Page 1 of 6 123 ... LastLast
Results 1 to 15 of 86

Thread: ebtables и multicast iptv по wi-fi

  1. #1
    Join Date
    May 2005
    Location
    Russia
    Posts
    19

    Question ebtables и multicast iptv по wi-fi

    please tell me what i can safetly delete e.g. rm -rf from flash for setup Asus WL-500g Deluxe running as bridge with iptables filter between WAN, LAN and WLAN interfaces with that firmware ? as i say - i _never_ use it for any type WAN/internet connections because i have cisco for that but i _realy_ need some layer3 filter maybe with FTP server... what files i can delete for saving space on flashfs for packages etc (if it possible)? i don't need anything like DNS/DHCP, maybe web GUI (someone use it with custom firmware? it works?)
    please tel me if it possible or where i'm wrong...
    drop me HOWTO or link how bridge works in linux (i come here from FreeBSD world)
    thanks
    P.S. maybe Oleg build another one firmware for bridge without WAN/internet staff?

  2. #2
    Join Date
    Dec 2003
    Location
    Russian Federation
    Posts
    8,353
    Well, there still some space available in the flash. You need to build custom firmware with ebtables+nf patch this would allow you to perform L3 filtering on the bridged interfaces.
    I've added ebtables+nf patch, but this breaks some things, so I've removed it.
    If you really want to do something usefull and have *nix experience - flash openwrt experimental. It's now works fine with wl500g deluxe and has number of packages including ebtables.

  3. #3
    Join Date
    May 2005
    Location
    Russia
    Posts
    19
    Oleg, can we talk in russian forum? it still clean when asuscom.ru's forum happy with your firmware... mabe i create freebsd based firmware fo this greatest HW i ever seen it can be small but powerfull because IPFW2 filtering with bridge comes with freebsd system and don't need anytype patches

  4. #4
    Join Date
    May 2005
    Location
    Russia
    Posts
    19

    Question ebtables ?

    интересует ЧТО можно сделать в сабжевом роутере дабы превратить его в обыкновенную точку доступа с возможностью фильтрации по Wan, Lan и Wlan портам?
    какой чип используется в сабжевом роутере и есть ли вариант собрать под него фряшный мини сервачок, т.к. во фряшном варианте не надо никаких патчей дабы заполучить фильтрующий мост...

  5. #5
    Join Date
    May 2005
    Location
    Russia
    Posts
    19
    т.к. ответ был в ангицком форуме, продолжим беседу в русском
    а зачем собсно нужен ebtables? как я понял он позволяет фильтровать MAC адреса, что например мне сооовсем не надо, т.к. у меня во фряшном фильтре практически одно из первых правил - правило пропуска ARP пакетов... мне надо только отфильтровать бродкасты + MF M$ windows сеть, т.е. все что идет на my.net.ip.255 + TCP/UDP 135,137-139,369,445 и все! о большем и мечтать не хочется... если не сложно - подскажешь как сделать собственный фирмварь с зашитым подобным функционалом на базе твоего? будешь выкладывать его как bridge-version глядишь кому и пригодится, а именно тем кто как и я устал от D-Link-a о том что будет внутри фирмвари можно поговорить, т.к. я бы хотел всунуть туда например скрипт просмотра уровня сигнала клиентов сразу же, а не писать потом ну и прочие полезные мелочи...
    Олег, пожалуста помоги с созданием WL500gx-1.9.2.7-4-bridge.trx

    как я понял надо слеать примерно следующее:
    - выкинуть всю WAN ерунду (сохранение места на флешке под snmpd )
    - забриджевать все 3 интерфейса в один (это даст 1 общий IP адрес и позволит отказаться от маршрутизации что разгрузит проц)
    - сделать так чтобы можно было фильтровать все пакеты проходящие через бридж

    З.Ы. Олег, как твоя фирмварь дружит с вебом? может стоит его переписать под bridge версию и как можно "форматнуть" flashfs чтобы иметь там ТОЛЬКО твою фирмварь, а то после экспериментов у мя там всякие левые конфиги валяются и т.д. да и проклятый эксперимент с флешкой (она глюкнутая, с нее запросто можно читать, а вот писать не дает, хотя мой wl500gx так не думал) привел к умиранию папки ftp_pub после чего фтп начинает работать только если создать ее руками
    Last edited by snark; 03-05-2005 at 17:09.

  6. #6
    Join Date
    Dec 2003
    Location
    Russian Federation
    Posts
    8,353
    Если в кратце, то bridge вообще-то это layer2, а обычный firewall (iptables) в линуксе работает на Layer 3 (IP). Поэтому и нужен brnf патч, который делает L2 пакеты видимыми iptables.

    А насчёт чистки флешки -

    Code:
    # Чистка nvram
    nvram erase /dev/mtd/3
    # Чистка flashfs
    flashfs erase
    reboot
    Этот код прошивку не трогает, поскольку она находится в другом разделе флеша и не модифицируется иначе как в процессе апгрейда (это ядро + r/o файловая система).

    Насчёт изготовления порезанной прошивки. Я начал добавлять ebtables с патчем для netfilter в прошивку и даже сделал это. Но в какой-то момент Snufkin обнаружил, что происходит то, чего мне не нужно и встроенный фаервол не понимает - через него пошли все LAN/WLAN пакеты. И это никак не изменить, иначе как перекомпилировав прошивку. В результате не получается сделать так, чтобы было хорошо всем. Поэтому я вырезал этот код и пожалел о потраченном времени. В дополнение, это ещё сильнее уменьшит скорость рабоыт.

    Кстати, на LAN портах wl500g - свитч, так что там ничего порезать не удастся. Вот в deluxe каждый и портов можно загнать в отдельный VLAN.

    Я советую не пытаться сделать это из моей прошивки (тем более, если не нужен web интерфейс), а посмотреть в сторону http://www.openwrt.org
    Там уже есть так нужный патч для подобной фильтрации, а файловая система доступна для записи.

  7. #7
    Join Date
    May 2005
    Location
    Russia
    Posts
    19
    Code:
    [admin@(none) root]$ flashfs erase
    Usage: /sbin/flashfs status|enable|disable|clear|load|list|save|commit
    оно не хотит а играться с данной командой меня что-то не прельщает... впрочем так или иначе - СПАСИБО!

    Если в кратце, то bridge вообще-то это layer2, а обычный firewall (iptables) в линуксе работает на Layer 3 (IP).
    это я понимаю, но мне как раз и надо больше фильтровать layer3 т.к. для layer2 есть умные свичики

    Вот в deluxe каждый и портов можно загнать в отдельный VLAN
    HOWTO пожалуйста

    в общем повторюсь опять - я хочу фильтровать 3 источника между собой: LAN, WAN и WLAN, т.е. чтобы пакеты между ними всеми ходили отфильтрованными, при этом пакеты 3-го уровня... я просто неверно выразился bridge - это действительно layer2 (просто я так его назвал по аналогии с др. АР которые есть суть бриджи а не роутеры) но мне надо фильтровать _только_ IP пакеты сиречь layer3, заморачивать себе и асусу голову фильтрацией МАСов - это глупо и нужно только на WLAN интерфейсе, да и то не факт, т.к. хочется RADIUS-a ... вопрос в том как отключить все ненужные сервисы и оставить только 1 IP адрес на устройство+iptables+wondershaper+ftp? я думаю все остальное можно в /dev/null

    З.Ы. сори за задержку - форум не уведомил об ответе

  8. #8
    Join Date
    Dec 2003
    Location
    Russian Federation
    Posts
    8,353
    Quote Originally Posted by snark
    Code:
    [admin@(none) root]$ flashfs erase
    Usage: /sbin/flashfs status|enable|disable|clear|load|list|save|commit
    оно не хотит а играться с данной командой меня что-то не прельщает... впрочем так или иначе - СПАСИБО!
    Очепятка, д.б. flashfs clear.
    это я понимаю, но мне как раз и надо больше фильтровать layer3 т.к. для layer2 есть умные свичики
    Мост (бридж) - это layer 2. Layer 3 - маршрутизатор.

    HOWTO пожалуйста
    Чуть позже. И потом, что Вы с ними делать-то будете? Стандартная прошивка всё равно, кроме двух стандартных vlan ничего не понимает...

    в общем повторюсь опять - я хочу фильтровать 3 источника между собой: LAN, WAN и WLAN, т.е. чтобы пакеты между ними всеми ходили отфильтрованными, при этом пакеты 3-го уровня... я просто неверно выразился bridge - это действительно layer2 (просто я так его назвал по аналогии с др. АР которые есть суть бриджи а не роутеры) но мне надо фильтровать _только_ IP пакеты сиречь layer3, заморачивать себе и асусу голову фильтрацией МАСов - это глупо и нужно только на WLAN интерфейсе, да и то не факт, т.к. хочется RADIUS-a ... вопрос в том как отключить все ненужные сервисы и оставить только 1 IP адрес на устройство+iptables+wondershaper+ftp? я думаю все остальное можно в /dev/null

    З.Ы. сори за задержку - форум не уведомил об ответе
    Не путайте IP пакет и уровни. Да, на Layer2 тоже виден IP пакет, но он там инкапсулирован внутрь Ethernet пакета, поэтому в обычном случае он не обрабатывается. Вот если он поднимется до третьего уровня (т.е. маршрутизации или с помощью вышеуказанного патча), то да, iptables его увидят.

    Что делать: установить другую прошивку - http://www.openwrt.org. Нужен experimental build. Я серьёзно. На deluxe она работает без проблем, я там кое-чем помогаю, например vlanами.

  9. #9
    Join Date
    May 2005
    Location
    Russia
    Posts
    19
    что Вы с ними делать-то будете?
    хочу использовать его как точку доступа (Access Point) с фильтрацией (censored) мракософтовсокого траффика, т.е. отфильтровать порты: TCP/UDP 137,138,139,369 и 445 (ну мож еще blaster какой ) - так понятнее? все, больше я ничего от железки не хочу! разве что скриптик просмотра уровня сигнала порой запускать

  10. #10
    Join Date
    Dec 2003
    Location
    Russian Federation
    Posts
    8,353
    Да, понятно. Но это ничего не меняет. Этот как раз и есть bridge. Все интерфейсы склеиваются, iptables пакетов не видит. Кроме пакетов, адресованных самой wl500g.

  11. #11
    Join Date
    May 2005
    Location
    Russia
    Posts
    19
    Quote Originally Posted by Oleg
    iptables пакетов не видит. Кроме пакетов, адресованных самой wl500g
    а вот это и не есть гуд! вот например сейчас у меня стоит комп на фряхе настроеный фильтрующим мостом, т.е. 1-е правило стены пропускать МАС адреса, а дальше идет рубание шашкой всех кого не лень и под конец всем все можно, но уже без NETBIOS сотоварищи мусора

  12. #12
    Join Date
    Dec 2003
    Location
    Russian Federation
    Posts
    8,353
    Я рад, что мои объяснения наконец стали понятны.

  13. #13
    Join Date
    May 2005
    Location
    Russia
    Posts
    19
    ткни плииз носом в ebtables или что там такое есть под openwrt, то что на твой взгляд будет работать... кстати, а как работают вланы на openwrt? какие они вообще? 802.1Q или port based?

  14. #14
    Join Date
    Dec 2003
    Location
    Russian Federation
    Posts
    8,353
    Ну народ... Google слабо использовать?

    http://ebtables.sourceforge.net/
    http://ebtables.sourceforge.net/br_fw_ia/br_fw_ia.html

    Ключевые слова brnf patch

  15. #15
    Join Date
    May 2005
    Location
    Russia
    Posts
    19
    про man google я в курсе просто я думал что модуль для ipkg есть или что-то в этом духе... как я понял - надо будет сорцы патчить и пересобирать фирмварь, так?

Page 1 of 6 123 ... LastLast

Similar Threads

  1. Settings for IPTV through this router
    By Tellus1 in forum WL-500gP Tutorials
    Replies: 16
    Last Post: 17-10-2010, 21:56
  2. WL700GE igmp (multicast).
    By Gavrila in forum WL-700g Firmware Discussion
    Replies: 2
    Last Post: 05-10-2008, 10:36
  3. Multicast problem
    By luon in forum WL-500w Q&A
    Replies: 4
    Last Post: 03-07-2008, 13:26
  4. playing RTSP multicast streams
    By repulsive in forum WL-500gP Q&A
    Replies: 0
    Last Post: 29-04-2008, 00:29

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •