Hacker News Digest

Тег: #openwrt

Постов: 3

Nano Banana image examples (github.com) 🔥 Горячее 💬 Длинная дискуссия

Коллекция готовых образов

  • Собраны минимальные и полные сборки под NanoPi R6S/R6C, Orange Pi 5/5B/5 Plus, Banana Pi BPI-M2S/M2P/M2 Zero, Radxa Zero 3
  • Ядро 6.x, U-Boot, Wi-Fi/BT, аппаратное ускорение, Docker, Portainer, Home Assistant, OpenWRT, Kodi, RetroArch, ROS2
  • Записать: dd if=*.img of=/dev/sdX bs=4M status=progress
  • Логин/пароль: root/1234 или pi/bananapi

Быстрый старт

  1. Скачать свежий образ из /releases
  2. Распаковать и записать на SD/SSD
  3. Вставить, включить, дождаться загрузки
  4. Подключиться по SSH/IP, сменить пароль

Сборка своего образа

  • Установить Docker → ./build.sh board=opi5 flavour=server
  • Через 15–30 мин появится готовый .img

Горячие клавиши

  • armbian-config – сеть, ядро, dtb
  • bananapi-config – overclock, GPIO, камера
  • htop, armbianmonitor -m – контроль железа

Полезные ссылки

by SweetSoftPillow • 11 сентября 2025 г. в 20:35 • 410 points

ОригиналHN

#docker#home-assistant#openwrt#kodi#retroarch#ros2#gemini#github

Комментарии (165)

  • Nano Banana (Gemini 2.5 Flash) показывает выдающееся качество редактирования и сохранения персонажа, но многие считают примеры «черри-пиком» после десятков попыток.
  • Пользователи жалуются на «copy-paste»-эффект, отказы по безопасности и неточности деталей (текст, одежда, пропорции).
  • NSFW-контент в демках вызывает споры: примеры с поднятыми юбками и сексуализированными персонажами портят восприятие.
  • Модель хороша для прототипов, раскрасок и мемов, но пока требует тщательного промпт-инжиниринга и повторных генераций.
  • Технически это не «одна модель», а тюнированный пайплайн Gemini для локального редактирования; открытых весов и полной документации нет.

OpenWrt: A Linux OS targeting embedded devices (openwrt.org)

OpenWrt — Linux для встраиваемых устройств. Вместо статической прошивки даёт полноценную файловую систему и пакетный менеджер: ставь нужные программы, настраивай как хочешь. Разработчикам — готовая платформа; пользователям — полная свобода.

Поддерживаемые модели: таблица совместимости.

Новинки

  • OpenWrt One — первый роутер проекта (Wi-Fi 6, PoE, слот mikroBUS, $89). С каждой покупки $10 — на развитие OpenWrt.
  • Стабильная ветка 24.10.2 (июнь 2025): релиз-ноуты, прошивки.

Быстрый старт

Участие

by pykello • 08 сентября 2025 г. в 16:13 • 193 points

ОригиналHN

#openwrt#linux#embedded-devices#poe#wifi-6#iptables#gl.inet#debian#alpine#opnsense

Комментарии (117)

  • OpenWRT хвалят за стабильность, простоту и надёжность; многие сразу стирают OEM-прошивку и ставят его.
  • Недостатки: архаичное ядро/iptables, сложность обновления, отсутствие централизованного управления сетью, «device-centric» подход.
  • Часть пользователей хотела бы «десктопный» дистрибутив (Debian/Alpine) вместо специализированной системы, особенно на x86 с большим RAM/flash.
  • OpenWRT One пока мало где продаётся, без LUCI, тираж 900 шт; ждут OpenWRT Two от GL.iNet ≈250 $ в 2025 г.
  • Некоторые возвращаются к OEM или OPNsense/pfSense из-за пропускной способности, Broadcom-чипов или необходимости IDS/IPS.

Critical Cache Poisoning Vulnerability in Dnsmasq (lists.thekelleys.org.uk)

Критическая уязвимость кэш-подмены в Dnsmasq

Тип: логическая ошибка защиты от кэш-подмены
ПО: все версии Dnsmasq
Оценка: критическая
Условия: атакующий вне сети, перебирает TxID и порт (~2,5 ч)

Суть
Dnsmasq пересылает запросы со спецсимволами (~, !, *, _) вышестоящим резолверам. Некоторые из них молча отбрасывают такие запросы, не отвечая NXDomain/ServFail. Dnsmasq не замечает тишины и ждёт, открывая большое окно для подбора 16-битного TxID и порта (birthday-paradox).

Результат

  • 20/20 успешных экспериментов
  • Среднее время атаки ≈ 9 469 с
  • Позволяет отравить любой кэшированный домен без фрагментации IP или побочных каналов
  • Усиливает известные атаки SADDNS и Tudoor

PoC
Для домена viticm.com запросы с «тихими» символами приводили к молчанию upstream, что использовалось для надёжного отравления кэша.

Рекомендации

  • Детектировать молчание upstream
  • Ввести rate-limit и защиту от spoof, как в PowerDNS

by westurner • 19 августа 2025 г. в 12:56 • 115 points

ОригиналHN

#dnsmasq#dns#cache-poisoning#vulnerability#network-security#openwrt#unbound#dnssec

Комментарии (90)

  • dnsmasq пересылает «невалидные» запросы (с символами вне ASCII) к апстрим-резолверу, который молча их отбрасывает; злоумышленник, находясь на пути, может подобрать 32-битный (порт+ID) ответ и отравить кэш.
  • Проблема не новая (известна с 1993 г.), но в dnsmasq уже второе за последнее время серьёзное упущение.
  • Большинство потребительских роутеров с dnsmasq никогда не обновятся; предлагается «право на ремонт» и публикация прошивок/ключей.
  • OpenWrt, если стоит за NAT/файрволом, теоретически недоступен извне, но всё равно можно заменить dnsmasq на Unbound или другой DNS-сервер.
  • Эффективная защита — DNSSEC; временно помогает апстрим-резолвер, который быстро отвечает NXDOMAIN (8.8.8.8, 1.1.1.1, 9.9.9.9).