Zapret: обсуждение

KSEONCH1kk · January 10, 2025, 1:42pm

Всё, решено, попробывал ещё раз, заработало, спасибо за программу!

bolvan · January 10, 2025, 2:02pm

rawsend: sendto: Operation not permitted

В этом, наверно, проблема.
Можно попробовать опцию --bind-fix4

Кинетики при адвансед настройках могут портить марк своими правилами.
Надо бы посмотреть
ip addr
ip rule
ip route
iptables -S
Если есть ссылки на какие-то доп таблицы в ip rule, ip route show table XXX

NgessoANTILIMIT · January 10, 2025, 2:21pm

А как узнать, какой в конкретном случаи протокол применяется. (Параметры подключения там разные смотрел, там не написано).

*Ну по идее OpenVPN применяться не должен, он же вообще заблокирован уже наглухо вроде-как.

bolvan · January 10, 2025, 2:26pm

Надо разбираться в софте. Я им не пользовался, так что сказать не могу

wigeance · January 10, 2025, 2:27pm

Особо не разбирался, но у кинетика по ощущениям срабатывает какой-то жесткий блок на отправку любых пакетов на соединение которое сейчас не является default gw. На оврт даже с iptables такого нет

bolvan · January 10, 2025, 2:33pm

Это давно известная проблема с raw сокетами в linux.
Они не проходят адекватно схему ip rule и могут улетать с другого интерфейса, если не принять ряд специальных мер. bind to ip, bind to device. Для этого и служат --bind-fix4 и --bind-fix6
Они берут из NFQUEUE исходящий интерфейс пакета и биндают сокет на этот интерфейс при каждой отправке
Ошибку denied может вызывать какое-то из правил iptables в цепочке OUTPUT, призванное не допустить leak чужого для интерфейса ip

wowik98 · January 10, 2025, 2:39pm

УРАААААА вот это --bind-fix4 сработала спасибо за программу!

zxcn · January 10, 2025, 8:14pm

случайно)

zxcn · January 10, 2025, 8:31pm

возможно ли запрет для android сделать вне рут доступа, создавая прокси сервер и через bromite пользоваться запретом?

наверное проще на виртуалку поставить линукс накатить zapret и сделать прокси?

bolvan · January 10, 2025, 8:33pm

Без рута только tpws --socks.
Но для него нет приложения.
Есть byedpi, и у него больше возможностей + приложение

zxcn · January 10, 2025, 8:42pm

byedpi не интересен

bolvan · January 11, 2025, 7:25am

для iptables и nfqws нужны cap_net_admin и cap_net_raw
без рута их получить невозможно
еще терки с selinux

easyone11 · January 11, 2025, 7:22pm

@bolvan
Может быть есть смысл сделать файл предупреждение? по типу \ipset!!!DO NOT PUT YOUR FILES HERE!!!.txt
Понимаю что надо читать мануал и там написано, но почему бы не сделать какой нибудь похожий файл на который бы люди обратили внимание?
и еще идея добавить предупреждение при запуске блокчека, ему же можно дать понимания какие файлы должны быть в папке ipset, если есть другие то добавить предупреждение?

bolvan · January 12, 2025, 7:51am

Блокчек забивать не относящимся к нему функционалом не буду.
Предупреждение в виде файлов можно, но как-то не очень оно будет смотреться для грамотных людей. Что нас за идиотов считают ? Везде сюда ходи туда не ходи кирпич упадет.
А проверка файлов в коде - значит надо все время знать какие должны быть, какие нет. С версиями меняется.
Нафиг. Будут учиться на собственных граблях. Если все устраивает, переписать после установки заново несложно, то и пусть

ivanixa333 · January 12, 2025, 9:27am

у меня на новых прошивках начал переодически отваливаться 10-keenetic-udp-fix : лечащая добавка для кинетика против отсутствия маскарада без ndmmark иногда через пять минут иногда через 20 минут пока не перезапустишь запрет не одно приложение опен впн варгуарт не работает по udp есть какие нибудь предположение почему так происходит и что с этим делать при этом в роутере опенвпн и варгуарт прекрасно работают по udp

bolvan · January 12, 2025, 9:58am

лечилка делает вот что
-o $wan -p udp -m mark --mark $DESYNC_MARK/$DESYNC_MARK -j MASQUERADE
desync_mark - это бит 0x40000000, которым помечает nfqws все сгенерированные им пакеты
проверьте не создает ли прошивка правила, выставляющие этот бит ?

iptables -vL

что в counter выдает по этому правилу ?

Если без лечилки, все работает ?

ivanixa333 · January 12, 2025, 10:11am

вот что показывает

Спойлер

Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
323 110K _NDM_MULTICAST_INPUT udp – any any anywhere base-address.mcast.net/4
6 192 ACCEPT igmp – any any anywhere anywhere
1369 120K _NDM_ACL_IN_EXCEPTIONS all – any any anywhere anywhere
1078 102K ACCEPT all – any any anywhere anywhere state RELATED,ESTABLISHED
37 2489 ACCEPT all – lo any anywhere anywhere
164 10788 _NDM_BFD_INPUT all – any any anywhere anywhere
164 10788 _NDM_ACL_IN all – any any anywhere anywhere
164 10788 _NDM_IPSEC_INPUT_FILTER all – any any anywhere anywhere
164 10788 _NDM_TUNNELS_INPUT all – any any anywhere anywhere
0 0 DROP all – any any anywhere anywhere state INVALID
0 0 ACCEPT all – any any anywhere anywhere ctstate DNAT
164 10788 _NDM_INPUT all – any any anywhere anywhere
119 7658 _NDM_SL_PRIVATE all – any any anywhere anywhere

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 _NDM_MULTICAST_INPUT udp – any any anywhere base-address.mcast.net/4
849 330K ACCEPT all – any any anywhere anywhere state RELATED,ESTABLISHED
243 26860 _NDM_ACL_IN all – any any anywhere anywhere
243 26860 _NDM_ACL_OUT all – any any anywhere anywhere
243 26860 _NDM_IPSEC_FORWARD all – any any anywhere anywhere
243 26860 _NDM_VPN_FORWARD all – any any anywhere anywhere
243 26860 _NDM_FORWARD all – any any anywhere anywhere
12 480 DROP all – any any anywhere anywhere state INVALID
0 0 ACCEPT all – any any anywhere anywhere ctstate DNAT
231 26380 _NDM_SL_FORWARD all – any any anywhere anywhere
0 0 ACCEPT all – lo any anywhere anywhere
0 0 ACCEPT all – br0 br0 anywhere anywhere
0 0 ACCEPT all – br1 br1 anywhere anywhere

Chain OUTPUT (policy ACCEPT 2279 packets, 765K bytes)
pkts bytes target prot opt in out source destination
2279 765K _NDM_BFD_OUTPUT all – any any anywhere anywhere
2279 765K _NDM_ACL_OUT all – any any anywhere anywhere
2279 765K _NDM_IPSEC_OUTPUT_FILTER all – any any anywhere anywhere
2279 765K _NDM_OUTPUT all – any any anywhere anywhere
2279 765K _NDM_IKE1SRVVPN_OUT all – any any anywhere anywhere
2279 765K _NDM_IKE2SRVVPN_OUT all – any any anywhere anywhere

Chain @Bridge0 (1 references)
pkts bytes target prot opt in out source destination

Chain @PPPoE0 (1 references)
pkts bytes target prot opt in out source destination

Chain @WifiMaster0/WifiStation0 (1 references)
pkts bytes target prot opt in out source destination

Chain CLOUD_UDP_SERVICE_NF_CHAIN_ (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT udp – any any ndns111.omni.ru 10.181.214.251 udp spt:4044 dpt:4043

Chain COALAGENT_NF_CHAIN_ (1 references)
pkts bytes target prot opt in out source destination
90 4350 ACCEPT udp – any any anywhere anywhere udp dpt:55092

Chain Ftp_IN (1 references)
pkts bytes target prot opt in out source destination
0 0 DROP tcp – any any anywhere anywhere tcp dpt:ftp-data match-set _NDM_BFD_Ftp4 src return-nomatch ! update-counters ! update-subcounters
0 0 DROP tcp – any any anywhere anywhere tcp dpt:ftp match-set _NDM_BFD_Ftp4 src return-nomatch ! update-counters ! update-subcounters

Chain Ftp_OUT (1 references)
pkts bytes target prot opt in out source destination
0 0 DROP tcp – any any anywhere anywhere tcp spt:ftp-data match-set _NDM_BFD_Ftp4 dst return-nomatch ! update-counters ! update-subcounters
0 0 DROP tcp – any any anywhere anywhere tcp spt:ftp match-set _NDM_BFD_Ftp4 dst return-nomatch ! update-counters ! update-subcounters

Chain Http_IN (1 references)
pkts bytes target prot opt in out source destination
0 0 DROP tcp – any any anywhere anywhere tcp dpt:http match-set _NDM_BFD_Http4 src return-nomatch ! update-counters ! update-subcounters
0 0 DROP tcp – any any anywhere anywhere tcp dpt:https match-set _NDM_BFD_Http4 src return-nomatch ! update-counters ! update-subcounters

Chain Http_OUT (1 references)
pkts bytes target prot opt in out source destination
0 0 DROP tcp – any any anywhere anywhere tcp spt:http match-set _NDM_BFD_Http4 dst return-nomatch ! update-counters ! update-subcounters
0 0 DROP tcp – any any anywhere anywhere tcp spt:https match-set _NDM_BFD_Http4 dst return-nomatch ! update-counters ! update-subcounters

Chain NDM_FORWARD_ACL (0 references)
pkts bytes target prot opt in out source destination

Chain Telnet_IN (1 references)
pkts bytes target prot opt in out source destination
0 0 DROP tcp – any any anywhere anywhere tcp dpt:2022 match-set _NDM_BFD_Telnet4 src return-nomatch ! update-counters ! update-subcounters

Chain Telnet_OUT (1 references)
pkts bytes target prot opt in out source destination
0 0 DROP tcp – any any anywhere anywhere tcp spt:2022 match-set _NDM_BFD_Telnet4 dst return-nomatch ! update-counters ! update-subcounters

Chain _NDM_ACL_IN (2 references)
pkts bytes target prot opt in out source destination
0 0 @WifiMaster0/WifiStation0 all – apcli0 any anywhere anywhere
407 37648 @Bridge0 all – br0 any anywhere anywhere
0 0 @PPPoE0 all – ppp0 any anywhere anywhere

Chain NDM_ACL_IN_EXCEPTIONS (1 references)
pkts bytes target prot opt in out source destination
1369 120K COALAGENT_NF_CHAIN all – any any anywhere anywhere
1279 115K CLOUD_UDP_SERVICE_NF_CHAIN_ all – any any anywhere anywhere

Chain _NDM_ACL_OUT (2 references)
pkts bytes target prot opt in out source destination

Chain _NDM_BFD_INPUT (1 references)
pkts bytes target prot opt in out source destination
164 10788 Telnet_IN all – any any anywhere anywhere
164 10788 Http_IN all – any any anywhere anywhere
164 10788 Ftp_IN all – any any anywhere anywhere

Chain _NDM_BFD_OUTPUT (1 references)
pkts bytes target prot opt in out source destination
2279 765K Telnet_OUT all – any any anywhere anywhere
2279 765K Http_OUT all – any any anywhere anywhere
2279 765K Ftp_OUT all – any any anywhere anywhere

Chain _NDM_FORWARD (1 references)
pkts bytes target prot opt in out source destination
243 26860 _NDM_HOTSPOT_FWD all – any any anywhere anywhere
243 26860 _NDM_UPNP_FORWARD_SYS all – any any anywhere anywhere ndmmark match 0x0/0x8

Chain _NDM_HOTSPOT_FWD (1 references)
pkts bytes target prot opt in out source destination
0 0 RETURN all – any any anywhere anywhere slin ! 3 (public) slout ! 3 (public)
0 0 RETURN all – any any anywhere anywhere MAC 9C:30:5B:51:C1:C3
0 0 RETURN all – any any anywhere anywhere MAC AE:1B:B4:29:0C:A8
0 0 RETURN all – any any anywhere anywhere MAC D2:CC:16:C1:16:F4
0 0 RETURN all – any any anywhere anywhere MAC 26:2C:73:4E:D5:F3
0 0 RETURN all – any any anywhere anywhere MAC 66:B7:1D:6A:7D:1A
0 0 RETURN all – any any anywhere anywhere MAC D4:38:9C:85:35:D9
243 26860 RETURN all – any any anywhere anywhere MAC D8:5E:D3:54:3E:D3
0 0 RETURN all – any br0 anywhere 192.168.40.35
0 0 RETURN all – any any anywhere anywhere MAC FC:03:9F:1D:4A:90
0 0 RETURN all – ra6 any anywhere anywhere
0 0 RETURN all – ra2 any anywhere anywhere
0 0 RETURN all – ra3 any anywhere anywhere
0 0 RETURN all – ra1 any anywhere anywhere
0 0 RETURN all – ra0 any anywhere anywhere
0 0 RETURN all – ra5 any anywhere anywhere
0 0 RETURN all – ra4 any anywhere anywhere
0 0 RETURN all – rai6 any anywhere anywhere
0 0 RETURN all – rai5 any anywhere anywhere
0 0 RETURN all – rai4 any anywhere anywhere
0 0 RETURN all – rai3 any anywhere anywhere
0 0 RETURN all – rai2 any anywhere anywhere
0 0 RETURN all – rai1 any anywhere anywhere
0 0 RETURN all – br0 any anywhere anywhere
0 0 RETURN all – br1 any anywhere anywhere
0 0 RETURN all – any any anywhere anywhere MAC 94:17:00:3F:BF:AE

Chain _NDM_IKE1SRVVPN_FWD (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all – xfrms1 br0 anywhere anywhere
0 0 ACCEPT all – br0 xfrms1 anywhere anywhere
0 0 ACCEPT all – xfrms1 xfrms1 anywhere anywhere
0 0 ACCEPT all – xfrms1 ppp0 anywhere anywhere
0 0 ACCEPT all – ppp0 xfrms1 anywhere anywhere
0 0 ACCEPT all – vpn+ xfrms1 anywhere anywhere match-set _NDM_SRV_IKE1SRVVPN src return-nomatch ! update-counters ! update-subcounters
0 0 ACCEPT all – sstp+ xfrms1 anywhere anywhere match-set _NDM_SRV_IKE1SRVVPN src return-nomatch ! update-counters ! update-subcounters
0 0 ACCEPT all – l2tp+ xfrms1 anywhere anywhere match-set _NDM_SRV_IKE1SRVVPN src return-nomatch ! update-counters ! update-subcounters
0 0 ACCEPT all – oc+ xfrms1 anywhere anywhere match-set _NDM_SRV_IKE1SRVVPN src return-nomatch ! update-counters ! update-subcounters
0 0 ACCEPT all – xfrms2 xfrms1 anywhere anywhere match-set _NDM_SRV_IKE1SRVVPN src return-nomatch ! update-counters ! update-subcounters

Chain _NDM_IKE1SRVVPN_IN (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all – xfrms1 any anywhere 192.168.40.1
0 0 ACCEPT udp – xfrms1 any anywhere anywhere udp dpt:bootps

Chain _NDM_IKE1SRVVPN_OUT (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all – any xfrms1 192.168.40.1 anywhere

Chain _NDM_IKE2SRVVPN_FWD (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all – xfrms2 br0 anywhere anywhere
0 0 ACCEPT all – br0 xfrms2 anywhere anywhere
0 0 ACCEPT all – xfrms2 xfrms2 anywhere anywhere
0 0 ACCEPT all – xfrms2 ppp0 anywhere anywhere
0 0 ACCEPT all – ppp0 xfrms2 anywhere anywhere
0 0 ACCEPT all – vpn+ xfrms2 anywhere anywhere match-set _NDM_SRV_IKE2SRVVPN src return-nomatch ! update-counters ! update-subcounters
0 0 ACCEPT all – sstp+ xfrms2 anywhere anywhere match-set _NDM_SRV_IKE2SRVVPN src return-nomatch ! update-counters ! update-subcounters
0 0 ACCEPT all – l2tp+ xfrms2 anywhere anywhere match-set _NDM_SRV_IKE2SRVVPN src return-nomatch ! update-counters ! update-subcounters
0 0 ACCEPT all – oc+ xfrms2 anywhere anywhere match-set _NDM_SRV_IKE2SRVVPN src return-nomatch ! update-counters ! update-subcounters
0 0 ACCEPT all – xfrms1 xfrms2 anywhere anywhere match-set _NDM_SRV_IKE2SRVVPN src return-nomatch ! update-counters ! update-subcounters

Chain _NDM_IKE2SRVVPN_IN (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all – xfrms2 any anywhere 192.168.40.1
0 0 ACCEPT udp – xfrms2 any anywhere anywhere udp dpt:bootps

Chain _NDM_IKE2SRVVPN_OUT (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all – any xfrms2 192.168.40.1 anywhere

Chain _NDM_INPUT (1 references)
pkts bytes target prot opt in out source 0 0 ACCEPT udp – any any anywhere 0 0 _NDM_SL_PROTECT udp – any any 0 0 _NDM_IP_PUBLIC all – eth3 any 0 0 _NDM_IP_PRIVATE all – ra6 any 0 0 _NDM_IP_PRIVATE all – ra2 any 0 0 _NDM_IP_PRIVATE all – ra3 any 0 0 _NDM_IP_PRIVATE all – ra5 any 0 0 _NDM_IP_PRIVATE all – ra4 any 0 0 _NDM_IP_PUBLIC all – apcli0 any 0 0 _NDM_IP_PRIVATE all – rai6 any 0 0 _NDM_IP_PRIVATE all – rai5 any 0 0 _NDM_IP_PRIVATE all – rai4 any 0 0 _NDM_IP_PRIVATE all – rai3 any 0 0 _NDM_IP_PRIVATE all – rai2 any 0 0 _NDM_IP_PUBLIC all – apclii0 any 0 0 _NDM_SL_PROTECT tcp – any any 0 0 _NDM_SL_PROTECT udp – any any 6 456 _NDM_SL_PROTECT udp – any any 158 10332 _NDM_IKE1SRVVPN_IN all – any any 158 10332 _NDM_IKE2SRVVPN_IN all – any any 158 10332 _NDM_IP_PRIVATE all – br0 any 0 0 _NDM_IP_PROTECT all – br1 any 0 0 _NDM_IP_PUBLIC all – ppp0 any 0 0 _NDM_IP_PUBLIC all – ppp1 any 0 0 _NDM_IP_PUBLIC all – ppp2 any 0 0 _NDM_IP_PUBLIC all – ppp3 any 0 0 _NDM_IP_PUBLIC all – ovpn_br0 any 0 0 _NDM_IP_PUBLIC all – nwg0 any 0 0 _NDM_IP_PUBLIC all – nwg1 any 0 0 _NDM_IP_PUBLIC all – nwg2 any 0 0 _NDM_IP_PUBLIC all – ovpn_br1 any 0 0 _NDM_IP_PUBLIC all – nwg3 any destination
anywhere udp spt:bootps dpt:bootpc
anywhere anywhere udp spts:bootps:bootpc dpts:bootps:bootpc
anywhere !my.keenetic.net slin 3 (public)
anywhere anywhere slin 1 (private)
anywhere anywhere slin 1 (private)
anywhere anywhere slin 1 (private)
anywhere anywhere slin 1 (private)
anywhere anywhere slin 1 (private)
anywhere !my.keenetic.net slin 3 (public)
anywhere anywhere slin 1 (private)
anywhere anywhere slin 1 (private)
anywhere anywhere slin 1 (private)
anywhere anywhere slin 1 (private)
anywhere anywhere slin 1 (private)
anywhere !my.keenetic.net slin 3 (public)
anywhere anywhere tcp dpt:3517
anywhere anywhere udp dpt:3517
anywhere anywhere udp dpt:3518
anywhere anywhere
anywhere anywhere
anywhere anywhere slin 1 (private)
anywhere !my.keenetic.net slin 2 (protected)
anywhere !my.keenetic.net slin 3 (public)
anywhere !my.keenetic.net slin 3 (public)
anywhere !my.keenetic.net slin 3 (public)
anywhere !my.keenetic.net slin 3 (public)
anywhere !my.keenetic.net slin 3 (public)
anywhere !my.keenetic.net slin 3 (public)
anywhere !my.keenetic.net slin 3 (public)
anywhere !my.keenetic.net slin 3 (public)
anywhere !my.keenetic.net slin 3 (public)
anywhere !my.keenetic.net slin 3 (public)

Chain _NDM_IPSEC_FORWARD (1 references)
pkts bytes target prot opt in out source destination

Chain _NDM_IPSEC_INPUT_FILTER (1 references)
pkts bytes target prot opt in out source destination

Chain _NDM_IPSEC_INPUT_FLT_BPS (0 references)
pkts bytes target prot opt in out source destination

Chain _NDM_IPSEC_OUTPUT_FILTER (1 references)
pkts bytes target prot opt in out source destination

Chain _NDM_IPSEC_OUTPUT_FLT_BPS (0 references)
pkts bytes target prot opt in out source destination

Chain _NDM_IP_PRIVATE (11 references)
pkts bytes target prot opt in out source destination
158 10332 _NDM_IP_PROTECT all – any any anywhere anywhere

Chain _NDM_IP_PROTECT (2 references)
pkts bytes target prot opt in out source destination
158 10332 _NDM_IP_PUBLIC all – any any anywhere anywhere
39 2674 _NDM_SL_PROTECT udp – any any anywhere anywhere udp dpt:domain
0 0 _NDM_SL_PROTECT tcp – any any anywhere anywhere tcp dpt:domain

Chain _NDM_IP_PUBLIC (14 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT udp – any any anywhere anywhere udp dpt:isakmp
0 0 ACCEPT udp – any any anywhere anywhere udp dpt:4500
0 0 ACCEPT udp – any any anywhere anywhere udp dpt:44852
0 0 ACCEPT udp – any any anywhere anywhere udp dpt:43077
0 0 ACCEPT tcp – any any anywhere anywhere tcp dpt:2022
0 0 ACCEPT udp – any any anywhere anywhere udp dpt:42716
0 0 ACCEPT udp – any any anywhere anywhere udp dpt:42442
0 0 ACCEPT udp – any any anywhere anywhere udp dpt:44171

Chain _NDM_MULTICAST_INPUT (2 references)
pkts bytes target prot opt in out source destination
323 110K ACCEPT all – any any anywhere anywhere

Chain _NDM_OUTPUT (1 references)
pkts bytes target prot opt in out source destination

Chain _NDM_SL_FORWARD (1 references)
pkts bytes target prot opt in out source destination
0 0 _NDM_SL_PROTECT all – any eth3 anywhere anywhere state NEW
0 0 _NDM_SL_PROTECT all – any apcli0 anywhere anywhere state NEW
0 0 _NDM_SL_PROTECT all – any apclii0 anywhere anywhere state NEW
231 26380 _NDM_SL_PROTECT all – any ppp0 anywhere anywhere state NEW
0 0 _NDM_SL_PROTECT all – any ppp1 anywhere anywhere state NEW
0 0 _NDM_SL_PROTECT all – any ppp2 anywhere anywhere state NEW
0 0 _NDM_SL_PROTECT all – any ppp3 anywhere anywhere state NEW
0 0 _NDM_SL_PROTECT all – any ovpn_br0 anywhere anywhere state NEW
0 0 _NDM_SL_PROTECT all – any nwg0 anywhere anywhere state NEW
0 0 _NDM_SL_PROTECT all – any nwg1 anywhere anywhere state NEW
0 0 _NDM_SL_PROTECT all – any nwg2 anywhere anywhere state NEW
0 0 _NDM_SL_PROTECT all – any ovpn_br1 anywhere anywhere state NEW
0 0 _NDM_SL_PROTECT all – any nwg3 anywhere anywhere state NEW

Chain _NDM_SL_PRIVATE (2 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all – ra6 any anywhere anywhere state NEW
0 0 ACCEPT all – ra2 any anywhere anywhere state NEW
0 0 ACCEPT all – ra3 any anywhere anywhere state NEW
0 0 ACCEPT all – ra5 any anywhere anywhere state NEW
0 0 ACCEPT all – ra4 any anywhere anywhere state NEW
0 0 ACCEPT all – rai6 any anywhere anywhere state NEW
0 0 ACCEPT all – rai5 any anywhere anywhere state NEW
0 0 ACCEPT all – rai4 any anywhere anywhere state NEW
0 0 ACCEPT all – rai3 any anywhere anywhere state NEW
0 0 ACCEPT all – rai2 any anywhere anywhere state NEW
395 37168 ACCEPT all – br0 any anywhere anywhere state NEW

Chain _NDM_SL_PROTECT (19 references)
pkts bytes target prot opt in out source destination
276 29510 _NDM_SL_PRIVATE all – any any anywhere anywhere
0 0 ACCEPT all – br1 any anywhere anywhere state NEW

Chain _NDM_TUNNELS_INPUT (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT ipv6-crypt-- any any anywhere anywhere
0 0 ACCEPT gre – any any anywhere anywhere
0 0 ACCEPT ipencap-- any any anywhere anywhere

Chain _NDM_UPNP_FORWARD_SYS (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT udp – any any anywhere 192.168.40.35 match-set _UPNP_SYS src,src udp dpt:13688

Chain _NDM_VPN_FORWARD (1 references)
pkts bytes target prot opt in out source destination
243 26860 _NDM_IKE1SRVVPN_FWD all – any any anywhere anywhere
243 26860 _NDM_IKE2SRVVPN_FWD all – any any anywhere anywhere

ivanixa333 · January 12, 2025, 10:32am

без лечилки вообще не работает с лечилкой временно работает 5 20 минут иногда до часу работает а потом глохнет пока не перезапустишь запрет

bolvan · January 12, 2025, 10:33am

Тогда не в правилах проблема, а в том, что кинетиковская прошивка сносит чужие для нее правила периодически. Там нужен хук, чтобы их восстанавливать. Может он перестал работать, они что-то поменяли. Я не знаю, это надо к кинетиководам идти спрашивать или самому разобрать
С новой версией zapret , которая отказалась от MODE= , там и хук тоже надо переделать под нее. Если в хуке проверяется $MODE - это оно

ivanixa333 · January 12, 2025, 10:43am

извините а будет ли когда нибудь прошивка openwrt для keenetic peak хотел бы поставит но у них ее нету