老毛子padavan实现修改自定义ssh端口和ipv6外网访问

已于 2022-04-10 21:08:55 修改
阅读量1.7w 收藏 10
点赞数 2
文章标签: ssh linux 网络安全 嵌入式硬件 安全
于 2022-04-10 20:39:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wodemamaa/article/details/124076734
版权

文章目录

前言

本文目的:padavan下,自定义 SSH 端口 并实现 ipv6 外网访问

本文记录于 2022年4月10日,随着固件更新可能会存在变动。

最近在倒腾路由器固件,使用的是 hiboy 大的 padavan 固件。

在 WebUI 中,可以启用内网下 22 端口的服务,并通过端口转发实现 ipv4 下的外网访问,但是 ipv6 暂时不行。

一、WebUI 中现有的相关选项

像路由器这种设备的 SSH服务 通常是由 dropbear 提供的,默认端口是22。

1 高级设置 - 系统管理 - 服务 - 终端服务

这里可以启用 SSH 服务。
启用SSH服务设置
根据我的理解,WebUI 的设置是通过 /usr/bin/sshd.sh 实现其功能的,这里截取startstop 两部分:

#!/bin/sh
...

func_start()
{
	key_a=""
	key_s=""
	key_4=""

	[ ! -d "$dir_storage" ] && mkdir -p -m 755 $dir_storage

	old_pattern="/etc/storage/dropbear_"
	for i in rsa_host_key dss_host_key ecdsa_host_key ; do
		[ -f "${old_pattern}_${i}" ] && mv -n "${old_pattern}_${i}" "$dir_storage/${i}"
	done

	if [ ! -f "$rsa_key" ] || [ ! -f "$dss_key" ] ; then
		func_createkeys
	fi

	if [ ! -f "$ecdsa_key" ] ; then
		/usr/bin/dropbearkey -t ecdsa -f "$ecdsa_key"
		chmod 600 "$ecdsa_key"
	fi

	if [ "$1" == "1" ] ; then
		key_s="-s"
	fi
	if [ "$2" == "1" ] ; then
		key_a="-a"
	fi

	ip6_service=`nvram get ip6_service`
	if [ -z "$ip6_service" ] && [ -d /proc/sys/net/ipv6 ] ; then
		key_4="-4"
	fi

	/usr/sbin/dropbear $key_4 $key_s $key_a
}

func_stop()
{
	killall -q dropbear
}
...

可以看到脚本并没有提供自定义端口的功能,而且 usr 分区是只读的,我们不在这部分做文章。

2 高级设置 - 防火墙 - 通用设置 - 从外网访问路由器服务

这里提供端口转发服务,但仅限于 ipv4。

似乎是因为 padavan 不支持 ipv6 的 NAT6,查了一圈测试了以下命令

>> ip6tables -t nat -I PREROUTING -p tcp --dport 10022 -j REDIRECT --to-port 22
ip6tables v1.4.16.3: unknown option "--to-port"
>> ip6tables -t nat -I PREROUTING -p tcp --dport 10022 -j REDIRECT --to-destination [fe80::1]:22
ip6tables v1.4.16.3: unknown option "--to-destination"

蛋疼。有个 nat66 我也不知道怎么用。

接着整,打开选项,可以看到默认转发端口为 10022 (由defaults.c@rt-n56u定义)
防火墙设置

二、自定义ssh端口

1 关掉 一定要关掉

关闭 SSH 服务
关闭SSH服务
关闭防火墙 SSH 转发选项

关闭防火墙SSH转发

2 通过脚本实现功能

定位到 高级设置 - 自定义设置 - 脚本 - 在防火墙规则启动后执行
修改post firewall脚本

在logger前的空白行添加内容

killall -q dropbear
/usr/sbin/dropbear -p 10022

iptables -A INPUT -p tcp --dport 10022 -m state --state NEW -m recent --update --seconds 300 --hitcount 3 --name SSH_blacklist -j DROP
iptables -A INPUT -p tcp --dport 10022 -m state --state NEW -m recent --name SSH_blacklist --set -j ACCEPT

ip6tables -A INPUT -p tcp --dport 10022 -m state --state NEW -m recent --update --seconds 300 --hitcount 3 --name SSH_blacklist6 -j DROP
ip6tables -A INPUT -p tcp --dport 10022 -m state --state NEW -m recent --name SSH_blacklist6 --set -j ACCEPT


添加脚本后

脚本实现的功能:

  1. 按指定端口重启 dropbear
  2. 打开v4+v6外网端口访问
  3. 通过限制一定时间段内的连接次数,防止DOS攻击(不判断密码是否正确,不适用频繁重连的场景)

此处 recent 模块的使用,参考 Iptables 之 recent 模块小结 中的案例2。

总结

  1. 关掉 WebUI 的。
  2. 通过脚本实现功能增项。
右左小白
关注
Linux ipv6设置
悦分享
08-10 3823
随着IPV4地址耗尽,运营商开始回收并推进IPV4大内网地址,基于IPV4的传统内网映射、动态域名即将失效;但同时我们也要看到,运营商的IPV6推进计划基本快要完成了,现在我们的宽带、手机流量、各大门户网站,其实都已经支持IPV6了。1.全局可达性灵活性2.网络地址聚合性更高3.地址的多宿主特性4.地址自动分配方式简单5.更容易实现端到端通讯IPV6单播地址IPV6组播地址IPV6任意播地址。...
树莓派存储方案_如何在树莓派上搭建私有云存储
weixin_39621774的博客
12-20 1027
本篇的旨在最全面地介绍搭建网盘的整个过程,让没有Linux基础的小白们少走弯路,因此细节上多有赘述,老司机们请无视。最近国内的网盘们一个接一个地倒下,相信很多人不想忍受某网盘的限速,大家对私有云的需求越来越高。最简单稳妥的解决办法当然还是购买群晖这样高性能、多功能的NAS,但动辄几千元的售价还是让许多人望而却步,市面上的私有云盘软件有诸如可道云、Nextcloud/ownCloud、Seafil...
Padavan启用ipv6并允许公网访问内网
j326214730的博客
12-27 2万+
听说联通支持ipv6了,特地来试试。家里用的是padavan的路由器,取得了SSH,光猫也改成桥接了,采用的是联通家庭宽带FTTH,一切准备就绪,开始淦~! 1、路由器配置好拨号后,配置直接见下图吧,就不重复了。 目前外网采用的是有状态DHCPv6获取,亲测可用。然后保存即可。 2、这步很重要,一开始配置好之后内网可以访问公网,但公网进不来的,参考此步骤! 引起该问题的原因是ip6tables防火墙导致的。关闭也很简单。 登录到路由器的SSH,依次输入如下命令: ip6tables -F
修改ssh端口
游鸿的专栏
10-21 862
1、打开/etc/ssh/sshd_config 文件,修改Port,后边的XX为需要改成的端口Port XX2、重启sshd服务service sshd restart3、如果出现无法重启的问题,检查selinux防火墙是否关闭,如果没有,需要关闭(防火墙不知道是不是必须的),然后重启即可 4、检查端口是否改成功,可以用命令:sudo netstat -lnp | grep tcp 或 sud
小米R3G刷了老毛固件后,设置IPv6
最新发布
4G/5G随身WiFi专业DIY改装
03-06 562
**内网相关设置**:在“IPv6内网设置”中,需要打开“通过DHCPv6获取内网IPv6地址”以及“启用LAN路由器通告”项目。- **连接类型选择**:登录到路由器的管理后台,找到“外网WAN”或“网络设置”等相关选项,点击进入“外网设置”。- **连接类型配置**:点击“IPv6协议”,将“连接类型”设置为“DHCPv6”,硬件加速可开可不开,但建议打开以获得更好的性能。- **账号密码配置**:在“PPP 客户端设置”中填写你的宽带上网账号密码,完成后再次点击“应用设置”。
Padavan 老毛固件启用 opkg 并安装 iPerf3
zc_mk的博客
03-01 774
最近某 VPS 厂商闪购,买了好几台服务器,于是想着在路由器安个 iPerf3 来测一下新服务器的速度,在路由器上测速既可以排除设备与路由器连接的问题,又不需要在多个设备分别安装 iPerf3,使用起来比较方便。同时,路由器上的 iPerf3 也可以作为服务端来测局域网的内网速度,可以说是一举两得了。
华硕老毛Padavan使用IPV6+Aliddns远程管理路由
weixin_43838489的博客
03-04 3万+
华硕老毛Padavan使用IPV6+Aliddns远程管理路由
通过IPV6公网远程访问路由(Padavan
攻城狮的博客
01-12 5万+
IPV6开始普及了,对于绝大多数IPV4是100、172、10之类开头的私网地址的用户来说,终于可以外网访问家用路由并用于文件传输,远程监控等了。 但是IPV6V4并不兼容,家用级的路由也并不是都能得到IPV6地址,本文只讨论你已经获得了IPV6地址并能用之上网的情况。至于怎么IPV6的地址,另外开篇再说。 本文以 padavan梅林路由系统举例: 如图已获得IPV6地址。 在自定义设置-脚...
外网访问使用Padavan固件的路由器(花生壳DDNS配置教程)
开心小肉妞的天空
10-06 1万+
外网访问使用Padavan固件的路由器(花生壳DDNS配置教程) 家里有个使用老毛固件(Padavan)的路由器。为了能在公司也能访问到路由器,或者家里的电脑,就需要给路由器配置个动态域名解析 (DDNS)。具体操作步骤如下。 1,申请动态域名 这里我使用的是花生壳动态域名解析。首先到官网上申请一个动态域名(比如:hangge.oicp.net...
Padavan开启IPV6
sy84436446的博客
10-26 1678
如果运营商支持IPV6,在网络地图中可以看到获取到的ipv6地址。输入如下命令让访火墙放行IPV6。可以写在自启动脚本里。
华硕老毛固件 自动获取公网地址 适用于没有公网地址的家用宽带
05-13
华硕老毛固件 自动获取公网地址 适用于没有公网地址的家用宽带 前提是你的路由器刷过了华硕老毛固件(斐讯MK 7260cpu)
Padavan 老毛路由器登录SSH教程
e891377的专栏
04-13 4万+
在新版本的Padavan老毛系统中,需要手动开启SSH,然后才能用putty等工具登录,具体操作步骤如下(所需工具请在最下面下载): 默认系统登录IP:192.168.123.1;账号:admin;密码:admin; 按照上面的步骤操作完成后,点击最下面的应用本页面设置保存设置; 参考资料 http://www.duomingxing.com/jiaocheng/padavan/65.php...
联通宽带+老毛Padavan固件 开启IP v6
热门推荐
笨笨D幸福 - 后花园
12-06 87万+
设置一样,路由器也可以正常获取IP v6,只有一个问题,IP v6内网无法在公网访问。然后在路由器里进行设定。(文章中推荐桥接,路由器进行拨号)首先,你要确定当前你所在的地区运营商已经开通了。但是很遗憾,目前仅有手机蜂窝流量全面支持。防火墙,要么用软路由,要么换掉,别无他法。的部分主流中高端型号支持此功能。访问,而许多酒店,咖啡厅的公共。地址后就可以进行下一步操作了。但是请注意,至少在目前来说,访问服务端必须同时支持。端的服务器,有很多限制。查看,记住账号密码)及公司网络,都仅支持。
IPV6、群晖】群晖使用移动宽带 IPv6 进行外网自定义域名访问
不纯正的逼格的专栏
12-20 9299
前几天了解到移动宽带 IPv6 已经铺开,于是心心念的让群晖自定义域名访问的想法又从心底浮现。自认为至少在这方面我的执行力还是挺高,说干就干,网上一通查,大致的思路就是:移动光猫【连接模式】改为【桥接】。通过自己的路由器拨号上网,,开启 IPv6。域名新增一个 IPv6 的解析,解析地址为群晖的地址。因为 IPv6 的地址可能是动态的,所以需要在群晖上创建一个定时任务,让域名不断地指向群晖的实际地址。
路由器玩机---老毛设置AP与主路由设置(2)
勤学如春起之苗,不见其增,日有所长! 辍学如磨刀之石,不见其损,日有所亏!
10-03 7029
国庆假期再玩老毛固件,之前AP设置成功了,但有点 不方便的就是,操作模式设置为无线接入点AP之后,想登陆路由器后台管理界面很不方便,因为IP变化了。需要从上级路由再找AP才能登陆到管理界面。 但今天偶然发现,记录一下。设置AP后不需要切换操作模式,就能实现桥接。方便了许多,记录一下。 1.登录到路由器管理界面 跟之前的区别是使用WAN ISP,点击应用本页面设置。 2. 测试网络 我这里使用LAN口直连PC,因此是禁用了AP, 经测试已经能够上网了,而且无需更改操作模式至AP。因此还是之前.
2019Padavan 老毛路由器登录SSH与WinSCP教程
hu5566798的博客
06-15 1万+
在新版本的Padavan老毛系统中,需要手动开启SSH,然后才能用putty,WinSCP等工具登录,具体操作步骤如下(所需工具请在最下面下载): 默认系统登录IP:192.168.123.1;账号:admin;密码:admin; 按照上面的步骤操作完成后,点击最下面的应用本页面设置保存设置; WinSCP 参考资料http://www.duomingxing.com/jia...
智能路由器 端口映射 (UPnP) Padavan内网端口映射配置方法
Tekin 是深耕技术 20 年的全栈实战派专家,精通 Go/Python/Java 等多语言开发。博客专注技术原理与实战结合,深度解析 Python 高阶编程、Go 语言架构、数据库优化等硬核内容。涵盖并发编程、机器学习、云原生等前沿领域,通过真实案例拆
01-13 5002
新版本Padavan 4.4内核的端口映射配置老版本的不太一样,因为新版本默认是启用的 UPnP端口映射, 同时默认使用的是 IGD UPnP自动端口映射,
Padavan 路由器系统如何放开wan口的samba访问
shile的专栏
01-15 2万+
Padavan 路由器系统如何放开wan口的samba访问一. 网络拓扑配置概述1.主路由器为普通路由器,作为运营商拨号接入,LAN IP: 192.168.1.12.Padavan 路由器为二级路由器.产品型号:RT-N14U-GPIO-1-youku1-128M 固件版本:3.4.3.9-099_10-12二级路由器的WAN口接到主路由器的一个LAN口。二级路由器的WAN IP设置为静
使用python将NSL-KDD中的字符串特征转换成数字标签
03-26
在NSL-KDD数据集中,包含了许多字符串类型的特征,例如“protocol_type”,“service”,“flag”等等。这些字符串特征需要被转换成数字标签,方便后续的机器学习算法使用。下面是一个将NSL-KDD中的字符串特征转换成数字标签的示例代码: ```python import pandas as pd # 读取NSL-KDD数据集 data = pd.read_csv('kddcup.csv', header=None) # 将字符串特征转换成数字标签 service_mapping = {'aol': 1, 'auth': 2, 'bgp': 3, 'courier': 4, 'csnet_ns': 5, 'ctf': 6, 'daytime': 7, 'discard': 8, 'domain': 9, 'domain_u': 10, 'echo': 11, 'eco_i': 12, 'ecr_i': 13, 'efs': 14, 'exec': 15, 'finger': 16, 'ftp': 17, 'ftp_data': 18, 'gopher': 19, 'harvest': 20, 'hostnames': 21, 'http': 22, 'http_2784': 23, 'http_443': 24, 'http_8001': 25, 'imap4': 26, 'IRC': 27, 'iso_tsap': 28, 'klogin': 29, 'kshell': 30, 'ldap': 31, 'link': 32, 'login': 33, 'mtp': 34, 'name': 35, 'netbios_dgm': 36, 'netbios_ns': 37, 'netbios_ssn': 38, 'netstat': 39, 'nnsp': 40, 'nntp': 41, 'ntp_u': 42, 'other': 43, 'pm_dump': 44, 'pop_2': 45, 'pop_3': 46, 'printer': 47, 'private': 48, 'red_i': 49, 'remote_job': 50, 'rje': 51, 'shell': 52, 'smtp': 53, 'sql_net': 54, 'ssh': 55, 'sunrpc': 56, 'supdup': 57, 'systat': 58, 'telnet': 59, 'tftp_u': 60, 'tim_i': 61, 'time': 62, 'urh_i': 63, 'urp_i': 64, 'uucp': 65, 'uucp_path': 66, 'vmnet': 67, 'whois': 68, 'X11': 69, 'Z39_50': 70} data[1] = data[1].map(service_mapping) protocol_mapping = {'tcp': 1, 'udp': 2, 'icmp': 3} data[2] = data[2].map(protocol_mapping) flag_mapping = {'OTH': 1, 'REJ': 2, 'RSTO': 3, 'RSTOS0': 4, 'RSTR': 5, 'S0': 6, 'S1': 7, 'S2': 8, 'S3': 9, 'SF': 10, 'SH': 11} data[3] = data[3].map(flag_mapping) # 输出转换后的数据 print(data.head()) ``` 在上面的代码中,我们使用了字典(mapping)的方式将字符串特征转换成数字标签。例如,将“service”特征中的“ftp”转换成数字标签17。最终输出的数据是一个经过转换的数据集,其中字符串特征已经被转换成了数字标签。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值