Как стать автором
Обновить

Комментарии 87

Большое спасибо за хороший howto. Давно хотелось сделать нечто подобное, но как представлял, сколько бы манов пришлось перерыть (не админ по профессии), — всегда оставлял на потом и довольствовался soho роутером, который качественно выполняет только основную функцию — раздача интернета IPv4, а на другие его производительности и качества и широты доступного ПО не хватает. Признайтесь: вы реально это в один день сделали или это плод многодневной (многомесячной?) работы по улучшению домашнего сервера? :)

По теме: могли бы пролить больше света на «Security warning! Настраивайте файрволы правильно!»? Как? Можно ли с роутера хотя бы базово защититься, например, разрешить только соединения, инициированные компьютером за ним, но не входящие? Как я понимаю, для этого нужен conntrack? А он будет работать без NAT? Что еще следует сделать с самого роутера для защиты IPv6?
Конечно же, это не однодневная работа. Всё это наращивалось постепенно — сначала был только маршрутизатор, потом навесил IPv6, запилил RDNS/DDNS, ну и так далее по мере необходимости. Скажу больше — это далеко не всё, что крутится на сервере, но вся остальная мишура (типа той же .dev-зоны или локального багтрекера) либо не достойны внимания вообще, либо достойны отдельной статьи. Возможно, как-нибудь продолжу, если увижу в этом какой-то интересно-уникальный материал.

По поводу файрволов — тут мнения могут разделяться. Я ограничился тем, что оставил всё по умолчанию для установки «искаропки» (для винды). Для пользователей «зверей» и прочих недосборок, где всё выключено, могу сказать только то, что надо:
1. ВКЛЮЧИТЬ брэндмауэр!!!
2. Для всего, что находится ВНЕ локальной сети — блокировать ЛЮБОЙ входящий трафик (правило по умолчанию).
3. Для локальных сетей — добавить в исключения службы типа «рабочая станция» (исключение по умолчанию).

Для линуксов, собственно, правила те же: локальную сеть под «лояльный» фильтр, остальное — резать нахрен. «Прикинуться ветошью и не отсвечивать (не пинговаться)».
Мой ноут слабее, чем роутер в статье. :(
P.S. Теги всё-таки читают.
У меня тоже. Уже 7-й год пошел. И мнеять не стану пока окончательно не сдохнет 8)
практически 1 в 1 мой домашний комп по харатеристикам (
В качестве домашнего компа у меня совсем зверь :) vk.com/photo2634397_297274014
Спасибо! Класс! Давно хотел свой домашний серер проапдейтить. Терь буду знать как :) Еще раз спасибо за ваш труд!
А могли бы использовать dnsmasq вместо отдельного dnsd, dhcpd и radvd. Но, как я понимаю, вы его не использовали только из-за ddns?
Уже отвечал в личку, но таки продублирую для Сообщества:
Это всё накатывалось постепенно — делал с тем, что лучше знал :)

Задача изначально была «сделать, чтоб работало» — поначалу всё это состояло вообще из велосипедов с костылями вместо колёс, но, таки, параллельно с написанием статьи привёл всё в порядок :)
Спасибо, что проделали эту большую работу по написанию статьи.
Но все же, чем ваша инструкция отличается от большинства других по этой теме?
И маленькое имхо: сейчас очень популярна развита виртуализация, и вы имеете достаточно мощный рабочий компьютер. Попробуйте использовать только его и в качестве роутера, и как рабочую станцию. Одним шумящим ящиком меньше.
Маленькое дополнение: пишу с утюга виртуалки под XenServer. Могу рекомендовать как вполне воспроизводимое решение, если заинтересуетесь ;)
Моя инструкция… Ну, в защиту того, что я всё таки её опубликовал (были мысли, подобные вашим) могу сказать, что это единственный ман, в котором описан реальный случай наладки тонкой экосистемы, где все части тесно сплетаются в единый механизм, притом не запущеный один раз ради написания статьи, а действительно безотказно работающий 24/7 в течение Н-ного времени.
По поводу виртуализации… Моя домашняя машина (как я, опять же, писал немного выше) — это очень прожорливая хреновина, потому работающая далеко не круглосуточно. А всякие ноутбуки, телефоны, компьютеры родителей, и прочая техника — хотят видеть сеть даже когда меня нет в радиусе двух метров от моего компа. Ну и, как я написал и в конце статьи, и в одном из предыдущих комментариев, роутер — не единственная функция этого сервера :)
Ммм, c2d e8400?
Жрет ватт триста минимум)
За электричество платят родители?)
Возможно я не столь глубоко разбираюсь в теме, но почему бы это все не сделать через www.pfsense.org/?
Потому что его функционала мне не хватает, очевидно же :)
> Покопавшись в залежах железа, на свет были извлечены:

Знаю, что надо бы в личку, но столь частая оговорка… Пожалуйста, никогда не пишите такого рода фразы, очень коробит читать такие «обороты». Сравните: «Покопавшись в залежах железа, я извлек на свет:»
По теме статьи: а зачем оно вам, на таким-то железе? Вы используете его на… хм… 0.0.1%? Не дороговато (по всем показателям, в т.ч. и по стоимости владения)? Сетевые дела на том же Микротике были бы решены на куда меньших ваттах и с куда более полезным в жизни опытом: не так часто подобное в продакшене переносят на сервера общего назначения. Про надежность Вы также ни слова не сказали, кстати — а бытовые компоненты — они и есть бытовые…

Не хочу обидеть, но, и правда, попробуйте подойти с критической точки зрения. Все имеет свою цену и свою пользу: польза от того, что ненужное железо заработало — это благо. Вред от расхода каждый час по 150-200 ватт — это уже зло. Вред от того, что, не дай Бог, где-то что-то Вы забыли, вас ломанули, и ваш сервер (с его-то мощью) занялся рассылкой спама — может, и небольшая вероятность, но тоже имеется.

Попробуйте поднять на машине Proxmox (или что-то подобное), и нарежьте в нем виртуальных машин под все ваши задачи. Опыт прокачаете, примените принцип «разделяй и властвуй», опять же, сможете сеть настроить как захотите. Как роутер возьмите старую добрую Vyatta, все поближе к cli-управлению, «почти как cisco» — такой опыт лишним не будет. Разве что винт у Вас небольшой, но Вы вполне можете зато приделать к нему в flashcache SSD-ку небольшого размера, и система будет куда повеселее работать.
Использую я его, скажем, процентов на 40 по памяти и 10-15 (в пиковые моменты — на 35%) по процессору. Как я писал выше (комменты не читай @ сразу отвечай), роутер — не единственная функция этого сервера.

Микротик отпал из-за цены — этот сервер я таки собрал из того, что было, получив всё, что есть сейчас, абсолютно бесплатно. Ну, и IPv6-туннель с i2p на нём запустить будет как минимум проблематично. Опыт с мекротиками у меня есть и без этого :)

Про надёжность скажет uptime: 3 недели без перезагрузок, разве что рестарты сервисо по причине обновления конфигов. К тому же, всё состояние оборудования (датчики температуры, кулеров, данные SMART) мониторит zabbix.

Расхода впустую, повторюсь, нет. Честно, у меня холодильник жрёт больше, чем этот сервер. 100 рублей переплаты в месяц для меня не проблема — я на мобильную связь за неделю больше плачу, про транспорт даже вспоминать не буду. За эти деньги я имею, повторюсь, полноценный сервер, с функционалом, который не даст мне ни одна циска за сумму в 4-5 раз дороже всего железа.

Безопасность продумана — 0.0.0.0 слушают только те, кто должен, и те, кто не могут быть настроены иначе — последних режет iptables.

Насчёт виртуализации уже отвечал.
Ну, я, может, и немного категорично… :) Но мощновато Вы для задача роутинга… А что виртуализация и прочее — так в том и соль, что сетевые дела и дела серверные лучше разносить на разные машины.

Уже не говоря, что забекапить (средствами системы виртуализации) виртуальную машину куда как проще, чем сохранять все-все конфиги того, что у Вас вертится на одной. И Zabbix не спасет, случись умереть винту — я про это в смысле надежности. Я видел сервера с uptimem-ом по 3-4 года, которые из-за глупости при первоначальной конфигурации падали из-за того же диска, из-за кабеля, из-за термопасты… Бекапы решают! ))
Бэкапы — наше всё, факт :)
Спарведливости ради — криво настроить микротик тоже очень легко. Я совсем не сетевик, так что пробыл DNS-усилителем пару суток прежде чем докопался до того, что происходит.
Ну, вот тут и выплывает разница «домашних роутеров» и более-менее полноценного сетевого железа.

В принципе, с чем не возись, отгрести себе развлечений можно, только степень контроля разная будет: с Микротиком Вы могли и трафик поизучать, и правила пописать, и даже скрипты порисовать, а на каком-нибудь soho-сегмента роутере Вы бы годами с дырой жили, и даже варианта не было у Вас ее заткнуть. Правда, и не знали бы о ней, какая проблема-то? :)

Но, настраивая себе все то же на базе какой-нибудь Убунты (ой, ну это попса, согласен, ну пусть у Вас была бы специально собранная по рекомендациям из Интернета Gentoo «special as firewall edition») — Вы думаете, уже этот факт избавил бы Вас от необходимости критически осмотреть инсталяцию и спросить у себя же «а как бы я ломал такое, если бы понадобилось»?

Поэтому… если Вы, как «не сетевик», ставите железку «просто чтобы было», то, наверное, выбор за бекдорными soho-решениями. нервы будут целее. Если же хочется еще и «управлять автобусом, в которой едете», то вариантов нет, надо стараться разобраться. Микротик и иже с ним в этом не очень виноваты :)
Ну, я гнался за мощью, и в принципе я счастлив. Все домашние роутеры кажутся игрушечными после этого чудовища, решившего все мои проблемы с dlna, стабильностью и скоростью соединения. А главное, софта. Был положен конец танцами с бубном вокруг роутера в некоторых сценариях, когда недешевому между прочим домашнему асусу только ребут помогал, после которого могла еще и амнезия случиться. И никакие дд-врт и прочие чудеса ему лучше не делали.

А тут — полный контроль. Да, за свои ошибки приходится отвечать самому (ох как весело мне было случайно промазать и выключить bridge), ну да ничего. Глупостей наделал — ну хоть научился чему-то. Без встроенных в роутер инструментов кстати я бы и правда не докопался до истины никогда.
Не первый раз слышу упоминание о микроиках. А что за модели такие? По сайту прошелся обнаружил либо серьезные железки либо голые платы.
Как раз «серьёзные железки» и имеются в виду. Из серии RouterBOARD. Как вспомню первый контакт с 2011UAS-2HnD-IN — до сих пор передёргивает.

Для дома вполне должно хватать моделек попроще — например 951Ui-2HnD. Хоть в описании и написано «soho», но RouterOS Level 4 — это всё таки более чем прилично.

Но, опять же, это не полноценный сервер, а роутер. Хоть и класса выше среднего — не «дэлинки» с «зухелями».
А чем вам этот зверь (я про 2011UAS-2HnD-IN) не пришелся?
Не-не-не, вы меня не так поняли :) Просто это был вообще мой первый контакт с микротиками и RouterOS. Я как увидел этот центр управления полётами… Против самих девайсов не имею совершенно ничего — напротив, рекомендую их там, где их появление уместно :)
Потому что в soho у этой модели самое волшебное действие наступает, когда кто-то из незнакомых видит тач-скрин с графиками.

После следует вопрос о цене, и, узнав, что такой монстр (а параметры у него вполне себе) стоит менее 5 т.р., очень многие сильно задумываются… Причем, как для бизнес-задач, при такой цене проще второй взять в ЗИП.

Еще один способ удивить — это показать вполне себе работающий BGP на устройстве за 1900 руб. Резать, конечно, маршруты приходится, не без этого, но не всем с Full View реально нужно жить, если ты не оператор.

P.S. А я завис на слове «передергивает». Подумал, ничего себе у людей реакция на железки :))
О, вот эта штука у меня и стоит.

РоутерОС такое же первое впечатление оставила, а потом оказалось что там все довольно логично по полочкам разложено. Пожалуй единственная моя претензия — невозможность надеть защитные колпачки на кнопки выстрела себе в ногу. Потому что промазать и отрубить сук на котором сидишь в списке интерфейсов — как нефиг делать. Хорошо что есть резервные телнеты через всякие компорты или подключение по мак-адресу из винбокса.
Бэкапы конфига наше все)) я так тоже, пока учился с ним работать, превратил его в работающую и замкнутую коробку, которая никак снаружи не управляется))
Safe Mode возвращает все как было в момент его включения в случае разрыва связи.
Извините за некропостинг, вдруг кому пригодится.
спасибо)
Великолепные железки для продвинутого домашнего и малого бизнес-уровня. примерно за 100$ выполучите полный контроль над своей сетью. Вплоть до извратов типа балансировки нагрузки между провайдерами. Минусы — с непривычки панель управления выглядит как пульт управления кораблем «Энтерпрайз» после «домашних» моделей. И что характерно, на убогие ненастраиваемые домашние обратно не тянет. RouterOS обновляется регулярно для всех моделей. Конфиги переносятся с одной железки на другую без проблем. Возможно питание через витую пару. Крайне надежны по сравнению с «домашним» сегментом. Очень производительны. Тянут кучу VPN-каналов, торренты и еще остается. Разумеется, я говорю о домашнем и некрупном бизнес-использовании.
Мифы это, что он жрет так много.
Измерял аналогичную машинку (nforce 610i + e7200 + 2Gb ram + HDD 2.5") и сам поразился потреблением энергии.

28вт в простое, что даже меньше чем аналогичная машина на D945GCLF2 (она кушала 30вт)
Ну при нагрузке естествеено прыгало до ~70, в отличии от атома (который только до 35).
Была к меня как-то пара роутеров на древнющем железе под управлением Win Server 2003 (ага)… Поддерживать их стало совсем грустно, а денег на обновление железа и совта никто бы не дал (а там две машинки, одна — Pentium 2, другая — Pentium 3).
Вот именно таким способом я всё и сделал, за исключением, конечно, i2p (спасибо за рецепт, сделаю на домашнем роутере), и ipv6. И ещё туннель между двумя сетками. Правда пришлось читать маны самому :-).
Практика показала, что машинок уровня Pentium 2-3 для этих целей более чем достаточно.

Я имею желание купить MicroServer(или полупрофессиональный NAS), но не имею возможности. Я имею возможность собрать сервер из старого железа, но не имею такого желания.
Так давайте же выпьем за то, чтобы наши желания совпадали с нашими возможностями!

Я к тому, что это все конечно круто, но такая «машина» избыточна для домашних задач(по крайней мере для меня), да и не очень элегантна/компактна в свете таких устройств как NAS и платформ как Raspberry Pi / NUC / etc.
За статью спасибо!
Хм, прямо сейчас я сижу за компом с процессором Core2Duo E7200 )
Когда-то у меня был подобный роутер/файлсервер на базе Athlon XP 2500, но я счел его слишком прожорливым и заменил на обычный D-Link. А файлохранилище собрал на основе Mini-ITX платформы на Atom'е. В результате, сумма в счетах за электроэнергию уменьшилась на 150 рублей в месяц.
А ещё, неплохие роутеры получаются из старых нетбуков на Атоме, при условии наличия слота ExpressCard для гигабитной сетевухи :-). Экономные по питанию, и, если батарея жива, ещё и с резервным питанием :-)

В качестве бонуса, — в случае неправильной настройки фаервола и потери связи с роутером — есть консоль :-)
В качестве неприятного бонуса они быстро перегреваются и, в последствии, дохнут. Валяется у меня один такой, со сдохшей материнкой, после того как недельку поработал без выключения вэб-сервером. В сервисе сказали, что купить новый будет дешевле — не вижу повода им не верить.
Вот прям про себя ветку читаю.
Athlon XP был роутером
e7200 тоже был (и сейчас трудится как роутер), и как писал выше, в простое кушает не больше атома.
Нетбук (правда еще древний — на целероне) сдох за сутки
Оффтоп конечно, но я голосую за серверные решения в доме!
1 маломощный/маложрущий сервер для работы инфраструктуры
1 мощный сервер для стриминга игр, виртуализации, работы тяжелых прикладных приложений

Если вы, произнося «серверные решения», имеете в виду железо (типа Supermicro-вских платформ с ксеонами и ECC-шной памятью) — то, сожалею, я не разделяю вашего мнения. Это энтерпрайз-класс, для больших и средних компаний. Для дома и мелких офисов это перебор — хватит и обычного «бытового» железа, максимум — поддержка RAID.

Если же вы про софт — то тут да, согласен. Роутеры — оно, конечно, хорошо, но там, где живёт админ или хотя бы гик — без сервера не обойдётся ни под каким видом :)

Вопрос только — для чего «мощный сервер»… Я как-то обхожусь без всего того, что вы к нему приписали :)
А туннель IPsec с BINAT по идее тоже несложно поднять на этом, да? :)
Опыта в таких задачах у меня не было, но, думаю, настройка его будет не сложнее, чем обычно. Потом просто поправить маршрутизацию.
Для голого ipsec в линуксе маршрутизацию править не надо, потому что xfrm-политики и так задают, что куда и через что посылать. И это, кстати, довольно неудобно порой бывает.
Статья годная, пригодится, спору нет.
Так нико и не спросил, а как вы наблюдаете загруженность канала (если наблюдаете), проверяете активные соединения, блокируете неугодные IP правительства, всё только через консоль или всё же есть какая-то мордочка, более-менее похожая на микротик, как вариант.
а сколько потребляет Ваш роутер? Давно хочу поставить себе машинку на базе GA-C1037UN или чем-то похожем именно из-за низкого потребления. имеет ли смысл заморачиваться со снижением потребляемой мощности?
Именно как роутер (поначалу) он потреблял… сложно сказать, сколько. Процессор в idle, жёсткий диск в spin-off, работают только 3 сетевухи — думаю, в таком состоянии и до 50-80 ватт может упасть, если не ниже.
Сейчас же он работает уже гораздо активнее, и является сервером, а не роутером. Поэтому потребляет прилично — опять же затрудняюсь сказать, сколько. Но по карману не бьёт.
Мда, домашний сервер (с мини серверной в шкафу) это приятно, солидно. Домашние благоговейно в нее (серверную) смотрят, а неайтишные гости восторгаются. Долго жил с 486 (IBM PC AT, ага) рутером. С него снимается вентилятор за ненадобностью, ставится любой минилинукс. После загрузки к диску не обращается. Тишина.
Черпнул отсюда подключение i2p. :)
> За основу я взял дистрибутив Debian Testing

По какой причине взят именно testing, а не stable+backports?
Просто к testing у меня более приятные отношения. stable+backports — это, всё таки, две ветки, что рождает некоторые конфликты. Не раз приходилось ломать себе мозг, видя, как два пакета зависят от разных версий третьего. В testing всё-таки попроще с этим.
У меня когда то заворот на сквид шел так:
##iptables -t nat -A PREROUTING -i eth0 -d 0.0.0.0/0 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.105.10:3128
##iptables  -A PREROUTING -d ! 192.168.105.0/255.255.255.0 -i eth0 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 192.168.105.10:3128
##iptables -t nat -A PREROUTING -s 192.168.2.0/24  -i eth0  -p tcp -m multiport --dport 80 -j REDIRECT --to-port 3128

Прозрачно заворачивался весь трафик, а потом в конфиге (увы давно потерял) проходил через adzapper и расбрасывался на прямую, TOR/I2P в зависимости от домена. Но данный конфиг не слишком безопасен.
а nginx используется сейчас для одной цели, зеркало убунты на свой комп и бук раздавать.
Такой подход имеет подводные камни. Так как трафик 80 порта заворачивается на прокси, то всё, что идёт по 80 порту, но не является HTTP, будет ломаться и не работать. В частности, в одной из фирм, куда я пришёл, было сделано такое — у них не работали WebMoney Keeper, например, и ещё какие-то программы. Выключил переадресацию всего трафика в прокси — всё завелось.
согласен, есть такое.
но сам не натыкался или конфиг сквида был удачно скопирован и проблема никак не проявлялась.
После недолгих раскопок в залежах железа, на свет были извлечены:
• Процессор Intel Core 2 Duo E8400 @ 3GHz
• При нём же – материнка Asus P5Q
• 2 планки DDR2 по 2Gb
• PCI-e сетевая карта TP-Link TG-3468
• Неопознанная сетевая карта WiFi (b/g/n) на базе Ralink RT3060
• Жёсткий диск Seagate 250Gb
Кстати как насчёт пожаробезопасности? Я как-то привык опасаться «больших» системных блоков в этом плане.
При этом вполне спокойно отношусь к «маленьким» 24/7 работающим устройствам, вроде роутеров и медиа-плееров.

По поводу обоснованности опасности от больших компьютеров я не сомневаюсь — на моих глазах бывало, они горели. Но насколько оправдано моё беспеченое отношение к маленьким устройствам? Может их тоже следует опасаться и, уходя их квартиры, гасить свет?

Другой вопрос: можно ли сколхозить какую-нибудь домашнюю автоматическую противопожарную защиту для работающих 24/7 устройств?
можно, она будет работать 24/7 от сети. при самовозгорании кто её будет тушить?
Как насчёт пассивной защиты в духе «чёрный ящик»?
а привод системы пожаротушения тросик из ящика к огнетушителю бытовому?
тогда да, правда провод питания в броню не уберешь полностью.
Надо будет заняться приведением в божеский вид домашнего двухголового третьепня, под полуосью. А то постоянные перезагрузки глючного роутера задолбали. Вообщем-то всё стоит, только файрвол-роутинг настроить, но некоторые штуки из вашей статьи применимы и в моём случае, спасибо!
Напомнили по духу ЗверьCD
100-в-1
Всегда восхищали такие комбайны

Респект, конечно.
Вот, кстати, посмотрите: прошло всего несколько лет, а все ZVER-комбайны ненавидимы большинством айтишников. Ковыряя очередной новый домашний сервер на виртуалке я постоянно боюсь всё того же — однажды этот комбайн просто не будет нужен и я с отвращением выброшу его, перейдя на обычный роутер, умеющий вебмордочку домашнего сайтика и торрент из коробки.
Заворачивать *.i2p в I2P — очень, очень плохая идея. Вас крайне просто развиртуализировать — поставить на i2p-сайт картинку или скрипт из обычного интернета — вуаля, ваш ip (а, если повезёт, и куки) как на ладони.
В I2P нужно ходить только отдельным браузером, в котором в принципе должна отсутствовать возможность выхода в обычный интернет.
Если цель похода в i2p — именно анонимный доступ к какой-то «не слишком белой» информации — то, конечно же, всё верно. Если же цель — просто получить доступ к ресурсам, которых нет в «общем» интернете — то тут всё нормально.
Что это за белые ресурсы такие, которые есть в i2p, но нет в обычном интернете?
Видимо, трекеры с варезом и не очень. Особо не наказывается для конечных пользователей, но трекеры прикрывают понемногу…
nnm-club.i2p/ (предпочитаю оттуда заходить, хоть и ipv6 доступен. основное зеркало доступно через раз...)
freezone.i2p/
progromore.i2p/
flibusta.i2p/
lib.i2p/
Ну и много-много других.
Не сказал бы, что они кристально белые, но это явно не Silk Road :)
1.Беда в том что повсеместные посты весёлых картинок в i2p это уже даже не смешно, заглянет в кэш вашего браузера какой-нибудь таможенник и «здравствуй жопа новый год!»
2.Береженого Господь бережет — не береженого конвой стережет. Кто-бы стал страдать деанонимизацией пользователей i2p из праздного интереса… И из «неуловимого Джо» вы автоматом превращаетесь в объект наблюдения, а оно вам надо, даже если вы абсолютно законопослушный крендель.
3.Ну там выше, народ писал про виртуализацию не просто так, вы можете себе её позволить и это круто, эффективная защита начинается с осознания факта невозможности предвидения всех возможных векторов атак. Виртуализация тут не разу не панацея, но относительно лёгкий способ добавить геморроя «исследователям» ну и возможность в наглую пользоваться всяким мутным софтом, опять же полезна для получения доступа к не публичным хранилищам всякого…
Роутер, гудящий всеми вентиляторами как полноценный ПК- страшный сон какой-то…
Всеми — это какими? Блок питания мне попался с тихоходным Карлсоном — разве что шорох от него исходит. На процессоре кулер включается раз в 5 минут на секунд 20. В моменты пиковых нагрузок, конечно, гудит на полных оборотах, но ночью я ему работы обычно не оставляю :)
Есть еще вариант как сделать домашний роутер + сервер -> использовать гипервизор и виртуализацию.
В новейших гипервизорах устройства PCI-express можно целиков передавать в виртуальные машины, т.е. виртуальная машина может иметь полный контроль над сетевыми интерфейсами.
Инсталим гипервизор, под него виртуалку которой отдаем все сетевые карты, там уже настраиваем роутер как описано.
Далее чтобы железо не простаивало отдельными виртуалками можно добавлять сервера, так безопасней чем например на роутер ставить сервера.
У меня на домашнем компе стоят несколько Linux, роутер (обслуживает доманшюю LAN, отдельный LAN для серверов, два внешних IP через которые роутится трафик в зависимости от внутреннего LAN), плюс игровая Windows 8 (c прокинутой графикой). Под Xen все.
Бонус такого подхода в том что упрощается бекап и восстановление, можно делать откаты и мирроры всех виртуалок, плюс железо занимается не только одной задачей (домашний комп обычно достаточно мощный).

Вы уже четвёртый, если не пятый, кто советует мне виртуализовать всё и вся… :)
… может, оно и не зря? :)))
… и второе «не нужно проверять, работает ли: если гудит, значит все в порядке!»

А «зачем» уже писали — бекапы, управляемость, тиражируемость машин (правда, у Вас диск не велик, не растиражируешься).

Мне лично спокойнее по машине на сервис выделять, накладные расходы даже под KVM/Xen невелики, а под OpenVZ вообще можно не вспоминать.
Ну не люблю я вспоминать, на каком айпишнике у меня какой сервис крутится. Есть .1.1 — это сервер. Всё.
Бэкапы у меня и так есть — все конфиги запакованы и слиты в дропбокс и на внешний жёсткий диск, а «файлопомойка» на нём у меня только ради доступа к /home/<user>/web/<site>.dev — там никогда ничего критичного не валяется.
....1.х — это Вы зря :)

Не берите нулевую и первую подсети, почти наверняка однажды случайно получится воткнуть в сеть что-то новое, и это новое будет по дефолту иметь какой-нибудь адрес из этих подсетей, а то и раздаст адреса в ней, и словите сложноотлавливаемые глюки.
У меня привычка — ничего нового в «дефолтной» конфигурации в сеть не втыкать. Сначала перенести «куда надо» с ноута, потом подключать.
Кстати, всё перечисленное в статье, отлично поднимается на OpenWRT, установленном на более-менее мощной железке вроде TP-Link 3600.

Даже если эту железку покупать, а сервер уже есть, оно окупится на экономии электроэнергии за год-полтора
I2P тоже на этой железке поднимать будете?
Да и сервер при таком раскладе всё равно (лично мне) придётся оставить именно в качестве сервера.
I2P тоже на этой железке поднимать будете?

Почему бы и нет? 128 МБ памяти и 500 МГц процессор должны справиться.
Не справятся. С нормальным каналом изрядно жрет. на моем Core i5 заметно даже. Я отдельную виртуальную машину поднимал.
Значит я не одинок, когда устал от перезагрузок D-Link`а и поднял почти такой же по функционалу, как у автора, роутер на простаивавшем Atom N2800. Правда, у меня он вообще не шумит — вентиляторы для этого проца не требуются — температура на нем больше 56 не поднимается, а вместо жесткого диска поставил mSATA SSD. И электричества уходит немного — 750 Вт ИБП показывает около 1-3% нагрузки.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.