Bekijk de volledige versie : ebtables и multicast iptv по wi-fi
please tell me what i can safetly delete e.g. rm -rf from flash for setup Asus WL-500g Deluxe running as bridge with iptables filter between WAN, LAN and WLAN interfaces with that firmware (http://oleg.wl500g.info/1.9.2.7-4/WL500gx-1.9.2.7-4.trx) ? as i say - i _never_ use it for any type WAN/internet connections because i have cisco for that :) but i _realy_ need some layer3 filter maybe with FTP server... what files i can delete for saving space on flashfs for packages etc (if it possible)? i don't need anything like DNS/DHCP, maybe web GUI (someone use it with custom firmware? it works?)
please tel me if it possible or where i'm wrong...
drop me HOWTO or link how bridge works in linux (i come here from FreeBSD world)
thanks
P.S. maybe Oleg build another one firmware for bridge without WAN/internet staff? :rolleyes:
Well, there still some space available in the flash. You need to build custom firmware with ebtables+nf patch this would allow you to perform L3 filtering on the bridged interfaces.
I've added ebtables+nf patch, but this breaks some things, so I've removed it.
If you really want to do something usefull and have *nix experience - flash openwrt experimental. It's now works fine with wl500g deluxe and has number of packages including ebtables.
Oleg, can we talk in russian forum? it still clean when asuscom.ru's forum happy with your firmware... mabe i create freebsd based firmware fo this greatest HW i ever seen ;) it can be small but powerfull because IPFW2 filtering with bridge comes with freebsd system and don't need anytype patches
интересует ЧТО можно сделать в сабжевом роутере дабы превратить его в обыкновенную точку доступа с возможностью фильтрации по Wan, Lan и Wlan портам?
какой чип используется в сабжевом роутере и есть ли вариант собрать под него фряшный мини сервачок, т.к. во фряшном варианте не надо никаких патчей дабы заполучить фильтрующий мост...
т.к. ответ был в ангицком форуме, продолжим беседу в русском;)
а зачем собсно нужен ebtables? как я понял он позволяет фильтровать MAC адреса, что например мне сооовсем не надо, т.к. у меня во фряшном фильтре практически одно из первых правил - правило пропуска ARP пакетов... мне надо только отфильтровать бродкасты + MF M$ windows сеть, т.е. все что идет на my.net.ip.255 + TCP/UDP 135,137-139,369,445 и все! о большем и мечтать не хочется... если не сложно - подскажешь как сделать собственный фирмварь с зашитым подобным функционалом на базе твоего? будешь выкладывать его как bridge-version глядишь кому и пригодится, а именно тем кто как и я устал от D-Link-a о том что будет внутри фирмвари можно поговорить, т.к. я бы хотел всунуть туда например скрипт просмотра уровня сигнала клиентов сразу же, а не писать потом ну и прочие полезные мелочи...
Олег, пожалуста помоги с созданием WL500gx-1.9.2.7-4-bridge.trx
как я понял надо слеать примерно следующее:
- выкинуть всю WAN ерунду (сохранение места на флешке под snmpd :) )
- забриджевать все 3 интерфейса в один (это даст 1 общий IP адрес и позволит отказаться от маршрутизации что разгрузит проц)
- сделать так чтобы можно было фильтровать все пакеты проходящие через бридж
З.Ы. Олег, как твоя фирмварь дружит с вебом? может стоит его переписать под bridge версию и как можно "форматнуть" flashfs чтобы иметь там ТОЛЬКО твою фирмварь, а то после экспериментов у мя там всякие левые конфиги валяются и т.д. да и проклятый эксперимент с флешкой (она глюкнутая, с нее запросто можно читать, а вот писать не дает, хотя мой wl500gx так не думал) привел к умиранию папки ftp_pub после чего фтп начинает работать только если создать ее руками
Если в кратце, то bridge вообще-то это layer2, а обычный firewall (iptables) в линуксе работает на Layer 3 (IP). Поэтому и нужен brnf патч, который делает L2 пакеты видимыми iptables.
А насчёт чистки флешки -
# Чистка nvram
nvram erase /dev/mtd/3
# Чистка flashfs
flashfs erase
reboot
Этот код прошивку не трогает, поскольку она находится в другом разделе флеша и не модифицируется иначе как в процессе апгрейда (это ядро + r/o файловая система).
Насчёт изготовления порезанной прошивки. Я начал добавлять ebtables с патчем для netfilter в прошивку и даже сделал это. Но в какой-то момент Snufkin обнаружил, что происходит то, чего мне не нужно и встроенный фаервол не понимает - через него пошли все LAN/WLAN пакеты. И это никак не изменить, иначе как перекомпилировав прошивку. В результате не получается сделать так, чтобы было хорошо всем. :) Поэтому я вырезал этот код и пожалел о потраченном времени. В дополнение, это ещё сильнее уменьшит скорость рабоыт.
Кстати, на LAN портах wl500g - свитч, так что там ничего порезать не удастся. Вот в deluxe каждый и портов можно загнать в отдельный VLAN.
Я советую не пытаться сделать это из моей прошивки (тем более, если не нужен web интерфейс), а посмотреть в сторону http://www.openwrt.org
Там уже есть так нужный патч для подобной фильтрации, а файловая система доступна для записи.
[admin@(none) root]$ flashfs erase
Usage: /sbin/flashfs status|enable|disable|clear|load|list|save|commit оно не хотит :( а играться с данной командой меня что-то не прельщает... впрочем так или иначе - СПАСИБО!
Если в кратце, то bridge вообще-то это layer2, а обычный firewall (iptables) в линуксе работает на Layer 3 (IP). это я понимаю, но мне как раз и надо больше фильтровать layer3 т.к. для layer2 есть умные свичики ;)
Вот в deluxe каждый и портов можно загнать в отдельный VLAN HOWTO пожалуйста ;)
в общем повторюсь опять - я хочу фильтровать 3 источника между собой: LAN, WAN и WLAN, т.е. чтобы пакеты между ними всеми ходили отфильтрованными, при этом пакеты 3-го уровня... я просто неверно выразился :confused: bridge - это действительно layer2 (просто я так его назвал по аналогии с др. АР которые есть суть бриджи а не роутеры) но мне надо фильтровать _только_ IP пакеты сиречь layer3, заморачивать себе и асусу голову фильтрацией МАСов - это глупо и нужно только на WLAN интерфейсе, да и то не факт, т.к. хочется RADIUS-a :rolleyes: ... вопрос в том как отключить все ненужные сервисы и оставить только 1 IP адрес на устройство+iptables+wondershaper+ftp? я думаю все остальное можно в /dev/null
З.Ы. сори за задержку - форум не уведомил об ответе :mad:
[admin@(none) root]$ flashfs erase
Usage: /sbin/flashfs status|enable|disable|clear|load|list|save|commit оно не хотит :( а играться с данной командой меня что-то не прельщает... впрочем так или иначе - СПАСИБО!
Очепятка, д.б. flashfs clear.
это я понимаю, но мне как раз и надо больше фильтровать layer3 т.к. для layer2 есть умные свичики ;)
Мост (бридж) - это layer 2. Layer 3 - маршрутизатор.
HOWTO пожалуйста ;)
Чуть позже. И потом, что Вы с ними делать-то будете? :) Стандартная прошивка всё равно, кроме двух стандартных vlan ничего не понимает...
в общем повторюсь опять - я хочу фильтровать 3 источника между собой: LAN, WAN и WLAN, т.е. чтобы пакеты между ними всеми ходили отфильтрованными, при этом пакеты 3-го уровня... я просто неверно выразился :confused: bridge - это действительно layer2 (просто я так его назвал по аналогии с др. АР которые есть суть бриджи а не роутеры) но мне надо фильтровать _только_ IP пакеты сиречь layer3, заморачивать себе и асусу голову фильтрацией МАСов - это глупо и нужно только на WLAN интерфейсе, да и то не факт, т.к. хочется RADIUS-a :rolleyes: ... вопрос в том как отключить все ненужные сервисы и оставить только 1 IP адрес на устройство+iptables+wondershaper+ftp? я думаю все остальное можно в /dev/null
З.Ы. сори за задержку - форум не уведомил об ответе :mad:
Не путайте IP пакет и уровни. Да, на Layer2 тоже виден IP пакет, но он там инкапсулирован внутрь Ethernet пакета, поэтому в обычном случае он не обрабатывается. Вот если он поднимется до третьего уровня (т.е. маршрутизации или с помощью вышеуказанного патча), то да, iptables его увидят.
Что делать: установить другую прошивку - http://www.openwrt.org. Нужен experimental build. Я серьёзно. На deluxe она работает без проблем, я там кое-чем помогаю, например vlanами. :)
что Вы с ними делать-то будете? хочу использовать его как точку доступа (Access Point) с фильтрацией (censored) мракософтовсокого траффика, т.е. отфильтровать порты: TCP/UDP 137,138,139,369 и 445 (ну мож еще blaster какой ;) ) - так понятнее? все, больше я ничего от железки не хочу! разве что скриптик просмотра уровня сигнала порой запускать :p
Да, понятно. Но это ничего не меняет. :) Этот как раз и есть bridge. Все интерфейсы склеиваются, iptables пакетов не видит. Кроме пакетов, адресованных самой wl500g. :)
iptables пакетов не видит. Кроме пакетов, адресованных самой wl500gа вот это и не есть гуд! :( вот например сейчас у меня стоит комп на фряхе настроеный фильтрующим мостом, т.е. 1-е правило стены пропускать МАС адреса, а дальше идет рубание шашкой всех кого не лень и под конец всем все можно, но уже без NETBIOS сотоварищи мусора :p
Я рад, что мои объяснения наконец стали понятны. :)
ткни плииз носом в ebtables или что там такое есть под openwrt, то что на твой взгляд будет работать... кстати, а как работают вланы на openwrt? какие они вообще? 802.1Q или port based?
Ну народ... Google слабо использовать?
http://ebtables.sourceforge.net/
http://ebtables.sourceforge.net/br_fw_ia/br_fw_ia.html
Ключевые слова brnf patch
про man google я в курсе ;) просто я думал что модуль для ipkg есть или что-то в этом духе... как я понял - надо будет сорцы патчить и пересобирать фирмварь, так?
ну глянь же openwrt наконец. там уже всё собрано и есть ipkg разные. :)
ebtables - есть суть патч для ядра, так? тогда FW по любому придется пересобирать... я же и попросил носом ткнуть в использование ebtables под openwrt, т.к. поиски по их форуму и вики ни к чему не привели :(
Есть роутер Asus WL500g Delux.
Раньше использовал его по назначению, через ADSL модем он был подключен к инету, и раздавал его. Проблем не было.
Щас же хочу использовать его как Switch, т.е. чтобы все 5 портов и WiFi - работали в режиме Switch'a. Переключил его в этот режим, но т.к. в сети народ использует программу SEChat, для голосового общения, то беспроводный интерфейс просто виснет под напором широковещательных запросов. Лампочка WiFi начинает очень быстро моргать, после чего ноутбук просто отказывается подключаться по WiFi к сети. Проводные интерфейсы продолжают работать.
Я так полагаю, что нужно включить фильтрацию в файерволе роутера или перевести его в режим маршрутизатора, где проводные интерфейсы - 1 сеть, WiFi - другая.
В линуксе не шарю. Через telnet к роутеру подключиться могу, а вот что настраивать - не знаю.
Подскажите, что делать? :(
P.S. Стоит последняя прошивка от Олега, ipkg не стоят. На ноутбуке IntelPro Wireless 2100BG, когда роутер не весит, подключается на ура.
P.S.S. Сетка небольшая, на 10 человек, построена на трех 8ми портовых неуправляемых свичах. Запретить использовать SEChat - не получится.
С текущей прошивкой ничего не получится.
С текущей прошивкой ничего не получится.
Т.е. совсем??? А Если маршрутизацию настроить??? Теоретически ведь не должны броадкасты между подсетями гулять?
Пробывал до этого ставить и dd-wrt, и openwrt rc4, было тоже самое.
С настройками сильно не ковырялся, т.к. настолько не шарю, чтоб самому победить.
Мне кажется что быть такого не может, чтобы нельзя было отфильтровать траффик, чтоб WiFi не забивался.
В режиме точки доступа - openwrt сможет. Нужно ebtables использовать.
В моей прошивке этого него, поэтому только маршрутизация.
Можно ли превратить wan порт в еще один lan ? Четырех ланов не хватает к сожалению и не хотелось бы еще занимать лишнюю розетку для хаба. И еще как можно отфильтровать мультикаст трафик, чтобы он не шел на wifi соединение? Купил стрим тв и когда смотришь его wifi дохнет (пинг взлетает до нескольких тысяч,а потом таймаут).:(
Первый вопрос я вроде сам разрулил =), сделав nvram set vlan0ports=0 1 2 3 4 5*, а вторая проблема актуальна как никогда.
Выхода два: ставить openwrt и использовать ebtables для филитрации мультикаста или перевести deluxe в режим роутера, а порты переконфигурировать так, чтобы появился второй WAN порт и подключить тв к нему.
Strannik
13-05-2006, 23:38
Выхода два: ставить openwrt и использовать ebtables для филитрации мультикаста или перевести deluxe в режим роутера, а порты переконфигурировать так, чтобы появился второй WAN порт и подключить тв к нему.
А вот интересно, почему не срабатывает ifconfig eth2 -multicast?
Точнее, срабатывает - ifconfig eth2 показывает, что мультикаст на интерфейсе отключен, - но wifi все равно дохнет со СтримТВ...
Или оно все-таки броадкастом гонит поток? Я не знаю, как точно посмотреть.
Мультикаст нужно отключать на входном интерфейсе по идее. Этот флаг определяет получать мультикаст или нет.
Здравствуйте! прошился с 1.9.2.7-7c на 1.9.2.7-7d и к моему удивлению все настройки роутера (WL500G Deluxe) абсолютно все пароли, настройки интернета, роутинг и так далее остались не сброшенными по дефолту хотя ранее после прошивок все сбрасовалось и приходилось заново настраивать.
Объясните в чем прикол данной ситуации?
в System Setup - Firmware Upgrade - Firmware Release: 1.9.2.7-7d показывает новую прошивку! как я понимаю все ок кроме описанного мною выше!
Они и не сбрасывались никогда. :)
Огромное спасибо! впреть буду знать)
Firemover
09-07-2006, 19:11
Вот столкнулся со Стримом, будь он неладен.
Имеется:
1. Dlink DSL-500t в данный момент в режиме роутера.
2. wl500GX в режиме роутера, WAN подключен к Dlink и настроена маршрутизация через Dlink.
Всё работает прекрасно но появляется Стрим-ТВ.
На Dlinke настроены PVC и всё идет на его выход.
В таком режиме как сейчас естественно ничего не работает.
Переключаю Dlink на lan порт asus и получаю забитый мультикастами wifi
В принципе работать можно - поставил openwrt и ebtables и вроде всё ок, но есть проблема - прошивка Олега нравиться мне куда больше непонятной мне Openwrt.
Вот собственно и вопрос: как правильно средствами прошивки Олега настроить полноценную работу wifi, и самого стримтв?
Надо-ли переводить Dlink в режим модема или например
настраивать на Асусе прохождение всего что нужно для Amino?
Думаю что без еще одного wan порта тут не обойтись, но настроить его не проблема.
Вобщем надеюсь на небольшую помощь.
Andrey Solovyov
06-10-2006, 09:31
Прошелся поисковником и вот что нашел: http://forum.qwerty.ru/index.php?showtopic=77612 . Т.е. встроить multicast в прошивку этих рутеров реально! Олег, вы не могли бы посмотреть что можно сделать? Будет здорово, если удастся все смонтировать, взяв за основу новые версии прошивок/исходников (например, 1.9.5.0 намного стабильнее). Если есть еще люди, заинтересованные в поддержке IGMP multicast (нужно для просмотра ТВ из сети, чаты и пр.), то можно было бы скинуться баксов по 5-10, чтобы человек незабесплатно работал (если вообще уговорим его за это взяться). :)
я вкомпилировал поддержку мультикаст и igmpproxy в прошивку от Олега. не проверял, высылыл одному товарищу - у него заработало.
там все легко
coraxpda
06-10-2006, 14:27
gaaronk
Есть полезная примочка для подсчета трафика, лежит тут
http://lionet.info/ipcad/
в определенных кругах весьма популярна.
Нет желания попытаться собрать, если это возможно ессно?
Она через rsh работает в интерактиве, rsh я для нашего
Асуса тоже не нашел....
gaaronk
Есть полезная примочка для подсчета трафика, лежит тут
http://lionet.info/ipcad/
в определенных кругах весьма популярна.
Нет желания попытаться собрать, если это возможно ессно?
Она через rsh работает в интерактиве, rsh я для нашего
Асуса тоже не нашел....
очень врядли. я в линуксе почти 0. пересобрать прошивку с другими опциями и добавить в нее готовые бинарники - для этого unix знать вообще не надо, а что то компилировать (к тому же кросс-компиляцией) - эт я не могу.
Andrey Solovyov
06-10-2006, 15:58
я вкомпилировал поддержку мультикаст и igmpproxy в прошивку от Олега. не проверял, высылыл одному товарищу - у него заработало.
там все легко
А не могли бы вы мне поподробнее рассказать что и как компилировать надо. Только попроще, а то я в этом не очень...
В результате получается настраиваемый мультикаст? Т.е. через web-интерфейс можно задать настройки IGMP multicast?
как компилировать описано тут http://wiki.wl500g.info/index.php/compilingcustomfirmware и в форуме
igmpproxy взять как раз из того форума ссылку на который приводили
нет конечно, в web ничего нового не появится, через telnet/ssh
Andrey Solovyov
06-10-2006, 16:35
Не, эт я не смогу сам... Ниасилить мне никак такое. Да и программ нужных нет. Вся надежда на Олега. :)
Прошелся поисковником и вот что нашел: http://forum.qwerty.ru/index.php?showtopic=77612
igmpproxy действительно можно засандалить в любой маршрутизатор, была бы только поддержка мультикаста в ядре. В прошивках Олега похоже ядро без мультикаста. Пакет http://qwertywrt.freehostia.com/igmpproxy_centel_mipsel.ipk я собрал для qwerty.ru. Но он отличается только конфигом. Так что вполне можно настроить и на другого провайдера.
В варианте с igmpproxy найден глюк - как только прописываются маршруты мультикаста, умирает Wi-Fi (потом оживает после отписки канала). Причем в логах всё чисто. Время на решение этой проблемы у меня нет. Может кто возьмётся?
Есть ещё решение - пустить только мультикаст через бридж тоже на qwerty.ru (http://forum.qwerty.ru/index.php?s=&showtopic=44991&view=findpost&p=1170104), но в этом случае тоже придётся отказатся от Wi-Fi. Хотя я уверен, если получше разобраться с ebtables - возможно получить полнофункциональный вариант.
странно
я вот пересобрал ядро с мультикастом и с igmpproxy и человек тестил - все работает. причем сам он сидел через именно через wi-fi
странно
я вот пересобрал ядро с мультикастом и с igmpproxy и человек тестил - все работает. причем сам он сидел через именно через wi-fi
Вы что то путаете. Баг стабильный и проявляется, судя по форуму qwerty.ru не только у меня. Правда проверялось это на прошивках Linksys (orig), OpenWRT, DD-WRT. С прошивкой Олега не пробовал.
Вряд ли в этих прошивках принципиально изменена схема подключения вайфайного интерфейса(сам посмотреть не могу, азуза нет под рукой).
Когда начинал копать - выяснил, что проблема в связке igmpproxy и brctl.
Как только igmpproxy динамически добавляет новый маршрут, сразу же brctl перестаёт выполнять свои функции. Связь Wi-Fi остаётся жить, но она полностью изолируется от маршрутизатора.
Andrey Solovyov
09-10-2006, 15:55
Не оставляйте тему, pls! Как-то надо это сделать, IPTV - штука нужная.
Насчет денег скинуться - я серьезно. "Полцарства за коня!" :))
а можно узнать, что конкретно добавилось в прошивке по шагам?
В принципе Олег упростил нам жизнь, теперь igmpproxy запускается набором igmpproxy да и вконф файл он практически всё внёс, надо только свои параметры подставить, а так всё как я описывал
Хочу спросить - неужели нельзя сделать все в прошивке загружаемой от уважаемого автора
Конечно можно, но прийдётся подождать с полгодика, пока наконец кто-нибудь себе это настроит, проверит и расскажет мне, что получилось. До этого момента можно считать, что ничего нет.
Vitaly_k
15-11-2006, 18:54
Конечно можно, но прийдётся подождать с полгодика, пока наконец кто-нибудь себе это настроит, проверит и расскажет мне, что получилось. До этого момента можно считать, что ничего нет.
А у себя на Стрим-е не пробовали? Нормальный такой мультикаст на Стрим-ТВ, для отладки вполне тянет.
А у себя на Стрим-е не пробовали? Нормальный такой мультикаст на Стрим-ТВ, для отладки вполне тянет.
В моём тарифе (ПРОФИ) нет тв и добавить его невозможно за разумные деньги... Стрим жадничает конечно, могли бы хотя бы эфирные каналы пустить за бесплатно...
В моём тарифе (ПРОФИ) нет тв и добавить его невозможно за разумные деньги...
Если есть второй компьютер - можно запустить VLC на вещание UDP multicast. Я именно так и отлаживал igmpproxy.
Да, этот вариант осуществим в принципе...
Вот такой вопрос у меня: зачем указывать на входящем интерфейсе сеть и маску с источниками? Код в нстоящий момент не позволяет использовать 0.0.0.0/0, но наверное можно использовать две сети: 0.0.0.0/1 и 128.0.0.0/1. Так будет работать?
Да, этот вариант осуществим в принципе...
Вот такой вопрос у меня: зачем указывать на входящем интерфейсе сеть и маску с источниками? Код в нстоящий момент не позволяет использовать 0.0.0.0/0, но наверное можно использовать две сети: 0.0.0.0/1 и 128.0.0.0/1. Так будет работать?
Тут всё просто. Нужно прописать только ту сеть, куда будет производится подписка на группы. В случае QWERTY.RU это 213.85.187.0/24. Делается это ,чтоб отсечь кучу паразитного мультикаста от windows машин в сети. Иначе таблица роутинга может очень сильно располнеть. ;)
Ещё один вариант проброски только мультикаста - через ebtables.
Но тогда придется отказаться от привычной схемы бриджевания wi-fi интерфейса и назначить ему отдельный IP либо вообще отказаться от wi-fi.
У меня подобная схема работает на EDIMAX BR-6104KP стабильно более полгода.
Vitaly_k
16-11-2006, 07:32
В моём тарифе (ПРОФИ) нет тв и добавить его невозможно за разумные деньги... Стрим жадничает конечно, могли бы хотя бы эфирные каналы пустить за бесплатно...
За эфирные каналы платить НЕ НУЖНО. Делаете заявку на Стрим-ТВ из личного кабинета, через несколько дней появится мультикаст. Без STB т.е. на компьютере программой VLC можно смотреть все, что идет некодированное - эфирные каналы плюс весь радиопакет.
Платная подписка на базовый пакет, которая стоит около 10$ делается уже с приставки, т.е. до тех пор, пока Вы ее не купите и не активируете денег точно не снимут.
Если хотите попробовать с STB, то можно взять у знакомого и подключить у себя - привязки к конкретной телефонной линии нет, главное чтобы была разжата канальная скорость и включен мультикаст.
За эфирные каналы платить НЕ НУЖНО. Делаете заявку на Стрим-ТВ из личного кабинета, через несколько дней появится мультикаст.
Проверено? Мин нет?
Есть уже. Собрал для Премиума. Только проверить я не могу. :) Файл /etc/igmpproxy.conf нужно править руками и сохранить во flashfs.
Запускать для отладки его можно как
igmpproxy -d
а для нормальной работы - просто igmpproxy
http://wl500g.dyndns.org/gp/wl500gp-1.9.2.7-7f-post2.trx
Олег, эта ссылка нот фаунд
Там нужно Wl большими буквами написать. Сейчас исправлю.
Странно, там написано большими буквами, не знаю, где Вы взяли эту ссылку неправильную. :)
Странно, там написано большими буквами, не знаю, где Вы взяли эту ссылку неправильную. :)
Вот пост (http://wl500g.info/showpost.php?p=40318&postcount=26)
взял, спасибо
Vitaly_k
16-11-2006, 15:39
Проверено? Мин нет?
Проверено.
Единстенное чем грозит - могут позвонить и спросить, "а когда приставку-то купишь/арендуешь", на что нужно ответить "оччень скоро".
опробовал премиум, по вай фай те-же проблемы что и на линксис. по проводу все ок (q.tv).
Насчет ноута не догнал, если на то пошло то что мешает поменять карту ?
Не знал что они меняются, а pccard неохота.... Ну да это оффтопик. Хочется сейчас. :)
Что касается переделки в юникаст, то если клиент один, то всё просто: берёте и меняете МАК адрес в пакете с мультикастного на адрес клиента, оставляя IP адрес без изменений. И всё, всё счастливы. Это не подлностью решает проблему дропов с последущим рассыпанием картинки, но зато позволяет гнать данные с максимальной скоростью для конкретного клиента и делать автоматом ретрансмиты для неподтверждённых пакетов (это ведь есть в WiFi), чего нет в мультикасте.
Да, клиент один. Это можно как-то сделать встроенными средствами (типа iptables) или все-таки надо что-то прикручивать?
Да, клиент один. Это можно как-то сделать встроенными средствами (типа iptables) или все-таки надо что-то прикручивать?
Низя. :) Нужно либо прикручивать ebtables, что практически нереально (я делал, но выкинул, ибо всё испортилось в логике), либо ручками править ядро в части бриджа перед выплёвыванием в интерфейс.
AYuusuke
12-12-2007, 14:08
Попробую переформулировать вопрос: что нужно сделать что бы к Олеговской прошивке прикрутить iptables поновее (суда по FAQ-у на netfilter-е, то что я хочу работает в последних iptables-ах)?
Пересобрать прошивку? Или можно поставить какой нибудь пакет? Или может бинарник только пере собрать будет достаточно?...
Увы, надо будет пересобрать и, наверняка пропатчить, ядерную часть netfilter. Будет ли оно работать с текущим ядром 2.4.20 - это вопрос :confused:
Я тоже уже подхожу к мысли спросить Олега - а не хочет ли он переползти на 2.4.35? Но объем работы и тестирования - огромный!
Да, боюсь со сменой IP адреса после маршрутизации будет проблема. Я с таким не сталкивался. Хотя теоретически это можно сделать на L2, но ebtables у нас всё равно нет...
Anton K.
08-06-2008, 20:34
Помогите, пожалуйста настроить роутер для приема мультикаста и возможно ли это вобще.
Нашел интересный скрипт для OpenWrt создающий мост между сетками для мультикаста.
Code:
#!/bin/sh
# Start/stop/restart the bridge.
#
EBTABLES=ebtables
IFCONFIG=ifconfig
BRIF="br0"
check_bridge() {
return `$IFCONFIG | grep $BRIF -c`
}
bridge_start() {
echo " Starting bridge.."
echo " - Setting ebtables rules.."
# Clear any rules
$EBTABLES -t broute -F
$EBTABLES -F
# Default is routing
$EBTABLES -t broute -P BROUTING DROP
# IGMP bridging is needed
$EBTABLES -t broute -A BROUTING -p 0x800 --ip-proto igmp -j ACCEPT
# UDP multicast bridging (use --ip-sport or --ip-dport if your traffic is only on one port)
$EBTABLES -t broute -A BROUTING -d 01:00:00:00:00:00/01:00:00:00:00:00 -p 0x800 \
--ip-proto udp --ip-dst your_multicast_group_(or 224.0.0.0/4 here) -j ACCEPT
# All other bridging is denied
$EBTABLES -t broute -A BROUTING -j DROP
}
bridge_stop() {
check_bridge
if [ $? -gt 0 ]; then
echo " Stopping bridge.."
$EBTABLES -t broute -F
$EBTABLES -t broute -P BROUTING ACCEPT
fi
}
bridge_restart() {
echo "Restarting bridge: "
bridge_stop
bridge_start
}
bridge_status() {
check_bridge
if [ $? -eq 0 ]; then
echo " Bridge ($BRIF) status: inactive"
exit 2
else
echo " Bridge ($BRIF) status: active"
exit 1
fi
}
case "$1" in
'start')
bridge_start
;;
'stop')
bridge_stop
;;
'restart')
bridge_restart
;;
'status')
;;
*)
echo "usage $0 start|stop|restart|status"
esac
bridge_status
Несколько вопросов по прошивке:
1. Если скомпилить ebtables будет ли все нормально работать? Помнится на 2.4 были жуткие проблемы с этим модулем.
2. Что с UPNP? Бинарник вылетает с ошибкой.
3. Нет ли там в проекте драйвера UVC (Video for linux) и вообще можно ли его в принципе скомпилять для этого ядра? В ванильном он появился несколько позже.
Помогите со сборкой прошивки. У меня валится на применении первого броадкомовского патча на ядро (за основу взято 2.6.22.19).
Кто уже собирал эту прошивку, подскажите плз.
В исходниках прошивки есть архив lzma457.tbz. В нем нет папки CPP/7Zip/Compress/LZMA_LIB, однако в патче lzma457.patch есть дифы на файлы из этой папки. Одкуда берется LZMA_LIB?
В итоге прошивка не собирается. Во первых без папки в broadcom/src/lzma
ругается:
make: *** No rule to make target `/root/router/broadcom/src/lzma/CPP/7zip/Compress`, needed by `/root/router/broadcom/src/lzma`. Stop.
Но если вручную распаковать lzma457.tbz, ядро собирается, но далее валится при make install из за отсутствующей LZMA_LIB
Как исправить ситуацию?
Кто уже собирал эту прошивку, подскажите плз.
В исходниках прошивки есть архив lzma457.tbz. В нем нет папки CPP/7Zip/Compress/LZMA_LIB, однако в патче lzma457.patch есть дифы на файлы из этой папки. Одкуда берется LZMA_LIB?
В итоге прошивка не собирается. Во первых без папки в broadcom/src/lzma
ругается:
make: *** No rule to make target `/root/router/broadcom/src/lzma/CPP/7zip/Compress`, needed by `/root/router/broadcom/src/lzma`. Stop.
Но если вручную распаковать lzma457.tbz, ядро собирается, но далее валится при make install из за отсутствующей LZMA_LIB
Как исправить ситуацию?
А что diff настолько ущербен что не может создавать файлы и папки если их нету?
Могу предложить руками наложить этот патч на распакованную папку.
А что diff настолько ущербен что не может создавать файлы и папки если их нету?
Могу предложить руками наложить этот патч на распакованную папку.
Спасибо, помогло.
На этой прошивке не работают NETFILTER_XTABLES. При установке этой опции в ядре, роутер перестает отвечать на пакеты.
Жаль что такую вроде бы простую операцию как объединение двух роутеров тунелем второго уровня с резкой DHCP траффика реализовать нельзя.
theMIROn
01-04-2010, 16:48
На этой прошивке не работают NETFILTER_XTABLES. При установке этой опции в ядре, роутер перестает отвечать на пакеты.
Жаль что такую вроде бы простую операцию как объединение двух роутеров тунелем второго уровня с резкой DHCP траффика реализовать нельзя.
можно, через pptp/openvpn, ipsec врядли, l2tp возможно.
можно поискать по форуму, периодически темы с информацией возникали.
p.s а при чем тут NETFILTER_XTABLES? оно и так включено.
можно, через pptp/openvpn, ipsec врядли, l2tp возможно.
можно поискать по форуму, периодически темы с информацией возникали.
p.s а при чем тут NETFILTER_XTABLES? оно и так включено.
Я пытался использовать openvpn в режиме бриджа. Сама по себе openvpn работала конечно отлично, но кроме этого что бы все заработало нужно блокировать в тунеле прохождение DHCP трафика. Это можно сделать тремя спосабами:
1. ebtables
2. модуль ipt_physdev для iptables
3. плугин для openvpn
Для третьего способа я решения пока не нашел, первые два на этой прошивке неработают. Как только включаешь минимально необходимые опции в ядре для их работы роутер перестает отвечать по сети.
В прошивке с транка можно включить ebtables. При этом необходимые модули будут подключаться, но при выполнении комадны
ebtables -A INPUT -i tap0 -p IPv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
возникает ошибка:
The kernel doesn't support a certain ebtables extension, consider recompiling your kernel or insmod the extension.
в логе:
kernel msg: ebtables bug: please report to author: match->check failed
Все нужные модули при этом загружены:
Ebtables v2.0 registered
kernel msg: ebtables bug: please report to author: match->check failed
kernel msg: ebtables bug: please report to author: match->check failed
[admin@gw root]$ lsmod
Module Size Used by Tainted: P
ebt_ip 1984 0
ebtable_filter 1760 0
ebtables 21888 2 ebt_ip,ebtable_filter
tun 9632 0
usb_storage 96192 1
sd_mod 25008 2
scsi_mod 104768 2 usb_storage,sd_mod
ehci_hcd 36112 0
ohci_hcd 19856 0
usbcore 137872 4 usb_storage,ehci_hcd,ohci_hcd
ipt_recent 8832 2
nf_nat_ftp 2848 0
nf_conntrack_ftp 8448 1 nf_nat_ftp
wl 2051616 0
igs 17936 1 wl
emf 22688 2 wl,igs
et 58752 0
[admin@gw root]$
При этом комманды ebtables без использования модуля ebt_ip работают нормально: ebtables -A INPUT -i vlan1 -p IPv4 -j DROP
Мне кажется это оттого что в правилах и конфигах ядра для ebtables не выставлены все нужные зависимости. Конкретно опция NETFILTER_XTABLES нужна для работы ebtables, но по умолчанию она выключена или отсутствует. После ее включения повторяется все то же что и при включении ipt_physdev. Роутер практически не отвечает по сети (очень изредка icmp все же проскакивает).
Попрошу разработчиков включить в конфигурации ядра
CONFIG_NETFILTER_XT_MATCH_PHYSDEV=m
Это позволит, в частности, фильтровать multicast на одном из интерфейсов (например, WLAN) в бридже.
theMIROn
25-04-2010, 15:59
Попрошу разработчиков включить в конфигурации ядра
CONFIG_NETFILTER_XT_MATCH_PHYSDEV=m
Это позволит, в частности, фильтровать multicast на одном из интерфейсов (например, WLAN) в бридже.
а сам пробовал? в плане замедления, увеличения размера?
а сам пробовал? в плане замедления, увеличения размера?
Замедления чего? Ядра?
Замедление там не больше, чем от самого netfilter.
Это всего лишь еще одна цель.
Нужно всего лишь включить "Bridged IP/ARP packets filtering" и "CONFIG_NETFILTER_XT_MATCH_PHYSDEV=m"
Замедления чего? Ядра?
Замедление там не больше, чем от самого netfilter.
Это всего лишь еще одна цель.
Типичное заблуждение :rolleyes:
Нужно всего лишь включить "Bridged IP/ARP packets filtering" и "CONFIG_NETFILTER_XT_MATCH_PHYSDEV=m"
Увы это невозможно, т.к. BRIDGE_NETFILTER несовместим с броадкомовским драйвером WiFi.
Типичное заблуждение
Вот только не надо. Замедления на ядре с BRIDGE_NETFILTER и незагруженным модулем (на других системах, в том числе и MIPS) практически нет.
Увы это невозможно, т.к. BRIDGE_NETFILTER несовместим с броадкомовским драйвером WiFi.
Это точно?
Плохо, если это так. Это хороший способ фильтровать мультикаст на бридже...
Вот только не надо. Замедления на ядре с BRIDGE_NETFILTER и незагруженным модулем (на других системах, в том числе и MIPS) практически нет.
Overhead на увеличении структур и кол-ва проверок игнорируем? Результаты тестов есть?
Плохо, если это так. Это хороший способ фильтровать мультикаст на бридже...
Как минимум, нужно корректировать struct sk_buff. Возможно что-то еще связанное - глубже не смотрел.
Overhead на увеличении структур и кол-ва проверок игнорируем? Результаты тестов есть?
Чтобы иметь тесты на ЭТОМ устройстве, нужно, как минимум, чтобы это заработало.
Как минимум, нужно корректировать struct sk_buff. Возможно что-то еще связанное - глубже не смотрел.
Все намного хуже. Собрал модуль и iptables. Но:
"using --physdev-out in the OUTPUT, FORWARD and POSTROUTING chains for non-bridged traffic is not supported anymore."
И это довольно давно, судя по git-commits.
Как теперь фильтровать мультикаст на интерфейсе в бридже - даже и не знаю...
theMIROn
13-09-2010, 08:32
Итак, igmp snooping работает с rtn-r2074 и d-r2072.
Смысл заключается в том, что при просмотре iptv на компьютерах, подключенных
к lan портам, мультикастовый трафик в wifi не попадет, если там его никто не ждет.
Включается в web интерфейсе роутера IP Config - Miscellaneous параметром настройки
Efficient Multicast Forwarding, при этом поддерживается пока только igmp v2 подписки.
http://emberapp.com/psychov/images/google-chrome-33/sizes/m.png
Однако, если начать смотреть iptv через wifi, то тут уже никаких изменений не будет -
или использовать Multicast UDP to HTTP Proxy и/или регулировать Multicast Rate (Mbps)
В r3002 - iptv в wireless без проблем с мультикастовым флудом, фича включается
и выключается "Enable WMF", может работать независимо от EMF, может и совместно.
Давно не ставил прошивку. Скажите плз, ebtables заработали или все так же (с ~1395 примерно)?
Давно не ставил прошивку. Скажите плз, ebtables заработали или все так же (с ~1395 примерно)?
отключено же в ядре
отключено же в ядре
Ну включить то можно. Я имею ввиду, что когда последний раз пробовал, при добавлении правил толи висло все, толи ошибка была. В общем не работали эти таблицы. Так что пришлось на openwrt перейти.
Давно не ставил прошивку. Скажите плз, ebtables заработали или все так же (с ~1395 примерно)?
Тоже интересует, возможна ли в прошивке -rtn на RT-N16 полная поддержка ebtables? :)
Или достаточно при компиляции прошивки просто включить опцию и загрузить модули? ;)
З.Ы. Неплохо было бы здесь набросать в общих чертах небольшой howto по этому поводу ... :D
Тоже интересует, возможна ли в прошивке -rtn на RT-N16 полная поддержка ebtables? :)
Теоретически - да. Практически, никто из мало-мальски квалифицированных людей этим не занимался. Модули собираются, но к ним ещё нужна user-space управлялка.
theMIROn
10-03-2012, 11:05
зачем народу ebtables?
если нужна только изоляция интерфейсов в бридже, то, могу гораздо более легкую замену предложить
зачем народу ebtables?
если нужна только изоляция интерфейсов в бридже, то, могу гораздо более легкую замену предложить
Да, и зачем Asus всё-таки включил его в свою прошивку для RT-N66U? ;) Типа, чтобы было? Что за замена? :rolleyes:
Негативное впечатление одно: в исходниках стало ещё больше проприетарных бинарников Broadcom'а, что
отнюдь не облегчает разработку альтернативных прошивок. Ладно бы это были только сторонние коммерческие наработки вроде
драйверов Paragon или неподчищенные бинарные сборки рядом с исходниками, теперь в бинарниках лежит Broadcom'овский ctf.ko -
который не очень убедительно (http://wl500g.info/showthread.php?23440-Asus-RT-N56U&p=201093#post201093) пытается заменить собой conntrack. Я, конечно, понимаю, что аппаратный NAT off-load
- это коммерческая наработка, но для нас он порой оборачивается скорее страданиями, чем радостью. Бинарники - зло.
Теперь бегло по содержимому исходников. Для RT-N66u прошивку включены все перечисленные фичи. В наличии:
ebtables - iptables для канального уровня :) Как его использует прошивка пока не разбирался.
В исходниках много неиспользуемого кода, то ли брошенного, как samba2 рядом с samba3, то ли с заделом
на будущее, как генерация jffs-файлов и lighttpd с webdav-шарами. В коде rc/jffs торчат уши Tomato^)
Скорее всего ebtables там используется для фильтрации мультикаста и изоляции гостевых сетей Wi-Fi в бридже :cool:
Возможно ли выдернуть его оттуда и использовать в прошивке от энтузиастов для RT-N16? :confused: Когда ждать патча? :)
BcTpe4HbIu
15-04-2013, 14:26
Добрый день.
Не подскажете есть ли в прошивке поддержка ebtables (не нашел)? Или есть возможность собрать прошивку с этой самой поддержкой?
Спасибо.
зачем народу ebtables?
если нужна только изоляция интерфейсов в бридже, то, могу гораздо более легкую замену предложить
А какую? Что надо сделать для этой изоляции?
Здравствуйте!
Есть вопрос по поводу фильтрации пакетов на канальном уровне!
Читал про ebtables!
Возник вопрос: как его включить? Поиском не нашел!
И поддерживается ли ebtables прошивками для wl500gpv2?
Заранее спасибо!