15 Wrzesień 2019 22:53:00
Nawigacja
· Strona Główna
· Galeria
· Forum
· Linki

· Tomato by Shibby

· Wiki-OpenWrt
· Wiki-DD-WRT
· Emulatory sprzętu

Darowizna
Ostatnio na forum
Najnowsze tematy
· [MOD] FreshTomato-ARM
· Port forwarding
· OpenVPN - dostęp do ...
· Netgear R6400 - tańs...
· Serwis asus Ac68u
· [MOD] FreshTomato-MIPS
· [S] Netgear R7000 Ni...
· VPN
· Jaki router z możliw...
· Wybór następcy RT-N12D1
· Jak nie E3372 to co?
· R7000 made in Vietna...
· cifs OMV -> tomato
· Problem z USB w Netg...
· [S] NETGEAR R8000
· Linksys EA8500 problem
· asus rt-n10u problem...
· [K] Stojak od ASUS R...
· EA6700 - nie moge si...
· [K] pilot gm990 / am...
Najciekawsze tematy
· [MOD] FreshTomato... [848]
· Netgear R6400 - t... [106]
· OpenVPN - dostęp ... [5]
· Port forwarding [1]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
38% [135 głosów]

Broadcom ARM
Broadcom ARM
50% [176 głosów]

Atheros
Atheros
6% [21 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
1% [2 głosów]

Intel/AMD/VIA
Intel/AMD/VIA
1% [4 głosów]

Żaden z powyższych
Żaden z powyższych
3% [10 głosów]

Ogółem głosów: 352
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38

Archiwum ankiet
Reklama
Twoje IP
3.80.4.76
Reklama
Zobacz temat
OpenLinksys » :: PORTAL :: » Tutoriale
 Drukuj temat
Iptables Tomato
susser
Dzien dobry,

chcialbym sie dowiedziec, czy jest mozliwosc zablokowania za pomoca iptables calego kraju i jak napisac taka regulke?

Pozdrawiam
 
cross
całego kraju? Musisz znać adresację klas IP dla tego kraju. (jakie adresy IP są w danym kraju a to może być mozolna sprawa) - to jest rozwiązanie dla hostów bez resolv'a czyli zmiany domeny odwrotnej w skrócie bez domeny w adresie. A co do pozostałości. Każdy kraj ma swoją uniwersalną domenę zazwyczaj jest to *.de *.pl itd wystarczy zablokować ruch przez router FORWARD do danej domeny.
 
susser
Witam,

dzieki za odpowiedz,

tylko ze jak dam cos takiego iptables -A INPUT -m geoip --src-cc CN,UA,TW -j DROP
to tomato mowi, ze nie ma takiej paczki...
 
cross
http://man.sethuper.com/iptables-blokowanie-adresow-ip-wedlug-krajow

Bo ją trzeba pobrać pierw.
 
susser
wiec sciagnalem paczke, tylko jakos nie chce ruszyc moglbys prosze napisac jak dokladnie moglbym to zrobic, paczke sciagnalem pod optware...
 
shibby Dziekuje za dotacje
w moim tomato masz moduł ipset, użyj go

przykład
http://blog.laimbock.com/2013/09/22/how-to-block-countries-with-ipdeny-ip-country-blocks-ipset-and-iptables-on-el6/

interesuje cię od "Really big hammer – block an entire country"
Router: Ubiquiti EdgeRouter ER-4 (FTTH + LTE/failover, OpenVPN, DPI, VLAN)
Wi-Fi: Ubiquiti UAP-AC-Pro
LAN: Netgear GS110TP (8x GbE, 2x SFP, PoE, LACP, VLAN)
NAS: Netgear ReadyNAS Pro4 (2x 4TB/RAID1, 1x 1TB, LACP 2Gbit)
Controler: Raspberry Pi 3B + HDD 1,8" 160GB (Unifi, NUT, CUPS, Pi Hole/DNS Server)
UPS: Eaton Ellipse Eco 650
 
susser
jakos to nie chce dzialac shibby...

robie tak:

root@SerVer:/tmp/home/root# for IP in $(wget -O – http://www.ipdeny.com/ipblocks
/data/countries/ru.zone{RU}.zone)
> do
> ipset -A geoblock $IP
> done
Connecting to www.ipdeny.com (192.241.240.22:80)
wget: server returned error: HTTP/1.1 404 Not Found

i lipa...
 
kamilj Dziekuje za dotacje
Pobierz kod źródłowy  Kod źródłowy
for IP in $(wget -O - http://www.ipdeny.com/ipblocks/data/countries/ru.zone)
do
   # really big hammer - block countryX, period
   sudo ipset add geoblock $IP
done



zobacz tak
------------------------------------------------------------------------------
RegulaminOpenlinksys.info v0.1
RegulaminOpenlinksys.info v0.2
>>Kliknij tutaj<< Jeżeli nie wiesz jakie Tomato wgrać.

------------------------------------------------------------------------------
 
susser
teraz jest takie cos:
-sh: sudo: not found
-sh: sudo: not found
-sh: sudo: not found
-sh: sudo: not found
-sh: sudo: not found
-sh: sudo: not found

Połączony z 01 December 2014 17:29:22:
a bez sudo wyglada to tak:

Try `ipset -H' or 'ipset --help' for more information.
Bad argument `add'

Połączony z 01 December 2014 17:53:17:
ogolnie juz przy wydaniu pierwszej komendy jest lipa, bo nie moze znalezc modulu

modprobe -v ipset
modprobe: module ipset not found in modules.dep
Edytowane przez susser dnia 01-12-2014 17:53
 
sapcio2
A czy czasem ten moduł w tomato nie nazywa się ip_set ??
-------------------------------------------------------------------------------------------------------------------------------------------------------------------
Asus RT-N16 - tomato-K26USB-1.28.RT-N5x-MIPSR2-115-NEWDRIVER-AIO | oscam-1.15 | pyLoad-v0.4.9 | Transmission 2.76+transmission-control 0.11 Beta
HTPC+XBMC->Onkyo TX-SR507+Tonsil/Siesta-7.1->Optoma HD20->Adeo Plano Velvet 113''
NAS-> Elite 120 Advanced + DN2800MT + 32GB Crucial m4 mSATA + Kingston 2GB + WD Red 3 TB | openmediavault_1.1(kralizec)_amd64
 
susser
racja nazywa sie ip_set, tylko, ze to i tak nic nie daje, jak wpisze to:

ipset create geoblock hash:net

to dostaje:

Bad argument `create'
Try `ipset -H' or 'ipset --help' for more information.

a u was to dziala?

Połączony z 03 December 2014 11:04:22:
ogolnie nic nie dziala, czy mielibyscie moze jakies propozycje, jest to dla mnie bardzo wazne...

Z gory dziekuje i pozdrawiam
Edytowane przez susser dnia 03-12-2014 11:04
 
kamilj Dziekuje za dotacje
Tyle że nadal wpisujesz ipset zamiast ip_set

Pobierz kod źródłowy  Kod źródłowy
sudo ip_set add geoblock $IP




Takie wpisanie też nic nie daje ??
------------------------------------------------------------------------------
RegulaminOpenlinksys.info v0.1
RegulaminOpenlinksys.info v0.2
>>Kliknij tutaj<< Jeżeli nie wiesz jakie Tomato wgrać.

------------------------------------------------------------------------------
 
susser
niestety pokazuje sie to:

-sh: ip_set: not found
 
kamilj Dziekuje za dotacje
Może ten link coś ci podpowie
http://www.varlog...-nieznany/
------------------------------------------------------------------------------
RegulaminOpenlinksys.info v0.1
RegulaminOpenlinksys.info v0.2
>>Kliknij tutaj<< Jeżeli nie wiesz jakie Tomato wgrać.

------------------------------------------------------------------------------
 
shibby Dziekuje za dotacje
eh to była tylko wskazówka a nie tutorial kopiuj/wklej dla tomato :/

tu jest dobrze opisane:
https://github.com/RMerl/asuswrt-merlin/wiki/Using-ipset

oczywiście jest to dla rmerlin mod więc pamiętajcie o zmianie ścieżek. Nie mniej jednak widać jakie moduły trzeba załadować i jak wygląda składnia poleceń.
Router: Ubiquiti EdgeRouter ER-4 (FTTH + LTE/failover, OpenVPN, DPI, VLAN)
Wi-Fi: Ubiquiti UAP-AC-Pro
LAN: Netgear GS110TP (8x GbE, 2x SFP, PoE, LACP, VLAN)
NAS: Netgear ReadyNAS Pro4 (2x 4TB/RAID1, 1x 1TB, LACP 2Gbit)
Controler: Raspberry Pi 3B + HDD 1,8" 160GB (Unifi, NUT, CUPS, Pi Hole/DNS Server)
UPS: Eaton Ellipse Eco 650
 
susser
mam pytanie, gdzie mam zapisac ten skrypt w tomato, w init czy firewall?
 
shibby Dziekuje za dotacje
init wykonuje się tylko raz przy starcie routera. Firewall każdorazowo przy przeładowaniu usługi iptables. Tak więc firewall jak najbardziej Smile
Router: Ubiquiti EdgeRouter ER-4 (FTTH + LTE/failover, OpenVPN, DPI, VLAN)
Wi-Fi: Ubiquiti UAP-AC-Pro
LAN: Netgear GS110TP (8x GbE, 2x SFP, PoE, LACP, VLAN)
NAS: Netgear ReadyNAS Pro4 (2x 4TB/RAID1, 1x 1TB, LACP 2Gbit)
Controler: Raspberry Pi 3B + HDD 1,8" 160GB (Unifi, NUT, CUPS, Pi Hole/DNS Server)
UPS: Eaton Ellipse Eco 650
 
susser
wszystko zaladowane iptables --list wskazuje ze regula dziala iptables -I INPUT -m set --match-set BlockedCountries src -j DROP, ale nic nie blokuje, co robic ?

Połączony z 06 December 2014 14:26:33:
sorry dziala, cofam pytanie. Zablokowalem Polske, czyli sam siebie...

Połączony z 06 December 2014 18:58:53:
Dziekuje wszystkim za wspaniala pomoc w osiagnieciu celu!

Na koniec chcialbym pokazac jak trzeba to zrobic i sie przy tym nie narobic...

Zacznijmy:

1. Utworzcie prosze najpierw dokument tekstowy i nazwijcie go np: firewall-start

2. Nastepnie wklejcie prosze do nowo utworzonego dokumentu ten skrypt:

Pobierz kod źródłowy  Kod źródłowy
#!/bin/sh

# Loading ipset modules
lsmod | grep "ipt_set" > /dev/null 2>&1 || \
for module in ip_set ip_set_nethash ip_set_iphash ipt_set
do
    insmod $module
done

# Preparing folder to cache downloaded files
IPSET_LISTS_DIR=/opt/ipset_lists
[ -d "$IPSET_LISTS_DIR" ] || mkdir -p $IPSET_LISTS_DIR

# Block incoming traffic from some countries. cn and pk is for Russia #and Kazakhstan. See other countries code at http://www.ipdeny.com/#ipblocks/
if [ "$(ipset --swap BlockedCountries BlockedCountries 2>&1 | grep 'Unknown set')" != "" ]
then
    ipset -N BlockedCountries nethash
    for country in ru kz
    do
        [ -e $IPSET_LISTS_DIR/$country.lst ] || wget -q -O $IPSET_LISTS_DIR/$country.lst http://www.ipdeny.com/ipblocks/data/countries/$country.zone
        for IP in $(cat $IPSET_LISTS_DIR/$country.lst)
        do
            ipset -A BlockedCountries $IP
        done
    done
fi
iptables -I INPUT -m set --match-set BlockedCountries src -j DROP




3. We wklejonym skrypcie odszukajcie polecenie "for country in" , jak widzicie ja blokuje 2 kraje Rosje oraz Kazahstan.
Nastepna czynnosc to zmiana sciezki w IPSET_LISTS_DIR=/opt/ipset_lists, ja mam np: opt, do tego katalogu beda sciagniete wszystkie ip danego kraju, ktory chcecie zablokowac.


4. Zapiszcie skrypt i przeniescie go do katalogu, np: /opt/scripts/firewall-start Nie zapomnijcie utworzyc katalogu scripts.

5. To juz ostatnia czynnosc: Wklejcie nastepujaca sciezke do Scripts Firewall w Tomato /opt/scripts/firewall-start i zapiszcie. Oczywiscie na samym koncu restartujecie wasz router.

Połączony z 06 December 2014 19:00:37:
susser napisał(a):

wszystko zaladowane iptables --list wskazuje ze regula dziala iptables -I INPUT -m set --match-set BlockedCountries src -j DROP, ale nic nie blokuje, co robic ?

Połączony z 06 December 2014 14:26:33:
sorry dziala, cofam pytanie. Zablokowalem Polske, czyli sam siebie...

Połączony z 06 December 2014 18:58:53:
Dziekuje wszystkim za wspaniala pomoc w osiagnieciu celu!

Na koniec chcialbym pokazac jak trzeba to zrobic i sie przy tym nie narobic...

Zacznijmy:

1. Utworzcie prosze najpierw dokument tekstowy i nazwijcie go np: firewall-start

2. Nastepnie wklejcie prosze do nowo utworzonego dokumentu ten skrypt:

Pobierz kod źródłowy  Kod źródłowy
#!/bin/sh

# Loading ipset modules
lsmod | grep "ipt_set" > /dev/null 2>&1 || \
for module in ip_set ip_set_nethash ip_set_iphash ipt_set
do
    insmod $module
done

# Preparing folder to cache downloaded files
IPSET_LISTS_DIR=/opt/ipset_lists
[ -d "$IPSET_LISTS_DIR" ] || mkdir -p $IPSET_LISTS_DIR

# Block incoming traffic from some countries. ru and kz  is for Russia #and Kazakhstan. See other countries code at http://www.ipdeny.com/#ipblocks/
if [ "$(ipset --swap BlockedCountries BlockedCountries 2>&1 | grep 'Unknown set')" != "" ]
then
    ipset -N BlockedCountries nethash
    for country in ru kz
    do
        [ -e $IPSET_LISTS_DIR/$country.lst ] || wget -q -O $IPSET_LISTS_DIR/$country.lst http://www.ipdeny.com/ipblocks/data/countries/$country.zone
        for IP in $(cat $IPSET_LISTS_DIR/$country.lst)
        do
            ipset -A BlockedCountries $IP
        done
    done
fi
iptables -I INPUT -m set --match-set BlockedCountries src -j DROP




3. We wklejonym skrypcie odszukajcie polecenie "for country in" , jak widzicie ja blokuje 2 kraje Rosje oraz Kazahstan.
Nastepna czynnosc to zmiana sciezki w IPSET_LISTS_DIR=/opt/ipset_lists, ja mam np: opt, do tego katalogu beda sciagniete wszystkie ip danego kraju, ktory chcecie zablokowac.


4. Zapiszcie skrypt i przeniescie go do katalogu, np: /opt/scripts/firewall-start Nie zapomnijcie utworzyc katalogu scripts.

5. To juz ostatnia czynnosc: Wklejcie nastepujaca sciezke do Scripts Firewall w Tomato /opt/scripts/firewall-start i zapiszcie. Oczywiscie na samym koncu restartujecie wasz router.


Połączony z 14 December 2014 23:09:06:
Witam wszystkich,

chcialbym jeszcze dodac, ze w jednym skrypcie mozecie zablokowac max 5 krajow. Zeby blokowac wiecej musicie dodac nowy skrypt i pozmieniac sciezki.

Jak sprawdzic czy Tomato naprawde blokuje te kraje:
Wpisujecie w System Commands: iptables --list i sprawdzacie czy jest podwojny wpis w chain INPUT( match-set BlockedCountrie src) , jak jest pojedynczy to znaczy, ze nie blokuje. Dlaczego tak sie dzieje, nie pytajcie... :)
Jezeli to co napisalem okaze sie u was nie prawda, to zablokujcie pl, wtedy bedziecie wiedziec czy blokuje.

Pozdrawiam
Edytowane przez susser dnia 14-12-2014 23:09
 
b3rok Dziekuje za dotacje
Hmmm, a czy założenie nie jest błędne? IMHO lepiej zrobić "blokuj wszystkich" a "wpuszczaj tylko polske".

Bo co z Chinami, Bialorusia, USA (z tych krajow bylo sporo prob wlamu) itp. itd.

Założenie jak Twoje miałem kiedyś, ale zostało zweryfikowane przy konfiguracji firewalla na Synology.
I. Huawei HG8240 + 1x Netgear r7000 @kille72 Tomato +2x AP Netgear WNR3500L + Siemens Gigaset C610IP + Synology DS1512+
II. TP-Link TL-WDR4300 @Obsy OpenWRT Gargoyle + Linksys SPA-3102 + Synology DS110j
III. TP-Link TL-WDR3600 @Obsy OpenWRT Gargoyle + Huawei E3276

_________________________________
Ważne linki:
Firmware Tomato by Shibby
Skórki do Tomato
TomatoAnon
Regulamin forum
Jak zadawać pytania i prosić o pomoc
 
susser
Dla moich rozwiazan nie jest to bledne, nie widzialem na swoim serwerze jeszcze kogos z Chin albo Usa, takze nie bede blokowal tych krajow.
Moze podzielibys sie swoim zalozeniem, zeby inni mogli tez z tego skorzystac?
Jak w takim razie zablokowac wszystko oprocz Polski, mowimy o Tomato by Shibby oczywiscie...
Pozdrawiam
 
Przejdź do forum:
Logowanie
Nazwa użytkownika

Hasło



Nie masz jeszcze konta?
Zarejestruj się

Nie możesz się zalogować?
Poproś o nowe hasło
Aktualnie online
· Gości online: 5

· Użytkowników online: 0

· Łącznie użytkowników: 23,897
· Najnowszy użytkownik: wilku130
Shoutbox
Musisz zalogować się, aby móc dodać wiadomość.

majkel152
12-09-2019 09:19
u mnie fork jest niestabilny na n66u Sad szczególnie jak torrentuje pełną rurą a sirq skacze do 99%

jurekk
10-09-2019 22:32
Ale jak zerknałem na forum forka by jhon to ostatnia modyfiakcja firmware kwiecien i zaginał w akcji ;-)

jurekk
10-09-2019 22:25
Tasiora jezeli komus idzie o wydajność i niezawodnosć to wiadomo OFW jest the best a w tym przypadku polecam jednak fork jhona i to we wersji E , Rmerlin rok temu zakonczył wsparcie dla tego routera

jurekk
10-09-2019 22:20
ac66u potwierdzam na johna forku działa ok a na toamto raz jest raz nie ma, ale ac56u to inna para kaloszy arm nie mipsel

tamtosiamto
10-09-2019 21:27
ja na ac66u tez mialem problem z 5ghz na merlinie, na forku johna dziala ok

mosfit
10-09-2019 12:43
Wgraj Rmerlina i sprawdź czy radio działa poprawnie . A póżniej wgraj sobie Fork by John i porównaj

Tasiorsa
10-09-2019 10:58
Mając Asus RTAC56U postawilibyscie na Rmerlin czy na fork by John czy czekali na nowe tomato. mam wgrane 2018.3 ale cos wifi 5GHz szwankuje. Rozlacza gubi pakiety, znika

Steel_Rat
03-09-2019 17:40
Zawsze można kupić https://www.intel.
..brief.html

mosfit
03-09-2019 16:41
no i tym samym łączny transfer z Nas-em wyniesie 2GB , a nie jak przy jednym kablu 2/1GB . O tym samym mówimy,ale interpretacja juz nie do końca

Adooni
03-09-2019 08:56
przy LAPC jak 2os beda pobieraly to bedzie 2x 1Gbit a nie 2GBit Smile kazde z urzadzen bedzie pobierac po 1GBit, przy jednym polaczeniu nie wzrosnie i bedzie 1Gbit

Steel_Rat
29-08-2019 23:25
Mało bo nie ma nowych routerów, które działają z Tomato.

evangelion69
29-08-2019 19:51
Coś mało się tu dzieje. Nikt nowych tutoriali nie zamieszcza. Nowe wątki tylko jak ktoś sprzedaje swój router.

Steel_Rat
22-08-2019 08:18
Uwaga na fałszywa stronę Nordvpn https://www.gry-o.
..?ID=117149

mosfit
21-08-2019 07:33
Czytałeś to co napisał @shibby ? Jak jednocześnie ktoś w twojej sieci będzie pobierał coś z serwera to wydajność łączą wzrośnie do 2Gb

djwujek
20-08-2019 23:49
Ale lacp nie daje podwójnej prędkości tak jak napisał to @Adooni

mosfit
20-08-2019 22:22
Tak jak opisał to @shibby w podanym poniżej tutku

djwujek
20-08-2019 20:24
To w takim razie jak to działa ?

38,979,466 unikalne wizyty