25 Czerwiec 2019 12:50:42
Nawigacja
· Strona Główna
· Galeria
· Forum
· Linki

· Tomato by Shibby

· Wiki-OpenWrt
· Wiki-DD-WRT
· Emulatory sprzętu

Darowizna
Ostatnio na forum
Najnowsze tematy
· Dekoder sat + vpn
· ALFA Tube 2H + anten...
· ASUS RT-AC68U proble...
· [MOD] FreshTomato-ARM
· [K] Intel NIC
· Qnap 251A Ubuntu
· Multiroom N z wykorz...
· Asus RT-AC56U - "mał...
· No Internet On VLAN
· Router 2.4/5GHz, eth...
· urbackup-server na r...
· [K] Intel NUC
· Tomato pod TP-Link A...
· Router pod łącze 600...
· password root przez ssh
· Tomato - odblokowani...
· [TURTORIAL] Konfigur...
· Tomato MultiWAN - ot...
· [S] Netgear R7000 Ni...
· [MOD] Tomato by shibby
Najciekawsze tematy
· Multiroom N z wyk... [1011]
· [MOD] FreshTomato... [784]
· Asus RT-AC56U - "... [400]
· Dekoder sat + vpn [22]
· ASUS RT-AC68U pro... [14]
· [K] Intel NIC [7]
· ALFA Tube 2H + an... [6]
· Qnap 251A Ubuntu [5]
· No Internet On VLAN [0]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
38% [135 głosów]

Broadcom ARM
Broadcom ARM
50% [175 głosów]

Atheros
Atheros
6% [21 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
1% [2 głosów]

Intel/AMD/VIA
Intel/AMD/VIA
1% [4 głosów]

Żaden z powyższych
Żaden z powyższych
3% [10 głosów]

Ogółem głosów: 351
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38

Archiwum ankiet
Reklama
Twoje IP
54.144.75.212
Reklama
Zobacz temat
OpenLinksys » :: PORTAL :: » Tutoriale
 Drukuj temat
Iptables Tomato
susser
Dzien dobry,

chcialbym sie dowiedziec, czy jest mozliwosc zablokowania za pomoca iptables calego kraju i jak napisac taka regulke?

Pozdrawiam
 
cross
całego kraju? Musisz znać adresację klas IP dla tego kraju. (jakie adresy IP są w danym kraju a to może być mozolna sprawa) - to jest rozwiązanie dla hostów bez resolv'a czyli zmiany domeny odwrotnej w skrócie bez domeny w adresie. A co do pozostałości. Każdy kraj ma swoją uniwersalną domenę zazwyczaj jest to *.de *.pl itd wystarczy zablokować ruch przez router FORWARD do danej domeny.
 
susser
Witam,

dzieki za odpowiedz,

tylko ze jak dam cos takiego iptables -A INPUT -m geoip --src-cc CN,UA,TW -j DROP
to tomato mowi, ze nie ma takiej paczki...
 
cross
http://man.sethuper.com/iptables-blokowanie-adresow-ip-wedlug-krajow

Bo ją trzeba pobrać pierw.
 
susser
wiec sciagnalem paczke, tylko jakos nie chce ruszyc moglbys prosze napisac jak dokladnie moglbym to zrobic, paczke sciagnalem pod optware...
 
shibby Dziekuje za dotacje
w moim tomato masz moduł ipset, użyj go

przykład
http://blog.laimbock.com/2013/09/22/how-to-block-countries-with-ipdeny-ip-country-blocks-ipset-and-iptables-on-el6/

interesuje cię od "Really big hammer – block an entire country"
Router: Ubiquiti EdgeRouter ER-4 (FTTH + LTE/failover, OpenVPN, DPI, VLAN)
Wi-Fi: Ubiquiti UAP-AC-Pro
LAN: Netgear GS110TP (8x GbE, 2x SFP, PoE, LACP, VLAN)
NAS: Netgear ReadyNAS Pro4 (2x 4TB/RAID1, 1x 1TB, LACP 2Gbit)
Controler: Raspberry Pi 2 Model B + HDD 1,8" 160GB (Unifi, NUT, CUPS, Pi Hole/DNS Server)
UPS: Eaton Ellipse Eco 650
 
susser
jakos to nie chce dzialac shibby...

robie tak:

root@SerVer:/tmp/home/root# for IP in $(wget -O – http://www.ipdeny.com/ipblocks
/data/countries/ru.zone{RU}.zone)
> do
> ipset -A geoblock $IP
> done
Connecting to www.ipdeny.com (192.241.240.22:80)
wget: server returned error: HTTP/1.1 404 Not Found

i lipa...
 
kamilj Dziekuje za dotacje
Pobierz kod źródłowy  Kod źródłowy
for IP in $(wget -O - http://www.ipdeny.com/ipblocks/data/countries/ru.zone)
do
   # really big hammer - block countryX, period
   sudo ipset add geoblock $IP
done



zobacz tak
------------------------------------------------------------------------------
RegulaminOpenlinksys.info v0.1
RegulaminOpenlinksys.info v0.2
>>Kliknij tutaj<< Jeżeli nie wiesz jakie Tomato wgrać.

------------------------------------------------------------------------------
 
susser
teraz jest takie cos:
-sh: sudo: not found
-sh: sudo: not found
-sh: sudo: not found
-sh: sudo: not found
-sh: sudo: not found
-sh: sudo: not found

Połączony z 01 December 2014 17:29:22:
a bez sudo wyglada to tak:

Try `ipset -H' or 'ipset --help' for more information.
Bad argument `add'

Połączony z 01 December 2014 17:53:17:
ogolnie juz przy wydaniu pierwszej komendy jest lipa, bo nie moze znalezc modulu

modprobe -v ipset
modprobe: module ipset not found in modules.dep
Edytowane przez susser dnia 01-12-2014 17:53
 
sapcio2
A czy czasem ten moduł w tomato nie nazywa się ip_set ??
-------------------------------------------------------------------------------------------------------------------------------------------------------------------
Asus RT-N16 - tomato-K26USB-1.28.RT-N5x-MIPSR2-115-NEWDRIVER-AIO | oscam-1.15 | pyLoad-v0.4.9 | Transmission 2.76+transmission-control 0.11 Beta
HTPC+XBMC->Onkyo TX-SR507+Tonsil/Siesta-7.1->Optoma HD20->Adeo Plano Velvet 113''
NAS-> Elite 120 Advanced + DN2800MT + 32GB Crucial m4 mSATA + Kingston 2GB + WD Red 3 TB | openmediavault_1.1(kralizec)_amd64
 
susser
racja nazywa sie ip_set, tylko, ze to i tak nic nie daje, jak wpisze to:

ipset create geoblock hash:net

to dostaje:

Bad argument `create'
Try `ipset -H' or 'ipset --help' for more information.

a u was to dziala?

Połączony z 03 December 2014 11:04:22:
ogolnie nic nie dziala, czy mielibyscie moze jakies propozycje, jest to dla mnie bardzo wazne...

Z gory dziekuje i pozdrawiam
Edytowane przez susser dnia 03-12-2014 11:04
 
kamilj Dziekuje za dotacje
Tyle że nadal wpisujesz ipset zamiast ip_set

Pobierz kod źródłowy  Kod źródłowy
sudo ip_set add geoblock $IP




Takie wpisanie też nic nie daje ??
------------------------------------------------------------------------------
RegulaminOpenlinksys.info v0.1
RegulaminOpenlinksys.info v0.2
>>Kliknij tutaj<< Jeżeli nie wiesz jakie Tomato wgrać.

------------------------------------------------------------------------------
 
susser
niestety pokazuje sie to:

-sh: ip_set: not found
 
kamilj Dziekuje za dotacje
Może ten link coś ci podpowie
http://www.varlog...-nieznany/
------------------------------------------------------------------------------
RegulaminOpenlinksys.info v0.1
RegulaminOpenlinksys.info v0.2
>>Kliknij tutaj<< Jeżeli nie wiesz jakie Tomato wgrać.

------------------------------------------------------------------------------
 
shibby Dziekuje za dotacje
eh to była tylko wskazówka a nie tutorial kopiuj/wklej dla tomato :/

tu jest dobrze opisane:
https://github.com/RMerl/asuswrt-merlin/wiki/Using-ipset

oczywiście jest to dla rmerlin mod więc pamiętajcie o zmianie ścieżek. Nie mniej jednak widać jakie moduły trzeba załadować i jak wygląda składnia poleceń.
Router: Ubiquiti EdgeRouter ER-4 (FTTH + LTE/failover, OpenVPN, DPI, VLAN)
Wi-Fi: Ubiquiti UAP-AC-Pro
LAN: Netgear GS110TP (8x GbE, 2x SFP, PoE, LACP, VLAN)
NAS: Netgear ReadyNAS Pro4 (2x 4TB/RAID1, 1x 1TB, LACP 2Gbit)
Controler: Raspberry Pi 2 Model B + HDD 1,8" 160GB (Unifi, NUT, CUPS, Pi Hole/DNS Server)
UPS: Eaton Ellipse Eco 650
 
susser
mam pytanie, gdzie mam zapisac ten skrypt w tomato, w init czy firewall?
 
shibby Dziekuje za dotacje
init wykonuje się tylko raz przy starcie routera. Firewall każdorazowo przy przeładowaniu usługi iptables. Tak więc firewall jak najbardziej Smile
Router: Ubiquiti EdgeRouter ER-4 (FTTH + LTE/failover, OpenVPN, DPI, VLAN)
Wi-Fi: Ubiquiti UAP-AC-Pro
LAN: Netgear GS110TP (8x GbE, 2x SFP, PoE, LACP, VLAN)
NAS: Netgear ReadyNAS Pro4 (2x 4TB/RAID1, 1x 1TB, LACP 2Gbit)
Controler: Raspberry Pi 2 Model B + HDD 1,8" 160GB (Unifi, NUT, CUPS, Pi Hole/DNS Server)
UPS: Eaton Ellipse Eco 650
 
susser
wszystko zaladowane iptables --list wskazuje ze regula dziala iptables -I INPUT -m set --match-set BlockedCountries src -j DROP, ale nic nie blokuje, co robic ?

Połączony z 06 December 2014 14:26:33:
sorry dziala, cofam pytanie. Zablokowalem Polske, czyli sam siebie...

Połączony z 06 December 2014 18:58:53:
Dziekuje wszystkim za wspaniala pomoc w osiagnieciu celu!

Na koniec chcialbym pokazac jak trzeba to zrobic i sie przy tym nie narobic...

Zacznijmy:

1. Utworzcie prosze najpierw dokument tekstowy i nazwijcie go np: firewall-start

2. Nastepnie wklejcie prosze do nowo utworzonego dokumentu ten skrypt:

Pobierz kod źródłowy  Kod źródłowy
#!/bin/sh

# Loading ipset modules
lsmod | grep "ipt_set" > /dev/null 2>&1 || \
for module in ip_set ip_set_nethash ip_set_iphash ipt_set
do
    insmod $module
done

# Preparing folder to cache downloaded files
IPSET_LISTS_DIR=/opt/ipset_lists
[ -d "$IPSET_LISTS_DIR" ] || mkdir -p $IPSET_LISTS_DIR

# Block incoming traffic from some countries. cn and pk is for Russia #and Kazakhstan. See other countries code at http://www.ipdeny.com/#ipblocks/
if [ "$(ipset --swap BlockedCountries BlockedCountries 2>&1 | grep 'Unknown set')" != "" ]
then
    ipset -N BlockedCountries nethash
    for country in ru kz
    do
        [ -e $IPSET_LISTS_DIR/$country.lst ] || wget -q -O $IPSET_LISTS_DIR/$country.lst http://www.ipdeny.com/ipblocks/data/countries/$country.zone
        for IP in $(cat $IPSET_LISTS_DIR/$country.lst)
        do
            ipset -A BlockedCountries $IP
        done
    done
fi
iptables -I INPUT -m set --match-set BlockedCountries src -j DROP




3. We wklejonym skrypcie odszukajcie polecenie "for country in" , jak widzicie ja blokuje 2 kraje Rosje oraz Kazahstan.
Nastepna czynnosc to zmiana sciezki w IPSET_LISTS_DIR=/opt/ipset_lists, ja mam np: opt, do tego katalogu beda sciagniete wszystkie ip danego kraju, ktory chcecie zablokowac.


4. Zapiszcie skrypt i przeniescie go do katalogu, np: /opt/scripts/firewall-start Nie zapomnijcie utworzyc katalogu scripts.

5. To juz ostatnia czynnosc: Wklejcie nastepujaca sciezke do Scripts Firewall w Tomato /opt/scripts/firewall-start i zapiszcie. Oczywiscie na samym koncu restartujecie wasz router.

Połączony z 06 December 2014 19:00:37:
susser napisał(a):

wszystko zaladowane iptables --list wskazuje ze regula dziala iptables -I INPUT -m set --match-set BlockedCountries src -j DROP, ale nic nie blokuje, co robic ?

Połączony z 06 December 2014 14:26:33:
sorry dziala, cofam pytanie. Zablokowalem Polske, czyli sam siebie...

Połączony z 06 December 2014 18:58:53:
Dziekuje wszystkim za wspaniala pomoc w osiagnieciu celu!

Na koniec chcialbym pokazac jak trzeba to zrobic i sie przy tym nie narobic...

Zacznijmy:

1. Utworzcie prosze najpierw dokument tekstowy i nazwijcie go np: firewall-start

2. Nastepnie wklejcie prosze do nowo utworzonego dokumentu ten skrypt:

Pobierz kod źródłowy  Kod źródłowy
#!/bin/sh

# Loading ipset modules
lsmod | grep "ipt_set" > /dev/null 2>&1 || \
for module in ip_set ip_set_nethash ip_set_iphash ipt_set
do
    insmod $module
done

# Preparing folder to cache downloaded files
IPSET_LISTS_DIR=/opt/ipset_lists
[ -d "$IPSET_LISTS_DIR" ] || mkdir -p $IPSET_LISTS_DIR

# Block incoming traffic from some countries. ru and kz  is for Russia #and Kazakhstan. See other countries code at http://www.ipdeny.com/#ipblocks/
if [ "$(ipset --swap BlockedCountries BlockedCountries 2>&1 | grep 'Unknown set')" != "" ]
then
    ipset -N BlockedCountries nethash
    for country in ru kz
    do
        [ -e $IPSET_LISTS_DIR/$country.lst ] || wget -q -O $IPSET_LISTS_DIR/$country.lst http://www.ipdeny.com/ipblocks/data/countries/$country.zone
        for IP in $(cat $IPSET_LISTS_DIR/$country.lst)
        do
            ipset -A BlockedCountries $IP
        done
    done
fi
iptables -I INPUT -m set --match-set BlockedCountries src -j DROP




3. We wklejonym skrypcie odszukajcie polecenie "for country in" , jak widzicie ja blokuje 2 kraje Rosje oraz Kazahstan.
Nastepna czynnosc to zmiana sciezki w IPSET_LISTS_DIR=/opt/ipset_lists, ja mam np: opt, do tego katalogu beda sciagniete wszystkie ip danego kraju, ktory chcecie zablokowac.


4. Zapiszcie skrypt i przeniescie go do katalogu, np: /opt/scripts/firewall-start Nie zapomnijcie utworzyc katalogu scripts.

5. To juz ostatnia czynnosc: Wklejcie nastepujaca sciezke do Scripts Firewall w Tomato /opt/scripts/firewall-start i zapiszcie. Oczywiscie na samym koncu restartujecie wasz router.


Połączony z 14 December 2014 23:09:06:
Witam wszystkich,

chcialbym jeszcze dodac, ze w jednym skrypcie mozecie zablokowac max 5 krajow. Zeby blokowac wiecej musicie dodac nowy skrypt i pozmieniac sciezki.

Jak sprawdzic czy Tomato naprawde blokuje te kraje:
Wpisujecie w System Commands: iptables --list i sprawdzacie czy jest podwojny wpis w chain INPUT( match-set BlockedCountrie src) , jak jest pojedynczy to znaczy, ze nie blokuje. Dlaczego tak sie dzieje, nie pytajcie... :)
Jezeli to co napisalem okaze sie u was nie prawda, to zablokujcie pl, wtedy bedziecie wiedziec czy blokuje.

Pozdrawiam
Edytowane przez susser dnia 14-12-2014 23:09
 
b3rok Dziekuje za dotacje
Hmmm, a czy założenie nie jest błędne? IMHO lepiej zrobić "blokuj wszystkich" a "wpuszczaj tylko polske".

Bo co z Chinami, Bialorusia, USA (z tych krajow bylo sporo prob wlamu) itp. itd.

Założenie jak Twoje miałem kiedyś, ale zostało zweryfikowane przy konfiguracji firewalla na Synology.
I. Huawei HG8240 + 1x Netgear r7000 @kille72 Tomato +2x AP Netgear WNR3500L + Siemens Gigaset C610IP + Synology DS1512+
II. TP-Link TL-WDR4300 @Obsy OpenWRT Gargoyle + Linksys SPA-3102 + Synology DS110j
III. TP-Link TL-WDR3600 @Obsy OpenWRT Gargoyle + Huawei E3276

_________________________________
Ważne linki:
Firmware Tomato by Shibby
Skórki do Tomato
TomatoAnon
Regulamin forum
Jak zadawać pytania i prosić o pomoc
 
susser
Dla moich rozwiazan nie jest to bledne, nie widzialem na swoim serwerze jeszcze kogos z Chin albo Usa, takze nie bede blokowal tych krajow.
Moze podzielibys sie swoim zalozeniem, zeby inni mogli tez z tego skorzystac?
Jak w takim razie zablokowac wszystko oprocz Polski, mowimy o Tomato by Shibby oczywiscie...
Pozdrawiam
 
Przejdź do forum:
Logowanie
Nazwa użytkownika

Hasło



Nie masz jeszcze konta?
Zarejestruj się

Nie możesz się zalogować?
Poproś o nowe hasło
Aktualnie online
· Gości online: 7

· Użytkowników online: 0

· Łącznie użytkowników: 23,884
· Najnowszy użytkownik: mc1100
Shoutbox
Musisz zalogować się, aby móc dodać wiadomość.

stegano
19-06-2019 23:13
Pozdrawiam wszystkich Smile

PanRatio
14-06-2019 08:38
Kupiłem Lenovo Newifi-D2 za 139 zł. Zobaczymy co to za cudo Grin

mosfit
12-06-2019 06:37
RAM MB:128 szału nie ma,Broadcom raczej ciężko będzie z openwrt-podobno radio nie działa a tomato raczej tez nie będzie

PixelPL
11-06-2019 19:40
Co powiecie na temat TP-Link Archer A9 ?

skupi
07-06-2019 21:25
Od rana wszystko działa jak trzeba, może zasilacz złe napięcie dawał i go zresetowało wypięcie z gniazdka Pfft

skupi
07-06-2019 21:24
NVRAM mam 18% wolnego, zauważyłem wysoką temp cpu 105, rozebrałem postawiłem na golasa i już było 70 Smile, ale i tak dalej rwało, przed snem odpiąłem zasilacz, bo chciałem go sprawdzić

pedro
07-06-2019 19:20
@skupi: nie skonczył się NVRAM w jakimś momencie?

majkel152
07-06-2019 12:37
sprawdz na merlinie, załoz temat, wklej zrzut z nvram i ustawien

skupi
06-06-2019 23:50
pomoże ktoś. Asus AC68, freshtomato 02.2019, wszystko śmigało, ale ostatnio nagle zaczęło świrować wifi, dropy, niska prędkość. Po lanie wszystko oki?

majkel152
03-06-2019 12:18
dla kogoś kto ma kontroler i licencję coś tam będzie warty.w innym wypadku paczkę żelek, chyba że openwrt doda suport

SynC
31-05-2019 12:03
Merki MR42 nowy bez fv, czy to jest sprzedawalne, i za ile ewentualnie?

tamtosiamto
28-05-2019 18:11
ano wlasnie dlatego pytalem na poczatku, jak sie usuwa pojednyczne wpisy Smile. Zrobilem juz reset i ustawilem do nowa.

Steel_Rat
28-05-2019 00:11
To pozostaje przejrzeć NVRAM i usunąć niepotrzebne wpisy. Bądź wgrać obraz gdzie jest mniej bajerów np. bez openvpn jak nie używasz.

tamtosiamto
27-05-2019 23:32
tylko bwlimiter i iptraffic, zadnych vpnow nie mam

Steel_Rat
25-05-2019 23:19
Jak masz ustawionego openVPN, to przenieś certyfikaty na dysk. I cóż musisz ograniczyć wpisy do NVRAM.

tamtosiamto
25-05-2019 16:04
jak uwolnic nvram w tomato? rtn66u, mam wolne tylko 2% nvram, internet mi rwie chce uwolnic ale nie wiem jak, wszytski edodatkowe uslugi wylaczone

OpenDM
23-05-2019 14:20
AB-Solution ---> Diversion https://diversion.
ch/

38,381,153 unikalne wizyty