diff --git a/docs/readme.txt b/docs/readme.txt index 9dc7128..4d5adf3 100644 --- a/docs/readme.txt +++ b/docs/readme.txt @@ -1,4 +1,4 @@ -zapret v.25 +zapret v.26 Для чего это надо ----------------- @@ -91,6 +91,15 @@ transparent proxy (TPROXY или DNAT). TPROXY не работает с соед iptables -t nat -I PREROUTING -p tcp --dport 80 -j DNAT --to 127.0.0.1:1188 iptables -t nat -I OUTPUT -p tcp --dport 80 -m owner ! --uid-owner tpws -j DNAT --to 127.0.0.1:1188 +ПРИМЕЧАНИЕ: DNAT на localhost работает в цепочке OUTPUT, но не работает в цепочке PREROUTING без включения параметра route_localnet : + +sysctl -w net.ipv4.conf..route_localnet=1 + +Можно использовать "-j REDIRECT --to-port:1188" вместо DNAT , однако в этом случае процесс transparent proxy +должен слушать на ip адресе входящего интерфейса или на всех адресах. Слушать на всех - не есть хорошо +с точки зрения безопасности. Слушать на одном (локальном) можно, но в случае автоматизированного +скрипта придется его узнавать, потом динамически вписывать в команду. В любом случае требуются дополнительные усилия. + Особенности применения ip6tables -------------------------------- @@ -606,8 +615,7 @@ ipset можно выкинуть, если не будем пользовать Перезапустить фаервол : fw3 restart -Если не включен параметр DISABLE_IPV6, -Посмотреть через iptables -nL или через luci вкладку "firewall" появились ли нужные правила. +Посмотреть через iptables -nL, ip6tables -nL или через luci вкладку "firewall" появились ли нужные правила. ЭКОНОМИЯ МЕСТА : если его мало, то можно оставить в директории zapret лишь подкаталог ipset, файл config и init.d/openwrt. Далее нужно создать подкаталоги с реально используемыми бинариками (ip2net, mdig, tpws, nfq) diff --git a/init.d/openwrt/functions b/init.d/openwrt/functions index a8e61d4..863465d 100644 --- a/init.d/openwrt/functions +++ b/init.d/openwrt/functions @@ -25,7 +25,7 @@ network_find_wan_all() } network_find_wan6_all() { - __network_ifstatus "$1" "" "[@.route[@.target='::' && !@.table]].interface" "" 4 2>/dev/null && return + __network_ifstatus "$1" "" "[@.route[@.target='::' && !@.table]].interface" "" 10 2>/dev/null && return network_find_wan6 $1 }