|
[MOD] FreshTomato-ARM
|
| Adooni |
Dodano 16-09-2018 18:17
|
VIP
Posty: 2353
Dołączył: 02/02/2011 04:29
|
u mnie od 3 dni Stubby dobrze dziala mam go nawet z TORem odpalonego.
wlasnie sprawdzalem pogoda yahoo tez dziala.
Orange 300/50 Mb/s + ONT Terminal
HPE MS gen8 Proxmox 7.0-11 VMs: Router OPNsense 23.X-amd64 and OMV
HPE MicroServer gen8: Xeon E3-1265Lv2, 16GB (2x KTH-PL316E/8G), HP 331T, 4x4TB WD RED
Asus RT-AC68U AccessPoint
|
| |
|
|
| pedro |
Dodano 16-09-2018 18:55
|
Moderator
Posty: 989
Dołączył: 21/09/2015 15:03
|
Cytat godol napisał(a):
Żadnej listy nie mam. Po prostu loguje się na stronie opendns i tam ustawiam jaki content ma być blokowany.
Działa dobrze ale wygląda na to, że z DNS-over-TLS nie może to działać.
Wyjaśnij mi, w jaki sposób ma to działać, skoro Stubby korzysta losowo (ew. ustawia sobie jakiś priorytet, nie wczytywałem się w kod) z czterech w/w serwerów dns, a żaden z nich nie jest z opendns? 
Połączony z 16 wrzesień 2018 18:57:35:
Cytat tombono napisał(a):
Cytat Sep 16 13:15:55 unknown daemon.warn dnsmasq[1395]: Insecure DS reply received, do upstream DNS servers support DNSSEC?
Sep 16 13:15:55 unknown daemon.warn dnsmasq[1395]: Insecure DS reply received, do upstream DNS servers support DNSSEC?
Sep 16 13:16:18 unknown daemon.warn dnsmasq[1395]: Insecure DS reply received, do upstream DNS servers support DNSSEC?
Sep 16 13:16:24 unknown daemon.warn dnsmasq[1395]: Insecure DS reply received, do upstream DNS servers support DNSSEC?
Sep 16 13:16:24 unknown daemon.warn dnsmasq[1395]: Insecure DS reply received, do upstream DNS servers support DNSSEC?
Sep 16 14:00:00 unknown syslog.info root: -- MARK --
Sep 16 14:04:38 unknown daemon.warn dnsmasq[1395]: Insecure DS reply received, do upstream DNS servers support DNSSEC?
Sep 16 14:15:06 unknown daemon.warn dnsmasq[1395]: Insecure DS reply received, do upstream DNS servers support DNSSEC?
Sep 16 14:15:06 unknown daemon.warn dnsmasq[1395]: Insecure DS reply received, do upstream DNS servers support DNSSEC?
Czy powyższy log oznacza coś złego?
Nic złego, po prostu Stubby przełączył się na serwer który nie obsługuje podpisanych odpowiedzi.
Ew. tym dns'em jest Cloudfare, który czasem działa dobrze a czasem nie, pewnie w zależności od tego na który wirtualny serwer się trafi...
Edytowany przez pedro dnia 16-09-2018 18:57
Netowski 1Gb/1Gb
Huawei E3372s-153 non-hilink + 2x15dBi MIMO
FreshTomato: Asus RT-AC3200 + RT-N18U + RT-N66U + RT-N12
|
| |
|
|
| qwerty321 |
Dodano 16-09-2018 23:24
|
Super User
Posty: 571
Dołączył: 27/04/2014 18:11
|
RT-N18U 2018.4 włączone Stubby bez dnssec:
Tak w kółko:
Sep 16 23:20:41 RTH daemon.info dnsmasq[4728]: exiting on receipt of SIGTERM
Sep 16 23:20:42 RTH daemon.crit dnsmasq[5568]: error at line 39235 of /etc/dnsmasq.adblock
Sep 16 23:20:42 RTH daemon.crit dnsmasq[5568]: FAILED to start up
Sep 16 23:20:42 RTH user.debug preinit[1]: dnsmasq terminated unexpectedly, restarting.
Sep 16 23:20:43 RTH daemon.crit dnsmasq[5571]: error at line 39235 of /etc/dnsmasq.adblock
Sep 16 23:20:43 RTH daemon.crit dnsmasq[5571]: FAILED to start up
Sep 16 23:20:43 RTH user.debug preinit[1]: dnsmasq terminated unexpectedly, restarting.
Sep 16 23:20:44 RTH daemon.crit dnsmasq[5574]: error at line 39235 of /etc/dnsmasq.adblock
Sep 16 23:20:44 RTH daemon.crit dnsmasq[5574]: FAILED to start up
Sep 16 23:20:44 RTH user.debug preinit[1]: dnsmasq terminated unexpectedly, restarting.
Sep 16 23:20:45 RTH daemon.crit dnsmasq[5577]: error at line 39235 of /etc/dnsmasq.adblock
Sep 16 23:20:45 RTH daemon.crit dnsmasq[5577]: FAILED to start up
Sep 16 23:20:45 RTH user.debug preinit[1]: dnsmasq terminated unexpectedly, restarting.
Sep 16 23:20:46 RTH daemon.crit dnsmasq[5580]: error at line 39235 of /etc/dnsmasq.adblock
Sep 16 23:20:46 RTH daemon.crit dnsmasq[5580]: FAILED to start up
Sep 16 23:20:46 RTH user.debug preinit[1]: dnsmasq terminated unexpectedly, restarting.
Sep 16 23:20:47 RTH daemon.crit dnsmasq[5584]: error at line 39235 of /etc/dnsmasq.adblock
Sep 16 23:20:47 RTH daemon.crit dnsmasq[5584]: FAILED to start up
Połączony z 17 wrzesień 2018 00:19:18:
To jest jakaś mina. Pojedynczy znak diakrytyczny poza znakami z klawiatury US wywraca całego DNS-a w routerze. Przecież spamerzy mogą celowo robić poisoning tych list. To jest nonsens żeby dnsmasq nie miał zabezpieczenia na taką głupotę !!!!
Edytowany przez qwerty321 dnia 17-09-2018 00:19
|
| |
|
|
| Stripe |
Dodano 17-09-2018 00:25
|
User
Posty: 23
Dołączył: 08/02/2017 22:13
|
To jest problem z listami do adblocka. Tu masz to opisane :
[URL="http://linksysinfo.org/index.php?threads/fork-freshtomato-arm.74117/page-10#post-299532"][Fork] FreshTomato-ARM[/URL] |
| |
|
|
| qwerty321 |
Dodano 17-09-2018 00:29
|
Super User
Posty: 571
Dołączył: 27/04/2014 18:11
|
Cytat kille72 napisał(a):
W tej liście AdBlocka https://hosts-file.net/hphosts-partial.txt jest niedozwolony znak:
127.0.0.1 bireysel-zîraat.com
który powoduje blad. Zgłoście to do twórcy jak używacie tej listy. Workaround to nie dodawanie tej listy do AdBlock.
Ja znalazłem kolejną listę z niedozwolonymi znakami. Trzeba w kodzie sprawdzić czy znaki są z zakresu podstawowego ascii, bo tak za chwilę nic działać nie będzie.
Połączony z 17 wrzesień 2018 00:36:42:
Cytat Stripe napisał(a):
To jest problem z listami do adblocka. Tu masz to opisane :
[URL="http://linksysinfo.org/index.php?threads/fork-freshtomato-arm.74117/page-10#post-299532"][Fork] FreshTomato-ARM[/URL]
To nie problem z listami, a z kodem. U mnie w tej linijce co jest błąd jest domena z literą "a" z dwukropkiem czy apostrofem nad nią. To pojedyncza literka. Tym sposobem każdą listę można zatruć.
Ktoś złośliwie wyłączył sprawdzanie w kodzie czy domena ma podstawowe znaki, to mi wygląda na sabotaż kodu. Gdzie są źródła tego fragmentu, który pluje tym komunikatem z kodu "dnsmasq terminated unexpectedly, restarting"?
Edytowany przez qwerty321 dnia 17-09-2018 00:41
|
| |
|
|
| pedro |
Dodano 17-09-2018 00:43
|
Moderator
Posty: 989
Dołączył: 21/09/2015 15:03
|
A propos tych wykrzykników do nas:
adblock
# Author: Shibby
# Inspired by qrs from OpenLinksys
# Source: https://openlinksys.info/forum/viewthread.php?thread_id=18549&rowstart=20#post_149346
Ostatnia zmiana (poza paroma moimi fixami i impruwmentami): 2016-06-24
Netowski 1Gb/1Gb
Huawei E3372s-153 non-hilink + 2x15dBi MIMO
FreshTomato: Asus RT-AC3200 + RT-N18U + RT-N66U + RT-N12
|
| |
|
|
| qwerty321 |
Dodano 17-09-2018 00:56
|
Super User
Posty: 571
Dołączył: 27/04/2014 18:11
|
Ale to by trzeba poprawić w dnsmasq chyba. Gdzie jest kod źródłowy z tym fragmentem co wypisuje opis błędów dnsmasq?
Gdzie są źródła tego?
Sep 17 00:38:00 RTH daemon.crit dnsmasq[27820]: error at line 101881 of /etc/dnsmasq.adblock
Sep 17 00:38:00 RTH daemon.crit dnsmasq[27820]: FAILED to start up
Sep 17 00:38:01 RTH user.debug preinit[1]: dnsmasq terminated unexpectedly, restarting.
|
| |
|
|
| pedro |
Dodano 17-09-2018 01:12
|
Moderator
Posty: 989
Dołączył: 21/09/2015 15:03
|
dnsmasq jest budowany bez supportu dla IDN, podobnież samo tomato go nie ma.
A skrypt adblocka będzie poprawiony przy następnej wydanej wersji (już jest w zasadzie).
Netowski 1Gb/1Gb
Huawei E3372s-153 non-hilink + 2x15dBi MIMO
FreshTomato: Asus RT-AC3200 + RT-N18U + RT-N66U + RT-N12
|
| |
|
|
| qwerty321 |
Dodano 17-09-2018 01:17
|
Super User
Posty: 571
Dołączył: 27/04/2014 18:11
|
Te listy to powodują:
http://someonewhocares.org/hosts/zero/hosts
http://hostsfile.mine.nu/Hosts
Ta druga jest ważna, bo ma 100.000 hostów i bez niej są reklamy...
Połączony z 17 wrzesień 2018 01:21:16:
Cytat pedro napisał(a):
dnsmasq jest budowany bez supportu dla IDN, podobnież samo tomato go nie ma.
A skrypt adblocka będzie poprawiony przy następnej wydanej wersji (już jest w zasadzie).
Ale która linijka kodu sprawdza poprawność wczytanej pozycji z listy? Gdzie są do tego źródła? Ja programuję w C. Bez dopisania pętelki sprawdzającej zakres znaków ascii każdy zatruje listę choćby polskim "ó" i wywali cały DNS w routerze.
Połączony z 17 wrzesień 2018 01:22:42:
Sep 17 01:20:00 RTH user.info adblock: prepare to download ...
Sep 17 01:20:00 RTH user.info adblock: [1] downloading blacklist - http://winhelp2002.mvps.org/hosts.txt
Sep 17 01:20:03 RTH user.info adblock: ... [1] found 14354 entries
Sep 17 01:20:03 RTH user.info adblock: [2] downloading blacklist - http://adaway.org/hosts.txt
Sep 17 01:20:04 RTH user.info adblock: ... [2] found 525 entries
Sep 17 01:20:04 RTH user.info adblock: [3] downloading blacklist - http://hosts-file.net/ad_servers.txt
Sep 17 01:20:09 RTH user.info adblock: ... [3] found 45759 entries
Sep 17 01:20:10 RTH user.info adblock: [4] downloading blacklist - http://www.malwaredomainlist.com/hostslist/hosts.txt
Sep 17 01:20:10 RTH user.info adblock: ... [4] found 1136 entries
Sep 17 01:20:10 RTH user.info adblock: [5] downloading blacklist - http://pgl.yoyo.org/adservers/serverlist.php?hostformat=hosts&mimetype=plaintext
Sep 17 01:20:11 RTH user.info adblock: ... [5] found 2651 entries
Sep 17 01:20:11 RTH user.info adblock: [6] downloading blacklist - https://raw.githubusercontent.com/hoshsadiq/adblock-nocoin-list/master/hosts.txt
Sep 17 01:20:11 RTH user.info adblock: ... [6] found 478 entries
Sep 17 01:20:11 RTH user.info adblock: skip disabled blacklist - http://someonewhocares.org/hosts/zero/hosts
Sep 17 01:20:11 RTH user.info adblock: [7] downloading blacklist - https://raw.githubusercontent.com/WindowsLies/BlockWindows/master/hosts
Sep 17 01:20:12 RTH user.info adblock: ... [7] found 109 entries
Sep 17 01:20:12 RTH user.info adblock: [8] downloading blacklist - http://sysctl.org/cameleon/hosts
Sep 17 01:20:14 RTH user.info adblock: ... [8] found 20569 entries
Sep 17 01:20:14 RTH user.info adblock: [9] downloading blacklist - http://adblock.gjtech.net/?format=hostfile
Sep 17 01:20:14 RTH user.info adblock: ... [9] download error! Please check URL
Sep 17 01:20:14 RTH user.info adblock: skip disabled blacklist - http://hostsfile.mine.nu/Hosts
Sep 17 01:20:14 RTH user.info adblock: [10] downloading blacklist - https://raw.github.com/notracking/hosts-blocklists/master/hostnames.txt
Sep 17 01:20:17 RTH user.info adblock: ... [10] found 72381 entries
Sep 17 01:20:17 RTH user.info adblock: [11] downloading blacklist - https://raw.githubusercontent.com/anudeepND/youtubeadsblacklist/master/hosts.txt
Sep 17 01:20:17 RTH user.info adblock: ... [11] found 8882 entries
Sep 17 01:20:17 RTH user.info adblock: [12] downloading blacklist - https://raw.githubusercontent.com/HenningVanRaumle/pihole-ytadblock/master/ytadblock.txt
Sep 17 01:20:18 RTH user.info adblock: ... [12] found 75 entries
Sep 17 01:20:18 RTH user.info adblock: [13] downloading blacklist - http://buffalo.biodome.org/m/youtube-hosts-list.txt
Sep 17 01:20:18 RTH user.info adblock: ... [13] found 530 entries
Sep 17 01:20:33 RTH user.info adblock: remove whitelisted hosts from blacklist
Sep 17 01:20:38 RTH user.info adblock: activated - 99257 entries
Te listy działają...widać, które wyłączyłem, bo powodowały wywałkę.
Edytowany przez qwerty321 dnia 17-09-2018 01:24
|
| |
|
|
| pedro |
Dodano 17-09-2018 01:27
|
Moderator
Posty: 989
Dołączył: 21/09/2015 15:03
|
To jest w skrypcie adblocka, czyli bash.
U mnie tego jeszcze nie ma w repo, bo oprócz tego trzeba jeszcze skrypt przerobić żeby mniej pamięci zżerał przy parsowaniu list(y), bo aktualnie, w routerach z małą ilością ramu, adblock się wywala.
Poza tym, jeszcze zabezpieczenie przed głupim ciągłym pobieraniem list przez adblocka, przy restarcie usług, jeśli lista ma mniej niż X godzin.
Tu masz z AT od AndreDVJ:
https://bitbucket.org/AndreDVJ/advanc...382052eeb0
Netowski 1Gb/1Gb
Huawei E3372s-153 non-hilink + 2x15dBi MIMO
FreshTomato: Asus RT-AC3200 + RT-N18U + RT-N66U + RT-N12
|
| |
|
|
| qwerty321 |
Dodano 17-09-2018 01:54
|
Super User
Posty: 571
Dołączył: 27/04/2014 18:11
|
Tego w skrypcie nie ma.
#!/bin/sh
# Author: Shibby
# Inspired by qrs from OpenLinksys
# Source: https://openlinksys.info/forum/viewthread.php?thread_id=18549&rowstart=20#post_149346
PREFIX="/tmp/adblock"
mkdir -p $PREFIX
ENABLE=`nvram get adblock_enable`
WORK1="$PREFIX/hosts.work1"
WORK2="$PREFIX/hosts.work2"
FINAL="/etc/dnsmasq.adblock"
WGET="/usr/bin/wget"
BLACKLIST=`nvram get adblock_blacklist`
WHITELIST=`nvram get adblock_whitelist`
CUSTOM=`nvram get adblock_blacklist_custom`
LOGS="logger -p INFO -t adblock"
download() {
# example: YesNoYes
COUNT=1
GOT=0
for i in $(echo $BLACKLIST | tr " " "_" | tr ">" "\n")
do
ENBL=`echo $i | cut -d "<" -f1`
URL=`echo $i | cut -d "<" -f2`
if [ "$ENBL" = "1" ] then
$LOGS [$COUNT] downloading blacklist - $URL
$WGET "$URL" -O $PREFIX/_host$COUNT >/dev/null 2>&1
if [ ! -f "$PREFIX/_host$COUNT" ] then
$LOGS ... [$COUNT] download error! Please check URL
else
ENTRIES=`cat $PREFIX/_host$COUNT | wc -l`
$LOGS ... [$COUNT] found $ENTRIES entries
if [ "$ENTRIES" -gt "0" ] then
#we have got at least 1 blacklist
GOT=1
fi
fi
COUNT=`expr $COUNT + 1`
else
$LOGS skip disabled blacklist - $URL
fi
done
# dodanie custom blacklist
CHECK=`echo $CUSTOM | wc -w`
if [ ! "$CHECK" == "0" ] then
$LOGS add custom hosts to blacklist
echo "# custom blacklist" > $PREFIX/_host.custom
for i in $CUSTOM; do
echo "127.0.0.1 $i" >> $PREFIX/_host.custom
done
fi
# scal pliki
cat $PREFIX/_host* | sed 's/\r$//;/^[ \t]*#/d;/[\t ][[:alnum:]\._-]*$/!d' > $WORK1 && rm $PREFIX/_host*
# usun wszystko za '#' wlacznie
mv $WORK1 $WORK2 && cat $WORK2 | awk -F '#' '{print $1}' > $WORK1 && rm $WORK2
# pomin linie bez co najmniej dwoch kolumn
mv $WORK1 $WORK2 && cat $WORK2 | awk 'NF>=2' > $WORK1 && rm $WORK2
# pozostawiam uklad IP URL
mv $WORK1 $WORK2 && cat $WORK2 | awk '{ print $1 " " $2 }' > $WORK1 && rm $WORK2
# zmieniam jedno na drugie
mv $WORK1 $WORK2 && sed 's/127.0.0.1/0.0.0.0/g' $WORK2 > $WORK1 && rm $WORK2
mv $WORK1 $WORK2 && cat $WORK2 | grep -e '^0.0.0.0' > $WORK1 && rm $WORK2
# usuwam smieci i duplikaty
mv $WORK1 $WORK2 && cat $WORK2 | sort -u > $WORK1 && rm $WORK2
# usuwam wybrane strony z whitelisty
CHECK=`echo $WHITELIST | wc -w`
if [ ! "$CHECK" == "0" ] then
$LOGS remove whitelisted hosts from blacklist
for i in $WHITELIST; do
sed -i $WORK1 -e "/$i/d"
done
fi
# zmiana formatu dla dnsmasq
# example: address=/030.com/0.0.0.0
cat $WORK1 | awk {'printf "address=/"$2"/0.0.0.0\n"'} > $FINAL
# get ready
if [ -f "$FINAL" ] then
COUNT=`cat $FINAL | wc -l`
$LOGS activated - $COUNT entries
fi
# clean-up
rm -rf $PREFIX/*
if [ "$GOT" -gt "0" ] then
cru d adblockDL
else
#for some reason we cannot download at least 1 blacklist
#so we will try for 5 mins once again
cru a adblockDL "*/5 * * * * /usr/sbin/adblock"
$LOGS No internet, try again for 5 minutes
fi
}
cronAdd() {
ISSET=`cru l | grep adblockJob | wc -l`
if [ "$ISSET" == "0" ] then
MINS=$(($RANDOM % 59))
$LOGS add cron job
cru a adblockJob "$MINS 2 * * * /usr/sbin/adblock"
fi
}
cronDel() {
ISSET=`cru l | grep adblockJob | wc -l`
if [ "$ISSET" == "1" ] then
$LOGS remove cron job
cru d adblockJob
fi
}
if [ "$1" == "stop" ] then
$LOGS stopped
cronDel
rm $FINAL
else
if [ "$ENABLE" == "1" ] then
$LOGS prepare to download ...
download
cronAdd
fi
fi
# restart dnsmasq
service dnsmasq restart
Połączony z 17 wrzesień 2018 02:37:01:
To się dzieje w dnsmasq, a nie w skrypcie.
Ostatnie co wypisuje skrypt to
# get ready
if [ -f "$FINAL" ]; then
COUNT=`cat $FINAL | wc -l`
$LOGS activated - $COUNT entries
fi
a następnie jest cleanup i na końcu
# restart dnsmasq
service dnsmasq restart
I to się w dnsmasq dzieje. Jak będziesz skryptem regexował to wywalisz ram w powietrze, bo ci go zabraknie albo będzie trwało godzinami. Jak już jest ten plik
$FINAL zrobiony to bym go w dnsmasq przeleciał w pętli, nawet w assemblerze, żeby szybko przeszło. Znak po znaku sprawdzić czy znak dozwolony czy nie. Jak niedozwolony to zamienić go na odpowiedni z zakresu a..z 0..9 plus dozwolone znaki. Chyba wystarczy przymaskować & 0x80.
Ja myślę, że ktoś wyczaił, że w utf8 czy extended ascii nie widać tego zbytnio i zatruwa listy pojedynczymi znakami diakrytycznymi powyżej 0x80. Żeby się nie okazało, że kod da się wykonać w tym dnsmasq :/
Połączony z 17 wrzesień 2018 02:46:52:
Przypatrz się. Te znaki, które powodują wywałkę dnsmasq w tablicy ascii zaczynają się od 0x80 do 0xFF. To są zwykle "a" z kropeczkami, kreseczkami, czy "u" czy 'e' tak żeby się nie rzucało w oczy.
Może nie maskować ich 0x80 ale zrobić if (x>=0x80) {x = 0x61;} 0x61 to małe "a". Adres będzie błędny ale błedu nie będzie, no albo całą linijkę precz ale to już kosztuje więcej.
W skrypcie interpretowanym to będzie czasochłonne.
Edytowany przez qwerty321 dnia 17-09-2018 02:46
|
| |
|
|
| pedro |
Dodano 17-09-2018 10:23
|
Moderator
Posty: 989
Dołączył: 21/09/2015 15:03
|
sed 's/\r$//;/^[ \t]*#/d;/[\t ][[:alnum:]\._-]*$/!d'
To zostało dodane, do filtrowania.
Ja wiem że to jest zasobożerne (w zasadzie cała obsługa tych plików w skrypcie "adblock"), ale tak to zostało wykonane przez @shibby, nic na to nie poradzę.
Dlatego pisałem wyżej, że chciałbym ten skrypt poprawić żeby był mniej zasobożerny. Czasochłonność tu nie ma znaczenia: niech sobie parsuje listy, nie 10 sekund a minutę - stare listy i tak w tym czasie działają.
Jak się czujesz na siłach, to zapraszam do przepisania tego skryptu w c ;)
Netowski 1Gb/1Gb
Huawei E3372s-153 non-hilink + 2x15dBi MIMO
FreshTomato: Asus RT-AC3200 + RT-N18U + RT-N66U + RT-N12
|
| |
|
|
| qwerty321 |
Dodano 17-09-2018 13:16
|
Super User
Posty: 571
Dołączył: 27/04/2014 18:11
|
Ja w C i assemblerze piszę całe życie na różne platformy. Na procesory jednoukładowe ARM STM32, Atmel32, Atmel8, Mips32 i w C++ też piszę, w C# też.
Wyjaśnij mi gdzie jest cały projekt tego routera włącznie z katalogiem źródeł dnsmasq. Kto ma ostatnią wersję, którą używacie i jak to skompilować? Znaczy czym skompilować, jakiego środowiska używacie? Już o to pytałem kiedyś. Ja bym nie chciał składać do kupy czyjegoś kodu z setek miejsc.
Jak masz środowisko jakieś sprawdzone, np Eclipse to powiedz jak kolejno i co zainstalować.
Takie dłubanie w C czy w asm to pestka tylko nie mam środowiska do pracy. No i nie chcę kompilować całego routera, a tylko jedno coś. |
| |
|
|
| pedro |
Dodano 17-09-2018 16:27
|
Moderator
Posty: 989
Dołączył: 21/09/2015 15:03
|
Jeśli chodzi o źródła, to patrz w moje repozytoria (stopka).
W readme jest dokładnie opisane jak zbudować "środowisko" na Debianie 9 64.
Potem ściągnij repo i zobaczysz co i jak.
Wszystko jest na piechotę, więc się nie zdziw.
Netowski 1Gb/1Gb
Huawei E3372s-153 non-hilink + 2x15dBi MIMO
FreshTomato: Asus RT-AC3200 + RT-N18U + RT-N66U + RT-N12
|
| |
|
|
| qwerty321 |
Dodano 17-09-2018 20:29
|
Super User
Posty: 571
Dołączył: 27/04/2014 18:11
|
A skąd wy bierzecie źródła dnsmasq? Od kogo? Był update wykonany przez kille72 98c310c dnsmasq: Updated to 2.80test6 2018-09-09. Czyli kilka dni temu.
W tej wersji lub jakiejś pomiędzy musi być sabotaż kodu, bo nie wierzę, że jeden bajt powyżej ascii 0x7F aż tak wywraca DNS w routerze i nikt tego nigdy nie sprawdzał. To jest wręcz nonsens. Przecież pierwsze co się robi to się sprawdza dane pod względem poprawności. |
| |
|
|
| pedro |
Dodano 17-09-2018 20:58
|
Moderator
Posty: 989
Dołączył: 21/09/2015 15:03
|
Źródła są brane z repo projektów, jak wszystkie.
Repo dnsmasq
Netowski 1Gb/1Gb
Huawei E3372s-153 non-hilink + 2x15dBi MIMO
FreshTomato: Asus RT-AC3200 + RT-N18U + RT-N66U + RT-N12
|
| |
|
|
| qrs |
Dodano 18-09-2018 16:12
|
Maxi User
Posty: 749
Dołączył: 02/12/2012 00:55
|
2018.4 działa u mnie bez zarzutu - dobra robota
ale zauważyłem coś dziwnego, od momentu update widzę w logach wiele prób połączenia się z moim OpenVPN z różnych IP
np
Cytat
Sep 18 15:39:57 R7000 openvpn: 200.229.202.176 TLS: Initial packet from [AF_INET6]::ffff:200.229.202.176:17175, sid=6a22eb44 5adb63fe
Sep 18 15:39:58 R7000 openvpn: 200.229.202.176 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sep 18 15:39:58 R7000 openvpn: 200.229.202.176 TLS Error: TLS handshake failed
Sep 18 15:39:58 R7000 openvpn: 200.229.202.176 SIGUSR1[soft,tls-error] received, client-instance restarting
Sep 18 15:40:00 R7000 openvpn: 200.229.202.176 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sep 18 15:40:00 R7000 openvpn: 200.229.202.176 TLS Error: TLS handshake failed
Sep 18 15:40:00 R7000 openvpn: 200.229.202.176 SIGUSR1[soft,tls-error] received, client-instance restarting
Sep 18 15:40:04 R7000 openvpn: 200.229.202.176 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sep 18 15:40:04 R7000 openvpn: 200.229.202.176 TLS Error: TLS handshake failed
Sep 18 15:40:04 R7000 openvpn: 200.229.202.176 SIGUSR1[soft,tls-error] received, client-instance restarting
Sep 18 15:40:04 R7000 openvpn: 200.229.202.176 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sep 18 15:40:04 R7000 openvpn: 200.229.202.176 TLS Error: TLS handshake failed
Sep 18 15:40:04 R7000 openvpn: 200.229.202.176 SIGUSR1[soft,tls-error] received, client-instance restarting
Sep 18 15:40:04 R7000 openvpn: 200.229.202.176 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sep 18 15:40:04 R7000 openvpn: 200.229.202.176 TLS Error: TLS handshake failed
Sep 18 15:40:04 R7000 openvpn: 200.229.202.176 SIGUSR1[soft,tls-error] received, client-instance restarting
Sep 18 15:40:04 R7000 openvpn: 200.229.202.176 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
też tak macie?
---
Netgear R7000 • Netgear WNR3500L v2 • MikroTik hAP ac^2 • TP-LINK M7650
|
| |
|
|
| Stripe |
Dodano 18-09-2018 16:42
|
User
Posty: 23
Dołączył: 08/02/2017 22:13
|
W ostatnich dniach jest trochę zgłoszeń podobnych do Twojego odnośnie prób połączenia z VPN-em, np. tutaj:
https://www.abuseipdb.com/check/200.229.202.176
Jeśli masz standardowy port (1194) to może spróbuj go zmienić, ja też miałem tego typu połączenia i po zmianie portu ustało. |
| |
|
|
| qrs |
Dodano 18-09-2018 16:49
|
Maxi User
Posty: 749
Dołączył: 02/12/2012 00:55
|
super 
zmienię port na inny (ustawie jakiś wysoki), a z ciekawości czy można wprowadzić dowolny port np 8080?
edit: faktycznie zmiana portu chyba pomogła pozbyć się intruza  Ciekawe na jak długo.
Edytowany przez qrs dnia 18-09-2018 16:58
---
Netgear R7000 • Netgear WNR3500L v2 • MikroTik hAP ac^2 • TP-LINK M7650
|
| |
|
|
| Gomi |
Dodano 19-09-2018 09:40
|
User
Posty: 87
Dołączył: 27/07/2010 15:10
|
Możesz wprowadzić dowolny, byleby nie kolidował z inną usługą. Jak nie "podpadłeś" temu botowi, który robił skany / próby włamu, to zmiana portu będzie skuteczna raczej na długo. |
| |
|
' target='_blank'>Link
