...
· Multiroom N z wykorz...
· Słaby transfer po W...
· reverse proxy nginx ...
· OMV priorytet aplikacji
· Konfiguracja serwera...
· Nie mogę dodawać s...
· rt-ac87u maksymanla ...
· Nastepca RT18
Najpopularniejsze obecnie wątki
· WNR3500Lv2 [727]
· Jaki router wybra... [63]
· Debrick netgear R... [60]
· AiMESH Asusa. [36]
· Przekierowanie u... [11]
· [DIY] NAS bez kom... [10]
· Jaki Router ? PIL... [6]
· [S] Unifi U6-LITE [6]
· Merlin/transmissi... [4]
· [S] Sprzedam Asus... [2]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
37% [146 głosów]

Broadcom ARM
Broadcom ARM
52% [205 głosów]

Atheros
Atheros
5% [21 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
1% [3 głosów]

Intel/AMD/VIA
Intel/AMD/VIA
1% [4 głosów]

Żaden z powyższych
Żaden z powyższych
3% [12 głosów]

Ogółem głosów: 395
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38
Twoje IP
3.89.204.127
Zobacz wątek
OpenLinksys » :: PORTAL :: » Tutoriale
 Drukuj wątek
Iptables Tomato
susser
Dzien dobry,

chcialbym sie dowiedziec, czy jest mozliwosc zablokowania za pomoca iptables calego kraju i jak napisac taka regulke?

Pozdrawiam
 
cross
całego kraju? Musisz znać adresację klas IP dla tego kraju. (jakie adresy IP są w danym kraju a to może być mozolna sprawa) - to jest rozwiązanie dla hostów bez resolv'a czyli zmiany domeny odwrotnej w skrócie bez domeny w adresie. A co do pozostałości. Każdy kraj ma swoją uniwersalną domenę zazwyczaj jest to *.de *.pl itd wystarczy zablokować ruch przez router FORWARD do danej domeny.
 
susser
Witam,

dzieki za odpowiedz,

tylko ze jak dam cos takiego iptables -A INPUT -m geoip --src-cc CN,UA,TW -j DROP
to tomato mowi, ze nie ma takiej paczki...
 
cross
http://man.sethuper.com/iptables-blokowanie-adresow-ip-wedlug-krajow

Bo ją trzeba pobrać pierw.
 
susser
wiec sciagnalem paczke, tylko jakos nie chce ruszyc moglbys prosze napisac jak dokladnie moglbym to zrobic, paczke sciagnalem pod optware...
 
shibby
w moim tomato masz moduł ipset, użyj go

przykład
http://blog.laimbock.com/2013/09/22/how-to-block-countries-with-ipdeny-ip-country-blocks-ipset-and-iptables-on-el6/

interesuje cię od "Really big hammer R11; block an entire country"
Router: EdgeRouter ER-12
Switch: Ubiquiti US-8-150W
Wi-Fi: Ubiquiti UAP-AC-Pro + U6-Lite
NAS: Xpenology DS918+
Serwer: Dell 3040M
 
susser
jakos to nie chce dzialac shibby...

robie tak:

root@SerVer:/tmp/home/root# for IP in $(wget -O R11; http://www.ipdeny.com/ipblocks
/data/countries/ru.zone{RU}.zone)
> do
> ipset -A geoblock $IP
> done
Connecting to www.ipdeny.com (192.241.240.22:80)
wget: server returned error: HTTP/1.1 404 Not Found

i lipa...
 
kamilj

for IP in $(wget -O - http://www.ipdeny.com/ipblocks/data/countries/ru.zone)
do
   # really big hammer - block countryX, period
   sudo ipset add geoblock $IP
done

zobacz tak
------------------------------------------------------------------------------
[b]RegulaminOpenlinksys.info v0.1
[url=http://openlinksys.info/forum/viewthread.p
 
susser
teraz jest takie cos:
-sh: sudo: not found
-sh: sudo: not found
-sh: sudo: not found
-sh: sudo: not found
-sh: sudo: not found
-sh: sudo: not found

Połączony z 01 December 2014 17:29:22:
a bez sudo wyglada to tak:

Try `ipset -H' or 'ipset --help' for more information.
Bad argument `add'

Połączony z 01 December 2014 17:53:17:
ogolnie juz przy wydaniu pierwszej komendy jest lipa, bo nie moze znalezc modulu

modprobe -v ipset
modprobe: module ipset not found in modules.dep
Edytowany przez susser dnia 01-12-2014 17:53
 
sapcio2
A czy czasem ten moduł w tomato nie nazywa się ip_set ??
-------------------------------------------------------------------------------------------------------------------------------------------------------------------
Asus RT-N16 - tomato-K26USB-1.28.RT-N5x-MIPSR2-115-NEWDRIVER
 
susser
racja nazywa sie ip_set, tylko, ze to i tak nic nie daje, jak wpisze to:

ipset create geoblock hash:net

to dostaje:

Bad argument `create'
Try `ipset -H' or 'ipset --help' for more information.

a u was to dziala?

Połączony z 03 December 2014 11:04:22:
ogolnie nic nie dziala, czy mielibyscie moze jakies propozycje, jest to dla mnie bardzo wazne...

Z gory dziekuje i pozdrawiam
Edytowany przez susser dnia 03-12-2014 11:04
 
kamilj
Tyle że nadal wpisujesz ipset zamiast ip_set


sudo ip_set add geoblock $IP


Takie wpisanie też nic nie daje ??
------------------------------------------------------------------------------
[b]RegulaminOpenlinksys.info v0.1
[url=http://openlinksys.info/forum/viewthread.p
 
susser
niestety pokazuje sie to:

-sh: ip_set: not found
 
kamilj
Może ten link coś ci podpowie
http://www.varlog.pl/2010/03/ipset-zn...-nieznany/
------------------------------------------------------------------------------
[b]RegulaminOpenlinksys.info v0.1
[url=http://openlinksys.info/forum/viewthread.p
 
shibby
eh to była tylko wskazówka a nie tutorial kopiuj/wklej dla tomato :/

tu jest dobrze opisane:
https://github.com/RMerl/asuswrt-merlin/wiki/Using-ipset

oczywiście jest to dla rmerlin mod więc pamiętajcie o zmianie ścieżek. Nie mniej jednak widać jakie moduły trzeba załadować i jak wygląda składnia poleceń.
Router: EdgeRouter ER-12
Switch: Ubiquiti US-8-150W
Wi-Fi: Ubiquiti UAP-AC-Pro + U6-Lite
NAS: Xpenology DS918+
Serwer: Dell 3040M
 
susser
mam pytanie, gdzie mam zapisac ten skrypt w tomato, w init czy firewall?
 
shibby
init wykonuje się tylko raz przy starcie routera. Firewall każdorazowo przy przeładowaniu usługi iptables. Tak więc firewall jak najbardziej Smile
Router: EdgeRouter ER-12
Switch: Ubiquiti US-8-150W
Wi-Fi: Ubiquiti UAP-AC-Pro + U6-Lite
NAS: Xpenology DS918+
Serwer: Dell 3040M
 
susser
wszystko zaladowane iptables --list wskazuje ze regula dziala iptables -I INPUT -m set --match-set BlockedCountries src -j DROP, ale nic nie blokuje, co robic ?

Połączony z 06 December 2014 14:26:33:
sorry dziala, cofam pytanie. Zablokowalem Polske, czyli sam siebie...

Połączony z 06 December 2014 18:58:53:
Dziekuje wszystkim za wspaniala pomoc w osiagnieciu celu!

Na koniec chcialbym pokazac jak trzeba to zrobic i sie przy tym nie narobic...

Zacznijmy:

1. Utworzcie prosze najpierw dokument tekstowy i nazwijcie go np: firewall-start

2. Nastepnie wklejcie prosze do nowo utworzonego dokumentu ten skrypt:


#!/bin/sh

# Loading ipset modules
lsmod | grep "ipt_set" > /dev/null 2>&1 || \
for module in ip_set ip_set_nethash ip_set_iphash ipt_set
do
    insmod $module
done

# Preparing folder to cache downloaded files
IPSET_LISTS_DIR=/opt/ipset_lists
[ -d "$IPSET_LISTS_DIR" ] || mkdir -p $IPSET_LISTS_DIR

# Block incoming traffic from some countries. cn and pk is for Russia #and Kazakhstan. See other countries code at http://www.ipdeny.com/#ipblocks/
if [ "$(ipset --swap BlockedCountries BlockedCountries 2>&1 | grep 'Unknown set')" != "" ]
then
    ipset -N BlockedCountries nethash
    for country in ru kz
    do
        [ -e $IPSET_LISTS_DIR/$country.lst ] || wget -q -O $IPSET_LISTS_DIR/$country.lst http://www.ipdeny.com/ipblocks/data/countries/$country.zone
        for IP in $(cat $IPSET_LISTS_DIR/$country.lst)
        do
            ipset -A BlockedCountries $IP
        done
    done
fi
iptables -I INPUT -m set --match-set BlockedCountries src -j DROP


3. We wklejonym skrypcie odszukajcie polecenie "for country in" , jak widzicie ja blokuje 2 kraje Rosje oraz Kazahstan.
Nastepna czynnosc to zmiana sciezki w IPSET_LISTS_DIR=/opt/ipset_lists, ja mam np: opt, do tego katalogu beda sciagniete wszystkie ip danego kraju, ktory chcecie zablokowac.


4. Zapiszcie skrypt i przeniescie go do katalogu, np: Nie zapomnijcie utworzyc katalogu scripts.

5. To juz ostatnia czynnosc: Wklejcie nastepujaca sciezke do Scripts Firewall w Tomato i zapiszcie. Oczywiscie na samym koncu restartujecie wasz router.

Połączony z 06 December 2014 19:00:37:

Cytat

susser napisał(a):

wszystko zaladowane iptables --list wskazuje ze regula dziala iptables -I INPUT -m set --match-set BlockedCountries src -j DROP, ale nic nie blokuje, co robic ?

Połączony z 06 December 2014 14:26:33:
sorry dziala, cofam pytanie. Zablokowalem Polske, czyli sam siebie...

Połączony z 06 December 2014 18:58:53:
Dziekuje wszystkim za wspaniala pomoc w osiagnieciu celu!

Na koniec chcialbym pokazac jak trzeba to zrobic i sie przy tym nie narobic...

Zacznijmy:

1. Utworzcie prosze najpierw dokument tekstowy i nazwijcie go np: firewall-start

2. Nastepnie wklejcie prosze do nowo utworzonego dokumentu ten skrypt:


#!/bin/sh

# Loading ipset modules
lsmod | grep "ipt_set" > /dev/null 2>&1 || \
for module in ip_set ip_set_nethash ip_set_iphash ipt_set
do
    insmod $module
done

# Preparing folder to cache downloaded files
IPSET_LISTS_DIR=/opt/ipset_lists
[ -d "$IPSET_LISTS_DIR" ] || mkdir -p $IPSET_LISTS_DIR

# Block incoming traffic from some countries. ru and kz  is for Russia #and Kazakhstan. See other countries code at http://www.ipdeny.com/#ipblocks/
if [ "$(ipset --swap BlockedCountries BlockedCountries 2>&1 | grep 'Unknown set')" != "" ]
then
    ipset -N BlockedCountries nethash
    for country in ru kz
    do
        [ -e $IPSET_LISTS_DIR/$country.lst ] || wget -q -O $IPSET_LISTS_DIR/$country.lst http://www.ipdeny.com/ipblocks/data/countries/$country.zone
        for IP in $(cat $IPSET_LISTS_DIR/$country.lst)
        do
            ipset -A BlockedCountries $IP
        done
    done
fi
iptables -I INPUT -m set --match-set BlockedCountries src -j DROP


3. We wklejonym skrypcie odszukajcie polecenie "for country in" , jak widzicie ja blokuje 2 kraje Rosje oraz Kazahstan.
Nastepna czynnosc to zmiana sciezki w IPSET_LISTS_DIR=/opt/ipset_lists, ja mam np: opt, do tego katalogu beda sciagniete wszystkie ip danego kraju, ktory chcecie zablokowac.


4. Zapiszcie skrypt i przeniescie go do katalogu, np: Nie zapomnijcie utworzyc katalogu scripts.

5. To juz ostatnia czynnosc: Wklejcie nastepujaca sciezke do Scripts Firewall w Tomato i zapiszcie. Oczywiscie na samym koncu restartujecie wasz router.


Połączony z 14 December 2014 23:09:06:
Witam wszystkich,

chcialbym jeszcze dodac, ze w jednym skrypcie mozecie zablokowac max 5 krajow. Zeby blokowac wiecej musicie dodac nowy skrypt i pozmieniac sciezki.

Jak sprawdzic czy Tomato naprawde blokuje te kraje:
Wpisujecie w System Commands: iptables --list i sprawdzacie czy jest podwojny wpis w chain INPUT( match-set BlockedCountrie src) , jak jest pojedynczy to znaczy, ze nie blokuje. Dlaczego tak sie dzieje, nie pytajcie... :)
Jezeli to co napisalem okaze sie u was nie prawda, to zablokujcie pl, wtedy bedziecie wiedziec czy blokuje.

Pozdrawiam
Edytowany przez susser dnia 14-12-2014 23:09
 
b3rok
Hmmm, a czy założenie nie jest błędne? IMHO lepiej zrobić "blokuj wszystkich" a "wpuszczaj tylko polske".

Bo co z Chinami, Bialorusia, USA (z tych krajow bylo sporo prob wlamu) itp. itd.

Założenie jak Twoje miałem kiedyś, ale zostało zweryfikowane przy konfiguracji firewalla na Synology.
I. Huawei HG8240 + 1x Netgear r7000 @FreshTomato + Synology DS1512+
II. TP-Link TL-WDR4300 @Obsy OpenWRT Gargoyle
III. TP-Link TL-WDR3600 @Obsy OpenWRT Gargyle
 
susser
Dla moich rozwiazan nie jest to bledne, nie widzialem na swoim serwerze jeszcze kogos z Chin albo Usa, takze nie bede blokowal tych krajow.
Moze podzielibys sie swoim zalozeniem, zeby inni mogli tez z tego skorzystac?
Jak w takim razie zablokowac wszystko oprocz Polski, mowimy o Tomato by Shibby oczywiscie...
Pozdrawiam
 
Przejdź do forum
Zaloguj
Wprowadź adres e-mail lub nazwę użytkownika

Hasło



Nie masz jeszcze konta? Zarejestruj się.

Zapomniałeś/aś hasła?
Aktualnie online
· Gości online: 22

· Użytkowników online: 0

· Łącznie użytkowników: 24,053
· Najnowszy użytkownik: jas7o
Czat
Musisz się zalogować, aby opublikować wiadomość.

maxikaaz
21-11-2021 17:35
@man1 to puść sobie to światło do piwnicy, stamtąd wypuść skrętkę jakimś pionem wentylacyjnym do mieszkania.

man1
21-11-2021 12:55
juz mam odpowiedz - w przypadku uslugi ftth 900/300 na laczach Orange nie moga tego puscic oficjalnie konwerterem na skretke.

man1
19-11-2021 20:25
czy są tu posiadacze ftth od tmobile? Mieszkam w starym bloku i nie moge wprowadzic swiatlowodu do lokalu, wiec chcialbym by uzyli konweretra na skretke. A tego zrobic podobno nie mogą...

jurekk
05-11-2021 14:27
Ponoć ax82u ma mieć port RMerlina, sam Merlin o tym mowil to mzoe byc najbardziej ekonomiczna wersja

AdrianAdi
05-10-2021 23:03
Przymierzam się do kupna takiego i mam kilka pytań z tym zwoązanych

AdrianAdi
05-10-2021 23:02
Jest tu kto?

AdrianAdi
05-10-2021 22:59
Witam mam pytanie odnośnie routerów gamingowych do ps4 czyli konsoli

Maniek91PL
04-09-2021 10:34
Wink super ! Dzięki ! Adooni ! już testuje co i jak

Adooni
04-09-2021 06:31
sprawdzasz w status - overview, a zmieniasz w Basic - Network

Maniek91PL
03-09-2021 22:37
jak sprawdzić i zmienić kanał w wifi 2.4 w tomato ? Shock

46,266,813 unikalnych wizyt