Αναβάθμιση οικιακού δικτύου

Πληροφορίες σχετικές με τα τοπικά δίκτυα, WiFi, τον εξοπλισμό, τις εφαρμογές τους και σχετικό λογισμικό.

Συντονιστές: Super-Moderators, Software & Hardware Moderators

Απάντηση
Άβαταρ μέλους
deninho
Super Moderator
Δημοσιεύσεις: 7066
Εγγραφή: 17 Ιαν 2004 16:01
Τοποθεσία: σ'άλλη διάσταση
Επικοινωνία:

Αναβάθμιση οικιακού δικτύου

Δημοσίευση από deninho » 27 Ιαν 2011 22:13

λοιπόν. Νομίζω ότι το έκανα επιτυχώς: άνοιξα τέρμιναλ, πέρασα μία μία τις εντολές -μαζί με τα comments :P-, και δε μου είπε τίποτα περίεργο. Υπάρχει τρόπος να επιβεβαιώσω ότι δεν έχω κάνει κάτι λάθος;

Άβαταρ μέλους
Cha0s
SysAdmin
Δημοσιεύσεις: 10242
Εγγραφή: 28 Ιούλ 2001 03:00

Αναβάθμιση οικιακού δικτύου

Δημοσίευση από Cha0s » 27 Ιαν 2011 22:54

Υποθέτω την γραμμή:

Κώδικας: Επιλογή όλων

add chain=input src-address=192.168.0.0/24 action=accept \
	in-interface=!ether1
Την άλλαξες να ταιριάζει στο δικό σου subnet και όνομα της κάρτας δικτύου ε;

Αν πας στο IP > Firewall στην καρτέλα Filter, λογικά το τελευταίο rule θα είναι το "Drop everything else"και παίζει να έχει μετρήσει πακέτα (η δεξιά στήλη).

Για να το τεστάρεις αν δουλεύει μπορείς να κάνεις ένα nmap απέξω (από κάποιο server, ή στείλε μου με pm την ip σου να κάνω εγώ από εδώ) ή απλά να δοκιμάσεις στην 80 (http://IP_SOU//).
Αν δουλεύει αφενώς δεν θα σου ανοίξει τίποτα απέξω (και το nmap θα τα δείχνει όλα κλειστά) και αφετέρου θα έχει μετρήσει πακέτα στο drop rule.

Αν κάνεις ping απέξω, θα δεις το σχετικό rule ποιο πάνω (icmp) να μετράει πακέτα.

Άβαταρ μέλους
deninho
Super Moderator
Δημοσιεύσεις: 7066
Εγγραφή: 17 Ιαν 2004 16:01
Τοποθεσία: σ'άλλη διάσταση
Επικοινωνία:

Αναβάθμιση οικιακού δικτύου

Δημοσίευση από deninho » 28 Ιαν 2011 01:48

ναι, το είχα αλλάξει :)

Μια εικόνα από το Firewall window:

Εικόνα
Συνημμένα
Capture.PNG

Άβαταρ μέλους
Cha0s
SysAdmin
Δημοσιεύσεις: 10242
Εγγραφή: 28 Ιούλ 2001 03:00

Αναβάθμιση οικιακού δικτύου

Δημοσίευση από Cha0s » 28 Ιαν 2011 02:05

Πω πω με μπερδεύει αυτό το layout :P

Βασικά πέρασες τα rules 2 φορές;
Τα βλέπω όλα από 2 φορές περασμένα. Την πρώτη χωρίς comments και το rule που δηλώνεις IP & Interface.
Και την δεύτερη κομπλέ.

Προσωπικά (βλ screenshot) κάνω πρώτα drop τα invalid connections ώστε να μην περάσουν σε παρακάτω rules (τσάμπα resources)

Μετά κάνω τα accept μου (icmp, established, known networks, κλπ)

Και τέλος drop ότι περισσεύει.

Βασικά σβήσε τα rules 0 έως 4 και θα είσαι μια χαρά.
Συνημμένα
mikrotik_ip_firewall_filter_input_chain.png

Άβαταρ μέλους
deninho
Super Moderator
Δημοσιεύσεις: 7066
Εγγραφή: 17 Ιαν 2004 16:01
Τοποθεσία: σ'άλλη διάσταση
Επικοινωνία:

Αναβάθμιση οικιακού δικτύου

Δημοσίευση από deninho » 08 Μαρ 2011 18:49

back again, μιας και ξαναέχω λίγο χρόνο διαθέσιμο αυτές τις μέρες. Ως τώρα κανένα πρόβλημα [το αντίθετο μάλιστα], αλλά αυτό δε σημαίνει ότι σταματάω το σκάλισμα :P

Τώρα, λοιπόν, θέλω να φτιάξω το QoS [προταιρεότητα σε skype, έπειτα browsing & video stream, και στον πάτο τα torrents -που θα παίζουν από συγκεκριμένη port-].
Σε ποιο κεφάλαιο του wiki κοιτάω; γιατί απ'ότι κατάλαβα, το μόνο που μου φάνηκε σχετικό, το Traffic Engineering, δεν είναι αυτό που θέλω

Α, και συγκεκριμένες προτάσεις, είναι πάντα καλοδεχούμενες :P

εδιτ: μπας και κοιτάω στο queues? σκαλίζοντας το winbox, μου φάνηκαν σχετικές οι επιλογές, αλλά και πάλι δεν είμαι σίγουρος :roll:

Άβαταρ μέλους
Cha0s
SysAdmin
Δημοσιεύσεις: 10242
Εγγραφή: 28 Ιούλ 2001 03:00

Αναβάθμιση οικιακού δικτύου

Δημοσίευση από Cha0s » 08 Μαρ 2011 19:20

Πας στα βαθυά με την μία ε; :D

Λοιπόν, καταρχήν το Skype είναι πονοκέφαλος.
Λειτουργεί όπως τα torrents. Είναι σχεδόν αδύνατο να το καταφέρεις να το πιάσεις και να του δώσεις προτεραιότητα χωρίς να πιάσεις και torrent traffic μαζί :(

Δεν το έψαξα πολύ παραπέρα όμως να πω την αλήθεια. Λογικά κάποιος τρόπος θα υπάρχει. Ειδικά όταν έχεις access σε όλα τα μηχανήματα του lan και μπορείς να τα σετάρεις όπως θες.

Τα torrents από την άλλη είναι και αυτά πακέτο... Το σταθερό port που θα έχεις στους torrent client σου, βοηθάει στο να 'πιάσεις' πιο εύκολα τα torrent πακέτα στο mikrotik, Αλλά είναι μόνο για το εξερχόμενο traffic σου.
Ότι εισερχόμενο torrent traffic έχεις, είναι πρακτικά αδυνατο να το πιάσεις 100% με επιτυχία.
Είναι σε παντελώς random ports και παίζει να αγανακτήσεις μέχρι να το φέρεις στα μέτρα σου.
Εμένα μου έβγαλε την πίστη :P
Κυρίως επειδή τα περισσότερα torrent πακέτα είναι encrypted πλέον και δεν μπορεί να τα πιάσει το mikrotik.

Λοιπόν, εγώ στήσει ένα traffic shaping (έτσι λεγεται αυτό που θες) βασιζόμενος σε αυτό: http://wiki.mikrotik.com/wiki/Basic_tra ... _protocols

Το καλό με αυτό είναι ότι παίζει με Layer 7 packet matching.
Δηλαδή ανοίγει τα πακέτα και βρίσκει τι είναι (πχ http, smtp κλπ) ασχέτως σε ποιο port μπορεί να είναι (πχ ένα http service μπορεί να τρέχει στο πορτ 8821 το οποίο δεν είναι stadar http port).

Το αρνητικό με το L7 packet matching είναι ότι θέλει περισσότερη RAM/CPU για να κάνει process τα πακέτα.
Δηλαδή να καταλάβεις έχω καταφέρει να κολήσω το RB μου (ένα μικρούλι 450 με 300Μhz CPU & 32MB Ram) όταν έφτασα τα connections περί τα 2-3 χιλιάδες (από torrents φυσικά) :lol:
Φυσικά δεν σταμάτησε να routάρει κίνηση όσο έπαιζαν τόσα connections. Απλά δεν μπορούσα να συνδεθώ στο Winbox :)

Η λογική του είναι η εξής:

Πρώτα φτιάχνει τα regular expressions rules για τα L7 filters.
Έπειτα μαρκάρει τα πακέτα (Mangle -> Mark Packet) βασισμένο στο τι είδους πακέτο είναι το κάθε τι που περνάει.
Πχ αν το πακέτο έρχεται από το DSL interface & to L7 Protocol είναι http τότε μάρκαρε το πακέτο ως 'http-in'
Αντίστοιχα αν το πακέτο βγαίνει από το DSL interface και το L7 Protocol είναι http τότε μαρκαρε το ως 'http-out'

Αυτό γίνεται για όσα πρωτόκολα/πακέτα θες να πιάσεις και να μαρκάρεις.

Μετά το επόμενο βήμα είναι να φτιάξεις τα Queues.
Τα Queues είναι αυτά που λιμιτάρουν την κίνηση και δίνουν προτεραιότητα στα πακέτα.
Είναι μεγάλο κεφάλαιο για το πως λειτουργούν και ποιο είδος queue είναι κατάλληλο ανάλογα την γραμμή, τα πακέτα κλπ.
Έχει αναλυτικό documentation στο wiki του mikrotik.

Στην ουσία σύμφωνα με το παραπάνω tutorial στα queues επιλέγεις packet mark (αυτά που δηλώσαμε πιο πάνω) και του ορίζεις προτεραιότητα (1 έως 8 - 8 είναι η χαμηλότερη).

Οπότε με απλά λόγια η διαδικασία είναι Μαρκάρισμα των πακέτων ανάλογα το πρωτόκολο και έπειτα ορισμός προτεραιότητας βάση του packet-mark.


Θα σου πρότεινα να ξεκινήσεις με λίγα μαρκαρίσματα για αρχή (πχ τα βασικά, http, https, smtp/pop3 κλπ) μέχρι να μπεις στο νόημα και αργότερα το εξελίσσεις με copy των ήδη σεταρισμένων rules.

Έχε υπόψην πως πρώτα μαρκάρεις τα πακέτα που θες να έχουν υψηλή προτεραιότητα (πχ ssh, dns, http τα βάζεις πάνω πάνω στην καρτέλα Mangle στο IP > Firewall) και τέλος αφήνεις τα δύσκολα όπως torrents, skype και λοιπά p2p.

Έτσι θα είσαι σίγουρος πως μάρκαρες σωστά τα http για παράδειγμα και δεν τα έπιασε σε λάθος rule (πχ ως torrents).
Ο μεγάλος πονοκέφαλος των p2p στο traffic shaping είναι ότι επί το πλήστον τα πιάνει λάθος και δίνει λάθος προτεραιότητα με αποτέλεσμα πολλές φορές να σκίζει το queue για το http ενώ δεν υπάρχει http traffic και έτσι να σέρνονται όλα...


Ουφ έγραψα έκθεση :P

Παίζει και να σε μπέρδεψα χειρότερα.
Ξεκίνα με το link που σου έδωσα, και όπου κολήσεις πες μου να σου δώσω ποιο specific οδηγίες ;)

Άβαταρ μέλους
deninho
Super Moderator
Δημοσιεύσεις: 7066
Εγγραφή: 17 Ιαν 2004 16:01
Τοποθεσία: σ'άλλη διάσταση
Επικοινωνία:

Αναβάθμιση οικιακού δικτύου

Δημοσίευση από deninho » 02 Σεπ 2011 03:47

Έχω σπάσει το κεφάλι μου, και δεν μπορώ να βρω λύση:

Έκανα λογαριασμό στο dyndns (dyn.com). Έβαλα το script και το scheduler για να κάνει update το rb την δυναμική ip μου, κάθε μισή ώρα.
Έστησα ένα virtual box με ένα Linux server για να στήνω δοκιμαστικά wordpress/joomla κλπ

Η διεύθυνση που έχω ορίσει στο λογαριασμό dyndns (μπλαμπλα.dyndns-home.com), φαίνεται να λειτουργεί σωστά:
όταν δοκιμάζω να μπω στη διεύθυνση από μέσα από το δίκτυο, με πάει στο configuration page. Όταν πάω να μπω στη διεύθυνση από συσκευή εκτός του οικιακού δικτύου τρώω άκυρο (όπως αναμενόταν από τις ρυθμίσεις στο firewall)

Το πρόβλημα είναι πως δεν έχω καταλάβει πως θα κάνω forward το μπλαμπλα.dyndns-home.com ώστε να δείχνει μόνο στο μηχάνημα που είναι ο server.

Δοκίμασα το

Κώδικας: Επιλογή όλων

/ip firewall filter 
add action=accept chain=accept_list comment="Forward HTTP to webserver" dst-address=192.168.88.240 dst-port=80 protocol=tcp 
(Πηγή)
τίποτα

Προσπάθησα να ακολουθήσω και τις οδηγίες που βρίσκονται εδώ, αλλά και πάλι τίποτα, γιατί δε δέχεται το "μπλαμπλα.dyndns-home.com" ως destination address, αλλά θέλει ip.

Τι δε "βλέπω";

ΥΓ Με το θέμα του QoS δεν έχω καταφέρει να ασχοληθώ στην πράξη ακόμη. Είμαι ακόμη στη θεωρία :P

Άβαταρ μέλους
Cha0s
SysAdmin
Δημοσιεύσεις: 10242
Εγγραφή: 28 Ιούλ 2001 03:00

Αναβάθμιση οικιακού δικτύου

Δημοσίευση από Cha0s » 02 Σεπ 2011 19:13

Για να προωθήσεις το port 80 απέξω προς τα μέσα φτιάχνεις rule στο NAT tab του firewall.

Το Filter απλά είτε κάνει allow είτε drop (χοντρικά).
Δεν κάνει αλλαγή σε dst & src address των πακέτων (αυτό που θες δηλαδή - dst nat - ότι σκάει στο πορτ 80 απέξω να το κάνεις forward στο port 80 της τάδε εσωτερικής IP σου)


Θες κάτι τέτοιο δηλαδή:

Κώδικας: Επιλογή όλων

/ip firewall nat add chain=dstnat in-interface=ether1-cable dst-port=80 protocol=tcp action=dst-nat to-addresses=192.168.88.240 to-ports=80
Αυτό λέει στην ουσία:

Ότι έρχεται από την ether1-cable κάρτα δικτύου (ή το ADSL interface σου) προς το port 80 TCP τότε κάνε destination NAT στην IP 192.168.88.240 και στο port 80.

Ότι έρχεται δηλαδή απέξω για το τάδε πορτ, στείλτο στην τάδε IP μέσα

Άβαταρ μέλους
deninho
Super Moderator
Δημοσιεύσεις: 7066
Εγγραφή: 17 Ιαν 2004 16:01
Τοποθεσία: σ'άλλη διάσταση
Επικοινωνία:

Αναβάθμιση οικιακού δικτύου

Δημοσίευση από deninho » 03 Σεπ 2011 01:26

Και απάντηση και επεξήγηση :clap: Σε ευχαριστώ πολύ :D

Καλά το έψαχνα προς το NAT, λοιπόν, απλώς δεν έβρισκα αντίστοιχο παράδειγμα :hammer:

Απάντηση

Επιστροφή στο “Δίκτυα, WiFi και εφαρμογές”

Μέλη σε σύνδεση

Μέλη σε αυτήν τη Δ. Συζήτηση: Δεν υπάρχουν εγγεγραμμένα μέλη και 1 επισκέπτης