Обява

**FreeBSD** · 28-02-18, 15:17

От: OpenWRT специфична настройка

opkg update
opkg install kmod-ipt-filter iptables-mod-filter
/usr/sbin/iptables -A FORWARD -m string --algo bm --string "facebook.com" -j DROP
/usr/sbin/iptables -A FORWARD -m string --algo bm --string "youtube.com" -j DROP

Така няма ли да е по добре ?
https://wiki.openwrt.org/doc/uci/firewall#block_access_to_the_internet_for_specific_ip_on_certain_times

**Денислав Димитров** · 28-02-18, 15:46

От: OpenWRT специфична настройка

Здравейте,

може ли да помоля да деконструирате този rule и да ни обясните защо според вас ще свърши работа на колегата?

Благодаря

Първоначално публикуван от FreeBSD Преглед на мнение

/usr/sbin/iptables -A FORWARD -m string --algo bm --string "youtube.com" -j DROP

**Glow** · 28-02-18, 16:14

От: OpenWRT специфична настройка

Първоначално публикуван от FreeBSD Преглед на мнение

opkg update
opkg install kmod-ipt-filter iptables-mod-filter
/usr/sbin/iptables -A FORWARD -m string --algo bm --string "facebook.com" -j DROP
/usr/sbin/iptables -A FORWARD -m string --algo bm --string "youtube.com" -j DROP

Така няма ли да е по добре ?
https://wiki.openwrt.org/doc/uci/firewall#block_access_to_the_internet_for_specific_ip_on_certain_times

Тези ги гледах и даже ги тествах но нещо не сработват при мен

**persuader** · 28-02-18, 22:23

От: OpenWRT специфична настройка

Това пробва ли ?

Твойте правила ми изглеждат добре взел ли си предвид че времевата им зона обаче трябва да e UTC ?

Дай и един изход от iptables -L

**Glow** · 01-03-18, 08:42

От: OpenWRT специфична настройка

# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
delegate_input all -- anywhere anywhere

Chain FORWARD (policy DROP)
target prot opt source destination
REJECT tcp -- anywhere anywhere tcp dpt:https STRING match "youtube.com" ALGO name bm TO 65535 TIME from 00:30:00 to 12:32:00 UTC MAC D0:B3:3F:7D:95:B0 reject-with icmp-port-unreachable
REJECT tcp -- anywhere anywhere tcp dpt:www STRING match "youtube.com" ALGO name bm TO 65535 TIME from 00:30:00 to 12:32:00 UTC MAC D0:B3:3F:7D:95:B0 reject-with icmp-port-unreachable
delegate_forward all -- anywhere anywhere

**Glow** · 01-03-18, 08:49

От: OpenWRT специфична настройка

luci access control го имам, но то е доста ограничено. Мога да спра целия интернет към устройството за определено време, а аз искам да забраня само определени сайтове

**persuader** · 01-03-18, 10:03

От: OpenWRT специфична настройка

При мен това работи.

iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "instagram.com" -j DROP
iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "yahoo.com" -j DROP
iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "facebook.com" -j DROP
iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "youtube.com" -j DROP

Така че предполагам че трябва да е нещо от рода на -

iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "facebook.com" -m time --timestart 19:00 --timestop 21:00 -m mac --mac-source D0:B3:3F:7D:95:B0 -j DROP

Аз обаче съм с. LEDE - Reboot (17.01.4, r3560-79f57e422d).

Кажи дали първото правило работи пък след туй ще натъманим и второто.

За вече установени връзки забелязах че не работи - може би трябва рестарт на fw.

P.S.

Това работи при мене от 11:15 до 11:20

ако има установени връзки трябва преди това да се изчистят с

conntrack --flush (инсталира се с opkg update; opkg install conntrack)

iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "instagram.com" -m time --timestart 09:15 --timestop 09:20 -m mac --mac-source 74:d0:2b:xx:xx:xx -j DROP

Незнам до колко е полезно да се вкарва това в стартъп на firewalla при положение че трябва да се чистят установените връзки и най-вероятно така и така ще трябва да се пуска conntrack --flush в нужното време чрез cron където може да набуташ и правилото за iptables но това ти ще си решиш ако сработи правилото.

**Денислав Димитров** · 01-03-18, 10:37

От: OpenWRT специфична настройка

Първоначално публикуван от persuader Преглед на мнение

При мен това работи.

iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "instagram.com" -j DROP
iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "yahoo.com" -j DROP
iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "facebook.com" -j DROP
iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "youtube.com" -j DROP

Това работи на рутера ти или на линукс десктопа ти?

**persuader** · 01-03-18, 10:54

От: OpenWRT специфична настройка

Както съм написал по горе казах на рутера ми който е tplink 1043ND с Lede 17.01.4

**Денислав Димитров** · 01-03-18, 11:05

От: OpenWRT специфична настройка

Казвай дали имаш някакво proxy в мрежата или ако не веднага да тичам до магазина за тази извънземна технология на TPLink която може да brute force SHA-256

**persuader** · 01-03-18, 11:54

От: OpenWRT специфична настройка

Прокси нямам а и да имам не виждам защо е нужно да се brute-force SHA-256?

**Денислав Димитров** · 01-03-18, 12:00

От: OpenWRT специфична настройка

Защото не можеш да инспектираш криптиран пакет

**persuader** · 01-03-18, 12:10

От: OpenWRT специфична настройка

Естествено че не мога да инсперктирам криптиран пакет. Затова както казах осъществените връзки не се блокират. В случая се разчита че iptables мачва TLS-SNI рикуеста блокира го и не можа да бъде изградена tls връзка. SNI то се контролира само от клиента и може да бъде модифицирано/изключено но предполагам че потребителите на които ще им се спира facebook и youtube няма да могат да го направят. От мене толкоз.

**Денислав Димитров** · 01-03-18, 12:14

От: OpenWRT специфична настройка

Демек и това не върши работа

ами само си драскаме глупости

Обява

OpenWRT специфична настройка

OpenWRT специфична настройка

Коментар

Коментар

Коментар

Коментар

Коментар

Коментар

Коментар

Коментар

Коментар

Коментар

Коментар

Коментар

Коментар

Коментар

Активност за темата