x
Там если постоянно долбят то список правил фаервола разрастается сразу
Ну да, некоторые не заморачиваются и сразу Китай блочат например https://www.ipdeny.com/ipblocks/data/countries/cn.zone
Size: a a a
2020 October 25
А
Эээ, iptables -A INPUT -s IP -j DROP ?
Чё сразу DROP, а REJECT
k
И мб есть какие-то пакеты, схожие по функционалу с f2b?
iptables как он есть
AK
лучше всего для секьюрности выключить девайс из сети (электрической)
AS
Ну да, некоторые не заморачиваются и сразу Китай блочат например https://www.ipdeny.com/ipblocks/data/countries/cn.zone
Ну вот на личном примере, долбят ssh постоянно, и не на стандартном порту, и не только Китай.
А
Ну да, некоторые не заморачиваются и сразу Китай блочат например https://www.ipdeny.com/ipblocks/data/countries/cn.zone
Прекрасный список) этих в DROP
У них и так интернет поломанный
У них и так интернет поломанный
x
Может, можно ли как-то заставить её не открываться на ip того, кто сделал больше 3 неправильных попыток?
iptables -A INPUT -i eth0.2 -p tcp --dport 22 -m conntrack --ctstate NEW -m recent --set --name SSH
iptables -A INPUT -i eth0.2 -p tcp --dport 22 -m conntrack --ctstate NEW -m recent --update --seconds 60 --hitcount 3 --rttl --name SSH -j DROPx
Вроде как то так, а веб морду я бы не открывал вообще наружу
СГ
Подскажет кто, как защитить ssh и luci от брутфорса? Дабы и ssh и luci не отвечали после условных 3 неправильных попыток.
iptables + hashlimit
СГ
iptables -A INPUT -i eth0.2 -p tcp --dport 22 -m conntrack --ctstate NEW -m recent --set --name SSH
iptables -A INPUT -i eth0.2 -p tcp --dport 22 -m conntrack --ctstate NEW -m recent --update --seconds 60 --hitcount 3 --rttl --name SSH -j DROPну или вот так
2020 October 26
AM
Подскажет кто, как защитить ssh и luci от брутфорса? Дабы и ssh и luci не отвечали после условных 3 неправильных попыток.
Товарищ Сноуден :)
1. От брутфорса ssh хорошо помогает отключение доступа по паролю - оставляем доступ только по ключу.
2. По Luci есть официальная рекомендация: https://openwrt.org/docs/guide-user/luci/luci.secure
3. Для любителей альтернативных вариантов: не выпускать наружу ssh, luci и т.п., а ходить на роутер через VPN. Тот же православный Wireguard, например.
(вариант с хождением только по VPN весьма эффективен для адептов RouterOS. Ибо столько костылей народ наворачивает для превентивных мер защиты ROS от взлома, что проще и надёжней оставить только VPN).
1. От брутфорса ssh хорошо помогает отключение доступа по паролю - оставляем доступ только по ключу.
2. По Luci есть официальная рекомендация: https://openwrt.org/docs/guide-user/luci/luci.secure
3. Для любителей альтернативных вариантов: не выпускать наружу ssh, luci и т.п., а ходить на роутер через VPN. Тот же православный Wireguard, например.
(вариант с хождением только по VPN весьма эффективен для адептов RouterOS. Ибо столько костылей народ наворачивает для превентивных мер защиты ROS от взлома, что проще и надёжней оставить только VPN).
С
Товарищ Сноуден :)
1. От брутфорса ssh хорошо помогает отключение доступа по паролю - оставляем доступ только по ключу.
2. По Luci есть официальная рекомендация: https://openwrt.org/docs/guide-user/luci/luci.secure
3. Для любителей альтернативных вариантов: не выпускать наружу ssh, luci и т.п., а ходить на роутер через VPN. Тот же православный Wireguard, например.
(вариант с хождением только по VPN весьма эффективен для адептов RouterOS. Ибо столько костылей народ наворачивает для превентивных мер защиты ROS от взлома, что проще и надёжней оставить только VPN).
1. От брутфорса ssh хорошо помогает отключение доступа по паролю - оставляем доступ только по ключу.
2. По Luci есть официальная рекомендация: https://openwrt.org/docs/guide-user/luci/luci.secure
3. Для любителей альтернативных вариантов: не выпускать наружу ssh, luci и т.п., а ходить на роутер через VPN. Тот же православный Wireguard, например.
(вариант с хождением только по VPN весьма эффективен для адептов RouterOS. Ибо столько костылей народ наворачивает для превентивных мер защиты ROS от взлома, что проще и надёжней оставить только VPN).
ROS правда так дырява?)
С
хорошо стараются мои бывшие коллеги, значит
HP
поздравляю с гражданстом РФ кста
V
поздравляю с гражданстом РФ кста
у него ведь нет рф гражданства
S
Подскажите как adguardhome присваивает ареса клиентам, дело в том что ipv6 у меня отключен а в AGH у клиентов адреса формата ipv6 и заблочить клиета получается только по этим аресам. От куда они берутся
N
Привет, есть netgear r6220 c компилировной прошивкой. Ищу помощи для: 1)решёшения проблемы нет раздаёт интернет(на оригинальной openwrt все ок, 2) настройки выхода раздачи интернета через впн с помощью приложения passwall + smardns(или adguard dns). Настроить например через TeamViewer за разумное вознаграждение.
t
Всем привет.
Есть проблема при прошивке адсл роутера на опенврт, на нем не работает вафля с драйвером kmod-b43, и надо его удалять и загружать kmod-brcmsmac и brcmsmac-firmware. Но у них одинаковая зависимость и поэтому вместе их установить не получается, ошибка:
Collected errors:
* check_data_file_clashes: Package brcmsmac-firmware wants to install file /lib/firmware/brcm/bcm43xx-0.fw
But that file is already provided by package * kmod-brcmsmac
* check_data_file_clashes: Package brcmsmac-firmware wants to install file /lib/firmware/brcm/bcm43xx_hdr-0.fw
But that file is already provided by package * kmod-brcmsmac
* opkg_install_cmd: Cannot install package brcmsmac-firmware.
приходится использовать ключ - - force-overwrite.
А когда пытаюсь собрать прошивку сразу с этими двумя пакетами, получается похожая ошибка.
Я нуб во всем этом, подскажите, как обойти это при сборке прошивки через make?
Заранее спасибо за ответ
Есть проблема при прошивке адсл роутера на опенврт, на нем не работает вафля с драйвером kmod-b43, и надо его удалять и загружать kmod-brcmsmac и brcmsmac-firmware. Но у них одинаковая зависимость и поэтому вместе их установить не получается, ошибка:
Collected errors:
* check_data_file_clashes: Package brcmsmac-firmware wants to install file /lib/firmware/brcm/bcm43xx-0.fw
But that file is already provided by package * kmod-brcmsmac
* check_data_file_clashes: Package brcmsmac-firmware wants to install file /lib/firmware/brcm/bcm43xx_hdr-0.fw
But that file is already provided by package * kmod-brcmsmac
* opkg_install_cmd: Cannot install package brcmsmac-firmware.
приходится использовать ключ - - force-overwrite.
А когда пытаюсь собрать прошивку сразу с этими двумя пакетами, получается похожая ошибка.
Я нуб во всем этом, подскажите, как обойти это при сборке прошивки через make?
Заранее спасибо за ответ
АР
Есть два способа:
• не класть одни и те же файлы в разные пакеты, положить файлик в один, и, если необходимо, указать в другом зависимость от первого с помощью
• если класть, то указывать взаимно в пакетах
• не класть одни и те же файлы в разные пакеты, положить файлик в один, и, если необходимо, указать в другом зависимость от первого с помощью
DEPENDS:=....• если класть, то указывать взаимно в пакетах
CONFLICTS:=..., чтобы их было невозможно установить одновременно.t
Есть два способа:
• не класть одни и те же файлы в разные пакеты, положить файлик в один, и, если необходимо, указать в другом зависимость от первого с помощью
• если класть, то указывать взаимно в пакетах
• не класть одни и те же файлы в разные пакеты, положить файлик в один, и, если необходимо, указать в другом зависимость от первого с помощью
DEPENDS:=....• если класть, то указывать взаимно в пакетах
CONFLICTS:=..., чтобы их было невозможно установить одновременно.Это в .config прописывается, правильно?