24 жовтня 2011 р.

OpenWRT шаман

Буду складати тут що знайшов на теренах інтернету як користувача OpenWRT.

1. Розблокування недоступних WiFi каналів без компіляції:

Завантажимо файл  regulatory.bin до теки /usr/lib/crda, перезавантажимо. Тепер в незалежності від вибраної країни будуть доступні усі радіочастотні канали. Але вибір правильних каналів згідно з законами Вашої країни цілком лежить на Вас.
Усі радіочастотні канали



Для розблокування каналів з компіляцією треба вибрати опцію regdomain при компіляції menuconfig у розділі WiFi Atheros - atk9k.




Якщо є потреба не обмежувати повний доступ,  а використовувати блокування на рівні доменного імені, то можна скористатися модулем iptables-mod-filter - (iptables extensions for packet content inspection)

opkg updare
opkg info iptables-mod-filter

Depends: iptables, kmod-ipt-filter

opkg info   kmod-ipt-filter
Depends: kernel (= 2.6.32.27-1), kmod-ipt-core, kmod-textsearch

opkg info kmod-ipt-core
Depends: kernel (= 2.6.32.27-1)

Тому слід бути уважним щодо використовного вашого ядра операційної системи, у моєму випадку потрібні скомпільовані версії для  2.6.32.28-1, тому я їх створював за цією процедурою.


opkg install iptables-mod-filter

Для блокування тільки "vkontakte" та "odnoklassniki"
/usr/sbin/iptables -I zone_lan_forward -j zone_wan_REJECT -s 192.168.0.128/28 -m string --string "vkontakte" --algo kmp
/usr/sbin/iptables -I zone_lan_forward -j zone_wan_REJECT -s 192.168.0.128/28 -m string --string "odnoklassniki" --algo kmp

 Або  блокування усього окрім "slovari.yandex.ru"
/usr/sbin/iptables -I zone_lan_forward -j zone_wan_REJECT -s 192.168.0.128/28 
/usr/sbin/iptables -I zone_lan_forward -j zone_wan_ACCEPT -s 192.168.0.128/28 -m string --string "slovari.yandex.ru" --algo kmp

5. IPTV bugs
ka_sobolev
через 30-120 сек перегяду при посиланні  igmp query v2 зображення зупинялося,
прийшлось дадати в /etc/sysctl.conf строки
net.ipv4.conf.eth0.2.force_igmp_version=1
net.ipv4.conf.br-lan.force_igmp_version=1

6. Створюємо домашній сервер з роутера

http://we.easyelectronics.ru/Lifelover/prevraschaem-nedorogoy-router-v-domashniy-server.html


7. Обмежуємо доступ для хакерів по SSH
Diamond1981:

 
#opkg install iptables-mod-conntrack-extra 


root@OpenWrt:~# cat /etc/firewall.user
# This file is interpreted as shell script.
# Put your custom iptables rules here, they will
# be executed with each firewall (re-)start.
iptables -A input_wan -p tcp --dport 1043 -m state --state NEW -m recent --name ATTACKER_SSH --rsource --update --seconds 180 --hitcount 3 -j DROP
iptables -A input_wan -p tcp --dport 1043 -m state --state NEW -m recent --name ATTACKER_SSH --rsource --set -j ACCEPT


root@OpenWrt:~# uci export dropbear
package dropbear

config dropbear
        option Port '1043'
        option RootPasswordAuth 'off'
        option PasswordAuth 'off'

При такому налаштуванні SSH працює на TCP порту 1043 і приймає з'єднання якщо вони не частіші чим 3 з'єднання за 180 секунд. А також забороняє використовувати під'єднання до SSH за допомогою пароля, використовується тільки сертифікат.












 

Немає коментарів:


Коли забув ти рідну мову, біднієш духом ти щодня...
When you forgot your native language you would become a poor at spirit every day ...

Д.Білоус / D.Bilous
Рабів до раю не пускають. Будь вільним!

ipv6 ready