- Saved searches
- Use saved searches to filter your results more quickly
- License
- krabelize/openwrt-random-mac-changer
- Name already in use
- Sign In Required
- Launching GitHub Desktop
- Launching GitHub Desktop
- Launching Xcode
- Launching Visual Studio Code
- Latest commit
- Git stats
- Files
- README.md
- About
- Первоначальная настройка OpenWRT ч.1
Saved searches
Use saved searches to filter your results more quickly
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session.
OpenWrt change MAC adres on any interface
License
krabelize/openwrt-random-mac-changer
This commit does not belong to any branch on this repository, and may belong to a fork outside of the repository.
Name already in use
A tag already exists with the provided branch name. Many Git commands accept both tag and branch names, so creating this branch may cause unexpected behavior. Are you sure you want to create this branch?
Sign In Required
Please sign in to use Codespaces.
Launching GitHub Desktop
If nothing happens, download GitHub Desktop and try again.
Launching GitHub Desktop
If nothing happens, download GitHub Desktop and try again.
Launching Xcode
If nothing happens, download Xcode and try again.
Launching Visual Studio Code
Your codespace will open once ready.
There was a problem preparing your codespace, please try again.
Latest commit
Git stats
Files
Failed to load latest commit information.
README.md
OpenWrt random MAC changer
This script changes the MAC address on OpenWrt on any specified (v)NIC interface. Change th OUI of the MAC address in line 13 to a legitmate NIC vendor for RFC and IEEE compliancy. The 802.1X authentication server might have a validator in place to check spoofed MAC addresses against the above IEEE database.
Read this blog post for more information.
Install MAC address changer script:
$ chmod +x /etc/init.d/mac-change.sh $ /etc/init.d/mac-change.sh enable
$ /etc/init.d/mac-change.sh enabled && echo on on
Edit /etc/rc.local to execute on startup in case the init is too slow:
$ vi /etc/rc.local /etc/init.d/mac-change.sh start exit 0
Use the logread command to for debugging and troubleshooting the script. More info on init scripts.
Leverage the crontab utilty if you want to change your MAC address every 3 hours:
$ crontab -e * 3 * * * /etc/init.d/mac-change.sh start
$ crontab -l * 3 * * * /etc/init.d/mac-change.sh start
Berkeley Software Distribution (BSD)
Jeroen van Kessel | cryptsus.com — we craft cyber security solutions
About
OpenWrt change MAC adres on any interface
Первоначальная настройка OpenWRT ч.1
Немного ранее я уже писал про плюсы и минусы OpenWRT, а теперь хочется добавить конкретики.
Итак, дружище, ты прошился на OpenWRT, поэтому принимай мои поздравления. Теперь ты будешь смотреть на мир иначе, ведь баги, глюки и прочие непонятные вещи (на подобии редактора vi) теперь будут тебя радовать постоянно и преследовать в кошмарных снах (шутка).
Приведу здесь шаги для улучшения работы, безопасности и удобства использования маршрутизатора после установки чистой версии OpenWRT. Да-да, есть еще готовые сборки с настроенным софтом, сервисами, разгоном проца и куртизанками, но под конкретную модель роутера. Их можно найти на 4pda и схожих ресурсах.
0. Устанавливаем сложный пароль для учетки root
Пароль должен быть вида G4eSN»A!»2Nr’l-sN’dK
1. Смена IP адресации локальной сети
Пункт необязателен, он выполняется по желанию или необходимости.
Редактируем файл
vi /etc/config/network
нажимаем «i» и входим в режим редактирования, изменяем IP с 192.168.1.1 на 192.168.100.1 , жмакаем Esc 2 раза и выходим с сохранением при помощи
:wq
далее выполняем
/etc/init.d/network restart
смена IPШника является немного проблемной начиная с версии 18, т.к. там был внедрен автооткат настроек.
Если есть доступ в инет, то ставим редактор nano и не сношаем мозги работой с vi.
2. Изменяем порты Web-интерфейса и SSH-сервера
Первое выполняется путем редактирования файла /etc/config/uhttpd через ssh
list listen_http 0.0.0.0:34567
list listen_http [::]:34567
list listen_https 0.0.0.0:45678
list listen_https [::]:45678
сохраняем.
Далее через ssh (или вебморду) ставим необходимые пакеты:
install luci-lib-px5g px5g-standalone luci-ssl-openssl libustream-openssl
и выполняем
/etc/init.d/uhttpd restart
иногда настройки не применяются и необходима перезагрузка маршрутизатора.
Изменить порт SSH можно через web-интерфейс перейдя System-Administration или через редактирование файла /etc/config/dropbear.
Перезапуск демона производится командой
/etc/init.d/dropbear restart
Дополнительно обрати внимание, чтоб telnet был отключен, а ssh доступен только из зоны LAN.
Все это проделывается для того, чтоб сбить с толку злоумышленника или зловредное ПО. Ведь роутер может использоваться не только в домашней сети, состоящей из телевизора и двух смартфонов.
3. Русификация
Ставим пакет luci-i18n-base-ru и жмакаем F5.
4. Установка скинов
Ставим пакет luci-theme-material и luci-theme-freifunk-generic и каждый раз жмакаем F5 для просмотра новой темы.
5. Настройка Wi-Fi
Основной момент заключается в использовании длинного пароля в связке с алгоритмом AES + шифрование WPA2-PSK. Пароль должен быть вида G4eSN»A!»2Nr’l-sN’dK. Не используй один пароль для wifi и админки маршрутизатора. Можно для самоуспокоения скрыть имя точки доступа отметив чекбокс «Hide ESSID». В идеале необходимо уменьшить мощность передатчика (т.к. эфир 2.4ГГц и так замусорен в многоэтажках) и найти максимально свободный канал используя ПО типа Inssider.
Так-же можно добавить планировщик работы Wi-Fi, который будет выключать и включать беспроводные интерфейсы в указанное время. С консоли это делается так: opkg install wifischedule luci-app-wifischedule luci-i18n-wifischedule-ru
Теперь можно переходить в Сервисы — Wi-Fi планировщик и настраивать расписание работы WIFI.
Дополнительно см. ссылки внизу.
6. Настройка Firewall
Что мы будем защищать? Первое — это маршрутизатор от скана портов, второе — SSH и HTTPS от брутфорса паролей.
Устанавливаем необходимые модули для Iptables:
opkg install iptables-mod-condition iptables-mod-hashlimit iptables-mod-ipsec iptables-mod-ipv4options iptables-mod-physdev iptables-mod-psd kmod-ipt-conntrack kmod-ipt-compat-xtables iptables-mod-extra
Пилим защиту от скана портов:
iptables -I INPUT 2 -p tcp —tcp-flags ALL NONE -j DROP
iptables -I INPUT 3 -p tcp —tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -I INPUT 4 -p tcp —tcp-flags SYN,RST SYN,RST -j DROP
iptables -I INPUT 5 -p tcp —tcp-flags FIN,RST FIN,RST -j DROP
iptables -I INPUT 6 -p tcp —tcp-flags ACK,FIN FIN -j DROP
iptables -I INPUT 7 -p tcp —tcp-flags ACK,PSH PSH -j DROP
iptables -I INPUT 8 -p tcp —tcp-flags ACK,URG URG -j DROP
iptables -I INPUT 9 -p tcp -m tcp —tcp-flags FIN,ACK FIN -j DROP
iptables -I INPUT 10 -p tcp -m tcp —tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
iptables -I INPUT 11 -p tcp -m tcp —tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
iptables -I INPUT 12 -m psd -j DROP
Пилим защиту от брутфорса паролей ssh:
7. Меняем MAC снаружи и MAC Wi-Fi
Зачем нам менять МАС? Для того, чтоб обмануть злоумышленника или вредонос. Приведу пример, допустим у тебя стоит TP-Link, который имеет непропатченую производителем уязвимость и по MAC адресу интерфейса можно определить, какой у тебя производитель маршрутизатора и поискать уязвимости. Поэтому мы будем маскироваться под что-то другое, допустим под D-Link.
Физический адрес интерфейса меняется в файлах:
/etc/config/wireless
/etc/config/network
или руками через web-интерфейс.
8. Настройка DDNS
Ставим необходимые пакеты
opkg install luci-app-ddns luci-i18n-ddns-ru
идем в Сервисы-Динамический DNS и настраиваем согласно настройкам своего DDNS провайдера. Там все просто.
Или есть второй вариант — добавить обновление DDNS связки адрес<>IP в cron.
9. Настраиваем iperf3 на маршрутизаторе
Для автоматического запуска iperf3 в виде демона ставим сам iperf3, а далее идем в вебморду роутера Система-Загрузка и туда вписываем
/usr/bin/iperf3 -f Mbits -B 192.168.100.1 -D -s &
или вписываем строку в /etc/rc.local.
10. Остальные плюшки и советы
Главный момент — это ограничение места на флешке твоего маршрутизатора, которое лимирует количество устанавливаемого софта.
Советую поставить nano, чтоб удобнее было редактировать настройки.
Для супер-безопасного соединения со своим маршрутизатором можно пробрасывать порт web-морды средствами ssh. В общем, возможно подымать полноценное VPN соединение средствами SSH. Как? Гугл в помощь!
Если по USB подключен винт, то можно мониторить его состояние утилитой smartmontool.
Если есть 2 провайдера, то можно настроить multiwan.
Управление роутером через Zerotier.
Есть возможность запилить WOL на маршрутизаторе, т.е. подключаешься к роутеру снаружи, будишь домашний камп, который полностью выключен (если WOL настроен в BIOS’е) и потом заходишь на домашний комп любым средством для удаленного управления. Для этого необходимо поставить пакеты luci-app-wol и luci-i18n-wol-ru etherwake.
Режем рекламу средствами OpenWRT. И не только рекламу, а еще и хосты, замеченные в атаках или рассылках спама.