железки
стряхнул пыль (буквально) с давно непопадавшего в зону поражения руками китайского роутера mi router 3G. (в связи с тем, что решил обновить берлогу почти аналогичным новеньким 4A GBe). перешил оба на openwrt, благо теперь для этого достаточно просто прямых рук и линуксового хоста. паяльник, ttl-uart и spi программатор больше не требуются (хотя они у меня есть ;)).
в процессе сего занимательного квеста было выяснено - как передавать файлы неткатом ( cat kernel.bin | nc -q 0 192.168.31.1 13333 <--> nc -l -p 13333 > krn.bin), в какой момент открывается окно уязвимости для эксплойта (после задания пароля и логина администратора в вебморду), и что в гнездах китайцев не все RJ45 держатся одинаково хорошо.
да, поддержка OpenWRT для 4A пока в бете, надо ставить снапшоты, причем в два этапа, сначала базовый образ, потом залогиниться в него и поставить образ для апгрейда через sysupgrade. а потом поставить LuCI, так как в снапшотах его нет.
а и еще что вместо привычных
iptables -I INPUT -s 198.55.0.0/16 -m state --state NEW -j DROP
надо писать
iptables -I INPUT -s 198.55.0.0/16 -m conntrack --ctstate NEW -j DROP
и модуль conntrack отдельно поставить, его по дефолту нет.
роутер гуд. ещебы любые провода нормально держались - было бы вообще супер.
зы: провайдер прекрасно выдает ipv6, кстати. не очень понятно как настраивать для него фаерволл чтобы было удобно, поэтому пока просто вглухую. но по части внедрения сетей ipv6 мы безобразно отстаем от китайцев.
в процессе сего занимательного квеста было выяснено - как передавать файлы неткатом ( cat kernel.bin | nc -q 0 192.168.31.1 13333 <--> nc -l -p 13333 > krn.bin), в какой момент открывается окно уязвимости для эксплойта (после задания пароля и логина администратора в вебморду), и что в гнездах китайцев не все RJ45 держатся одинаково хорошо.
да, поддержка OpenWRT для 4A пока в бете, надо ставить снапшоты, причем в два этапа, сначала базовый образ, потом залогиниться в него и поставить образ для апгрейда через sysupgrade. а потом поставить LuCI, так как в снапшотах его нет.
а и еще что вместо привычных
iptables -I INPUT -s 198.55.0.0/16 -m state --state NEW -j DROP
надо писать
iptables -I INPUT -s 198.55.0.0/16 -m conntrack --ctstate NEW -j DROP
и модуль conntrack отдельно поставить, его по дефолту нет.
роутер гуд. ещебы любые провода нормально держались - было бы вообще супер.
зы: провайдер прекрасно выдает ipv6, кстати. не очень понятно как настраивать для него фаерволл чтобы было удобно, поэтому пока просто вглухую. но по части внедрения сетей ipv6 мы безобразно отстаем от китайцев.