[Thread Ufficiale] TP-Link TD-W8970v1 - Firmware OpenWRT

[Rumpelstiltskin]

Quote:

Originariamente inviato da strassada

nuovi binario dsl xcpe_574916_571B11.bin preso dall'ultimo firmware del td-w9980

https://mega.co.nz/#!nYwARKxJ!iyPlB-...5EmTkkKu9yuhfU (.rar)

Sai se va bene anche sui buffalo?

[matteo85]

Quote:

Originariamente inviato da strassada

nuovi binario dsl xcpe_574916_571B11.bin preso dall'ultimo firmware del td-w9980
https://mega.co.nz/#!nYwARKxJ!iyPlB-...5EmTkkKu9yuhfU (.rar)

che versione del firmware è 5.7.4.9.1.6?

[strassada]

Quote:

Originariamente inviato da Rumpelstiltskin

Sai se va bene anche sui buffalo?

no, va bene solo sui vrx288/268 (VR9).
anche su openwrt hanno diviso i porting tra i vari chipset, separando questi dagli altri Lantiq/infineon.

per quanto riguarda gli AR9 (ARX188/182/168) non se ne trovano di più recenti, e comunque la loro versione inizia per 4.

negli AR10 ARX388/368/362 (AVM 3272/7272, BT Home HUB 5.0a) inizia per 6, e non credo siano compatibili con gli AR9.

[strassada]

Quote:

Originariamente inviato da matteo85

che versione del firmware è 5.7.4.9.1.6?

a saperlo...
ci sono pdf, ma il loro contenuto è riservato/confidenziale e lo passano solo ai produttori di modem (io ho trovato vecchi pdf nei sorgenti di due modem adsl netgear DM111 con l'Amazon se)

comunque la prima sestina indica la versione Vdsl2, la seconda per l'adsl.

[matteo85]

a dire il vero nemmeno Lantiq ha i sorgenti, dato che il chipset DSL non è loro ma lo comprano

[pinok]

Quote:

Originariamente inviato da sunvit

Posteresti la guida che hai seguito per far diventare il ns router server di OpenVPN (almeno fino a dove sei arrivato)?
Grazie anticipatamente

Il problema era (ed è) il firewall

Ora lo sto aggirando costruendomi direttamente le regole per iptables con firewallbuilder (funziona tutto come prima), devo configurare meglio la VPN per vedere le macchine locali.

Avrei preferito firehol, ma sul router mancano alcuni pacchetti (mi pare fold).

[pinok]

Ok, ora vedo anche le macchine locali, mancava una regola in firewallbuilder.

Aggiungo un particolare non da poco: se disabilito il firewall di serie e abilito lo script di fwbuilder, al riavvio parte comunque solo quello di serie, anche se disabilitato.
Come se ci fosse un servizio che lo richiama
....
Trovato! E' miniupnpd
E l'assurdo è che interviene anche se disabilitato...
Due verifiche e al massimo lo rimuovo

[alfonsor]

trovo che sia contro natura rimpiazzare il firewall di openwrt

se uno proprio non ottiene quello che desidera, lo può modificare, ma rimpiazzarlo?

d'altronde esiste il file user in cui si possono inserire le proprie regole (nel caso anche eliminare quelle esistenti) ma perché rimpiazzare il firewall di una distribuzione linux router completamente open source?

[matteo85]

io pure l'ho fatto, ho messo questo in /etc/init.d/iptables

Codice:

#!/bin/sh /etc/rc.common

START=19

start() {
        iptables-restore </etc/firewall.ipt
}

e dentro /etc/firewall.ipt

Codice:

*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -i pppoe-wan -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.2
-A PREROUTING -i pppoe-wan -p tcp --dport 51413 -j DNAT --to-destination 192.168.1.20
-A PREROUTING -i pppoe-wan -p udp --dport 51413 -j DNAT --to-destination 192.168.1.20
-A PREROUTING -i pppoe-wan -p tcp -m multiport --dports 43000:43010 -j DNAT --to-destination 192.168.1.25
-A PREROUTING -i pppoe-wan -p udp -m multiport --dports 43000:43010 -j DNAT --to-destination 192.168.1.25
-A POSTROUTING -o pppoe-wan -j MASQUERADE
COMMIT
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A FORWARD -o pppoe-wan -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT

ovviamente ho tolto il pacchetto firewall

[pinok]

Quote:

Originariamente inviato da alfonsor

trovo che sia contro natura rimpiazzare il firewall di openwrt

se uno proprio non ottiene quello che desidera, lo può modificare, ma rimpiazzarlo?

d'altronde esiste il file user in cui si possono inserire le proprie regole (nel caso anche eliminare quelle esistenti) ma perché rimpiazzare il firewall di una distribuzione linux router completamente open source?

Perchè è opensource ?
Per quel che mi serve, non si riesce a modificarlo, neppure seguendo alla lettera le n-mila guide per OpenVPN+OpenWrt.
Giusto cose "lisce", come il redirect verso un server nella LAN.

Alla fine per quello che ho visto fa un po' quello che vuole, anche inserendo le regole in firewall.user
Lo dimostra il fatto che se lo disabilito, al riavvio viene comunque tirato su da miniupnpd, anche se disabilitato (ho commentato una riga dentro e non l'ha più fatto, quindi ho proprio rimosso miniupnpd).

Finora le regole generate con fwbuilder funzionano bene, perché non avvalersene e riuscire ad ottenere quello che serve?

[pinok]

Quote:

Originariamente inviato da matteo85

io pure l'ho fatto, ho messo questo in /etc/init.d/iptables
(.....)
ovviamente ho tolto il pacchetto firewall

Molto liscio; se non sbaglio non ci sono regole per bloccare port scanning e DOS. Non ti preoccupa la cosa?
Firehol mi piaceva proprio per questi accorgimenti (oltre a uno script di configurazione bello pulito). Se partivi ad attaccare il server, lui risponde in modo da crearti problemi.

[matteo85]

se blocchi tutto il traffico in entrata (escluso il traffico di ritorno dalle connessioni) sei invisibile ai port mappings

con un ADSL da massimo 15 mbit, come fai a proteggerti dai DOS?

[pinok]

Quote:

Originariamente inviato da matteo85

se blocchi tutto il traffico in entrata (escluso il traffico di ritorno dalle connessioni) sei invisibile ai port mappings

con un ADSL da massimo 15 mbit, come fai a proteggerti dai DOS?

Ammetto di non mangiare pane e iptables, ma non ci sono alcuni forward di porte verso servizi all'interno della tua rete? Quelle dovrebbero risultare aperte ad un port scanning.
E per esperienza di 10 anni fa con un dlink, anche con tutte le porte chiuse possono nascere problemi (esagerati per quel modem router: bloccava tutte le connessioni ed era necessario riavviarlo!!).
Se ci sono regole che più di tante connessioni al secondo non sono permesse, il port scanning viene bloccato abbastanza presto.

Il DOS lo possono fare anche con pacchetti incompleti, senza necessariamente saturarti la banda
Non credo i 15mbit facciano la differenza in questo caso, e una qualche protezione dal SYN Flood (per es) forse potrebbe essere utile.

Non sono praticissimo di tutte le modalità di attacco, ma se è possibile prevenirne qualcuno, se posso la regola preferisco infilarcela :-)

Firehol mi aiutava molto in questo senso

[matteo85]

Quote:

Originariamente inviato da pinok

Ammetto di non mangiare pane e iptables, ma non ci sono alcuni forward di porte verso servizi all'interno della tua rete? Quelle dovrebbero risultare aperte ad un port scanning.
E per esperienza di 10 anni fa con un dlink, anche con tutte le porte chiuse possono nascere problemi (esagerati per quel modem router: bloccava tutte le connessioni ed era necessario riavviarlo!!).
Se ci sono regole che più di tante connessioni al secondo non sono permesse, il port scanning viene bloccato abbastanza presto.

Il DOS lo possono fare anche con pacchetti incompleti, senza necessariamente saturarti la banda
Non credo i 15mbit facciano la differenza in questo caso, e una qualche protezione dal SYN Flood (per es) forse potrebbe essere utile.

Non sono praticissimo di tutte le modalità di attacco, ma se è possibile prevenirne qualcuno, se posso la regola preferisco infilarcela :-)

Firehol mi aiutava molto in questo senso

chiudere le porte durante un port scanning può essere controproducente, se hai dei redirect in entrata poi che fai, ti chiudi da solo?

Di solito il DOS si fa mandando una quantità abnorme di traffico da IP random in modo che la tua linea è inutilizzabile.
Altri tipi di DOS (Land, Teardrop, ecc.) sono roba del medioevo, mentre la protezione dai SYN flood su openwrt è attiva:

# sysctl net.ipv4.tcp_syncookies
net.ipv4.tcp_syncookies = 1

[pinok]

Quote:

Originariamente inviato da matteo85

chiudere le porte durante un port scanning può essere controproducente, se hai dei redirect in entrata poi che fai, ti chiudi da solo?

firehol implementa delle regole per cui non chiude nulla in questo caso, non ti lascia fuori.
Rallenta solo all'inverosimile le risposte a chi ti attacca (in pratica contrattacca) quindi ti protegge dal furbetto che vuole romperti le scatole.
Tu continui ad entrare sulle tue porte (a meno che non ti fai un port scanning prima di un ssh...)
Ad es. esistono regole tipo queste, secondo me già bannare per soli 5 minuti è sufficiente (così non ci si chiude davvero fuori per sbaglio )

http://kb.simplewallsoftware.com/hel...with-iptables/

Quote:

Originariamente inviato da matteo85

Di solito il DOS si fa mandando una quantità abnorme di traffico da IP random in modo che la tua linea è inutilizzabile.

Quello mi pare sia un DDOS, ed è in effetti difficile da contrastare, soprattutto in un routerino piccolo (presumo si debbano raccogliere ed elaborare un sacco di informazioni per contrastarlo efficacemente).
Io finora sulle mie ADSL, anche con IP statici, non ho mai loggato attacchi da IP multipli in breve tempo, credo non valga la pena per chi lo fa (non so cosa possa aspettarsi da una ADSL domestica).
Il cinesino (perché il più delle volte arrivano da IP cinesi) che ci prova, lo fa da un suo ip per sfizio.

Quote:

Originariamente inviato da matteo85

Altri tipi di DOS (Land, Teardrop, ecc.) sono roba del medioevo

Mi girerebbe se un medioevale entrasse

Quote:

Originariamente inviato da matteo85

, mentre la protezione dai SYN flood su openwrt è attiva:

# sysctl net.ipv4.tcp_syncookies
net.ipv4.tcp_syncookies = 1

Ottimo, ma hai idea del perché nella pagina di configurazione del firewall (luci) ci sia questa opzione

Enable SYN-flood protection [ ]

come se fosse da demandare appunto al firewall?

Grazie per lo scambio di opinioni, mi serve un po' di brain storming

[alfonsor]

per vedere cosa cambia un'opzione, fa una cosa simile (devi avere iptables-save e diff ovviamente)

uci set firewall.@defaults[0].syn_flood=0
uci commit firewall
/etc/init.d/firewall restart
iptables-save >/tmp/a

uci set firewall.@defaults[0].syn_flood=1
uci commit firewall
/etc/init.d/firewall restart
iptables-save >/tmp/b

diff /tmp/a /tmp/b

[Robiccio]

Salve,
oggi ho acquistato un adattatore wifi usb, precisamente il sitecom ac450 ma dopo smadonameni vari mi sono accorto che non e' compatibile con questo router per via de protocollo 802.11ac
domanda..
c'e' modo di rendere i router compatibile a tale protocollo (magari ggiornando il fw..e a quanto ho capito devo farlo con il cavo seriale)o faccio prima a cambiare adattatore?

[matteo85]

Quote:

Originariamente inviato da Robiccio

Salve,
oggi ho acquistato un adattatore wifi usb, precisamente il sitecom ac450 ma dopo smadonameni vari mi sono accorto che non e' compatibile con questo router per via de protocollo 802.11ac
domanda..
c'e' modo di rendere i router compatibile a tale protocollo (magari ggiornando il fw..e a quanto ho capito devo farlo con il cavo seriale)o faccio prima a cambiare adattatore?

no

[strassada]

quell'adattatore supporta solo la 5 GHz, mentre questo router ha solo il wireless a 2.4GHz.

[matteo85]

802.11ac è solo 5 GHz