Niestety ograniczenia bezpieczeństwa UCI tego przeskoczyć nie pozwolą na to wychodzi.
Ale z drugiej strony powinny być takie rzeczy dostępne dla tych podstawowych portów jak 53,123 bo myślę ze wiele osób to robi i przekierowuje na ruter te porty jednak nie będę tracił na to dumanie czasu system takie ma ograniczenia ja tez rozbiłem br-lan tylko dla fizycznych portów, wiec po części to moja kombinacja ma na to wpływ, bo nie mam standardowo.

Ale do rzeczy
Czy to zadziała i wystarczy bo tu w nftables boje się 100% więcej o błąd niż w uci

iifname { "br-lan", "phy0-ap*", "phy1-ap*" } udp dport 123 counter dnat ip to 192.168.1.1:123

Sprawdziłem niby działa nie sprawdzałem jeszcze jak to wygląda od strony wan bo nie mam dzisiaj dostępu do skanowania Nmap z drugiego PC w innej sieci z tak samo publicznym IP. Chyba ze podłączę "między" drugi ruter i zacznę patrzeć na logi... ale mniejsza o to bo odchodzę od tematu.

Teraz jeszcze się zastanawiam jak to dodać na stałe do listy bez dotykania /etc/rc.local  lub /etc/config/firewall bo myślę ze tam nie ma sensu tego wklejać i to nie miejsce na to. Tylko lepiej było by wstrzyknąć to bezpośrednio do tabeli na stałe, dobrze myślę? Czy OpenWrt ma jakiś katalog lub sposób by wstrzyknąć to na starcie firewalla na stałe do tabeli?

Niestety mam komunikat:
must not have source '*' for dnat target
- gwiazdka w rules działa, ale nie działa w redirect to sie tyle dowiedziałem w praktyce.
Teraz nie wiem jakie mam możliwości w uci chyba sie nie da inaczej zrobić tego jedna regułą?
List też nie da się zrobić by dodać do jednej reguły kilka uci add_list firewall.@redirect[-1].src=
Co mi pozostaje?

Poproszę wyjaśni co masz namyśli? bo zabrzmiało to jak ostrzeżenie lub jakieś dodatkowa wiedza która mi umyka.

Przecież chyba można dać nawet takie coś:
uci set firewall.@redirect[-1].src_ip='192.0.0.0/24 172.16.0.0/12 10.0.0.0/8'

i tak dalej czyli standardowe zakresy prywatne wedle RFC1918? i wydaje mi się ze powinno to być bezpieczne skoro przekierowuje ten ruch na adres rutera 192.168.1.1? i wycieku też się pozbędę skoro src='*' obejmuje wszystkie interfejsy w tym wan ale na wan sa inne zakresy adresów publiczne lub cgnat etc.? W zasadzie to chodzi o to ze nie można robić grup LAN i definiować jedną reguła wszystkich lanów a nieszczęsny src='*' z gwiazdką obejmuje też wan i dlatego wykombinowałem ze dodam klasę adresowa do ocięcia wan chyba dobrze myślę?

Czyli takie coś nie zadziała w uci? musze zejść do nftables tam to czarna magia całkiem dla mnie zero graficznego gui żeby to zrozumieć lepiej no nic trzeba sie uczyć dalej openwrt.

uci add firewall redirect
uci set firewall.@redirect[-1].name='Redirect-NTP-Global'
uci set firewall.@redirect[-1].src='*'     <- gwiazdka oznacza wszystkie interfejsy w tym wan dlatego
uci set firewall.@redirect[-1].src_ip='192.168.0.0/16'     <- zrobiłbym zakres grupy moich lanów
uci set firewall.@redirect[-1].src_dport='123'
uci set firewall.@redirect[-1].dest_ip='192.168.1.1'
uci set firewall.@redirect[-1].dest_port='123'
uci set firewall.@redirect[-1].proto='udp'
uci set firewall.@redirect[-1].target='DNAT'
uci commit firewall
/etc/init.d/firewall restart

myślałem ze tak globalnie jedną regułą przekieruje wszystkie lany na zegar ntp w ruterze

OK nie dotykam uci delete system.@system[0].hostname i przywrócę standardową nazwę.

Mam teraz takie pytanie zrobiłem skrypt bez crona zadziała to poprawnie?

cat << 'EOF' > /etc/config/simple_rotate.sh
#!/bin/sh
while :; do
    [ $(cat /proc/sys/net/netfilter/nf_conntrack_count) -gt 8 ] && sleep 1800 && continue
    NEW=$(printf '%X%X' $((RANDOM%16)) $((RANDOM%4*4)))$(hexdump -n5 -e '/1 ":%.2x"' /dev/urandom)
    uci set network.wan.macaddr="$NEW" && uci commit network && ifdown wan && sleep 5 && ifup wan
    sleep 79200
done
EOF
chmod +x /etc/config/simple_rotate.sh

na koniec dodam do /etc/rc.local
/etc/config/simple_rotate.sh &

i będę musiał jeszcze wyczuć odpowiednią wartość -gt 8

Mam nadzieje ze to usunie problem profilowania u mojego ISP i utrudni im różne ograniczania wedle profilu mojego ruchu oraz średnio co 24 godziny da mi nowy adres IP

Chciałem przenieść zachowanie podobne do MAC address randomization z wifi na wan bo wiem ze to pomaga w zachowaniu optymalnego łącza u mojego ISP

wystarczy ze zrobię jednorazowo tak:

uci set network.globals.ula_prefix=''
uci set network.globals.dhcp_default_duid=''
uci set network.wan.clientid=''
uci set network.wan.vendorid=''
uci set network.wan.hostname='*'
uci delete system.@system[0].hostname

i potem znów zacznie działać skrypt ifdown zmiana mac na losowy ifup wan a może masz namyśli żeby dołożyć Clientid na losowy i zmieniać razem w skrypcie cron?

Czy przekombinowałem? Niby proste a się wyłożyłem na tym jak ISP cos pozmieniało przepraszam za tak lamerskie pytanie.

Teraz jak zmieniam samo mac i podnoszę wan to wcale nie dostaje ip gdzie kiedyś działało.

@adreskontaktowy nie działa reboot nawet próbowałem odłączyć od zasilania i od razu podłączyć z powrotem, odłączyć kabel fizycznie i od razu podłączyć, czy pozostawić odłączony na 5 minut nic nie działa nie wiem właśnie czy nie dodali jakiś dodatkowych identyfikacji jak kiedyś nie wymagało hostname czy clientid etc.
Jednak skoro podłączenie każdego innego rutera daje od razu inny IP wiec nie ma tu mowy o blokadzie po S/N Gpon

ale poprawili to? lub ethtool da się to wyłączyć bo ethtool tez bywa kapryśny i nie działa zawsze na każdym sterowniku tzn. nie ma wszystkich funkcji

Dziękuję za zainteresowanie;)

Nie pomaga wan dow/up jedynie reboot dlatego sądzę ze się za szybko uruchamia w takim scenariuszu (gdy uruchamiam z prądu oba jednocześnie - zimny start) podejrzewam ze ONT musi mieć chwilę na połącznie i ustabilizowanie a dopiero po tym może wejść router.

Podejrzewam też ze to sterownik, jak szukałem i czytałem to w skrócie te chipy w ONT i routera się nie dogadują (i chyba to widać dalej jak za szybko startuje połączenie na obu) temat jest na Githubie niby rozwiązany ale chyba nie w takim scenariuszu zimnego startu a zamiast czekać wole coś już zaradzić do stabilności.