设为首页收藏本站

恩山无线论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
楼主: paradislover

[关贴][2017-04-21] Unofficial luci-app-koolproxy, 更新至3.4.1

    [复制链接]
发表于 2017-4-11 13:59 | 显示全部楼层
paradislover 发表于 2017-4-11 12:35
原谅我不理解你这个要么要么是什么个意思?明明都创建,写一句和写两句有区别么

这几句iptables分别对应四种模式:全局模式 黑名单 https全局 https黑名单。根据这四句,也就是说没有同时转发80和443端口的iptables命令。这也就导致了只能过滤80端口或是443端口,而不能做到同时过滤80端口和443端口。我也给一个修改建议:
  1. #  生成对应CHAIN
  2.         LOCAL_PORT=3000
  3.         iptables_ext A KOOLPROXY_GLO "-p tcp --dport 80 -j REDIRECT --to $LOCAL_PORT"
  4.         iptables_ext A KOOLPROXY_ADB "-p tcp --dport 80 -m set --match-set $IPSET_ADB dst -j REDIRECT --to $LOCAL_PORT"
  5.         iptables_ext A KOOLPROXY_HTTPS_GLO "-p tcp --dport 80,443 -j REDIRECT --to $LOCAL_PORT"
  6.         iptables_ext A KOOLPROXY_HTTPS_ADB "-p tcp --dport 80,443 -m set --match-set $IPSET_ADB dst -j REDIRECT --to $LOCAL_PORT"
  7.         #加载ACLS
  8.         config_foreach load_acl acl_rule
  9.         #加载默认代理模式
  10.         iptables -t nat -A KOOLPROXY -p tcp -j $(get_action_chain $GLOBAL_MODE)
复制代码

这样的话就把原来的 全局https 改成了http+https全局 原来的https黑名单改成了http+https黑名单。

点评

1777 107K KOOLPROXY_HTTPS_ADB all -- * * 0.0.0.0/0 0.0.0.0/0 MAC E0:9D:31:127:C0 178 10793 KOOLPROXY_HTTPS_ADB all -- * * 0.0.0.0/0  详情 回复 发表于 2017-4-11 15:08
我的恩山、我的无线 The best wifi forum is right here.
发表于 2017-4-11 14:40 | 显示全部楼层
添加规则源 说是更新了还是不生效啊

点评

敢不敢来点详细的描述,log 是规则还是主程序,规则的话请查看目录/usr/share/koolproxy/data/,有没有1.dat koolproxy.txt ... 还有你使用的是那个版本。。。  详情 回复 发表于 2017-4-11 15:46
我的恩山、我的无线 The best wifi forum is right here.
 楼主| 发表于 2017-4-11 15:08 | 显示全部楼层
橙の树下 发表于 2017-4-11 13:59
这几句iptables分别对应四种模式:全局模式 黑名单 https全局 https黑名单。根据这四句,也就是说没有同 ...

1777  107K KOOLPROXY_HTTPS_ADB  all  --  *      *       0.0.0.0/0            0.0.0.0/0            MAC E0:9D:31:127:C0
  178 10793 KOOLPROXY_HTTPS_ADB  all  --  *      *       0.0.0.0/0            0.0.0.0/0            MAC 10:2A:B3:7A:B3A
3405  208K KOOLPROXY_ADB  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain KOOLPROXY_ADB (1 references)
pkts bytes target     prot opt in     out     source               destination         
  124  7636 REDIRECT   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 match-set adblock dst redir ports 3000

Chain KOOLPROXY_GLO (0 references)
pkts bytes target     prot opt in     out     source               destination         
    0     0 REDIRECT   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 redir ports 3000

Chain KOOLPROXY_HTTPS_ADB (2 references)
pkts bytes target     prot opt in     out     source               destination         
   63  3780 REDIRECT   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443 match-set adblock dst redir ports 3000

Chain KOOLPROXY_HTTPS_GLO (0 references)
pkts bytes target     prot opt in     out     source               destination         
    0     0 REDIRECT   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443 redir ports 3000

黑名单+ACL HTTPS过滤,这种组合可以满足你啊,要过滤https,自己在ACL里面添加,默认都过滤80

点评

我明白你的意思了。也就是全局模式过滤80,再在访问控制里过滤443。对吧?我也只是提出一个建议:在访问规则里添加两个选项:http+https全局和http+https黑名单,这样看起来更加完善,可以适应全局模式是不过滤的情  详情 回复 发表于 2017-4-11 15:20
我的恩山、我的无线 The best wifi forum is right here.
发表于 2017-4-11 15:20 | 显示全部楼层
paradislover 发表于 2017-4-11 15:08
1777  107K KOOLPROXY_HTTPS_ADB  all  --  *      *       0.0.0.0/0            0.0.0.0/0            ...

我明白你的意思了。也就是全局模式过滤80,再在访问控制里过滤443。对吧?我也只是提出一个建议:在访问规则里添加两个选项:http+https全局和http+https黑名单,这样看起来更加完善,可以适应全局模式是不过滤的情况。

点评

你说的这个需求可以考虑,官方的更加自由灵活,可以对不同的IP采取不同的策略  详情 回复 发表于 2017-4-11 15:30
我的恩山、我的无线 The best wifi forum is right here.
 楼主| 发表于 2017-4-11 15:30 | 显示全部楼层
橙の树下 发表于 2017-4-11 15:20
我明白你的意思了。也就是全局模式过滤80,再在访问控制里过滤443。对吧?我也只是提出一个建议:在访问 ...

你说的这个需求可以考虑,官方的更加自由灵活,可以对不同的IP采取不同的策略

点评

经过你的点拨,我也有点理解官方的luci的逻辑了。只是如果我的全局模式是不过滤,那么官方的逻辑就有那么一点问题。如果能增加这两个选项,岂不是对多种使用环境的一大补充?  详情 回复 发表于 2017-4-11 15:40
我的恩山、我的无线 The best wifi forum is right here.
发表于 2017-4-11 15:40 | 显示全部楼层
paradislover 发表于 2017-4-11 15:30
你说的这个需求可以考虑,官方的更加自由灵活,可以对不同的IP采取不同的策略

经过你的点拨,我也有点理解官方的luci的逻辑了。只是如果我的全局模式是不过滤,那么官方的逻辑就有那么一点问题。如果能增加这两个选项,岂不是对多种使用环境的一大补充?
我的恩山、我的无线 The best wifi forum is right here.
 楼主| 发表于 2017-4-11 15:46 | 显示全部楼层
343541213 发表于 2017-4-11 14:40
添加规则源 说是更新了还是不生效啊

敢不敢来点详细的描述,log
是规则还是主程序,规则的话请查看目录/usr/share/koolproxy/data/,有没有1.dat koolproxy.txt ...

还有你使用的是那个版本。。。
我的恩山、我的无线 The best wifi forum is right here.
发表于 2017-4-11 17:55 | 显示全部楼层
Tue Apr 11 17:54:38 2017 daemon.info koolproxy[6730]: koolproxy v3.3.6
Tue Apr 11 17:54:38 2017 daemon.err koolproxy[6730]: rule line=-1 not support '[email protected]'
Tue Apr 11 17:54:38 2017 daemon.err koolproxy[6730]: WARN: line=8, support rule like "http://$domain=", but advise to use a better one instead
Tue Apr 11 17:54:38 2017 daemon.err koolproxy[6730]: WARN: line=9, support rule like "http://$domain=", but advise to use a better one instead
Tue Apr 11 17:54:38 2017 daemon.err koolproxy[6730]: WARN: line=10, support rule like "http://$domain=", but advise to use a better one instead
Tue Apr 11 17:54:38 2017 daemon.err koolproxy[6730]: WARN: line=11, support rule like "http://$domain=", but advise to use a better one instead
Tue Apr 11 17:54:38 2017 daemon.err koolproxy[6730]: WARN: line=12, support rule like "http://$domain=", but advise to use a better one instead
这是什么意思,LEDE 4.4.50 , ar71xx

点评

koolproxy的log  详情 回复 发表于 2017-4-11 20:13
我的恩山、我的无线 The best wifi forum is right here.
发表于 2017-4-11 19:35 | 显示全部楼层
jc天马行空 发表于 2017-4-11 09:57
他用的wget不支持ssl所致

应该是这个问题, 但是我编译时候选择了wget-default还是不行, 大神能指点下吗

点评

我猜你编译的是石像鬼提供的wget-default  详情 回复 发表于 2017-4-11 20:39
我的恩山、我的无线 The best wifi forum is right here.
发表于 2017-4-11 19:58 | 显示全部楼层
附件在哪里下载?

点评

自己编译,不再提供  详情 回复 发表于 2017-4-11 20:14
我的恩山、我的无线 The best wifi forum is right here.
 楼主| 发表于 2017-4-11 20:13 来自手机 | 显示全部楼层
ypjalt 发表于 2017-4-11 17:55
Tue Apr 11 17:54:38 2017 daemon.info koolproxy[6730]: koolproxy v3.3.6
Tue Apr 11 17:54:38 2017 dae ...

koolproxy的log
我的恩山、我的无线 The best wifi forum is right here.
 楼主| 发表于 2017-4-11 20:14 | 显示全部楼层
duank 发表于 2017-4-11 19:58
附件在哪里下载?

自己编译,不再提供
我的恩山、我的无线 The best wifi forum is right here.
发表于 2017-4-11 20:28 | 显示全部楼层
本帖最后由 owen5 于 2017-4-11 20:29 编辑

大神帮忙看看, 还是不行。  找不到原因。  wget 问题吗

未命名 -1.jpg

点评

确认是wget问题。 改了makefile. 搞定了, 非常感谢楼主分享LUCI, 非常好用  详情 回复 发表于 2017-4-12 10:14
我的恩山、我的无线 The best wifi forum is right here.
发表于 2017-4-11 20:39 | 显示全部楼层
owen5 发表于 2017-4-11 19:35
应该是这个问题, 但是我编译时候选择了wget-default还是不行, 大神能指点下吗

我猜你编译的是石像鬼提供的wget-default

点评

是的, 指点下吧。 需要选择哪个  详情 回复 发表于 2017-4-11 20:46
我的恩山、我的无线 The best wifi forum is right here.
发表于 2017-4-11 20:46 | 显示全部楼层
jc天马行空 发表于 2017-4-11 20:39
我猜你编译的是石像鬼提供的wget-default

是的, 指点下吧。 需要选择哪个
我的恩山、我的无线 The best wifi forum is right here.
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|手机版|小黑屋|Archiver|手机APP版|恩山无线论坛 ( 苏ICP备05084872号-1 )  

GMT+8, 2017-11-22 09:56

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表