Moderátor: Moderátoři Živě.cz
WarCZ píše:"Pochopit jeho práci"
Pár příkladu. Upravím v Network-Firewall pravidlo a musím jít do Status-firewall-restart firewall aby to fungovalo.
WarCZ píše:Stejně tak mam zálohu s IP 192.168.0.1 a nahraju ji na stroj kde je aktuální ip 192.168.1.1 tak se obnova neprovede.
Předpokládám, že chtít po něm aby se zálohoval automaticky je utopie.
O nějakém jednoduchém exportu dat do TXT, CSV vůbec nemluvím, přenos souboru marnost.
root@router:~# cat /etc/config/firewall
config rule
option name 'Allow-DHCP-Renew'
option src 'wan'
option proto 'udp'
option dest_port '68'
option target 'ACCEPT'
option family 'ipv4'
config rule
option name 'Allow-Ping'
option src 'wan'
option proto 'icmp'
option icmp_type 'echo-request'
option family 'ipv4'
option target 'ACCEPT'
config rule
option name 'Allow-IGMP'
option src 'wan'
option proto 'igmp'
option family 'ipv4'
option target 'ACCEPT'
option enabled '0'
config rule
option name 'Allow-DHCPv6'
option src 'wan'
option proto 'udp'
option src_ip 'fc00::/6'
option dest_ip 'fc00::/6'
option dest_port '546'
option family 'ipv6'
option target 'ACCEPT'
config rule
option name 'Allow-MLD'
option src 'wan'
option proto 'icmp'
option src_ip 'fe80::/10'
list icmp_type '130/0'
list icmp_type '131/0'
list icmp_type '132/0'
list icmp_type '143/0'
option family 'ipv6'
option target 'ACCEPT'
option enabled '0'
config rule
option name 'Allow-ICMPv6-Input'
option src 'wan'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
list icmp_type 'router-solicitation'
list icmp_type 'neighbour-solicitation'
list icmp_type 'router-advertisement'
list icmp_type 'neighbour-advertisement'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'
config rule
option name 'Allow-ICMPv6-Forward'
option src 'wan'
option dest '*'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'
config rule
option name 'Allow-IPSec-ESP'
option src 'wan'
option dest 'lan'
option proto 'esp'
option target 'ACCEPT'
option enabled '0'
config rule
option name 'Allow-ISAKMP'
option src 'wan'
option dest 'lan'
option dest_port '500'
option proto 'udp'
option target 'ACCEPT'
option enabled '0'
config rule
option target 'ACCEPT'
option family 'ipv4'
option name '6to4'
option src 'wan'
option proto '41'
config rule
option target 'ACCEPT'
option name '6in4 tunel'
option src 'wan'
option proto '41'
option family 'ipv4'
config rule
option target 'ACCEPT'
option proto 'tcp'
option dest_port '8585'
option src 'wan'
option name 'https router'
config rule
option target 'ACCEPT'
option proto 'tcp'
option dest_port '443'
option family 'ipv6'
option name 'https_IPv6'
option src 'wan'
option dest 'lan'
config rule
option target 'ACCEPT'
option name 'Tvheadend'
option family 'ipv6'
option dest_port '9981'
option proto 'tcp'
option src '*'
option dest '*'
config rule
option target 'ACCEPT'
option dest_port '9982'
option name 'Tvheadend2'
option family 'ipv6'
option proto 'tcp'
option src 'wan'
option dest 'lan'
option enabled '0'
config defaults
option input 'DROP'
option output 'DROP'
option forward 'DROP'
option drop_invalid '1'
config zone
option name 'lan'
option input 'ACCEPT'
option output 'ACCEPT'
option network 'lan'
option forward 'ACCEPT'
config zone
option name 'wan'
option output 'ACCEPT'
option masq '1'
option network 'wan wan6'
option input 'DROP'
option forward 'DROP'
config include
option path '/etc/firewall.user'
config redirect
option target 'DNAT'
option src 'wan'
option dest 'lan'
option proto 'tcp udp'
option src_dport '6881'
option dest_ip '192.168.1.11'
option dest_port '6881'
option name 'torent'
option enabled '0'
config redirect
option target 'DNAT'
option src 'wan'
option dest 'lan'
option proto 'tcp'
option src_dport '80'
option dest_ip '192.168.1.2'
option dest_port '80'
option name 'switch'
option src_ip '194.228.13.0/24'
option enabled '0'
config redirect
option target 'DNAT'
option src 'wan'
option dest 'lan'
option dest_ip '192.168.1.12'
option name 'Tvheadend'
option src_dport '9981'
option dest_port '9981'
option proto 'tcp'
config redirect
option target 'DNAT'
option src 'wan'
option dest 'lan'
option src_dport '9982'
option dest_ip '192.168.1.12'
option dest_port '9982'
option name 'Tvheadend2'
option proto 'tcp'
option enabled '0'
config forwarding
option dest 'wan'
option src 'lan'
root@router:~#
hunter21 píše:Máš vyšpecifikované, čo presne terba zablokovať aby kamera neposiela niečo domov? Čo napríklad DNS cez tunel 6to4? Túto vec je velmi ťažké bloknúť, pretože ju môže používať aj obyčajný ping. V podstate by bolo potrebné odobrať (vypnúť) podporu IPv6 u všetkých sieťových programov, alebo (a to je ťažšie) bloknúť to vo firewalle sytémom rozpoznávania určitých sekvencií v pakete.
WarCZ píše:Ad firewall. Ono se to tváří, že to zafunguje na uložit a použít, ale vidím, že kamera stále funguje. až restart firewallu zafunguje na 100%.
a měníš zálohou nastavení Ip routru a DHCP server ? Asi jsem prostě první kdo nechce mít 192.168.1.1 ale 192.168.0.1...
-- 17. 6. 2019 20:30 --hunter21 píše:Máš vyšpecifikované, čo presne terba zablokovať aby kamera neposiela niečo domov? Čo napríklad DNS cez tunel 6to4? Túto vec je velmi ťažké bloknúť, pretože ju môže používať aj obyčajný ping. V podstate by bolo potrebné odobrať (vypnúť) podporu IPv6 u všetkých sieťových programov, alebo (a to je ťažšie) bloknúť to vo firewalle sytémom rozpoznávania určitých sekvencií v pakete.
Zatím mi zafungovalo tohle pravidlo:
Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků