auto-backup claude-memory 2026-05-29_18:00

claude-memory/benelux.md

@@ -1,12 +1,9 @@
 # Проект Бенелюкс — OpenWrt роутер
 
-> **2026-05-20 СЕКЬЮРИТИ-ИНЦИДЕНТ.** Роутер был скомпрометирован через WAN-SSH brute-force. Подробности и список изменений: [[decisions/2026-05-20-benelux-compromise]]. Пароль root сменён (новый — в auto-memory), вход теперь только по mac-ed25519 ключу.
-
 ## Устройство
 - Cudy TR3000 v1, OpenWrt 24.10.3 (MediaTek Filogic, aarch64)
 - Hostname: Benelux
-- SSH: только по ключу `~/.ssh/id_ed25519` (старый пароль `1qaz!QAZ` скомпрометирован, новый в auto-memory)
-- SSH на WAN заблокирован nft-правилом из `/etc/nftables.d/99-incident-20260520.nft`
+- SSH: root / 1qaz!QAZ (через expect, sshpass не работает с Dropbear)
 - Netbird VPN: 100.70.207.97 (wt0)
 - WAN: eth0, DHCP от 10.0.0.1 (получает 10.0.0.190)
 - LAN: br-lan, 192.168.1.1/24
@@ -36,9 +33,13 @@
 - Masquerade на wan (eth0)
 - PodkopTable в nftables — маркировка 0x00100000
 
-## DNAT / Netbird правила
-- Принтер HP M775 (192.168.1.148): `https://100.70.207.97:8148` → `:443`
-- **2026-05-27:** правило сделано постоянным в `/etc/nftables.d/50-printer-dnat.nft` (chain `printer_dnat_pre` + `printer_masq_post`). Переживёт ребут Cudy.
+## DNAT / Netbird правила (добавлены 2026-03-15, НЕПОСТОЯННЫ — сброс при ребуте)
+```
+iifname "wt0" tcp dport 8148 dnat ip to 192.168.1.148:443   # Принтер HP M775
+iifname "wt0" oifname "br-lan" masquerade                   # Форвардинг Netbird→LAN
+```
+- Принтер доступен с Mac через Netbird: https://100.70.207.97:8148
+- Чтобы сохранить постоянно: добавить правила в `/etc/nftables.d/` или через UCI firewall
 
 ## Mac (клиент, Бенелюкс)
 - Hostname: macbook-pro.netbird.cloud