|
|
|
|
Strumenti |
27-10-2014, 07:49 | #1061 | |
Senior Member
Iscritto dal: Aug 2014
Messaggi: 6313
|
Quote:
Sai se va bene anche sui buffalo?
__________________
CPU Intel i9 13900K - MB Asus Rog Strix z790-H Gaming Wifi - RAM Kingstone 32GB (2x16GB) DDR5 6000MT/s CL40 FURY Beast Black XMP - GPU MSI RTX 4090 Suprim X - PSU MSI MEG Ai1300P PCIE5 - STORAGE WD_BLACK SN850X 4TB - SAMSUNG 990 PRO M.2 TB - CASE Lian Li - O11 Dynamic Evo + Vertical GPU - FAN 3X Lian Li UNI FAN SL120 V2 RGB - 4X Lian-Li Uni Fan AL140 V2 ARGB - MONITOR Gigabyte Aorus FO32U2P |
|
27-10-2014, 09:10 | #1062 | |
Senior Member
Iscritto dal: Jun 2005
Città: Milano
Messaggi: 680
|
Quote:
__________________
Signature editata - Lo Staff Vedere il Regolamento per dimensioni massime consentite. |
|
27-10-2014, 10:51 | #1063 |
Senior Member
Iscritto dal: Nov 2001
Città: in quel di Venezia
Messaggi: 12462
|
no, va bene solo sui vrx288/268 (VR9).
anche su openwrt hanno diviso i porting tra i vari chipset, separando questi dagli altri Lantiq/infineon. per quanto riguarda gli AR9 (ARX188/182/168) non se ne trovano di più recenti, e comunque la loro versione inizia per 4. negli AR10 ARX388/368/362 (AVM 3272/7272, BT Home HUB 5.0a) inizia per 6, e non credo siano compatibili con gli AR9. |
27-10-2014, 10:53 | #1064 |
Senior Member
Iscritto dal: Nov 2001
Città: in quel di Venezia
Messaggi: 12462
|
a saperlo...
ci sono pdf, ma il loro contenuto è riservato/confidenziale e lo passano solo ai produttori di modem (io ho trovato vecchi pdf nei sorgenti di due modem adsl netgear DM111 con l'Amazon se) comunque la prima sestina indica la versione Vdsl2, la seconda per l'adsl. Ultima modifica di strassada : 27-10-2014 alle 10:59. |
27-10-2014, 11:26 | #1065 |
Senior Member
Iscritto dal: Jun 2005
Città: Milano
Messaggi: 680
|
a dire il vero nemmeno Lantiq ha i sorgenti, dato che il chipset DSL non è loro ma lo comprano
__________________
Signature editata - Lo Staff Vedere il Regolamento per dimensioni massime consentite. |
27-10-2014, 14:54 | #1066 | |
Senior Member
Iscritto dal: Jun 2001
Città: Alessandria (provincia)
Messaggi: 4772
|
Quote:
Ora lo sto aggirando costruendomi direttamente le regole per iptables con firewallbuilder (funziona tutto come prima), devo configurare meglio la VPN per vedere le macchine locali. Avrei preferito firehol, ma sul router mancano alcuni pacchetti (mi pare fold).
__________________
Toshiba Tecra S11-119 (i5 520m - 4Gb Ram - 320Gb HD - 1600x900 opaco a led) |
|
28-10-2014, 19:57 | #1067 |
Senior Member
Iscritto dal: Jun 2001
Città: Alessandria (provincia)
Messaggi: 4772
|
Ok, ora vedo anche le macchine locali, mancava una regola in firewallbuilder.
Aggiungo un particolare non da poco: se disabilito il firewall di serie e abilito lo script di fwbuilder, al riavvio parte comunque solo quello di serie, anche se disabilitato. Come se ci fosse un servizio che lo richiama .... Trovato! E' miniupnpd E l'assurdo è che interviene anche se disabilitato... Due verifiche e al massimo lo rimuovo
__________________
Toshiba Tecra S11-119 (i5 520m - 4Gb Ram - 320Gb HD - 1600x900 opaco a led) Ultima modifica di pinok : 28-10-2014 alle 20:40. |
28-10-2014, 21:07 | #1068 |
Senior Member
Iscritto dal: Oct 2005
Messaggi: 7494
|
trovo che sia contro natura rimpiazzare il firewall di openwrt
se uno proprio non ottiene quello che desidera, lo può modificare, ma rimpiazzarlo? d'altronde esiste il file user in cui si possono inserire le proprie regole (nel caso anche eliminare quelle esistenti) ma perché rimpiazzare il firewall di una distribuzione linux router completamente open source? |
28-10-2014, 21:59 | #1069 |
Senior Member
Iscritto dal: Jun 2005
Città: Milano
Messaggi: 680
|
io pure l'ho fatto, ho messo questo in /etc/init.d/iptables
Codice:
#!/bin/sh /etc/rc.common START=19 start() { iptables-restore </etc/firewall.ipt } Codice:
*nat :PREROUTING ACCEPT [0:0] :INPUT ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] -A PREROUTING -i pppoe-wan -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.2 -A PREROUTING -i pppoe-wan -p tcp --dport 51413 -j DNAT --to-destination 192.168.1.20 -A PREROUTING -i pppoe-wan -p udp --dport 51413 -j DNAT --to-destination 192.168.1.20 -A PREROUTING -i pppoe-wan -p tcp -m multiport --dports 43000:43010 -j DNAT --to-destination 192.168.1.25 -A PREROUTING -i pppoe-wan -p udp -m multiport --dports 43000:43010 -j DNAT --to-destination 192.168.1.25 -A POSTROUTING -o pppoe-wan -j MASQUERADE COMMIT *mangle :PREROUTING ACCEPT [0:0] :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] -A FORWARD -o pppoe-wan -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu COMMIT
__________________
Signature editata - Lo Staff Vedere il Regolamento per dimensioni massime consentite. |
28-10-2014, 23:11 | #1070 | |
Senior Member
Iscritto dal: Jun 2001
Città: Alessandria (provincia)
Messaggi: 4772
|
Quote:
Per quel che mi serve, non si riesce a modificarlo, neppure seguendo alla lettera le n-mila guide per OpenVPN+OpenWrt. Giusto cose "lisce", come il redirect verso un server nella LAN. Alla fine per quello che ho visto fa un po' quello che vuole, anche inserendo le regole in firewall.user Lo dimostra il fatto che se lo disabilito, al riavvio viene comunque tirato su da miniupnpd, anche se disabilitato (ho commentato una riga dentro e non l'ha più fatto, quindi ho proprio rimosso miniupnpd). Finora le regole generate con fwbuilder funzionano bene, perché non avvalersene e riuscire ad ottenere quello che serve?
__________________
Toshiba Tecra S11-119 (i5 520m - 4Gb Ram - 320Gb HD - 1600x900 opaco a led) |
|
28-10-2014, 23:15 | #1071 | |
Senior Member
Iscritto dal: Jun 2001
Città: Alessandria (provincia)
Messaggi: 4772
|
Quote:
Firehol mi piaceva proprio per questi accorgimenti (oltre a uno script di configurazione bello pulito). Se partivi ad attaccare il server, lui risponde in modo da crearti problemi.
__________________
Toshiba Tecra S11-119 (i5 520m - 4Gb Ram - 320Gb HD - 1600x900 opaco a led) |
|
28-10-2014, 23:29 | #1072 |
Senior Member
Iscritto dal: Jun 2005
Città: Milano
Messaggi: 680
|
se blocchi tutto il traffico in entrata (escluso il traffico di ritorno dalle connessioni) sei invisibile ai port mappings
con un ADSL da massimo 15 mbit, come fai a proteggerti dai DOS?
__________________
Signature editata - Lo Staff Vedere il Regolamento per dimensioni massime consentite. |
29-10-2014, 00:17 | #1073 | |
Senior Member
Iscritto dal: Jun 2001
Città: Alessandria (provincia)
Messaggi: 4772
|
Quote:
E per esperienza di 10 anni fa con un dlink, anche con tutte le porte chiuse possono nascere problemi (esagerati per quel modem router: bloccava tutte le connessioni ed era necessario riavviarlo!!). Se ci sono regole che più di tante connessioni al secondo non sono permesse, il port scanning viene bloccato abbastanza presto. Il DOS lo possono fare anche con pacchetti incompleti, senza necessariamente saturarti la banda Non credo i 15mbit facciano la differenza in questo caso, e una qualche protezione dal SYN Flood (per es) forse potrebbe essere utile. Non sono praticissimo di tutte le modalità di attacco, ma se è possibile prevenirne qualcuno, se posso la regola preferisco infilarcela :-) Firehol mi aiutava molto in questo senso
__________________
Toshiba Tecra S11-119 (i5 520m - 4Gb Ram - 320Gb HD - 1600x900 opaco a led) |
|
29-10-2014, 09:20 | #1074 | |
Senior Member
Iscritto dal: Jun 2005
Città: Milano
Messaggi: 680
|
Quote:
Di solito il DOS si fa mandando una quantità abnorme di traffico da IP random in modo che la tua linea è inutilizzabile. Altri tipi di DOS (Land, Teardrop, ecc.) sono roba del medioevo, mentre la protezione dai SYN flood su openwrt è attiva: # sysctl net.ipv4.tcp_syncookies net.ipv4.tcp_syncookies = 1
__________________
Signature editata - Lo Staff Vedere il Regolamento per dimensioni massime consentite. |
|
29-10-2014, 10:06 | #1075 | ||||
Senior Member
Iscritto dal: Jun 2001
Città: Alessandria (provincia)
Messaggi: 4772
|
Quote:
Rallenta solo all'inverosimile le risposte a chi ti attacca (in pratica contrattacca) quindi ti protegge dal furbetto che vuole romperti le scatole. Tu continui ad entrare sulle tue porte (a meno che non ti fai un port scanning prima di un ssh...) Ad es. esistono regole tipo queste, secondo me già bannare per soli 5 minuti è sufficiente (così non ci si chiude davvero fuori per sbaglio ) http://kb.simplewallsoftware.com/hel...with-iptables/ Quote:
Io finora sulle mie ADSL, anche con IP statici, non ho mai loggato attacchi da IP multipli in breve tempo, credo non valga la pena per chi lo fa (non so cosa possa aspettarsi da una ADSL domestica). Il cinesino (perché il più delle volte arrivano da IP cinesi) che ci prova, lo fa da un suo ip per sfizio. Quote:
Quote:
Enable SYN-flood protection [ ] come se fosse da demandare appunto al firewall? Grazie per lo scambio di opinioni, mi serve un po' di brain storming
__________________
Toshiba Tecra S11-119 (i5 520m - 4Gb Ram - 320Gb HD - 1600x900 opaco a led) |
||||
29-10-2014, 11:24 | #1076 |
Senior Member
Iscritto dal: Oct 2005
Messaggi: 7494
|
per vedere cosa cambia un'opzione, fa una cosa simile (devi avere iptables-save e diff ovviamente)
uci set firewall.@defaults[0].syn_flood=0 uci commit firewall /etc/init.d/firewall restart iptables-save >/tmp/a uci set firewall.@defaults[0].syn_flood=1 uci commit firewall /etc/init.d/firewall restart iptables-save >/tmp/b diff /tmp/a /tmp/b |
29-10-2014, 21:43 | #1077 |
Member
Iscritto dal: Nov 2005
Messaggi: 117
|
Salve,
oggi ho acquistato un adattatore wifi usb, precisamente il sitecom ac450 ma dopo smadonameni vari mi sono accorto che non e' compatibile con questo router per via de protocollo 802.11ac domanda.. c'e' modo di rendere i router compatibile a tale protocollo (magari ggiornando il fw..e a quanto ho capito devo farlo con il cavo seriale)o faccio prima a cambiare adattatore? |
29-10-2014, 22:09 | #1078 | |
Senior Member
Iscritto dal: Jun 2005
Città: Milano
Messaggi: 680
|
Quote:
__________________
Signature editata - Lo Staff Vedere il Regolamento per dimensioni massime consentite. |
|
29-10-2014, 22:09 | #1079 |
Senior Member
Iscritto dal: Nov 2001
Città: in quel di Venezia
Messaggi: 12462
|
quell'adattatore supporta solo la 5 GHz, mentre questo router ha solo il wireless a 2.4GHz.
|
29-10-2014, 22:11 | #1080 |
Senior Member
Iscritto dal: Jun 2005
Città: Milano
Messaggi: 680
|
802.11ac è solo 5 GHz
__________________
Signature editata - Lo Staff Vedere il Regolamento per dimensioni massime consentite. |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 07:14.