26 Odpowiedź przez safe0101

(44 odpowiedzi, napisanych Oprogramowanie / Software)

Dzięki Cezary,
jesteś mi w stanie podpowiedzieć jak poniższe mogę wrzucić w firewall.user

iptables -I FORWARD 1 -p tcp -m mac --mac-source 0A:DB:FF:88:44:00 -j ACCEPT
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j LOG --log-prefix "ACK scan: "
iptables -I OUTPUT -p tcp -m tcp --dport 22 -m state --state NEW,ESTABLISHED -j LOG --log-prefix "Outgoing SSH connection"

z założeniem, że w /etc/config/firewall mam:

config include
    option    enabled        1
    option    type        'script'
    option    path        '/etc/firewall.user'
    option    fw4_compatible    1

Z ich dokumentacji wynika, że w dalszym ciągu w firewall.user musi być zapisane nftables-style.
Próbowałem to ogarnąć z iptables-translate ale nie działa.

Idź do forum: Oprogramowanie / Software

27 Odpowiedź przez safe0101

(44 odpowiedzi, napisanych Oprogramowanie / Software)

Ehhhhh OK, już widzę :-/ przycudowali

https://openwrt.org/docs/guide-user/fir … r_with_fw4

Idź do forum: Oprogramowanie / Software

28 Odpowiedź przez safe0101

(44 odpowiedzi, napisanych Oprogramowanie / Software)

Cześć, były jakieś większe zmiany w obrazach 22.03.2?
Po aktualizacji, mam sieć w routerze, ale nie mam sieci w podłączonych urządzeniach po kablu.
DHCP działa poprawnie, wygląda jakby problem z firewall'em

w /etc/config/firewall mam:

config include
    option path /etc/firewall.user

config rule
    option src  lan
    option dest wan
    option target REJECT

czy ten config jest jeszcze poprawny ?

Idź do forum: Oprogramowanie / Software

29 Odpowiedź przez safe0101

(5 odpowiedzi, napisanych Oprogramowanie / Software)

Działa wszystko .. Dziękuję smile

Idź do forum: Oprogramowanie / Software

30 Odpowiedź przez safe0101

(5 odpowiedzi, napisanych Oprogramowanie / Software)

Cezary napisał/a:

Nie, nie zrobiłeś. Sam napisałeś że nie używasz sieci gościnnej, więc nie wiem dlaczego tu jej używałeś (network_get_physdev IFNAME guest) jak powinieneś użyć lanu. Czytaj: https://openwrt.org/docs/guide-user/services/tor/client

Faktycznie ctrl+v poszło .. Dzięki ..

Idź do forum: Oprogramowanie / Software

31 Odpowiedź przez safe0101

(5 odpowiedzi, napisanych Oprogramowanie / Software)

Cześć Cezary, tak, jest .. 

# This file is interpreted as shell script.
# Put your custom iptables rules here, they will
# be executed with each firewall (re-)start.

# Internal uci firewall chains are flushed and recreated on reload, so
# put custom rules into the root chains e.g. INPUT or FORWARD or into the
# special user chains, e.g. input_wan_rule or postrouting_lan_rule.
. /lib/functions/network.sh
network_get_physdev IFNAME guest

iptables -t nat -I PREROUTING -i $IFNAME -p tcp --dport 22 -j REDIRECT --to-ports 22
iptables -t nat -I PREROUTING -i $IFNAME -p tcp --dport 9050 -j REDIRECT --to-ports 9050
iptables -t nat -I PREROUTING -i $IFNAME -p udp --dport 53 -j REDIRECT --to-ports 9053
iptables -t nat -I PREROUTING -i $IFNAME -p tcp --syn -j REDIRECT --to-ports 9040

Idź do forum: Oprogramowanie / Software

32 Temat przez safe0101

(5 odpowiedzi, napisanych Oprogramowanie / Software)

Cześć, staram się skonfigurować sieć TOR w routerze ArcherC7v5
Pomijając, że zablokowałem go znowu, aktualizując oprogramowanie, jestem obecnie na najnowszej stabilnej wersji OpenWRT.

W logach widzę

Sat Mar 12 18:23:37 2022 daemon.notice Tor[1788]: We compiled with OpenSSL 101010df: OpenSSL 1.1.1m  14 Dec 2021 and we are running with OpenSSL 101010df: 1.1.1m. These two versions should be binary compatible.
Sat Mar 12 18:23:37 2022 daemon.notice Tor[1788]: Tor 0.4.5.10 running on Linux with Libevent 2.1.12-stable, OpenSSL 1.1.1m, Zlib 1.2.11, Liblzma N/A, Libzstd N/A and Unknown N/A as libc.
Sat Mar 12 18:23:37 2022 daemon.notice Tor[1788]: Tor can't help you if you use it wrong! Learn how to be safe at https://www.torproject.org/download/download#warning
Sat Mar 12 18:23:37 2022 daemon.notice Tor[1788]: Read configuration file "/tmp/torrc".
Sat Mar 12 18:23:37 2022 daemon.notice Tor[1788]: Processing configuration path "/etc/tor/torrc" at recursion level 1.
Sat Mar 12 18:23:37 2022 daemon.notice Tor[1788]: Including configuration file "/etc/tor/torrc".
Sat Mar 12 18:23:37 2022 daemon.notice Tor[1788]: You configured a non-loopback address '192.168.3.1:9053' for DNSPort. This allows everybody on your local network to use your machine as a proxy. Make sure this is what you wanted.
Sat Mar 12 18:23:37 2022 daemon.notice Tor[1788]: You configured a non-loopback address '192.168.3.1:9040' for TransPort. This allows everybody on your local network to use your machine as a proxy. Make sure this is what you wanted.
Sat Mar 12 18:23:37 2022 daemon.notice Tor[1788]: You configured a non-loopback address '192.168.3.1:9050' for SocksPort. This allows everybody on your local network to use your machine as a proxy. Make sure this is what you wanted.
Sat Mar 12 18:23:37 2022 daemon.notice Tor[1788]: You configured a non-loopback address '192.168.3.1:9053' for DNSPort. This allows everybody on your local network to use your machine as a proxy. Make sure this is what you wanted.
Sat Mar 12 18:23:37 2022 daemon.notice Tor[1788]: You configured a non-loopback address '192.168.3.1:9040' for TransPort. This allows everybody on your local network to use your machine as a proxy. Make sure this is what you wanted.
Sat Mar 12 18:23:37 2022 daemon.notice Tor[1788]: Opening Socks listener on 192.168.3.1:9050
Sat Mar 12 18:23:37 2022 daemon.notice Tor[1788]: Opened Socks listener connection (ready) on 192.168.3.1:9050
Sat Mar 12 18:23:37 2022 daemon.notice Tor[1788]: Opening DNS listener on 192.168.3.1:9053
Sat Mar 12 18:23:37 2022 daemon.notice Tor[1788]: Opened DNS listener connection (ready) on 192.168.3.1:9053
Sat Mar 12 18:23:37 2022 daemon.notice Tor[1788]: Opening Transparent pf/netfilter listener on 192.168.3.1:9040
Sat Mar 12 18:23:37 2022 daemon.notice Tor[1788]: Opened Transparent pf/netfilter listener connection (ready) on 192.168.3.1:9040
Sat Mar 12 18:23:38 2022 daemon.notice Tor[1788]: Parsing GEOIP IPv4 file /usr/share/tor/geoip.
Sat Mar 12 18:24:20 2022 daemon.notice Tor[1788]: Parsing GEOIP IPv6 file /usr/share/tor/geoip6.
Sat Mar 12 18:24:25 2022 daemon.notice Tor[1788]: Bootstrapped 0% (starting): Starting
Sat Mar 12 18:24:25 2022 daemon.notice Tor[1788]: Starting with guard context "default"
Sat Mar 12 18:24:26 2022 daemon.notice Tor[1788]: Bootstrapped 5% (conn): Connecting to a relay
Sat Mar 12 18:24:27 2022 daemon.notice Tor[1788]: Bootstrapped 10% (conn_done): Connected to a relay
Sat Mar 12 18:24:27 2022 daemon.notice Tor[1788]: Bootstrapped 14% (handshake): Handshaking with a relay
Sat Mar 12 18:24:28 2022 daemon.notice Tor[1788]: Bootstrapped 15% (handshake_done): Handshake with a relay done
Sat Mar 12 18:24:28 2022 daemon.notice Tor[1788]: Bootstrapped 20% (onehop_create): Establishing an encrypted directory connection
Sat Mar 12 18:24:28 2022 daemon.notice Tor[1788]: Bootstrapped 25% (requesting_status): Asking for networkstatus consensus
Sat Mar 12 18:24:28 2022 daemon.notice Tor[1788]: Bootstrapped 30% (loading_status): Loading networkstatus consensus
Sat Mar 12 18:24:32 2022 daemon.notice Tor[1788]: I learned some more directory information, but not enough to build a circuit: We have no usable consensus.
Sat Mar 12 18:24:32 2022 daemon.notice Tor[1788]: Bootstrapped 40% (loading_keys): Loading authority key certs
Sat Mar 12 18:24:36 2022 daemon.notice Tor[1788]: The current consensus has no exit nodes. Tor can only build internal paths, such as paths to onion services.
Sat Mar 12 18:24:36 2022 daemon.notice Tor[1788]: Bootstrapped 45% (requesting_descriptors): Asking for relay descriptors
Sat Mar 12 18:24:36 2022 daemon.notice Tor[1788]: I learned some more directory information, but not enough to build a circuit: We need more microdescriptors: we have 0/7198, and can only build 0% of likely paths. (We have 0% of guards bw, 0% of midpoint bw, and 0% of end bw (no exits in consensus, using mid) = 0% of path bw.)
Sat Mar 12 18:24:36 2022 daemon.notice Tor[1788]: I learned some more directory information, but not enough to build a circuit: We need more microdescriptors: we have 0/7198, and can only build 0% of likely paths. (We have 0% of guards bw, 0% of midpoint bw, and 0% of end bw (no exits in consensus, using mid) = 0% of path bw.)
Sat Mar 12 18:24:37 2022 daemon.notice Tor[1788]: Bootstrapped 50% (loading_descriptors): Loading relay descriptors
Sat Mar 12 18:24:41 2022 daemon.notice Tor[1788]: The current consensus contains exit nodes. Tor can build exit and internal paths.
Sat Mar 12 18:24:49 2022 daemon.notice Tor[1788]: Bootstrapped 55% (loading_descriptors): Loading relay descriptors
Sat Mar 12 18:24:51 2022 daemon.notice Tor[1788]: Bootstrapped 62% (loading_descriptors): Loading relay descriptors
Sat Mar 12 18:24:53 2022 daemon.notice Tor[1788]: Bootstrapped 70% (loading_descriptors): Loading relay descriptors
Sat Mar 12 18:24:56 2022 daemon.notice Tor[1788]: Bootstrapped 75% (enough_dirinfo): Loaded enough directory info to build circuits
Sat Mar 12 18:24:57 2022 daemon.notice Tor[1788]: Bootstrapped 80% (ap_conn): Connecting to a relay to build circuits
Sat Mar 12 18:24:57 2022 daemon.notice Tor[1788]: Bootstrapped 85% (ap_conn_done): Connected to a relay to build circuits
Sat Mar 12 18:24:57 2022 daemon.notice Tor[1788]: Bootstrapped 89% (ap_handshake): Finishing handshake with a relay to build circuits
Sat Mar 12 18:24:57 2022 daemon.notice Tor[1788]: Bootstrapped 90% (ap_handshake_done): Handshake finished with a relay to build circuits
Sat Mar 12 18:24:57 2022 daemon.notice Tor[1788]: Bootstrapped 95% (circuit_create): Establishing a Tor circuit
Sat Mar 12 18:24:58 2022 daemon.notice Tor[1788]: Bootstrapped 100% (done): Done

Więc chyba się poprawnie inicjuje.
Mój /etc/config/network:

config interface 'loopback'
    option device 'lo'
    option proto 'static'
    option ipaddr '127.0.0.1'
    option netmask '255.0.0.0'

config globals 'globals'
    option ula_prefix 'fd00:a0c0:0a70::/48'

config device
    option name 'br-lan'
    option type 'bridge'
    list ports 'eth0.1'

config interface 'lan'
    option device 'br-lan'
    option proto 'static'
    option ipaddr '192.168.3.1'
    option netmask '255.255.255.0'
    option ip6assign '60'

config device
    option name 'eth0.2'
    option macaddr 'cc:32:e5:20:20:20'

config interface 'wan'
    option device 'eth0.2'
    option proto 'dhcp'

config interface 'wan6'
    option device 'eth0.2'
    option proto 'dhcpv6'

config switch
    option name 'switch0'
    option reset '1'
    option enable_vlan '1'

config switch_vlan
    option device 'switch0'
    option vlan '1'
    option ports '2 3 4 5 0t'

config switch_vlan
    option device 'switch0'
    option vlan '2'
    option ports '1 0t'

Wireless wyłączone, chciałbym jedynie, żeby cały ruch LAN leciał przez TOR'a ..

Wchodząc na stronę https://check.torproject.org dostaje w odpowiedzi, że nie jestem połączony z siecią TOR ..

Nie używam sieci gościnnej, coś pewnie źle skonfigurowałem, orientujecie się gdzie może leżeć problem ?

Idź do forum: Oprogramowanie / Software

33 Odpowiedź przez safe0101

(19 odpowiedzi, napisanych Oprogramowanie / Software)

Działa wszystko pięknie ..

Cezary bardzo Ci dziękuje za pomoc, nie mam pojęcia co było nie tak.

Config ma ten sam, teraz LAN ma dostęp do sieci ..

Idź do forum: Oprogramowanie / Software

34 Odpowiedź przez safe0101

(19 odpowiedzi, napisanych Oprogramowanie / Software)

Działa, w takim układzie coś zepsułem ..
Jeszcze raz spróbuje podać mu ten sam config.

Idź do forum: Oprogramowanie / Software

35 Odpowiedź przez safe0101

(19 odpowiedzi, napisanych Oprogramowanie / Software)

Tzn. to nie jest ten adres MAC, tutaj podałem jakiś z czapki, ale adres MAC po mojej stronie na 100% jest adresem MAC urządzenia w sieci LAN wink

Wywaliłem

firewall.@rule[10]=rule
firewall.@rule[10].src='lan'
firewall.@rule[10].dest='wan'
firewall.@rule[10].target='REJECT'

I za’hash’owałem wszystko w firewall.user.
Po restarcie ładnie przypisał do urządzenia w sieci LAN adresacje, ale dostępu do Interenetu w dalszym ciągu nie ma.

PING jakiegoś adresu IP (np. Google’a) w sieci kończy się niepowodzeniem, na to wygląda, że LAN jest odcięty od Internetu, ale komunikacje z Routerem posiada.

Idź do forum: Oprogramowanie / Software

36 Odpowiedź przez safe0101

(19 odpowiedzi, napisanych Oprogramowanie / Software)

Tak ale ze poziomu firewall.user mam

iptables -I FORWARD 1 -p tcp -m mac  --mac-source 11:22:33:44:55:66 -j ACCEPT

To samo dla udp, tylko coś nie działa chyba ..

Idź do forum: Oprogramowanie / Software

37 Odpowiedź przez safe0101

(19 odpowiedzi, napisanych Oprogramowanie / Software)

network

network.loopback=interface
network.loopback.device='lo'
network.loopback.proto='static'
network.loopback.ipaddr='127.0.0.1'
network.loopback.netmask='255.0.0.0'
network.globals=globals
network.globals.ula_prefix='fd11:22f2:2202::/48'
network.@device[0]=device
network.@device[0].name='br-lan'
network.@device[0].type='bridge'
network.@device[0].ports='lan1' 'lan2' 'lan3' 'lan4'
network.lan=interface
network.lan.device='br-lan'
network.lan.proto='static'
network.lan.ipaddr='192.168.1.1'
network.lan.netmask='255.255.255.0'
network.lan.ip6assign='60'
network.@device[1]=device
network.@device[1].name='wan'
network.@device[1].macaddr='11:22:e0:33:44:55'
network.wan=interface
network.wan.proto='static'
network.wan.ipaddr='xxx.xxx.xxx.xxx'
network.wan.netmask='255.255.255.252'
network.wan.gateway='xxx.xxx.xxx.xxx'
network.wan.dns='8.8.8.8' '1.1.1.1'
network.wan.device='wan'
network.wan6=interface
network.wan6.proto='dhcpv6'
network.wan6.device='wan'

firewall

firewall.@defaults[0]=defaults
firewall.@defaults[0].syn_flood='1'
firewall.@defaults[0].input='ACCEPT'
firewall.@defaults[0].output='ACCEPT'
firewall.@defaults[0].forward='REJECT'
firewall.@defaults[0].disable_ipv6='1'
firewall.@defaults[0].drop_invalid='1'
firewall.@zone[0]=zone
firewall.@zone[0].name='lan'
firewall.@zone[0].network='lan'
firewall.@zone[0].input='ACCEPT'
firewall.@zone[0].output='ACCEPT'
firewall.@zone[0].forward='ACCEPT'
firewall.@zone[1]=zone
firewall.@zone[1].name='wan'
firewall.@zone[1].network='wan' 'wan6'
firewall.@zone[1].input='REJECT'
firewall.@zone[1].output='ACCEPT'
firewall.@zone[1].forward='REJECT'
firewall.@zone[1].masq='1'
firewall.@zone[1].mtu_fix='1'
firewall.@forwarding[0]=forwarding
firewall.@forwarding[0].src='lan'
firewall.@forwarding[0].dest='wan'
firewall.@rule[0]=rule
firewall.@rule[0].name='Allow-DHCP-Renew'
firewall.@rule[0].src='wan'
firewall.@rule[0].proto='udp'
firewall.@rule[0].dest_port='68'
firewall.@rule[0].target='ACCEPT'
firewall.@rule[0].family='ipv4'
firewall.@rule[1]=rule
firewall.@rule[1].name='Allow-Ping'
firewall.@rule[1].src='wan'
firewall.@rule[1].proto='icmp'
firewall.@rule[1].icmp_type='echo-request'
firewall.@rule[1].family='ipv4'
firewall.@rule[1].target='DROP'
firewall.@rule[2]=rule
firewall.@rule[2].name='Allow-IGMP'
firewall.@rule[2].src='wan'
firewall.@rule[2].proto='igmp'
firewall.@rule[2].family='ipv4'
firewall.@rule[2].target='DROP'
firewall.@rule[3]=rule
firewall.@rule[3].name='Allow-DHCPv6'
firewall.@rule[3].src='wan'
firewall.@rule[3].proto='udp'
firewall.@rule[3].src_ip='fc00::/6'
firewall.@rule[3].dest_ip='fc00::/6'
firewall.@rule[3].dest_port='546'
firewall.@rule[3].family='ipv6'
firewall.@rule[3].target='DROP'
firewall.@rule[4]=rule
firewall.@rule[4].name='Allow-MLD'
firewall.@rule[4].src='wan'
firewall.@rule[4].proto='icmp'
firewall.@rule[4].src_ip='fe80::/10'
firewall.@rule[4].icmp_type='130/0' '131/0' '132/0' '143/0'
firewall.@rule[4].family='ipv6'
firewall.@rule[4].target='DROP'
firewall.@rule[5]=rule
firewall.@rule[5].name='Allow-ICMPv6-Input'
firewall.@rule[5].src='wan'
firewall.@rule[5].proto='icmp'
firewall.@rule[5].icmp_type='echo-request' 'echo-reply' 'destination-unreachable' 'packet-too-big' 'time-exceeded' 'bad-header' 'unknown-header-type' 'router-solicitation' 'neighbour-solicitation' 'router-advertisement' 'neighbour-advertisement'
firewall.@rule[5].limit='1000/sec'
firewall.@rule[5].family='ipv6'
firewall.@rule[5].target='DROP'
firewall.@rule[6]=rule
firewall.@rule[6].name='Allow-ICMPv6-Forward'
firewall.@rule[6].src='wan'
firewall.@rule[6].dest='*'
firewall.@rule[6].proto='icmp'
firewall.@rule[6].icmp_type='echo-request' 'echo-reply' 'destination-unreachable' 'packet-too-big' 'time-exceeded' 'bad-header' 'unknown-header-type'
firewall.@rule[6].limit='1000/sec'
firewall.@rule[6].family='ipv6'
firewall.@rule[6].target='DROP'
firewall.@rule[7]=rule
firewall.@rule[7].name='Allow-IPSec-ESP'
firewall.@rule[7].src='wan'
firewall.@rule[7].dest='lan'
firewall.@rule[7].proto='esp'
firewall.@rule[7].target='ACCEPT'
firewall.@rule[8]=rule
firewall.@rule[8].name='Allow-ISAKMP'
firewall.@rule[8].src='wan'
firewall.@rule[8].dest='lan'
firewall.@rule[8].dest_port='500'
firewall.@rule[8].proto='udp'
firewall.@rule[8].target='ACCEPT'
firewall.@rule[9]=rule
firewall.@rule[9].name='Support-UDP-Traceroute'
firewall.@rule[9].src='wan'
firewall.@rule[9].dest_port='33434:33689'
firewall.@rule[9].proto='udp'
firewall.@rule[9].family='ipv4'
firewall.@rule[9].target='REJECT'
firewall.@rule[9].enabled='false'
firewall.@include[0]=include
firewall.@include[0].path='/etc/firewall.user'
firewall.@rule[10]=rule
firewall.@rule[10].src='lan'
firewall.@rule[10].dest='wan'
firewall.@rule[10].target='REJECT'

dhcp

dhcp.@dnsmasq[0]=dnsmasq
dhcp.@dnsmasq[0].domainneeded='1'
dhcp.@dnsmasq[0].boguspriv='1'
dhcp.@dnsmasq[0].filterwin2k='0'
dhcp.@dnsmasq[0].localise_queries='1'
dhcp.@dnsmasq[0].rebind_protection='1'
dhcp.@dnsmasq[0].rebind_localhost='1'
dhcp.@dnsmasq[0].local='/lan/'
dhcp.@dnsmasq[0].domain='lan'
dhcp.@dnsmasq[0].expandhosts='1'
dhcp.@dnsmasq[0].nonegcache='0'
dhcp.@dnsmasq[0].authoritative='1'
dhcp.@dnsmasq[0].readethers='1'
dhcp.@dnsmasq[0].leasefile='/tmp/dhcp.leases'
dhcp.@dnsmasq[0].resolvfile='/tmp/resolv.conf.d/resolv.conf.auto'
dhcp.@dnsmasq[0].nonwildcard='1'
dhcp.@dnsmasq[0].localservice='1'
dhcp.@dnsmasq[0].ednspacket_max='1232'
dhcp.lan=dhcp
dhcp.lan.interface='lan'
dhcp.lan.start='100'
dhcp.lan.limit='150'
dhcp.lan.leasetime='12h'
dhcp.lan.dhcpv4='server'
dhcp.lan.dhcpv6='server'
dhcp.lan.ra='server'
dhcp.lan.ra_slaac='1'
dhcp.lan.ra_flags='managed-config' 'other-config'
dhcp.wan=dhcp
dhcp.wan.interface='wan'
dhcp.wan.ignore='1'
dhcp.wan.start='100'
dhcp.wan.limit='150'
dhcp.wan.leasetime='12h'
dhcp.wan.ra_flags='none'
dhcp.odhcpd=odhcpd
dhcp.odhcpd.maindhcp='0'
dhcp.odhcpd.leasefile='/tmp/hosts/odhcpd'
dhcp.odhcpd.leasetrigger='/usr/sbin/odhcpd-update'
dhcp.odhcpd.loglevel='4'
dhcp.@host[0]=host
dhcp.@host[0].ip='192.168.1.101'
dhcp.@host[0].mac='11:22:33:44:55:66'
dhcp.@host[0].name='SomeHardware'

Idź do forum: Oprogramowanie / Software

38 Odpowiedź przez safe0101

(19 odpowiedzi, napisanych Oprogramowanie / Software)

WAN widzi DNSy i jest sieć po stronie Routera, ale klient sieci LAN już nie ma połączenia z Internetem, natomiast widzi i może połączyć się z routerem ..

Idź do forum: Oprogramowanie / Software

39 Odpowiedź przez safe0101

(19 odpowiedzi, napisanych Oprogramowanie / Software)

Coś nie pykło, Internet jest na interfejsie WAN, router ma dostęp do DNS’ow i widzi sieć, z jakiegoś powodu LAN nie ma dostępu do interfejsu WAN, nawet jeśli na urządzeniu w sieci LAN wymuszę statyczne DNS’y np. 8.8.8.8

Statyczna adresacja klientów LAN działa w dalszym ciągu.

Idź do forum: Oprogramowanie / Software

40 Odpowiedź przez safe0101

(19 odpowiedzi, napisanych Oprogramowanie / Software)

OK.

Dla interface’u LAN statyczna adresacja w dalszym ciągu ustawiana jest w dhcp ?

config host
  option ip 192.168.1.101
  option mac 38:38:38:37:37:37
  option name ’my hardware`

Chciałem filtrować hardware po adresie MAC i przypisywać mu adresacje.

Idź do forum: Oprogramowanie / Software

41 Odpowiedź przez safe0101

(19 odpowiedzi, napisanych Oprogramowanie / Software)

Super, dziękuje wink

Nowe wydanie wprowadza rozdzielenie wszystkich portów na niezależne interfejsy (najczęściej będzie to "wan" oraz "lan1/lan2/lan3/lan4").

Więc zostawiam konfiguracje, która przychodzi wraz z obrazem i jedyne co zmieniam tam config WAN ?

Idź do forum: Oprogramowanie / Software

42 Odpowiedź przez safe0101

(19 odpowiedzi, napisanych Oprogramowanie / Software)

Cześć Cezary, nie czytałem, myślałem że przekopiowanie załatwi sprawę, upgrade robię dosyć rzadko ..

Idź do forum: Oprogramowanie / Software

43 Temat przez safe0101

(19 odpowiedzi, napisanych Oprogramowanie / Software)

Cześć, coś się zmieniło w najnowszej wersji OpenWRT 21.02.1 ?
Mój poprzedni config dla WRT32X -> /etc/config/network wyglądał tak:

config interface 'loopback'
    option ifname 'lo'
    option proto 'static'
    option ipaddr '127.0.0.1'
    option netmask '255.0.0.0'

config globals 'globals'
    option ula_prefix 'fdc9:4321:7ba5::/48'

config interface 'lan'
    option type 'bridge'
    option ifname 'eth0.1'
    option proto 'static'
    option ipaddr '192.168.1.1'
    option netmask '255.255.255.0'
    option ip6assign '60'

config interface 'wan'
    option ifname 'eth1.2'
    option proto 'static'
    option ipaddr 'xxx.xxx.xxx.xxx'
    option netmask '255.255.255.252'
    option gateway 'xxx.xxx.xxx.xxx'
    option dns '8.8.8.8 1.1.1.1'

config interface 'wan6'
    option ifname 'eth1.2'
    option proto 'dhcpv6'

config switch
    option name 'switch0'
    option reset '1'
    option enable_vlan '1'

config switch_vlan
    option device 'switch0'
    option vlan '1'
    option ports '0 1 2 3 5t'

config switch_vlan
    option device 'switch0'
    option vlan '2'
    option ports '4 6t'

Po aktualizacji i przekopiowaniu konfiguracji router nie wstaje.
Ratuje się poprzez failsafe i reset ustawień na ten moment..

Idź do forum: Oprogramowanie / Software

44 Odpowiedź przez safe0101

(18 odpowiedzi, napisanych Oprogramowanie / Software)

Czytałem trochę o sprzęcie WatchGuard'a, podobno reagują szybko i mają mocno rozbudowany team zajmujący się Sec ..
Ale pisać mogą, zdaje sobie z tego sprawę ..

Opinie mają dobre na sieci, tworzą różne mechanizmy przeciwdziałające atakom skierowanym na sieci bezprzewodowe, może w przypadku tej firmy nie jest tak źle ..

Cezary napisał/a:

Ehm. Jako że "dedykowany hardware" to też soc z oprogramowaniem producenta to sugeruję poczytać takiego sekuraka czy niebezpiecznika i poszukać o podejściu producentów do aktualizacji i poprawek znalezionych dziur...

Zakładam, że z uwagi na profesje jaką się zajmują starają się dobierać układy, kierując się względami bezpieczeństwa.

Idź do forum: Oprogramowanie / Software

45 Odpowiedź przez safe0101

(18 odpowiedzi, napisanych Oprogramowanie / Software)

ad2014 napisał/a:

wiekszość ataków na routery to wykorzystanie  niezałatanych  systemów . Co jak co ale OpenWrt dostaje  poprawki  błyskawicznie  w porównaniu do producentów  którzy łataja z duzym opóźnieniem  lub w ogóle .

Jestem świadomy, że podatności są celem ataków. Absolutnie nie wątpię w wolne oprogramowanie tworzone przez społeczność, do którego dostępny jest kod źródłowy i każdy może mieć do niego wgląd.

Mimo wszystko firmy specjalizujące się w bezpieczeństwie sieci bezprzewodowych, tworzą sprzęt oraz oprogramowanie, które skupia się na bezpieczeństwie sieci bezprzewodowych.

Jako główna brama OpenWRT pod względem możliwości konfiguracyjnych jest zdecydowanie ok, do sieci bezprzewodowej wolę jakiś dedykowany hardware, to też może po części wynikać z mojej niewiedzy, na co trzeba brać poprawkę wink

Idź do forum: Oprogramowanie / Software

46 Odpowiedź przez safe0101

(18 odpowiedzi, napisanych Oprogramowanie / Software)

MrB napisał/a:

kto i po co miałby być zainteresowany prywatną siecią Jana Kowalskiego

Zakładam, że dosłownie każdy, kto ma odrobine chęci, posiada wystarczającą ilość czasu oraz trochę środków na zakup odpowiedniego sprzętu.

Nie wchodząc w dalszą polemikę związaną z przesłankami, dla których ktoś decyduje się na takie lub inne działanie, dobrze mieć AP, posiadający troszkę więcej zabezpieczeń, skupiających się bezpośrednio na sieciach bezprzewodowych.

Idź do forum: Oprogramowanie / Software

47 Odpowiedź przez safe0101

(18 odpowiedzi, napisanych Oprogramowanie / Software)

MrB napisał/a:

Fajny temat. Lecz stanowczo Cię poniosło

ad2014 napisał/a:

@safe0101  chyba trochę przesadzasz

Brakuje jeszcze, żeby ktoś napisał, otwórz sieć bezprzewodową, przecież nic się nie stanie ..

MrB napisał/a:

Z resztą kto i po co miałby atakować Twoja sieć wifi?

No właśnie, po co szyfrować, skoro nikt nie będzie tego robić ..

MrB napisał/a:

Zamiast zmieniać AP na jakieś cudo rodem z amerykańskich poradników

Ale to moja decyzja, uszanuj ją smile
Firma tego cuda specjalizuje się w tym fajnym temacie..

Idź do forum: Oprogramowanie / Software

48 Odpowiedź przez safe0101

(18 odpowiedzi, napisanych Oprogramowanie / Software)

ad2014 napisał/a:

@safe0101  chyba trochę przesadzasz   -  w ramach zabawy  ustaw sobie jakiegoś AP z OpenWrt  ustaw 14 znakowe hasło  skomplikowane WPA2 , potem użyj tych wszystkich  poradników z neta i pokaż  wyniki  czy uda Ci sie takie hasło złamać  i ile zajmnie to czasu  - powodzenia

W przyszłym tygodniu dotrze do mnie Pinapple do testów, pewnie trochę zostanę z tym tematem wink

Idź do forum: Oprogramowanie / Software

49 Odpowiedź przez safe0101

(18 odpowiedzi, napisanych Oprogramowanie / Software)

Cezary napisał/a:

Jest jeszcze gorzej - zwykły użytkownik jeżeli mu się nie połączy to klika w ikonkę, znajduje sieć o nazwie jaką widzi, nie patrzy że jest niezabezpieczona tylko się do niej łączy. Sprawdzone w praktyce smile

To prawa, dodatkowo powinno się powyłączać automatyczne połączenie z ta samą siecią na wszystkich klientach.

Idź do forum: Oprogramowanie / Software

50 Odpowiedź przez safe0101

(18 odpowiedzi, napisanych Oprogramowanie / Software)

Nie mam 100% pewności czy zna, czy będzie musiał poznać, a jeśli będzie musiał poznać, ile czasu mu to zajmie ..

https://hostadvice.com/how-to/how-to-cr … -and-kali/

Pytanie co bym widział w logach swojego AP, pewnie mnóstwo deauthentication ?

Idź do forum: Oprogramowanie / Software