А разрешить только то, что нужно:Code:ptables -P FORWARD DROP iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
Code:iptables -A FORWARD -i ethX -o ethY -p tcp --dport 80 -m state --state NEW -j ACCEPT
А разрешить только то, что нужно:Code:ptables -P FORWARD DROP iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
Code:iptables -A FORWARD -i ethX -o ethY -p tcp --dport 80 -m state --state NEW -j ACCEPT
ASUS WL5xx: FW 1.9.2.7-d-rXXXX / обсуждение прошивки [RU] / firmware discussion [EN] | bip irc proxy
ASUS RT-N1x: FW 1.9.2.7-rtn-rXXXX / обсуждение прошивки [RU] / firmware discussion [EN] | fake ident daemon
А есть ли возможность прикрутить к прошивке l7-filter ? Хотя бы в виде опции при сборке.
А то любят у нас некоторые товарищи в организации видео с различных хостингов посмотреть, а канал не резиновый.
оно уже внутри.
http://wl500g.info/showpost.php?p=207679&postcount=9
ASUS WL5xx: FW 1.9.2.7-d-rXXXX / обсуждение прошивки [RU] / firmware discussion [EN] | bip irc proxy
ASUS RT-N1x: FW 1.9.2.7-rtn-rXXXX / обсуждение прошивки [RU] / firmware discussion [EN] | fake ident daemon
Хм, что-то не получается.
Скачал bittorrent.pat (для примера), положил в /etc/l7-protocols,
Если указать протокол, для которого нет сигнатур, тоCode:$ iptables -I FORWARD -m layer7 --l7proto bittorrent -j DROP iptables: No chain/target/match by that name $
Т.е. патчи вроде есть, но почему-то работать оно не хочет. В чем может быть дело?Code:$ iptables -I FORWARD -m layer7 --l7proto jpeg -j DROP iptables v1.3.8: Couldn't find a pattern definition file for jpeg. $
Раскопал еще одни грабли касательно сборки прошивки rtn для wl500gpv1.
В общем, если собрать согласно инструкции - все ок. Мне же нужно вкомпилять в ядро три вещи:
- ext2 (File Systems > Second extended fs support
- l7-filter (Networking > Networking support > Networking options > Network packet filtering framework (Netfilter) > Core Netfilter configuration > layer7)
- ULOG (Networking > Networking support > Networking options > Network packet filtering framework (Netfilter) > IP: Netfilter configuration > ULOG target support)
Если включаю все сразу, то прошивка собирается, заливается в роутер, но работать не хочет: горит светодиод питания, air не горит, роутер не пингуется. Если что-то из этих трех пунктов не включаю - тогда все работает. Тогда решил попробовать так: включил все три пункта, но выключил кое-что ненужное из ядра (в частности, некоторые NLS из File systems) - и оно заработало.
Из чего я делаю вывод, что где-то там для чего-то не хватает места.
Пробовал много раз в разных вариациях, воспроизводится стабильно.
См. kernel.config уже включено, модулем.
аналогично- l7-filter (Networking > Networking support > Networking options > Network packet filtering framework (Netfilter) > Core Netfilter configuration > layer7)
- ULOG (Networking > Networking support > Networking options > Network packet filtering framework (Netfilter) > IP: Netfilter configuration > ULOG target support)
Это всего-лишь навсего означает, что система нормально не загрузилась. Простейший способ посмотреть, что именно - консоль.Если включаю все сразу, то прошивка собирается, заливается в роутер, но работать не хочет: горит светодиод питания, air не горит, роутер не пингуется. Если что-то из этих трех пунктов не включаю - тогда все работает.
Угу, а модуль нужно предварительно грузить откуда-то, например с флешки, которая в ext2... Напоминает unzip.zip
Знаю, что ULOG и layer7 можно грузить модулями, но для меня привычнее вкомпиливать их в ядро.
Вы про какую консоль? Если про софтовую, то в нее не попасть - роутер полный труп, даже не пингуется. Если про распаивание serial-кабеля, то для меня это далеко не простейший способ
Вообще я сегодня полдня с ним игрался, наверное раз 20 пересобрал прошивку, все указывает на то, что труп из роутера получается именно если повключать слишком много всего в ядро. Если собирать модулями - то все ок.
nshaper реально не работает, все настроил много провозился но режет скорость в 5-7 раз!
Позволю себе повториться!
Я не возьму в толк почему Олег не внедрил Layer 7 QoS - схему которая железно работает с XWRT, DDWRT, OpenVRT?
http://dolly.czi.cz/coyote/packages/qosl7.asp
Kernel compatibility-
http://l7-filter.sourceforge.net/kernelcompat
Что надо сделать чтобы это заработало у Олега?
Переходите на прошивку энтузиастов. Берете modules от своей прошивки, берете из него xt_layer7.ko, на роутере делаете insmod xt_layer7 ... и все, пользуетесь!
1. Перейти на прошивку энтузиастов. Есть стабильные сборки, а есть ночные сборки (Внимание! Здесь прошивки заархивированы). Есть 2 ветки: на ядре 2.4 (wl/-d-) и на ядре 2.6 (rtn), но под каждую ветку есть свой файл modules, который лежит рядом с прошивкой.
2. Пока хватит?
Last edited by Omega; 14-03-2012 at 11:29. Reason: fixed
ASUS RT-N16 1.9.2.7-rtn, Zotac ZBOX (rtorrent@Ubuntu 13.10)
А можно поподробнее?
Интересная статья http://www.opennet.ru/base/net/adsl_shaper.txt.html
Last edited by Omega; 28-11-2010 at 10:26. Reason: merging 2 post