OpenWRT + Asus WL 520GU + Iptables. Разделяем LAN, DMZ и Internet

    Всем привет!
    Давеча возникла необходимость упрятать некоторый сервис в DMZ. Сервис этот крутится в W2K3, и мне не хотелось чтобы машина с OS Windows смотрела в интернет и в локальную сеть ни чем незащищенная(«виндовые» фаерволы просто идут лесом).
    Помянуя успешный опыт работы с Asus WL 520GU и DD-WRT, решил пойти по проторенной дороге, но в качестве прошивки для роутера выбрал OpenWRT.
    Схему работы связки можно увидеть на рисунке.

    Итак, от слов перейдем к делу.

    В комментариях было замечанно некоторое недопонимание термина DMZ.
    В связи с чем приведу цитату из Википедии.(для противников подобного цитирования могу заметить, что данный материал практически идентичен тому, что написано в книге Полный справочник по Cisco)


    ДМЗ (демилитаризованная зона, DMZ) — технология обеспечения защиты информационного периметра, при которой серверы, отвечающие на запросы из внешней сети, находятся в особом сегменте сети (который и называется ДМЗ) и ограничены в доступе к основным сегментам сети с помощью межсетевого экрана (файрвола), с целью минимизировать ущерб, при взломе одного из общедоступных сервисов находящихся в ДМЗ.

    Прошиваем роутер.


    Для выбранной мною модели необходима прошивка backfire.brcm47xx
    1.Выполним аппаратный сброс, так называемый 30/30/30.
    При включенном питании роутера нажимаем кнопку reset, держим 30 секунд, не отпуская кнопку отключаем питание и держим еще 30 секунд, не отпуская кнопки включаем питание и вновь удерживаем кнопку reset 30 секунд.
    Хинт: по умолчанию ip роутера 192.168.1.1. Если «пингануть» его до аппаратного сброса 30/30/30 то ttl будет равен 64, после сброса ttl становится равным 100.
    Теперь отправляем прошивку на роутер при помощи следующей команды
    atftp --trace --option "timeout 1" --option "mode octet" --put --local-file openwrt-brcm47xx-squashfs.trx 192.168.1.1
    По завершении мельтешения сообщений ждем 5 минут и выключаем/включаем роутер по питанию.
    Следующим шагом будет установка пароля root и отключение ненужных сервисов, для этого идем на web интерфейс роутера
    192.168.1.1
    Я отключил luci_dhcp_migrate и dnsmasq (DHCP и DNS у меня в сети есть))



    На этом с web интерфейсом закончим, дальнейшая настройка будет протекать уже из консоли.


    В Asus WL 520GU наличествует 5 портов, WAN порт и 4 LAN порта. WAN будет смотреть на провайдера, LAN1-3 в локальную сеть, а LAN4 я выделю в отдельный VLAN и направлю в DMZ.

    Подключаемся к маршрутизатору

    #ssh root@192.168.0.30
    root@192.168.0.30's password:

    BusyBox v1.15.3 (2010-11-12 00:01:06 PST) built-in shell (ash)
    Enter 'help' for a list of built-in commands.

    _______ ________ __
    | |.-----.-----.-----.| | | |.----.| |_
    | - || _ | -__| || | | || _|| _|
    |_______|| __|_____|__|__||________||__| |____|
    |__| W I R E L E S S F R E E D O M
    Backfire (10.03.1-rc4, r24045) --------------------
    * 1/3 shot Kahlua In a shot glass, layer Kahlua
    * 1/3 shot Bailey's on the bottom, then Bailey's,
    * 1/3 shot Vodka then Vodka.
    ---------------------------------------------------
    root@OpenWrt:~#


    Нам необходимо изменить несколько конфигурационных файлов.

    1. /etc/config/network, в этом файле задаются настройки интерфейсов.
    root@OpenWrt:~# cat /etc/config/network
    #### VLAN configuration
    config switch eth0
    option enable 1

    config switch_vlan eth0_0
    option device "eth0"
    option vlan 0
    option ports "1 2 3 5*" #default vlan, это порты LAN1-3, смотрят в локалку
    #если кому-то интересно что означает 5*, обратитесь к доке на сайте,
    #так как адекватно перевести я не смог
    #http://wiki.openwrt.org/doc/uci/network/switch


    config switch_vlan eth0_1
    option device "eth0"
    option vlan 1
    option ports "0 5" #Это WAN порт

    config switch_vlan eth0_2
    option device "eth0"
    option vlan 2
    option ports "4 5" #добавленный нами vlan2, DMZ

    #### Loopback configuration
    config interface loopback
    option ifname "lo"
    option proto static
    option ipaddr 127.0.0.1
    option netmask 255.0.0.0

    #### LAN configuration
    config interface lan
    option type bridge
    option ifname "eth0.0"
    option proto static
    option ipaddr 192.168.0.30
    option netmask 255.255.255.0

    #### DMZ configuration
    config interface dmz
    option ifname "eth0.2"
    option proto static
    option ipaddr 192.168.100.1
    option netmask 255.255.255.0

    #### WAN configuration
    config interface wan
    option ifname "eth0.1"
    option proto static
    option ipaddr 1.2.3.4
    option netmask 255.255.255.0
    option gateway 1.2.3.1


    2. Закомментируем все строки в /etc/config/firewall кроме
    config include
    option path /etc/firewall.user

    3. Конфигурируем Iptables, для этого в файл /etc/firewall.user внесем
    #!/bin/sh

    ext_if="eth0.1"
    ext_ip="1.2.3.4"

    int_if="br-lan"
    int_ip="192.168.0.30"
    LAN="192.168.0.0/24"

    dmz_if="eth0.2"
    dmz_ip="192.168.100.1"
    dmz_server="192.168.100.2"

    lo_if="lo"
    lo_ip="127.0.0.1"

    IPTABLES="/usr/sbin/iptables"

    $IPTABLES -P INPUT DROP
    $IPTABLES -P OUTPUT DROP
    $IPTABLES -P FORWARD DROP

    $IPTABLES -N bad_tcp_packets
    $IPTABLES -N icmp_packets

    #chain icmp_packets (разрешены только echo reply[request)
    $IPTABLES -A icmp_packets -p icmp -s 0/0 --icmp-type 8 -j ACCEPT
    $IPTABLES -A icmp_packets -p icmp -s 0/0 --icmp-type 0 -j ACCEPT

    #chain bad_tcp_packets (любому кто читал мануал по iptables известно что выполняется в этих #строках)
    $IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
    $IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP

    #chain PREROUTING (меняем destination address в пакетах пришедших на внешний IP)
    $IPTABLES -t nat -A PREROUTING -p tcp -d $ext_ip -m multiport --dport 8001,31187,20113,20118 -j \
    DNAT --to-destination $dmz_server
    $IPTABLES -t nat -A PREROUTING -p tcp -d $ext_ip -m multiport --dport 80 -j DNAT \
    --to-destination $dmz_server:8001
    $IPTABLES -t nat -A PREROUTING -p udp -d $ext_ip -m multiport --dport 20113,20118 -j \
    DNAT --to-destination $dmz_server
    $IPTABLES -t nat -A PREROUTING -p icmp -d $ext_ip -j DNAT --to-destination $dmz_server

    #FORWARD
    $IPTABLES -A FORWARD -p tcp -j bad_tcp_packets
    $IPTABLES -A FORWARD -p tcp -i $ext_if -o $dmz_if -s 0/0 -d $dmz_server -m multiport --dport 80,8001,31187,20113,20118 -j \ ACCEPT
    $IPTABLES -A FORWARD -p udp -i $ext_if -o $dmz_if -s 0/0 -d $dmz_server -m multiport --dport 20113,20118 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp -i $int_if -o $dmz_if -s $LAN -d $dmz_server -m multiport --dport 31187,3389 -j ACCEPT
    $IPTABLES -A FORWARD -p icmp -i $int_if -o $dmz_if -s $LAN -d $dmz_server -j icmp_packets
    $IPTABLES -A FORWARD -p icmp -i $ext_if -o $dmz_if -s 0/0 -d $dmz_server -j icmp_packets
    $IPTABLES -A FORWARD -p ALL -i $dmz_if -o $int_if -m state --state ESTABLISHED,RELATED -j ACCEPT
    $IPTABLES -A FORWARD -p ALL -i $dmz_if -o $ext_if -m state --state ESTABLISHED,RELATED -j ACCEPT
    $IPTABLES -A FORWARD -p icmp -i $dmz_if -o $ext_if -j icmp_packets

    #INPUT
    $IPTABLES -A INPUT -p tcp -j bad_tcp_packets
    $IPTABLES -A INPUT -p icmp -j icmp_packets
    $IPTABLES -A INPUT -p tcp -i $int_if -s $LAN -m multiport --dport 22,80 -j ACCEPT
    $IPTABLES -A INPUT -p ALL -i $dmz_if -s $dmz_server -j ACCEPT

    #OUTPUT
    $IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets
    $IPTABLES -A OUTPUT -p icmp -o $ext_if -d 0/0 -j icmp_packets
    $IPTABLES -A OUTPUT -p ALL -s $lo_ip -j ACCEPT
    $IPTABLES -A OUTPUT -p ALL -s $int_ip -d $LAN -j ACCEPT
    $IPTABLES -A OUTPUT -p icmp -o $dmz_if -d $dmz_server -j icmp_packets

    #POSTROUTING
    $IPTABLES -t nat -A POSTROUTING -o $ext_if -j SNAT --to-source $ext_ip

    Перезагружаем роутер и проверяем работоспособность настройки.
    root@OpenWrt:~# reboot

    За сим закончу, поставленные задачи выполнены, трафик бегает так как мне нужно.
    В заключении стоит отметить, что данное решение весьма бюджетно и вряд ли может рассматриваться при больших объемах трафика.
    При тестировании iperf'ом были получены следующие результаты:
    сервер iperf запущен в dmz, клиент в локалке = ~ 36Mb/s
    сервер iperf запущен в dmz, клиент в Internet = ~ 26Mb/s
    Для меня этого вполне достаточно, провайдер дает нам 4Mb/s, а из локальной сети в DMZ трафик весьма не велик.

    Спасибо за внимание =)
    Реклама
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее

    Комментарии 54

      0
      Так я не понял, как ты сервис в DMZ засунул.
        0
        Сервис слушает несколько портов
        tcp: 8001,31187,20113,20118
        udp: 20113,20118
        Все пакеты пришедшие на внешний ip отправляются этому сервису в dmz…
        Что непонятного то? =)
        Из локалки в DMZ можно только на
        tcp 31187 и 3389
        и
        icmp
        Из DMZ в локалку вообще нельзя
          0
          А проброс портов внутрь не проще было сделать?
            0
            нет
              0
              Почему
                +2
                Во первых, что ты понимаешь под пробросом портов?
                Просто ставим перед w2k3 роутер с Linux и направляем нужный трафик?
                Мне необходимо было именно «спрятать» w2k3 и этот сервис в DMZ для того чтобы если кто-то проникнет на этот сервер, то этот кто-то не мог бы попасть в локальную сеть.
                  –1
                  Вот теперь понял, а то что ты написал в 1000 букв я могу сделать в гуях на фаере, я еще и подумал к чему такой гемор, опять команды писать.
                  Переделать бы надо, но уже как-то похуй на текущую работу.
                    0
                    |Вот теперь понял, а то что ты написал в 1000 букв я могу сделать в гуях на фаере
                    Удачи.
                    ps
                    гуи зло
                    +3
                    Спасибо за терпение! У меня его часто не хватает.
                      +1
                      Одним из этапов при подготовке заметки было изучение Iptables.
                      Скил терпение, прокачан )
                      +1
                      вот теперь понятно.
                      цель: в случае взлома виндового сервера, злоумышленник не сможет получить доступ к другим компам.
                        0
                        я расчитывал что это будет понятно уже из заголовка =)
                        Ведь в этом и есть суть DMZ
                          +1
                          Вы знаете, d-link думает по другому
                          www.dlink.ru/ru/faq/69/303.html
                          Ну и я до сего момента думал как D-Link.
                            0
                            наверное это какая-то ошибка, так как речь идет о port forwarding, кмк
                              0
                              теперь то я знаю, но у dlink:
                              DMZ = all ports forwarding
                                0
                                Википедия частично согласна с D-Link
                                  0
                                  странно, я читал как говорит автор данной статьи.
                                  Вообще ДМЗ бывают разные видимо. Когда-то читал, что ДМЗ делают специально, что бы туда хакеры поподали и там их ловят :)
                                    0
                                    Это honey pot называется. Горшочек с медом.
                                    +1
                                    а с «олифером» википедия не хочет согласиться?
                                    ИМХО фундаментальное чтиво по сетям.
                                      0
                                      ооо да, очень годная книга
            • НЛО прилетело и опубликовало эту надпись здесь
                0
                |Если управление роутером из DMZ доступно, то все напрасно. Надеюсь, предусмотрели?
                в правилах iptables все написано )
                конечно предусмотрел
                0
                «виндовые» фаерволы просто идут лесом

                Можете аргументировать свою фразу? Вы пишете статью не для локального ресурса своей компании, а для густонаселенного IT ресурса Зачем вводите людей в заблуждение? Какие из задача firewall не способен выполнить встроенный брандмауэр windows?
                  –1
                  Вы серьёзно считаете, что возможности Iptables можно хоть как-то сравнивать с встроенным «брандмауэром» Windows?
                    –1
                    Я задал конкретный вопрос и не собираюсь разводить демагогию, можете по существу ответить?
                      0
                      Конечно.
                      При помощи Iptables я разделил по сути три сети — DMZ(где и находится сервер), локальную сеть и Internet, тем самым обезопасил локальную сеть от проникновения извне при взломе сервера находящегося в DMZ. Средствами встроенного в Windows фаервола это вряд ли достижимо.

                      При помощи Iptables я могу гибко управлять трафиком идущим в любых направлениях
                      DMZ -> LAN — нельзя ничего
                      LAN -> DMZ — можно только tcp: 31187,3389
                      Internet -> DMZ — можно tcp: 8001,31187,20113,20118; udp: 20113,20118
                      DMZ -> Internet — можно только icmp, при чем только два типа icmp: echo request/reply
                      LAN -> Internet — нельзя ничего
                      Internet -> LAN — нельзя ничего
                      Я смог бы добиться такой гибкости при помощи брандмауэра Windows?

                      При помощи Iptables я могу защититься от неправильно сформированных tcp пакетов(будь то пакеты со сброшенным флагом SYN или пакеты получившие при определении состояний статус NEW, но имеющие флаги SYN/ACK), что характерно при сканировании портов.

                        0
                        Список можно продолжить, но смысла в этом я не вижу.
                          0
                          В Windows firewall есть можно добиться той же гибкости, засчет назначения сетям статусов private\public\domen и соответствующих правил по отношению к этим сетям в firewall. Так же, этого можно добиться засчет диапазона адресов, т.е ответ на Ваш вопрос — да, это возможно встроенными средствами windows.
                          При помощи Iptables я могу защититься от неправильно сформированных tcp пакетов(будь то пакеты со сброшенным флагом SYN или пакеты получившие при определении состояний статус NEW, но имеющие флаги SYN/ACK), что характерно при сканировании портов.

                          Этого я не знаю, мои познания как в windows firewall, так и iptables чрезвычайно скудны. И ограничиваются простейшими правилами разрешений\запретов, поэтому на столь низкоуровневый вопрос я ответить не могу. При этом я вполне допускаю, что iptables обладает более гибким механизмом построения эзотерических правил, но, согласитесь, в большинстве случаев в этом нет необходимости. Хотя повторюсь — возможно виндовый firewall не менее гибкий, просто моих знаний недостаточно.
                            0
                            Вы не достаточно внимательны, как мне кажется.
                            Говоря о том, что этого можно добиться встроенными средствами Windows(в чем я очень сомневаюсь), вы не учитываете тот факт, что в качестве роутера выступает «коробочка» за 2,5к рублей. Windows уже умеет работать на таких устройствах? Брандмауэр Windows умеет SNAT/DNAT(подмена адреса источника/адреса назначения)?
                            Этого я не знаю, мои познания как в windows firewall, так и iptables чрезвычайно скудны. И ограничиваются простейшими правилами разрешений\запретов, поэтому на столь низкоуровневый вопрос я ответить не могу.

                            Но все таки беретесь судить ;)
                            но, согласитесь, в большинстве случаев в этом нет необходимости

                            В моей заметке рассмотрены «большинство случаев»? В заголовке явно указанно чего мне необходимо добиться. В который раз повторюсь, мне нужно «спрятать» сервер в DMZ(о DMZ есть сноска в начале), и совершенно не важно Windows ли это, Linux или FreeBSD сервер.
                            Важно убрать тот сервис, который доступен извне.
                              0
                              Я Вас попросил пояснить Вашу фразу:
                              и мне не хотелось чтобы машина с OS Windows смотрела в интернет ни чем незащищенная(«виндовые» фаерволы просто идут лесом).

                              Она безосновательна и вводит людей в заблуждение, зачем сюда приплетать роутер с его firewall, когда можно обойтись встроенными средствами, а значить задача поставленная в статье не требует тех усилий, которые были Вами приложены. Эта задача решается встроенным windows firewall + port forwarding на уже имеющемся, не прошитом, роутере. И еще раз, в Вашей статье написано: и мне не хотелось чтобы машина с OS Windows смотрела в интернет ни чем незащищенная. Windows, именно windows. Вы решали не абстрактную задачу, а вполне конкретную и этого можно было добиться гораздо меньшей кровью.

                              Безусловно Ваша статья полезна для общего случая, но для частного случая рассмотренного в статье это решение избыточно, поэтому прошу убрать из статьи фразу о несостоятельности windows firewall дабы не вводить пользователей, читающих сий опус, в заблуждение.
                                +1
                                Вы вообще читаете то, что я вам отвечаю?
                                Еще раз повторяю, главное слово здесь DMZ
                                И я решал не абстрактную, а вполне конкретную задачу. Если вас смущает мое отношение(о чем я явно указал в начале) к встроенному в Windows брандмауэру, что же оставлю вас наедине со своим смущением.
                                Ни один сервер доступный из сети Internet не будет смотреть другим интерфейсом в локальную сеть, только через фаервол.

                                Безусловно Ваша статья полезна для общего случая, но для частного случая рассмотренного в статье это решение избыточно, поэтому прошу убрать из статьи фразу о несостоятельности windows firewall дабы не вводить пользователей, читающих сий опус, в заблуждение.

                                Убирать я ничего не буду, как и при помощи каких инструментов решать поставленные задачи каждый администратор решает сам.
                                Касаемо избыточности — прочтите наконец уже что такое DMZ.
                                Продолжение дальнейшей полемики в текущем ключе, это уже, ИМХО, ололо )

                                  +2
                                  Ваша вера в «хороший Windows» и не даёт Вам понять разницу между встроенным фаерволом этой системы и iptables. Ровно как и понять UNIX-way решение задачи, которое по умолчанию стоит значительно ближе к продуманным и надёжным с большим запасом прочности и малыми затратами на запуск/эксплуатацию. Ваше не знание iptables — не повод утверждать, что UNIX-way труден и не понятен. С таким же успехом для домохозяйки труден и не понятен фаервол Windows. Потому, что первый раз об этом слышит.
                                    –1
                                    >> стоит значительно ближе к продуманным и надёжным с большим запасом прочности
                                    LOLWUT, коробка за 2,5к рублей это продуманно и надёжно? А я думал что сервер от hp/dell/ibm/sm с двумя PSU, рейдом, двумя процессорами, сетевыми в LACP, memory mirroring это так, побаловаться.
                                    Не перегибайте палку, вы в своей любви к UNIX-way так же упёрты и фанатичны как и ixSci.
                                      +2
                                      Не хочу отвечать резко, хоть обстановка того требует. И вопросом отвечать не буду, потому, что не хочу дальнейшей полемики. Отвечу утверждением:
                                      — вы в своей виндоупёртости никак не поймёте, что люди знающие UNIX вполне себе прямо сейчас обслуживают и Windows. Порой даже сотнями хостов. Просто знают и умеют немного(или очень моного) больше вас. Но не упираются с пробуксовкой в одинокий столб среди голого поля. А вы кидаетесь на них, как псы. Давно ушло время, когда Linux хвалили на голом месте. Теперь стоит им заикнутся о чём-то лучшем, чем на винде — атас!
                                      Я не сказал, что именно это — идеальное решение, я сказал про близость этого решения к идеальным.
                                      Да, и это на самом деле прекрасное решение. Не дорого, элегантно, легко управляется хоть с мобильника и хорошо резервируется.
                                        –1
                                        Вот о чем я и говорил — я вам говорю, с откровенным стебом, что коробка за 2,5к рублей явно не эталон надежности (не для дома, но это другой вопрос), а вам уже что-то мерещится и вы просаетесь с пеной у рта доказывать что «виндоводы» чуть что бросаются с пеной у рта что-то доказывать (если вы не заметили — поясню- САРКАЗМ).
                                        А по поводу «хвалить линукс за просто так» вы немного ошибаетесь, проблема не в том что что его хвалят за просто так, а в том что его хвалят за то, что плохо у винды, причем не всегда это соответствует действительности (яркий пример — ТС и брандмауэр), причем этим занимаются люди технически неподкованные, что и вызывает срач, ярким примером служит IxSci: лагерь другой, методы те же.
                              –1
                              >>Я смог бы добиться такой гибкости при помощи брандмауэра Windows?
                              В Win6+ (2008/Vista и выше) запросто. Более того, может требовать чтобы соединение было только безопасным, т.е. с IPSec, и отказывать в соединении иначе. Может разрешать определённым пользователям/группам, определённым компьютерам, определённым программам/службам. Может пропускать пакеты прошедшие NAT, может не пропускать, может отдать на откуп программе или пользователю.
                              И да, NAT имеется ещё с Win98.

                              Вы видимо не сталкивались с БМ выше Windows XP, а уж со службой RRaS и тем более не знакомы.

                              ЗЫ насчёт кривых пакетов не скажу, т.к. не могу однозначно ответить да либо нет.
                              ЗЗЫ да, только конкретные ICMP запросы тоже может, причем появилось это ещё в ХР, на уровне машины, а сейчас кастомно с правилами.

                                0
                                Вы сейчас точно о встроенном брандмауэре говорите?
                                Вновь повторю, мне необходимо было убрать сервис в DMZ, ставить отдельную машину в качестве фаера, а уж тем более ставить на эту машину Windows, нет уж.
                                ps
                                да, со службой RRaS не знаком
                                  –1
                                  Да, встроенный.
                                  Да, именно эти задачи, причем вполне возможно что даже на десктопной версии.
                                  А я разве вам предлагал? И в мыслях не было, только ликбез и не более того.
                                  зы
                                  RRaS занимается роутингом, НАТом, IPSec Тоннелями и VPN, причем если надо закрыть машину на 2003 сервере, то RRaSом это можно сделать без привлечения доп. софта.
                                    0
                                    Продолжать спор не вижу смысла. Каждый останется при своем.
                                      –1
                                      Еще один…
                                      Будь добр, покажи мне, где Я с тобой спорил? Мне правда интересно, что люди в моих словах считают за несогласие с их точкой зрения.
                        0
                        Вырезаем OpenWrt с Asus, разворачиваем теорию DMZ и конфиг iptables, как средство реализации, с комментариями и получаем… Но все равно спасибо :)
                          0
                          Не понял о чем вы.
                          Моя задача как раз и заключалась в реализации DMZ+Iptables на бюджетном роутере.
                          0
                          у меня этот роутер с прошивкой от олега даже торрент не может тянуть — забиваются 16 мб и нужна перезагрузка. в общем тянет только базовый функционал.
                          OpenWRT меньше потребляет?
                            0
                            За сим закончу, поставленные задачи выполнены, трафик бегает так как мне нужно.
                            В заключении стоит отметить, что данное решение весьма бюджетно и вряд ли может рассматриваться при больших объемах трафика.
                            При тестировании iperf'ом были получены следующие результаты:
                            сервер iperf запущен в dmz, клиент в локалке = ~ 36Mb/s
                            сервер iperf запущен в dmz, клиент в Internet = ~ 26Mb/s
                            Для меня этого вполне достаточно, провайдер дает нам 4Mb/s, а из локальной сети в DMZ трафик весьма не велик.

                              0
                              Что то у Вас как то слабовато получилось.
                              Вот мой опыт с этими безделушками :)

                              Asus 500gP v1 + dd-wrt (гуя натянутая на openwrt). Проц не разгонял.
                              Пропускная способность 8,5 мегаБайт/с: помойка на самбе — NAT — домашний комп. Тестил киллкопи и тупым копированием. И это при наличии еще 2х машин в моей локалке пользующихся инетом. При поднятом PPTP сервере, роутер держал 20 мегабит с обрывами конечно.
                              На работе как то тестил работу NAT на d link dir-320. Цель изучить возможность установки в качестве маршрутизатора в небольшой локальной сети до 100 компьютеров. В тепличных условиях iperf, показал 98-99 мегабит. Дальше дело не пошло, изменились условия.
                                0
                                Поставленной цели я достиг )
                                Скорость меня устраивает, хотя, быть может, некоторый тюнинг sysctl и iptables позволит добиться больших результатов.
                                  +1
                                  У вас стоит процессор 200 мегагерц. Проц такой же как и 500gP v2, но частота принудительно снижена на 40мГц. Из-за этого и все тормоза. В 500gPv1 чип гонится до 300 мГц и греется всего на 5 град сильнее. Принудительного охлаждения не требуется.
                                  Донесите пожалуйста эту мысль в статье, а то как то негативом попахивает в сторону бюджетных роутеров и тем более отношение к линуксоидам. Мое первое впечатление от прочитанного испортило как раз производительность+сложность установки/настройки.
                                    0
                                    Негатив в сторону бюджетных роутеров?
                                    Если так, я бы не стал вообще их использовать, и тем более писать о них. Железяки работают на ура, будь то решение описаное в предыдущей заметке, будь то данное решение.
                                    А что касается линуксоиды versus виндоводы, то позвольте я останусь в стороне от безконечных свещенных войн и поливания друг друга помоями.
                                    Мое мнение — каждая ОС под свои задачи.
                                      0
                                      Я с вами полностью согласен, сам использую и очень доволен.
                                      Когда прочитал вывод и в нем говориться о пропускной способности в 36мегабит, меня это сильно разочаровало. Производительность явно занижена, стандартный dir-320 дает на много больше! Для сравнения по яндекс-маркету

                                      Средняя цена:
                                      2 056 руб.
                                      от 1 847 до 3 190 руб

                                      D-link DIR-320
                                      Средняя цена:
                                      1 810 руб.
                                      от 1 475 до 5 950 руб.

                                      А то что разводят холивар, так это по глупости и большим желанием побить себя пяткой в грудь.
                              +1
                              net.netfilter.nf_conntrack_generic_timeout = 200
                              net.netfilter.nf_conntrack_tcp_timeout_established = 200
                              net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
                              net.netfilter.nf_conntrack_max = 2048(или 1024)
                              net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
                                0
                                И выключите DHT
                                  0
                                  Спасибо, попробую
                              0
                              Порты уж больно знакомые.
                              Если не ошибаюсь, то автор пытался решить проблему скорости работы PlayStation 3 в интернет известную как NAT 2Type.

                              Я решил её проще.
                              1. Взял внешний IP у провайдера;
                              2. Включил на роутере поддержку UPnP;
                              3. Включил на PS3 поддержку UPnP.

                              Теперь как только PS3, либо любой другой, поддерживающий UPnP технолию, девайс, требует инета, то правила форвардинга прописываются автоматически. Каждый девайс получает прямой доступ в инет по определенным портам.

                              P.S. проблема PS3 NAT Type2 решилась )
                                0
                                Если не ошибаюсь, то автор пытался решить проблему скорости работы PlayStation 3 в интернет известную как NAT 2Type.

                                Ошибаетесь.
                                Это GPS мониторинг автотранспорта.

                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                Самое читаемое