Как использовать Acorp LAN x22 в качестве маршрутизатора?, Делаем из модема роутер для Корбины Опции

[CERGE]

Доброго времени суток

Немного не по теме, если администрация сочтёт необходимым - перенесите в новую тему.
Но, похоже, назревает интересная тема для изучения и обсуждения.
Речь идет об атаке на адсл маршрутизатор и захват управления им со стороны злоумышленника.
В журнале "Компьютерное обозрение" №11 за 2009 год проскочило сообщение в новостях.
Содержание оного на прилагаемом скрине. Данный номер журнала был скачан с torrent/dml
по адресу http://torrent.dml/index.php?page=torrent-...3a198c062f9d55d

Интересен момент, при атаке правится прошивка устройства и маршрутизатор можно вылечить только путем перепрошивки или после хард-ресета угроза устраняется? И второй момент - как выяснить, кроме обнаружения наличия паразитного траффика, не стал ли ТВОЙ маршрутизатор жертвой чьих-то злых замыслов?

[Parus]

Доброго времени суток

этот червяк вроде после себе веб и телнет закрывает.
+ ls /var/tmp/udhcpc.env

[CERGE]

Хм... Ну и как лечим его в итоге?

[Parus]

Хм... Ну и как лечим его в итоге?

если резет не поможет, то никак, нужен паяльник и программатор... ибо он функции администрирования закрывает, хотя..... если способ, придумал!!!: делаем левый DNS и IRC сервер, делаем чтобы роутер лез именно на него... и даём команду убрать правило iptables, запрещающее доступ, зы команды: http://decker.local/forum/index.php?showtopic=2747
а у тебя что, модем заразился?

[CERGE]

ВЫ мое сообщение читали? Там нет слов о заражении моего модема. Только информация о самой напасти и всё :-)
Но к превентивному удару уже готовлюсь :-)) Надо знать врага в лицо.
Про себя замечу, что доступ к админке модема открыт только через LAN, а WAN-порт закрыт для управления извне.

P.S. Ресет сбрасывает все настройки по умолчанию, доступ к администрированию в том числе, но вот если вирусом правится еще и сама прошивка, то либо перепрошивка по фтп, либо в случае убивания встроенного в модем фтп - только перепрошивка программатором :-(

[Decker]

Так, господа, не нагоняем излишней паники ... превентивная мера - поставить неподбираемый пароль, все. Никакие вирусы нам не страшны. ФС в данных модемах не сохраняет изменения при перезагрузке дейвайса, так что после простого выключения питания модема - все придет в норму, и даже если бы сохраняла - всегда есть ADAM2 (сразу же после включения модема в течении нескольких секунд коннектимся по FTP и вуаля), через который можно влить прошивку, ну а backup конфига - подразумевается что он у вас есть Так что без паники.

[CERGE]

Собственно... исчерпывающий ответ :-) Но о данной теме люди должны знать, дабы бдительность не теряли.

[Decker]

Собственно... исчерпывающий ответ :-) Но о данной теме люди должны знать, дабы бдительность не теряли.

Кому интересно "пофлудить" о черве - милости просим - Червь для Linux-based роутеров, плюс рекомендуется ознакомиться с вот этим сообщением, дабы оно сохранилось и у нас, приведу его вот здесь:

Эта хрень постоянно комне ломится и брутфорсит пароли по ssh))

ЗЫ Кто не знает, модемы семейства acorp x22 имеют говеную привычку при поднятии второго соединения (например local) выставлять наружу этого соединения порты SSH и DNS (dnsmasq) в результате при покупке и установке модема (парольку поленился поменять) сразу получил в подарок псибота) а халявным ДНС-ом и сейчас пользуются)) Вот такая вот история.
Возвращаясь к открытому порту SSH, лазая по форуму поддержки акорпа наткнулся на сообщение нашего Декера (Decker) как раз об этом же трабле, ответ от разработчика прошивок был что-то вроде "у меня все норм, проблема в ваших руках", так что когда пофиксят ХЗ((. Еще кое-что, смена логина не играет роли, при входе по SSH он всегда root так что будьте внимательнее и ставьте парольки по сильнее.

[CERGE]

Флудить и не собирался, а за информацию еще раз большое спасибо :-)

[CERGE]

Уф.... в предверии перехода с адсл на Ethernet купил-таки сей девайс. Отпишусь что имел и что получил. Сразу отмечу, что пока роутер работает на адсл. Переход на 100Мбит планируется не ранее мая. Итак....

Изначально прошивка была версии Acorp_LAN422_V.2.04.RU.01052008_DSP7.02 , в которой не было даже намека на использование приборчика в роли маршрутизатора для LAN. А документация и компакт-диск вообще от моделей серии х20 положили. Ну и гарантийник теперь фирменный не кладут, продавцы дают год гарантии, а сам акорп ровно три. Вот и доказывай потом в сервисном центре, что гарантия на 2 года больше... После прошивки последней версии на момент покупки, а ею стала Acorp_LAN422_V.2.06.B3.RU.28032009_DSP7, взята я с сайта DDIXlab, в веб-интерфейсе устройства появилось PPPoEL :-) ДСП версии 7 взял как наиболее устойчивый на моей АТС. Опыт, знаете ли как и.... приходит не сразу
Другой версии на указанном сайте не выложено. А на сайт разработчика McMCC лезть пока лень, да и версий прошивок там так много.....

На данный момент роутер берет сеть по адсл, но именно в режиме адсл-роутера у него наблюдаются странности - диси работает без проблем, торрент не качает, многие странички не открываются ни в инете , ни в локале. Хотя все необходимые настройки сделаны и порты проброшены по аналогии с его предшественником 120М.

Вопрос к имевшим опыт работы с этим приборчиком такой - какую версию прошивки попробовать как наиболее стабильную в работе сначала на адсл, а потом перейдя смело на Ethernet? Просто теперь два модема примерно равной функциональности. Будет вернее сразу 422 модель уже и поставить для доступа в сеть. А при подключении Ethernet соответственно переконфигурировать WANы в роутере, а 120 модель продать поскорее для компенсации затрат на приобретение 422ого Либо другу подарить доброму.

Спасибо всем откликнувшимся.

P.S. По новой версии прошивки вот вам инфа )

Acorp_LAN422_V.2.06.B3.RU.28032009_DSP7.zip (2.29 MB) Details Download
Исправления внесенные в эту прошивку:

- Исправления в системе conntrack pptp/gre, pptp kernel mode driver.
pptp_k - статус тест!
- Добавлена возможность отключения управляемого режима работы свитча.
Для отключения управления портами:
echo "switch_mode ncs" > /proc/ticfg/env
Для включения управления портами:
echo "switch_mode" > /proc/ticfg/env
! После выполнения команды в консоли необходимо сбросить настройки
модема
После перезагрузки системе будет доступен только один интерфейс порта
eth0, но управление физическими параметрами будет доступно для каждого
порта.
- Добавлена модификация протокола tcp reno - westwood для достижения большей
эффективности использования канала.
Для использования алгоритма westwood:
echo "westwood on" > /proc/ticfg/env
Для выключения:
echo "westwood" > /proc/ticfg/env
Настройка активируется после перезагрузки устройства.
- Добавлена возможность ограничивать кол-во одновременных соединений с
компьютеров в сети через правило connmark.
Пример:
разрешить не более 2 telnet соединений на клиента через модем:
iptables -A FORWARD -p tcp --syn --dport 23 -m connlimit --connlimit-above 2 -j DROP
- Исправлен алгоритм для перезапуска PPPOEL соединения после нескольких
подряд ошибок авторизации.
- Исправлена установка статического IP адреса для LAN группы
- Исправлена ошибка запуска IPTV HTTP-прокси при настройке через лан группу,
которая в свою очередь настроена на получение IP-адреса по DHCP.
- Заморозка кода, только исправление ошибок перед релизом.
- Исправлен web интерфейс настройки DDNS клиента.
- Исправлен модуль настройки udpxy.

Обсуждение работы прошивки: http://www.ddixlab.ru/forum/viewtopic.php?t=199

По непонятным причинам страничка разработчика прошивок http://mcmcc.bat.ru/acorp/ не работает
Никто не в курсе, что случилось?

[CERGE]

Установка галочки [x] Use DNS Proxy решила все проблемы. Все открывается, качает и даже конфиг модема сбрасывается на комп прямо через веб-интерфейс. Спасибо за помощь, Decker :-)
Начинаю обкатку девайса на адсл, а затем, если случится чудо, погоняем модем как маршрутизатор для LAN.
Ждите новостей, если модем не спалю )))))

P.S. Вот тут http://www.ddixlab.ru/forum/viewtopic.php?...5&start=120 на страничке 9 есть сообщеньице....

"вопрос в том, что когда я соединяю ethernet кабель напрямую с компом скорость скачки в dc++ с определённого компа 70 мбит/с. Когда вставляю кабель в роутре, то скорость скачки с него не превышает 25 мбит/с.. начинаешь качать ещё с двух или трёх компов. суммараная скорость получается всё равно не более 25 мбит/с.. Вопрос : почему так получается, при то что скорость модема 54 мбит/с. То есть получается буквально половина от всего канала. Словно статически ограничивается.."

... и ответ на него....

"Это уже физическое ограничение модема (а так-же некоторых роутеров) с этим уже ничего не поделаешь"

Фраза про скорость модема 54Мбит/с мне не до конца ясна, но для адсл2+ скорость максимум 24Мбит/с. Т.е. аппаратная начинка, рассчитанная изначально на работу с адсл-траффиком, вполне "сильная" и выдает скорости, на которые рассчитана разработчиком, т.е. не выше 24Мбит/с с небольшим плюсиком. Ведь работу адсл-модема в роли Ethernet маршрутизатора никто не обещал. Вернее, такое даже не планировалось разработчиками начинки аппарата при его разработке. Изначальная ниша модема - работа именно с алсл траффиком и он с ней вполне справляется.

Так что... или безопасность и удобство, или некоторое снижение скорости работы в сети Выбирайте.
Впрочем, если ЦТ и на LAN кабеле будет резать скорости как на адсл, то величина потери скорости уменьшается с ростом обрезки скоростей со стороны ЦТ Вот скоро и проверим, как оно на самом деле.

[CERGE]

Переход на релиз Acorp_LAN422_V[1].2.06.RU.23042009_DSP7 принес немного более быстрореагирующий веб-интерфейс. На главной страничке пропало отображение загрузки процессора и памяти модема в процентах. Но по показаниям программы акорпмонитор ВЫРОСЛО число ошибок со стороны модема до нескольких сотен :-(( До этого оно было мизерным - около 10 ошибок за 3-4- часа работы. Открытие страничек в сети снова стало быстрым. Значит, что-то все-таки было не так в бета-прошивках. Стабильность адсл- канала пока проверяю. На предыдущей прошивке модем изредка (как правило днем) после 1,5-2 часов работы останавливал обмен данными с сетью, не разрывая коннект с DSLAM провайдера. После сброса питания модем снова работал как ни в чем не бывало....

[CERGE]

Собственно... сегодня сбылось. Что пока увидел? Около 3 Мб/с на прием и отдачу в максимуме при закачке с торрента.
Часа через 2-3 будет видно что и как, когда в сети будет побольше народу на раздаче.

Попозже попробую собрать свои впечатления в кучку и инструкцию настройки в картинках сделать. Думается, это может пригодиться не только мне Но пока все в планах, как говорится.

Прямо в ПК кабель не пихал и скорости не смотрел, сразу включил через акорп 422 с PPPoEL настройкой.

[Decker]

Угу ... поздравляю ) А по-поводу PPPoEL думаю особенных инструкций не надо, все описано вообщем-то в темах на forum.local, там вся разница-то - вынести LAN порт в отдельный LAN Group и указать ее в PPPoEL. Впрочем, если желание есть - нарисуй в картинках

[CERGE]

Угу ... поздравляю ) А по-поводу PPPoEL думаю особенных инструкций не надо, все описано вообщем-то в темах на forum.local, там вся разница-то - вынести LAN порт в отдельный LAN Group и указать ее в PPPoEL. Впрочем, если желание есть - нарисуй в картинках

Чуть позже будет сделано... в данный момент гостями занят ну и так по хозяйству параллельно вожусь.
В центре города видел в одной организации скорости 5-7 Мб/с в обе стороны, у меня пока видно примерно половинку от этого, но в сравнении с модемом адсл однозначно шустрее, удобнее, да и странички открываются со скоростью звука

Кстати, по твоему вопросу ... жди к осени самое позднее, а скорее летом. И будет и на твоей улице праздник

[Edynchik]

А если корбина и так работает(без прописывания статических маршрутов),их обязательно прописывать?

[Decker]

А если корбина и так работает(без прописывания статических маршрутов),их обязательно прописывать?

Прописывание статических маршрутов необходимо для получения доступа к некоторым ресурсам, предоставляемым Корбина-Телеком / Билайн без выхода в интернет, т.е. не запуская VPN подключение. В качестве примера, через корбиновскую локалку, можно к примеру зайти на post.ru, некоторые области beeline.ru и т.п. Но с этим вопросом лучше переместиться в тему Роутинг и как его прописать?.

[Edynchik]

а в винде все это дело прописывать надо?

corbina.ru, help.corbina.ru, home.corbina.ru
route -p add 89.179.135.67 mask 255.255.255.255 шлюз
Форум homenet.corbina.net
route -p add 85.21.72.83 mask 255.255.255.255 шлюз
ftp.corbina.net
route -p add 195.14.50.21 mask 255.255.255.255 шлюз
Игровые сервера
route -p add 85.21.37.16 mask 255.255.255.240 шлюз
Локальная сеть
route -p add 10.0.0.0 mask 255.0.0.0 шлюз
Сервер статистики
route -p add 195.14.50.26 mask 255.255.255.255 шлюз
SIP-сервер
route -p add 195.14.50.93 mask 255.255.255.255 шлюз
NTP-Сервер
route -p add 195.14.40.141 mask 255.255.255.255 шлюз

[Decker]

а в винде все это дело прописывать надо?

corbina.ru, help.corbina.ru, home.corbina.ru
route -p add 89.179.135.67 mask 255.255.255.255 шлюз
Форум homenet.corbina.net
route -p add 85.21.72.83 mask 255.255.255.255 шлюз
ftp.corbina.net
route -p add 195.14.50.21 mask 255.255.255.255 шлюз
Игровые сервера
route -p add 85.21.37.16 mask 255.255.255.240 шлюз
Локальная сеть
route -p add 10.0.0.0 mask 255.0.0.0 шлюз
Сервер статистики
route -p add 195.14.50.26 mask 255.255.255.255 шлюз
SIP-сервер
route -p add 195.14.50.93 mask 255.255.255.255 шлюз
NTP-Сервер
route -p add 195.14.40.141 mask 255.255.255.255 шлюз

Еще раз повторяю, с этими вопросами в тему Роутинг и как его прописать?, как раз там подробно и написано, как прописать роутинг в ОС Windows и зачем это нужно. В теме есть подробная таблица, что, зачем, скрипты, которые автоматически роутинг прописывают и т.п. В этой теме обсуждение маршрутизации в Корбине безотносительно к Acorp LAN x22 оффтопик.

[Edynchik]

Код

iptables -t nat -I PREROUTING -p tcp -i br1 --dport 80 -j DNAT --to-destination 192.168.1.2:80
iptables -I FORWARD -p tcp -i br1 -d 192.168.1.2 --dport 80 -j ACCEPT

А что случится если их несколько раз попробовать прописать, я вот сделал(может и с ошибками) раньше было в (http://decker.corb.exdns.net/testport.php?port=411) порт открыт, а теперь нет...а 80 так и не был открыт...и как с этим побороться....Спасибо