readme : route_localnet notice

docs/readme.txt

@@ -1,4 +1,4 @@
-zapret v.25
+zapret v.26
 
 Для чего это надо
 -----------------
@@ -91,6 +91,15 @@ transparent proxy (TPROXY или DNAT). TPROXY не работает с соед
 iptables -t nat -I PREROUTING -p tcp --dport 80 -j DNAT --to 127.0.0.1:1188
 iptables -t nat -I OUTPUT -p tcp --dport 80 -m owner ! --uid-owner tpws -j DNAT --to 127.0.0.1:1188
 
+ПРИМЕЧАНИЕ: DNAT на localhost работает в цепочке OUTPUT, но не работает в цепочке PREROUTING без включения параметра route_localnet :
+
+sysctl -w net.ipv4.conf.<incoming_interface_name>.route_localnet=1
+
+Можно использовать "-j REDIRECT --to-port:1188" вместо DNAT , однако в этом случае процесс transparent proxy
+должен слушать на ip адресе входящего интерфейса или на всех адресах. Слушать на всех - не есть хорошо
+с точки зрения безопасности. Слушать на одном (локальном) можно, но в случае автоматизированного
+скрипта придется его узнавать, потом динамически вписывать в команду. В любом случае требуются дополнительные усилия.
+
 Особенности применения ip6tables
 --------------------------------
 
@@ -606,8 +615,7 @@ ipset можно выкинуть, если не будем пользовать
 Перезапустить фаервол :
  fw3 restart
  
-Если не включен параметр DISABLE_IPV6,
+Посмотреть через iptables -nL, ip6tables -nL или через luci вкладку "firewall" появились ли нужные правила.
-Посмотреть через iptables -nL или через luci вкладку "firewall" появились ли нужные правила.
 
 ЭКОНОМИЯ МЕСТА : если его мало, то можно оставить в директории zapret лишь подкаталог ipset, файл config и init.d/openwrt.
 Далее нужно создать подкаталоги с реально используемыми бинариками (ip2net, mdig, tpws, nfq)

init.d/openwrt/functions

@@ -25,7 +25,7 @@ network_find_wan_all()
 }
 network_find_wan6_all()
 {
- __network_ifstatus "$1" "" "[@.route[@.target='::' && !@.table]].interface" "" 4 2>/dev/null && return
+ __network_ifstatus "$1" "" "[@.route[@.target='::' && !@.table]].interface" "" 10 2>/dev/null && return
  network_find_wan6 $1
 }