>>расскажете потом как получилось :).
>Пробовал под RT305* DD-WRT мягко сказать стошнило от перегруженного интерфеса в котором
>в части wifi (а это основная задача данного роутера) дажее покрутить
>не чего. Агрегацию пакетов и ту выломали нафиг. Если честно [в этом месте контекст переключается в user mode] как юзер я не особо горю желанием твикать многочисленные параметры wi-fi. В юзерском сценарии в пределах дома/квартиры сие попросту не должно требоваться вообще. Как максимум я могу захотеть сменить канал на конкретный и настроть более чем 1 SSID или же захочу быть клиентом и AP одновременно. Ну еще шифрование задать. В опенвртшном вэбфейсе все это можно (правда далеко не любой драйвер сие позволяет, очень зависит от железки и драйверов). А зачем мне как именно юзеру трогать параметры типа агрегации пакетов? Как гуру - возможно. Но как гуру я и из консольки не обломлюсь, тогда уж. И вот тут большой плюс если прошивка на это заточена.
>Сборка DD-WRT распространямая для Senao на RT3052 имеет не прикрытый telnet на
>wan. По остальным не скажу.
Я больше OpenWRT интересуюсь. Потому что мне строго говоря не требуется готовая полированая мордочка для дурачков с 1 кнопкой "сделайте мне хорошо". Мне требуется удобная "база" из которой я в меру своей дурости сам постепенно соберу то что мне надо. OpenWRT в этом качестве пришелся "по руке". :)
>Ну а я и грю что основная причина юзверь однако...
Да нет, в случае ботнетчиков причина - дубы у производителя которые задают несекурные дефолты. И очень хорошо что Акорп в отличие от - не будет пакостить в дефолтах. Можно будет нетребовательным чайниковатым юзерам советовать без риска что их порутают нафиг (а выгребать говно еще и с роутеров - немного не то что мне хотелось бы).
>>А еще у компьютера жесткий диск запись позволяет, если уж параною прокачивать.
>У вас компьютер и маршрутизатор это одно и то же? Сочувствую.
Да, я снес на свой маршрутизатор вагон (около)сетевых сервисов и теперь сетью занимается сетевой компьютер [ака маршрутизатор] :). И да, теперь всякие проксики, динднс апдейтеры, опевпны и прочий (около)сетевой stuff - живут там где и должны. И не отлипают из-за рестарта компа, etc. Лично мне это удобно. И еще всякого снесу :). Сетью и (около)сетевыми сервисами должна заниматься сетевая железка. Мне это кажется логичным, блин. И как просто юзеру, и как злостному гику.
>>RW файловая система - это фича.
>Достаточно иметь раздел под конфиги в раме сохраняемый на флэш отдельной командой
А зачем мне этот геморрой? Как видим, троянцы прекрасно себя чувствуют даже когда кроме гольного squash вообще нет нифига. В итоге гемор будет, но не троянцам а юзеру. Ну, знаете, я как-то не хочу себе геморрой, тем более что троянам как видим и так вполне хорошо живется. А если я доиграюсь что система засрется - ну зажму кнопку при загрузке и грузанусь в гольный squash, отбросив изменения. После чего могу вручную замаунтить отдельно и заняться "патологоанатомическими" мероприятиями по выяснению что там было не так в заведомо чистой ОС. А если влом разбираться - можно просто фирмваре перелить оттуда. Эта механика в принципе достаточно проста чтобы обучить под нее даже чайника.
>и если замучают звери не сложно это дело модифицировать ведь скрипт
>сохранения сам лежит на rw части флэша.
А зачем мне как юзеру этот геморрой? Троянцы как видим и так вон есть. А вот сношать себе мозг левыми сущностями я не хочу. Поэтому для лично меня нормальная ФС - огромный плюс который спасает меня от массы головняка и позволяет не дрессироваться на тему ввода левых нестандартных команд.
>>Позволяющая ставить пакеты.
>Да да. На 4х метровую флэш в JFSS2 мнооооого пакетов влезет =)
База OpenWRT лезет в ~2 мега squashfs. А еще почти 2 мега в сжатой ФС - довольно прилично в общем то учитывая скромный размер пакетов для таких железок. Впрочем, у 500GP флеша 8 мегз а у более интересных мне железок и вовсе 16 :).Так что пакетов лезет весьма и весьма.
>О девайсах с USB речь другая, там как смонтируешь так и будет.
Лично у меня все нужные пакеты пока-что утрамбовались в внутреннюю флеху на моем немолодом асусе. И еще свободно почти половина ФС. Про железки с 16 мегами флеша я и вовсе молчу - там раздолье :)
>Но основное сердце маршрутизатора должно быть на ro разделе причём
>там же должна быть сжатая копия того что распаковывается на rw.
В OpenWRT сделано так: есть база в RO squash и есть юзерские изменения в JFFS2. Если доигрались, можно загрузиться без JFFS2 с дефолтными настройками и потом замаунтив оный исправить свои ляпы или перелить фирмваре например, etc :).Плюс подхода - можно версии пакетов обновлять без перешивания. Минус - обновления жрут место 2 раза - в squash и jffs. В общем на мое имхо забавная технология, имеет и плюсы и минусы. Я для себя вижу больше плюсов чем минусов. Если в какомнить OpenSSL накопается дыра например - я будучи за тридевять земель предпочту сменить пакет с ней чем все фирмваре переливать. Как-то менее стремненько. Да, еще есть и версия которая целиком вся в JFFS2 но там отсутствует failsafe режим и оно пухлее (squash жмет лучше). Мне так не нравится.
>Вся оптварь - добро пожаловать на внешний накопитель.
Мне не нравится идея что у меня скажем отвалится опенвпн, прокся или там построение графиков траффа если я отцеплю внешний диск. Кому нравится - он в своем праве.
>Да да. Давайте о винде не будем?
Давайте. Но давайте все-таки заметим что малварь и так себя хорошо чувствует без записывемых партиций. А вот мне например нормалная ФС жизню упрощает. Итого - для кого фирмваре делается? Для меня или для троянцев?! Или почему в итоге пролетает пользователь а не троянцы? Они удовольствовались tmp а вот юзеру при нужде что-то поменять приходится сношаться с пересборкой образа или костыльными ФС. Что как-то геморройно шибко (и не понятно что не даст трояну сохранить ФС, собственно).
>А то обоснуем не нужность LPR тем что в виндах оно толком не работает =)
Лучше хреново чем совсем никак, имхо :)
>Дык смотрел правда DD-WRT
Ну да, не в лотерею а в карты, не выиграл а проиграл :)
>покупать себе девайс на броадкоме чтобы посмотреть OpenWRT желания не возникало.
Броадком достаточно распостранен в природе, тот же 500GP например есть у кучи знакомого народа. Да и OpenWRT поддерживает кучу разных железяк - неужто ничего подходящего под руку не попалось? Мне кажется логичным судить о прощивке и ее безопасности посмотрев ее хоть краем глаза и сканером портов :)
>Как-то у мну и так склад девайсов которые Аорп шлёт под разработку чтобы ещё
>что-то покупать =))) И так скоро солить буду.
У меня тоже есть несколько девайсов, правда, мне Акорп ничего не шлет :).Но на лайт версию склада в принципе тянет наверное :)
>Я почему-то считал что OpenWRT по структуре и общим принципам схожи с
>DD-WRT. Нет? Если нет тады сорри отзываю от ребят из OpenWRT свою какашку.
Насколько я знаю - у них общие корни (т.е. изначально это были как бы прошивки от роутеров серии WRT). Но дальше каждый эфолюционировал по своему. Ну и в итоге есть обезьяны, а есть человеки. Есть OpenWRT а есть DD-WRT. И еще куча всяких есть. При том у авторов каждых из низ свои goals, свои видения как правильно и так далее.
>Ну вот DD-WRT (возможно и конкретная сборка) таки гадит.
За OpenWRT сие не замечено.
>может есть способ лучше?
Не, для портирования это не годится. Для кроссплатформенного эксплойта - может быть.
Например что-то типа http://www.groar.org/expl/intermediate/spanning.html
Идея проста как топор - надо чтобы инструкции "хидера" не мешали остальным процам и были вызовом нужного куска кода на "своем" CPU :).Если поизгаляться, можно подогнать "хидер" так что один и тот же блок сможет отстреляться на совершенно разных CPU, перебросив выполнение на "свой" блок кода. На практике сие поюзать геморно и требует работающий мозг, так что это больше just for fun имхо. Просто кто-то хотел показать что теоретически можно задетектить совершенно разные по архитектуре процы прямо в момент выполнения, весьма своеобразным методом :)
>Врятли. На бумаге оно всегда очень красиво.
Да, это больше PoC :)
>Я образно =))) Вообще считаю web на роутере происами марсиан,
У OpenWRT до недавних пор не было официального вэбфейса. Только в 9й версии появился. Посему до сих пор не вопрос встретить опенврту без вебморды, даже 9-ю. Кому надо - ставит пакетики с мордой. Кому не надо - не засирает себе ФС :). Это к вопросу зачем надо пакетизацию и RWшную ФС.
>но в силу того что в последние время приходиться пилить прошивки для "населения"
>то приходиться держать морду.
Ну, знаете, мне вот как-то удобнее типовые правила айпитаблесу в морде вводить введя нужные значения в поля. Меньше риск лопухнуться где-то. Графики загруженности опять же в морде удобнее смотреть. Ну и так далее.
>Но от нормального инита с нормальной логикой на rwfs я не уйду.
Ваше право. Я и не настаивал на этом и даже согласен что сие имеет право на жизнь. У совсем дубовых юзеров для которых это просто коробочка :). Вот опенврта - это дистр для тех кто хочет получить от коробочки несколько больше чем это. И там имхо вполне уместные инженерные решения с RW фс и прочая. Тем кому нужна опенврта - трах с извращениями в ФС не нужен. Но срать в дефолтах и им не хорошо. Поэтому по дефолту конечно есть ssh доступ но - только из LAN. Что разумно, хорошо и правильно.
>Да ну? А как например добавить подсеть в таблицу маршрутизации из командировки
>на камчатке =)
Я бы будучи в командировке на камчатке ничего бы не трогал если работает. А то потом вообще не достучишься. Да и если у юзера такая нужда возникает - думаю что он пароль нормальный ставит :)
>Приехать специально чтобы добавить одну чтроку в конфиг?
Понимаете, кому надо - да, разрешит себе ssh на внешку. Сменив пароль и прочая. А вот по дефолту его вывешивать в WAN домашним хомячкам которые от этого слова шарахаются и спасибо если вообще допрут пароль сменить и SSID с default - это уже попросту вредительство. По сути призводитель при этом клепает дармовые микро-шелбоксы, а вовсе не... :)
>как-то билеты москва-камчатка-омск сегодня дороги =)
Да, особенно "прикольно" все это настраивать без нормальной ФС как раз... :P.
>>Ну и как там поиметь криворукого юзера?
>Ничего не понял, причём тут вдруг нарисовался вдруг влючить wifi...
А они для пущей секурити по дефолту вайфай не включают. Так что когда вы впервые застартили девайс - доступ к нему только проводом с стороны LAN. И усе. Неудобные для хаксоров дефолты, имхо.
>Кстати а кто мешает с виндовым трояном говноюзеру передать и нужный шелкод для
>его маршрутизатора
Наверное ничего, но, строго говоря, если уже есть ресурсы огромного и мощного писюка - зачем много бодаться еще и с сломом коробочек? А если параною развивать - так троян может пароль к вебморде заснифать. HTTPS то в морде мало кто юзает, да еще и телнеты всякие. Спасать юзера от всех возможных вариантов поимения имхо нереально, надо перекрыть наиболее очевидные и опасные, которые просто автоматизировать. Как вот эти сканы.
>Ну я незнаю где вы тут увидели чёрный пиар, просто моя оценка
>ситуации причём поверхностная и не притендующая на 100% верность.
Ну, мне кажется что вам трудно быть 100% нейтральным по отношению к другим продуктам. В принципе могу понять - свой то продукт для себя всяко лучше :)
>хочется услышать и другие мнения в т.ч. опровержения.
Ну, услышали :).
>Ну в моих прошивках всё ровно тоже. А не хватает встроенных возможностей
>- берите сырцы и пилите.
OpenWRT откровенно ориентировано на модифицируемость без геморроя. Тут вам и read-write ФС, сделанная по уму, с неубиваемой основой и юзерскими довесками (не хочу ничего сказать, но после нее на костыли как в олеге и т.п. - не охота), и пакетная система, и более-менее человеческие средства для пересборки образов в виде как надо именно мне. Этакая болванка-конструктор из которой желающие могут сделать без чрезмерного геморроя то что им надо. Все-равно производитель все не предусмотрит. А что, мне опенвпн или мелкий проксь для полутора юзеров держать на писюке чтоли? Так у писюка может кулер накрыться и упсом его на пару суток фиг подопрешь (такая упса будет стоить дороже писюка). Пусть сетевая железка сетевыми сервисами и заведует :). Некоторые инженерные решения спорны или имеют свои минусы. Некоторые неоптимальны. Да. Всегда есть tradeoff-ы. Есть набор плюсов, за которые воздается набором минусов.
>>Также мне не нравятся архаичные 2.4 ядра, немодифицируемая ФС,
>2.4 остались в 8186 устройствах 5ти летней давности. Немодифицируемая фс это тоже
>вы сами придумали. Раздел где лежат консиги вполне себе модифицируется.
Дело в том что для себя я не рассматриваю это как коробочку с фиксированным набором функций. Я рассматриваю это как сетевой компьютер на который следует максимально сбагрить сетевые сервисы. Который можно не выключать и который всегда доступен, который просто подпереть бесперебойным питанием на значительное время и прочая. Да, разумеется это не нужно простым юзерам. Зато мне - нужно.
>И на встроенную флэш нефиг тянуть оптварь. Хочется ставить софт - бери
>юсб девайс и тыкай туда оптварь гигами.
Знаете в чем проблема? По лично моей классификации есть очень разное по степени критичности оптваре. И если без торентокачалки я как-то переживу еще, если юсб-диск отвалится или его отцепят, пропадет контакт, etc, то вот без какогонить опенвпна или проксика - будет очень некомфортно и по сути mission железяки будет failed. Просто потому что я потом из какой-нибудь жопы мира не смогу попасть в свою сеть. Не смогу получить мой надежный туннель с сжатием и шифрованием.
>А со встроенного флэша девайс должен взлетать по кнопочке резет из любой позы. И как-то
>rw fs к этому при крахе не располагают.
У OpenWRT "рекомендуемая" схема - достаточно грамотно сделана. Есть некая база в squashfs и есть довесок в JFFS. По дефолту - старт с сквоша, в жффс - ничего. По мере обновления или доустановки пакетов, правки конфигов и прочая - дописывается в жффс. При нормальной загрузке ФС объединяются, и у юзера текущий вид ФС. Но есть и режим аварийной загрузки - когда жффс не монтируется. Тогда юзер оказывается в неубиваемой базе из сквоша с дефолтными настройками и дальше его дело что там делать. Может перелить фирмваре и угробить свои потуги в jffs. Может замаунтить jffs2 в сторонку и попытаться откатить неудачные изменения. И т.п.. В принципе может прокатить даже для тупых, но для продвинутых юзеров такая схема дает больше шансов на рекавери и позволяет продвинутое рекавери когда оно надо.
>>горбатые тулсы для сборки и прочая.
>Эть какие горбатые тулзы? gcc + пара скриптов? =)
Ну, у опенврты их скрипты позволяют запихнуть в readonly "базу" в squash именно те пакеты которые нужны лично мне без чрезмерного траха. Так что если я для себя решил что OpenVPN это критичный системный сервис а не какое-то там оптваре которое можно на юсб диск, я в своем праве сделать его условно-неубиваемым вообще. У остальных сие действо получается как-то геморройнее. Да и пересобирать ФС на каждый пук - не очень прикольно на мое имхо.
>>точно никто не сломает :)
>Ну а не логично разве? =) Но ведь есть принцип разумной достаточности.
Вот-вот :). И собственно сам по себе опенврт с дефолтами - довольно неудобная штука для хакеров на мое имхо. Во всяком случае не вижу там столь откровенно халявных методов влезания типа того что описано в этой статье. Да, троян, конечно там заработает (а почему нет?). Вот только загнать его в дефолтную опенврт не слишком то просто будет. Придется юзеру самому свой девайс в ботнет джойнить если уж так хочется приобщиться :)
>Ну относительно таки да =)
Ну, наверное местами излишне повозмущался :)
