Forum » Omrežja in internet » Tomato (Shibby) router firmware - vprašanja
Tomato (Shibby) router firmware - vprašanja
He-Man ::
Pozdravljeni!
Odpiram temo posebej, da bo lepše urejeno.
Torej, inštaliral sem Tomato (Shibby) firmware na Linksys E1200v2 router. Pregooglal sem vse, spraševal po forumih, bral tutoriale in navodila a še vedno mi je ostalo nekaj vprašanj glede vmesnika.
Najprej eno za ogrevanje: routerjeva WAN LED lučka stalno utripa, tudi ponoči ko so vsi klienti izklopljeni. Ali to preprosto pomeni, da je toliko neželenega prometa iz interneta ki skuša priti noter in ga routerjev firewall odbija? Ali gre za kaj drugega?
Spodaj sem napisal nekaj vprašanj (oz. samo postavil vprašaje pri fukncijah ki jih ne razumem), ki se nanašajo na Tomato by Shibby vmesnik, če mi odgovorite vsaj na kakšnega bom zelo vesel:
1. Advanced \ Conntrack/Netfilter:
- Tracking / NAT Helpers - FTP, GRE/PPTP, H.323, SIP, RTSP - ?
- TTL Adjust - ?
- Inbound Layer 7 - ?
2. DHCP/DNS:
- Announce IPv6 on LAN (SLAAC, DHCP) - ?
- Mute dhcpv4, dhcpv6, RA logging - ?
- Mimogrede, zakaj Tomato DHCP server ne posoja IP naslovov klientom po vrsti (.2, .3, .4 itd.) pač pa kar naključno (.70, .25 itd.)?
3. Firewall:
- Enable DSCP Fix - ?
- NAT loopback, NAT target - ?
- Multicast (IGMPproxy, Udpxy) - ?
4. Routing:
- RIPv1 & v2 - ?
- Efficient Multicast Forwarding - ?
- DHCP Routes - ?
5. Wireless Settings:
- Bluetooth Coexistence - zakaj ni to konstantno vklopljeno, verjetno poslabša performans WiFi-ja?
- Frame Burst - ali to res pojača prenos?
6. Port Forwarding:
- Triggered Port Forwarding - če mi lahko na kratko razložite kako deluje.
- Enable UPnP, NAT-PMP - to imam vse izklopljeno, čeprav iporabljam Skype, OpenVPN itd., je tako v redu?
7. QoS - ali QoS pomaga oblikovati paketke le pri outgoing prometu? Bi torej pridobil na performansu Skypa če bi vklopil in nastavil Qos? V obe smeri ali ne navzven?
8. Web Administration:
- Remote Access (HTTP vs HTTPS) - kaj bi moral narediti, da bi se lahko lokalno in oddaljeno povezoval preko HTTPS namesto HTTP (brez da se zaklenem ven)?
- SSH Daemon - Preko tega se lahko z routerjem povežem preko PuTTy-a, ne? To bi rad naredil samo zato, da se navadim, še nikoli nisem uporabljal PuTTy-a.
- Allowed Remote IP Address - Tu se vpiše IP naslov ki mu bo dovoljen oddaljen vstop v vmesnik routerja, ne?
- Allow web login as "root" - ?
- Bandwidth and IP Traffic Monitoring - je bolje če monitoring izklopim, bi tako pridobil kaj na performansu?
- JFFS - kaj lahko pridobim s tem?
- SNMP - kaj lahko naredim s tem?
Kot rečeno, če mi odgovorite vsaj na nekaj ali eno vprašanje mi veliko pomagate. Hvala!
Odpiram temo posebej, da bo lepše urejeno.
Torej, inštaliral sem Tomato (Shibby) firmware na Linksys E1200v2 router. Pregooglal sem vse, spraševal po forumih, bral tutoriale in navodila a še vedno mi je ostalo nekaj vprašanj glede vmesnika.
Najprej eno za ogrevanje: routerjeva WAN LED lučka stalno utripa, tudi ponoči ko so vsi klienti izklopljeni. Ali to preprosto pomeni, da je toliko neželenega prometa iz interneta ki skuša priti noter in ga routerjev firewall odbija? Ali gre za kaj drugega?
Spodaj sem napisal nekaj vprašanj (oz. samo postavil vprašaje pri fukncijah ki jih ne razumem), ki se nanašajo na Tomato by Shibby vmesnik, če mi odgovorite vsaj na kakšnega bom zelo vesel:
1. Advanced \ Conntrack/Netfilter:
- Tracking / NAT Helpers - FTP, GRE/PPTP, H.323, SIP, RTSP - ?
- TTL Adjust - ?
- Inbound Layer 7 - ?
2. DHCP/DNS:
- Announce IPv6 on LAN (SLAAC, DHCP) - ?
- Mute dhcpv4, dhcpv6, RA logging - ?
- Mimogrede, zakaj Tomato DHCP server ne posoja IP naslovov klientom po vrsti (.2, .3, .4 itd.) pač pa kar naključno (.70, .25 itd.)?
3. Firewall:
- Enable DSCP Fix - ?
- NAT loopback, NAT target - ?
- Multicast (IGMPproxy, Udpxy) - ?
4. Routing:
- RIPv1 & v2 - ?
- Efficient Multicast Forwarding - ?
- DHCP Routes - ?
5. Wireless Settings:
- Bluetooth Coexistence - zakaj ni to konstantno vklopljeno, verjetno poslabša performans WiFi-ja?
- Frame Burst - ali to res pojača prenos?
6. Port Forwarding:
- Triggered Port Forwarding - če mi lahko na kratko razložite kako deluje.
- Enable UPnP, NAT-PMP - to imam vse izklopljeno, čeprav iporabljam Skype, OpenVPN itd., je tako v redu?
7. QoS - ali QoS pomaga oblikovati paketke le pri outgoing prometu? Bi torej pridobil na performansu Skypa če bi vklopil in nastavil Qos? V obe smeri ali ne navzven?
8. Web Administration:
- Remote Access (HTTP vs HTTPS) - kaj bi moral narediti, da bi se lahko lokalno in oddaljeno povezoval preko HTTPS namesto HTTP (brez da se zaklenem ven)?
- SSH Daemon - Preko tega se lahko z routerjem povežem preko PuTTy-a, ne? To bi rad naredil samo zato, da se navadim, še nikoli nisem uporabljal PuTTy-a.
- Allowed Remote IP Address - Tu se vpiše IP naslov ki mu bo dovoljen oddaljen vstop v vmesnik routerja, ne?
- Allow web login as "root" - ?
- Bandwidth and IP Traffic Monitoring - je bolje če monitoring izklopim, bi tako pridobil kaj na performansu?
- JFFS - kaj lahko pridobim s tem?
- SNMP - kaj lahko naredim s tem?
Kot rečeno, če mi odgovorite vsaj na nekaj ali eno vprašanje mi veliko pomagate. Hvala!
SeMiNeSanja ::
Preveč vprašanj za na enkrat.
Na mnoga ti bosta odgovorila Google in Wikipedia (ali kakšen učbenik v slogu 'Networking for Dummies').
Nekatera so Tomato-specifična - si že preveril Tomato Firmware/Menu Reference?
Na mnoga ti bosta odgovorila Google in Wikipedia (ali kakšen učbenik v slogu 'Networking for Dummies').
Nekatera so Tomato-specifična - si že preveril Tomato Firmware/Menu Reference?
He-Man ::
Ja, Tomato Firmware Menu Reference sem prebral podolgem in počez a tam ni vseh odgovorov, sploh pa ne za dodatne funkcije ki jih ima Shibby verzija Tomata.
Pogooglal sem tudi že vse, bom poenostavil svoja zgornja vprašanja da bo lažje odgovoriti:
0. WAN LED na routerju utripa tudi ko so vsi klienti izklopljeni (ponoči), ali to pomeni da konstantno prihaja na WAN port neželen promet z interneta in routerjev firewall pač odbija paketke?
1. Tracking / NAT Helpers (FTP, GRE/PPTP, H.323, SIP, RTSP) - kaj so tile NAT helperji? Kako pomagajo, je dobro imeti obkljukane zadeve, ki so v oklepaju?
2. Announce IPv6 on LAN sem vse izklopil ker ne uporabljam IPv6, mute dhcpv4 in ostale pa nisem obkljukal, ker ne vem kaj točno bi s tem utišal?
3. NAT loopback in NAT target, zanima me za kaj gre tukaj. Ostalo bom pustil na default.
4. RIPv1 & v2 - ne najdem pravih informacij kaj je to in čemu služi. Kaj je mišljeno pod DHCP routes?
5. Ni tako pomembno.
6. Triggered Port Forwarding - mi lahko kdo da praktičen primer uporabe, kako deluje? UPnP & NAT-PMP - to imam oboje izklopljeno, bi moral vklopiti za boljši performans na Skypu?
7. QoS - bi s pravilno nastavitvijo kaj pridobil na kakovosti povezave (v obe smeri), npr. za Skype?
8. Če mi lahko na kratko odgovorite na kakšno vprašanje iz prvega posta tudi glede administracije routerja bom zelo vesel.
Hvala!
Pogooglal sem tudi že vse, bom poenostavil svoja zgornja vprašanja da bo lažje odgovoriti:
0. WAN LED na routerju utripa tudi ko so vsi klienti izklopljeni (ponoči), ali to pomeni da konstantno prihaja na WAN port neželen promet z interneta in routerjev firewall pač odbija paketke?
1. Tracking / NAT Helpers (FTP, GRE/PPTP, H.323, SIP, RTSP) - kaj so tile NAT helperji? Kako pomagajo, je dobro imeti obkljukane zadeve, ki so v oklepaju?
2. Announce IPv6 on LAN sem vse izklopil ker ne uporabljam IPv6, mute dhcpv4 in ostale pa nisem obkljukal, ker ne vem kaj točno bi s tem utišal?
3. NAT loopback in NAT target, zanima me za kaj gre tukaj. Ostalo bom pustil na default.
4. RIPv1 & v2 - ne najdem pravih informacij kaj je to in čemu služi. Kaj je mišljeno pod DHCP routes?
5. Ni tako pomembno.
6. Triggered Port Forwarding - mi lahko kdo da praktičen primer uporabe, kako deluje? UPnP & NAT-PMP - to imam oboje izklopljeno, bi moral vklopiti za boljši performans na Skypu?
7. QoS - bi s pravilno nastavitvijo kaj pridobil na kakovosti povezave (v obe smeri), npr. za Skype?
8. Če mi lahko na kratko odgovorite na kakšno vprašanje iz prvega posta tudi glede administracije routerja bom zelo vesel.
Hvala!
SeMiNeSanja ::
Ne uporabljam DD-WRT/Tomato in ostalih izpeljank, zato ti lahko samo bolj na splošno kaj odgovorim. Boj točno ti bo moral povedat kdo, ki to tudi uporablja in pozna specifike.
0: Da. Internet je pač živahen. Imaš vsega, od broadcast-ov, pa do IP/port scanov. Če nimaš odprtih portov, itak ni panike. Ker jih imaš, pa moraš skrbeti za redno posodabljanje, da iz tistega 'tipanja' kdaj ne rata kaj več.
1: Kaj naj bi bili ti helperji, ti ne morem reči. Ker se gre za servise, ki potrebujejo več portov hkrati (tudi dinamične) za svoje delovanje, predvidevam, da je to kakšen način, da si nekoliko olajšaš konfiguriranje port forward-inga za te servise.
2: Tudi jaz ne vem, zakaj bi rabil posebej utišat, saj ga imaš že v osnovi vključenega ali izključenega.
3: NAT Loopbak je klasična problematika, ki se pojavi, če imaš npr. konfiguriran javno dostopni www strežnik na naslovu www.mojadomena.si in želiš do njega dostopati iz notranjega omrežja. Ko boš vpisal www.mojadomena.si, se bo to resolvalo v tvojo javno IP adreso. Logično bi bilo, da bi do tega strežnika šel direktno na privatno IP adreso, ker pa ti javni DNS vrne javno IP adreso, bo šel promet najprej na router, ta bo ugotovil, da to pravzaprav sploh ni za ven poslati, temveč da mora paket poslat nazaj na notranje omrežje na IP naslov, ki si ga definiral na port forwarding-u. Skratka, tvoja povezava se preko routerja vzpostavi do mašine, ki stoji morda poleg tebe na mizi, ali pa celo na tvoj lastni računalnik.
4: RIP protokoli so za dinamično usmerjanje prometa. V poštev pridejo pri malo kompleksnejših omrežjih, kjer ti omogočajo najti 'obvoz', če je najbolj optimalna povezava iz bilokaterega razloga prekinjena (po kmečko povedano). Zate ne pride v poštev. Kaj tu dela zraven še DHCP, ti nebi vedel reči. 'Zveni' tako, kot če bi na osnovi RIP-a delal update rout v DHCP strežniku, kar pa ne vem, kje bi bilo zares uporabno. Vsekakor, zare oboje nezanimivo, dokler si ne omisliš še kakšnega providerja, pa še takrat bi bolj potreboval BGP (novejši protokol), kot RIP.
6: Konkretno ne vem, mislim pa si lahko, da ta opcija odpre določen forwardiran port samo v primeru, da je na nekem drugem portu vzpostavljena povezava. To bi lahko prišlo v poštev npr. pri FTP-ju, kjer imaš ločen port za osnovno povezavo in za pretok podatkov (Data channel). Slednji je na dinamičnem portu in bi tako moral ves čas imeti en lep obseg portov odprt. Če ta opcija dela to, kar mislim, potem imaš odprt samo osnovni port 21/tcp, ostali pa se odprejo šele takrat, ko imaš na tem portu vzpostavljeno povezavo.
Za Skype očitno ni pomembno, če ti dela.
7: Če imaš vse ostalo izključeno in hočeš Skypat, ti QoS ne prinese nič. Če pa poganjaš torrente ali trije drugi na polno gledajo Youtube HD ali celo 4k stream-e, pa ti QoS lahko ogromno doprinese za Skype.
8: Web Administration:
- Remote Access (HTTP vs HTTPS) - kaj bi moral narediti, da bi se lahko lokalno in oddaljeno povezoval preko HTTPS namesto HTTP (brez da se zaklenem ven)?
Bolje da to sploh ne vklapljaš in dovoliš zgolj lokalno administracijo (preko VPN se smatra tudi za lokalno!)
- SSH Daemon - Preko tega se lahko z routerjem povežem preko PuTTy-a, ne? To bi rad naredil samo zato, da se navadim, še nikoli nisem uporabljal PuTTy-a.
Da. Preko SSH prideš do 'Command Line Interface-a' (CLI). Programčkov, ki obvladajo SSH je en kup, med njimi tudi Putty.
- Allowed Remote IP Address - Tu se vpiše IP naslov ki mu bo dovoljen oddaljen vstop v vmesnik routerja, ne?
Verjetno
- Allow web login as "root" - ?
Na splošno, se nikjer ni dobro prijavljati z root. Če zdaj vse nastavljaš brez teg, potem ne vklapljaj.
- Bandwidth and IP Traffic Monitoring - je bolje če monitoring izklopim, bi tako pridobil kaj na performansu?
Vsaka stvar, ki jo dodatno vklopiš, dodatno obremenjuje procesor in kuri pomnilnik. Če ti je kdaj kaj sumljivo, si to lahko vklopiš po potrebi. Ne morem pa nič reči, kje in kako potem izvajaš ta 'monitoring'. Predvidevam pa, da se nanaša na naslednji dve opciji, za katere sprašuješ.
- JFFS - kaj lahko pridobim s tem?
JFFS je del pomnilnika, kaj počne med traffic monitoring opcijami pa nebi vedel povedat.
- SNMP - kaj lahko naredim s tem?
Simple Network Management Protocol (SNMP) je luštna standardizirana zadeva, ki ti omogoča, da spremljaš s posebnim programom najbolj različne parametre neke naprave - v tem primeru routerja. Takšnih programov je cel kup, ki znajo preko SNMP protokola brati podatke in ti potem rišejo lepe grafe obremenjenosti, rabe spomina, koliko pretakaš, koliko imaš povezav,.... Kaj točno lahko spremljaš, pa zavisi od posamezne naprave.
0: Da. Internet je pač živahen. Imaš vsega, od broadcast-ov, pa do IP/port scanov. Če nimaš odprtih portov, itak ni panike. Ker jih imaš, pa moraš skrbeti za redno posodabljanje, da iz tistega 'tipanja' kdaj ne rata kaj več.
1: Kaj naj bi bili ti helperji, ti ne morem reči. Ker se gre za servise, ki potrebujejo več portov hkrati (tudi dinamične) za svoje delovanje, predvidevam, da je to kakšen način, da si nekoliko olajšaš konfiguriranje port forward-inga za te servise.
2: Tudi jaz ne vem, zakaj bi rabil posebej utišat, saj ga imaš že v osnovi vključenega ali izključenega.
3: NAT Loopbak je klasična problematika, ki se pojavi, če imaš npr. konfiguriran javno dostopni www strežnik na naslovu www.mojadomena.si in želiš do njega dostopati iz notranjega omrežja. Ko boš vpisal www.mojadomena.si, se bo to resolvalo v tvojo javno IP adreso. Logično bi bilo, da bi do tega strežnika šel direktno na privatno IP adreso, ker pa ti javni DNS vrne javno IP adreso, bo šel promet najprej na router, ta bo ugotovil, da to pravzaprav sploh ni za ven poslati, temveč da mora paket poslat nazaj na notranje omrežje na IP naslov, ki si ga definiral na port forwarding-u. Skratka, tvoja povezava se preko routerja vzpostavi do mašine, ki stoji morda poleg tebe na mizi, ali pa celo na tvoj lastni računalnik.
4: RIP protokoli so za dinamično usmerjanje prometa. V poštev pridejo pri malo kompleksnejših omrežjih, kjer ti omogočajo najti 'obvoz', če je najbolj optimalna povezava iz bilokaterega razloga prekinjena (po kmečko povedano). Zate ne pride v poštev. Kaj tu dela zraven še DHCP, ti nebi vedel reči. 'Zveni' tako, kot če bi na osnovi RIP-a delal update rout v DHCP strežniku, kar pa ne vem, kje bi bilo zares uporabno. Vsekakor, zare oboje nezanimivo, dokler si ne omisliš še kakšnega providerja, pa še takrat bi bolj potreboval BGP (novejši protokol), kot RIP.
6: Konkretno ne vem, mislim pa si lahko, da ta opcija odpre določen forwardiran port samo v primeru, da je na nekem drugem portu vzpostavljena povezava. To bi lahko prišlo v poštev npr. pri FTP-ju, kjer imaš ločen port za osnovno povezavo in za pretok podatkov (Data channel). Slednji je na dinamičnem portu in bi tako moral ves čas imeti en lep obseg portov odprt. Če ta opcija dela to, kar mislim, potem imaš odprt samo osnovni port 21/tcp, ostali pa se odprejo šele takrat, ko imaš na tem portu vzpostavljeno povezavo.
Za Skype očitno ni pomembno, če ti dela.
7: Če imaš vse ostalo izključeno in hočeš Skypat, ti QoS ne prinese nič. Če pa poganjaš torrente ali trije drugi na polno gledajo Youtube HD ali celo 4k stream-e, pa ti QoS lahko ogromno doprinese za Skype.
8: Web Administration:
- Remote Access (HTTP vs HTTPS) - kaj bi moral narediti, da bi se lahko lokalno in oddaljeno povezoval preko HTTPS namesto HTTP (brez da se zaklenem ven)?
Bolje da to sploh ne vklapljaš in dovoliš zgolj lokalno administracijo (preko VPN se smatra tudi za lokalno!)
- SSH Daemon - Preko tega se lahko z routerjem povežem preko PuTTy-a, ne? To bi rad naredil samo zato, da se navadim, še nikoli nisem uporabljal PuTTy-a.
Da. Preko SSH prideš do 'Command Line Interface-a' (CLI). Programčkov, ki obvladajo SSH je en kup, med njimi tudi Putty.
- Allowed Remote IP Address - Tu se vpiše IP naslov ki mu bo dovoljen oddaljen vstop v vmesnik routerja, ne?
Verjetno
- Allow web login as "root" - ?
Na splošno, se nikjer ni dobro prijavljati z root. Če zdaj vse nastavljaš brez teg, potem ne vklapljaj.
- Bandwidth and IP Traffic Monitoring - je bolje če monitoring izklopim, bi tako pridobil kaj na performansu?
Vsaka stvar, ki jo dodatno vklopiš, dodatno obremenjuje procesor in kuri pomnilnik. Če ti je kdaj kaj sumljivo, si to lahko vklopiš po potrebi. Ne morem pa nič reči, kje in kako potem izvajaš ta 'monitoring'. Predvidevam pa, da se nanaša na naslednji dve opciji, za katere sprašuješ.
- JFFS - kaj lahko pridobim s tem?
JFFS je del pomnilnika, kaj počne med traffic monitoring opcijami pa nebi vedel povedat.
- SNMP - kaj lahko naredim s tem?
Simple Network Management Protocol (SNMP) je luštna standardizirana zadeva, ki ti omogoča, da spremljaš s posebnim programom najbolj različne parametre neke naprave - v tem primeru routerja. Takšnih programov je cel kup, ki znajo preko SNMP protokola brati podatke in ti potem rišejo lepe grafe obremenjenosti, rabe spomina, koliko pretakaš, koliko imaš povezav,.... Kaj točno lahko spremljaš, pa zavisi od posamezne naprave.
He-Man ::
0: GRC Shields Up (Steve Gibson) mi na vseh testiranih portih javi STEALTH, tudi na 1194 (OpenvPN). Ne razumem, kaj točno bi moral posodabljati?
1: Hm, OK. Bom pustil vse kljukice tako kot je privzeto. Me pa vseeno zanima, če kdo ve kaj več?
2: OK, kaj pa glede naključnega dodeljevana IP naslovov pri Tomato DHCP? pfSense DHCP mi dodeljuje IP-je po vrsti, Tomato pa kar nekaj.
3: O, zanimivo. Sicer ne gostujem nič, torej je čisto nepomembno kako imam nastavljen NAT loopback in target?
4: Zanimivo, hvala za razlago.
5: Bom vseeno vprašal: a se lahko WiFi in Bluetooth signal motita met seboj? Bluetooth coexistence mode na bi to popravil torej (kako)?
6: Zanimivo, port triggering zveni varneje kot stalno odprti porti. Skype mi pa sicer dela a me zanima če bi deloval bolje v primeru omogočenega UPnP in/ali NAT-PMP.
7: Potem ne bom pa nič šaril po QoS. Si pa predstavljam, da je ta funkcija zelo pomembna pri večjih omrežjih. Naj bi QoS pomagal samo pri formiranju odhodnega prometa. Je to res?
8: Web Administration:
- Remote Access (HTTP vs HTTPS) - v redu, saj imam samo lokalno trenutno a preko HTTP. Kaj bi moral narediti, da bi lahko uporabljal HTTPS? Nekje sem prebral, da če nastavim kar tako na HTTPS se bom zaklenil ven z routerja.
- SSH Daemon - Se bom s tem poigral ob prostem času, gotovo je na internetu kakšen tutorial za SSH povezavo.
- Allow web login as "root" - To je bilo veš čas vklopljeno že kot privzeto. Lahko prosim poveš več o tem zakaj to ni dobro?
- Bandwidth and IP Traffic Monitoring - Logira mi sicer razne zadeve a nič kar bi potreboval. Bom kar izklopil verjetno.
- JFFS - Tole je sicer pod Administration. Za kaj bi lahko uporabil tale pomnilnik? Za kakšen cache? Za nič? :D
- SNMP - Zanimovo, torej nekaj takega kot SSH? Drugi protokol ampak pač nek dostop tretje vrste? To bom tudi še malo pregledal ob času.
Res najlepša hvala za vse odgovore, so mi v veliko pomoč!
1: Hm, OK. Bom pustil vse kljukice tako kot je privzeto. Me pa vseeno zanima, če kdo ve kaj več?
2: OK, kaj pa glede naključnega dodeljevana IP naslovov pri Tomato DHCP? pfSense DHCP mi dodeljuje IP-je po vrsti, Tomato pa kar nekaj.
3: O, zanimivo. Sicer ne gostujem nič, torej je čisto nepomembno kako imam nastavljen NAT loopback in target?
4: Zanimivo, hvala za razlago.
5: Bom vseeno vprašal: a se lahko WiFi in Bluetooth signal motita met seboj? Bluetooth coexistence mode na bi to popravil torej (kako)?
6: Zanimivo, port triggering zveni varneje kot stalno odprti porti. Skype mi pa sicer dela a me zanima če bi deloval bolje v primeru omogočenega UPnP in/ali NAT-PMP.
7: Potem ne bom pa nič šaril po QoS. Si pa predstavljam, da je ta funkcija zelo pomembna pri večjih omrežjih. Naj bi QoS pomagal samo pri formiranju odhodnega prometa. Je to res?
8: Web Administration:
- Remote Access (HTTP vs HTTPS) - v redu, saj imam samo lokalno trenutno a preko HTTP. Kaj bi moral narediti, da bi lahko uporabljal HTTPS? Nekje sem prebral, da če nastavim kar tako na HTTPS se bom zaklenil ven z routerja.
- SSH Daemon - Se bom s tem poigral ob prostem času, gotovo je na internetu kakšen tutorial za SSH povezavo.
- Allow web login as "root" - To je bilo veš čas vklopljeno že kot privzeto. Lahko prosim poveš več o tem zakaj to ni dobro?
- Bandwidth and IP Traffic Monitoring - Logira mi sicer razne zadeve a nič kar bi potreboval. Bom kar izklopil verjetno.
- JFFS - Tole je sicer pod Administration. Za kaj bi lahko uporabil tale pomnilnik? Za kakšen cache? Za nič? :D
- SNMP - Zanimovo, torej nekaj takega kot SSH? Drugi protokol ampak pač nek dostop tretje vrste? To bom tudi še malo pregledal ob času.
Res najlepša hvala za vse odgovore, so mi v veliko pomoč!
Zgodovina sprememb…
- spremenilo: He-Man ()
SeMiNeSanja ::
Jaz temu GRC-u nič kaj dosti ne zaupam, še manj pa bi se zanašal nanj :)
(po moje je tega že 15 let nazaj, ko sem bral nek članek, v katerem je avtor Gibsona in neko njegovo takrat 'popularno' orodje/test argumentirano 'razcefral'. Od takrat Gibsona ne jemljem pretirano resno. Verjetno neupravičeno, ampak tako to je. Žal se ne spomnim več, za katero orodje ali test se je šlo, da bi lahko pogooglal in si osvežil spomin)
Saj tisti test nekaj 'dela', vendar testirati iz takšne razdalje, ko ne veš, če nek port ni bil že bogvedi kje prej blokiran, ni ravno neka trdna osnova, na katero bi se zanašal. Moja požarna pregrada pa ga itak 'ne mara' in ga takoj pokne na črno listo grešnikov, samo da se je 'dotakne'.
Če hočeš resno 'prerešetat' svojo škatlico, potem si naloži Kali na en USB ključek, z njega poženi prenosnik, vse skupaj na modemu priključi na vzporedni port ali še bolje če router skonfiguriraš na fikni IP naslov, Kali tudi in oboje povežeš direktno, brez česarkoli vmes. Potem pa zaženeš kakšen resen scan (Nmap, Nessus, Nexpose,...)... in na koncu pwnaš router :)
Takointako TI bolje veš, kot katerikoli scanner, kaj si sam odprl od zunaj proti notri in katere servise si svetu izpostavil. Skeniranje je na prvi stopnji (npr. Nmap) samo za to, da se prepričaš, da nisi morda še kaj spregledal. Druga stopnja pa je malo bolj kritična in zahteva že malo prakse, ker greš skozi tiste porte, ki so odprti in testiraš servise, ki so na njih, če imajo kakšne očitne ranljivosti.
Tu pa potem pride v igro tisti 'Update, Update, Update,...' - bolj ko boš posodabljal in vzdrževal aktualno stanje vseh servisov, manj bo ranljivosti, ki bi jih lahko kdo zlorabil. Žal pa se moraš zavedat, da samo update ne pomaga nič, če recimo tvoj javno dostopni FTP server dovoljuje RW dostop do korenskega directory-ja, ali pa če dovoliš root dostop do njega, po možnosti še z geslom '123456'. Razni scannerji ti tukaj tudi ne bodo kaj dosti pomagali.
Takšnih možnih 'bedastih' napak, ki jih lahko narediš, je ogromno. Več servisov ko imaš, več je različnih konfiguracij, več je spolskega ledu, na katerem lahko spodrsneš - sploh, če nisi res prepričan, kaj to pravzaprav nastavljaš in kakšne posledice to lahko ima.
Praviš, da ti tisti GRC test pravi, da imaš port 1194 zaprt? Kaj si nastavil OpenVPN dostop samo za določen IP naslov? Ali je to že ena takšna napaka, o kateri sem govoril, da ti jo lahko povzroči skeniranje 'na veliko daljavo'?
Kar se tiče naključnega dodeljevanja IP naslovov, je to še dokaj trivialna zadeva. Morda celo kje obstaja kakšna nastavitev, da se to da spremeniti (google?).
Drugače pa bi ti priporočil, da začneš uporabljati DHCP rezervacije za vse, kar je 'domače'. Čisto dinamično pa dodeljuj naslove napravam, ki pri tebi zgolj 'gostujejo'. Tako boš zagledal nek IP naslov in boš točno vedel, k kateri napravi spada. Brez tega pa ima tisti naslov lahko katerakoli naprava v hiši (predstavljaj si, da imaš še 'pametne žarnice', ki imajo vsaka svoj IP naslov, kako to potem šele postane zabavno ugotoviti, kam kateri naslov spada!).
Bluetooth...? Ali sploh kaj uporabljaš bluetooth? WiFi in Bluetooth si oba delita 2,4GHz območje in se teoretično lahko motita. Ta opcija naj bi kvazi zmanjšala te motnje, če jih imaš. Če jih nimaš, izključi.
UPnP velja za nekakšen hud nebodigatreba, ko se gre za varnost in žegen, ko se gre za poenostavitev priklopa raznih naprav in programov. Meni noben firewall ne podpira plug-and-pray, pa vseeno vse naprave in programi delujejo kot treba.
QoS postane zanimiv takoj, ko nekdo začne brez omejitve vlačiti torrente čez router, ko se nobena spletna stran noče več lepo odpirati, video stream se zatika, Skype šteka,.... Dokler si sam na mreži že veš zakaj 'trpiš', bolj hud je, če ti nekdo drug povzroča 'duševne bolečine'. Takrat te lahko odreši QoS, ali pa da nekomu iztakneš kabel (najbolje kar onega za elektriko). QoS pri tem povzroča manj razprtij v družini....
Prihodni/odhodni promet? - odvisno od implementacije. Pri meni imam QoS vezan na posamezna pravila požarne pregrade, ne glede na to, ali je incoming ali outgoing pravilo. Poleg QoS priority queue-jev pa imam lahko še bandwidth in connection limite na vsakem pravilu. Če malo pomisliš na IP telefonijo, potem vsekakor hočeš tudi za incoming klice imeti visoko prioritet, ne le za odhajajoče?
Kako ima Tomato to urejeno, pa res nebi vedel.
Tudi glede https administracije, ti ne morem nič reči, kako je to implementirano na Tomatu. Čisto možno, da moraš sam generirat self signed certifikat, da bo zadeva špilala. Da bi se čisto ven zaklenil ne verjamem, vsaj ne, če imaš SSH vključen, saj potem lahko preko konzolnega dostopa še kaj rešiš.
Pri meni http sploh ni opcija za administracijo. Takoj, ko se škatla boota, sama preveri, če ima veljaven certifikat in ga zgenerira, če slučajno manjka. Tako že v osnovi ne more priti do kakšnega lockout-a (imam pa še SSH in RS232 konzolni dostop, če čisto vse ostalo odpove).
Web login as root? Ker pri http root geslo prenašaš v cleartextu in ga lahko kdo prestreže? Ker potem z root geslom na tvoji škatli počne glih karkoli se mu zahoče? Ups?
Tam pri JFFS sem ti prilepil link, na katerem je nekaj pisalo o tem, za kaj naj bi se rabil. Če ne veš zakaj bi rabil, izključiš. KO boš rabil, še vedno lahko vključiš.
SNMP je popolnoma nekaj drugega kot SSH.
SSH ti odpre shell, ukazno okno, v katerem tipkaš ukaze. Podobno kot v CMD oknu na Windows, le da router 'govori' Linux...
SNMP pa je nekakšen strežnik za posredovanje podatkov, katere prebiraš s posebnimi programi, ki znajo komunicirati preko SNMP protokola in služijo nadzoru naprav v omrežju, deloma tudi upravljanju. En primer takšnega orodja je npr. Paessler PRTG Network Monitor. V teh orodjih si lahko nastaviš alarme, če so neke vrednosti presežene, se naprave ne odzivajo,.... Overkill za domačo mrežo, za kakšno poslovno pa lahko zelo koristno orodje.
(po moje je tega že 15 let nazaj, ko sem bral nek članek, v katerem je avtor Gibsona in neko njegovo takrat 'popularno' orodje/test argumentirano 'razcefral'. Od takrat Gibsona ne jemljem pretirano resno. Verjetno neupravičeno, ampak tako to je. Žal se ne spomnim več, za katero orodje ali test se je šlo, da bi lahko pogooglal in si osvežil spomin)
Saj tisti test nekaj 'dela', vendar testirati iz takšne razdalje, ko ne veš, če nek port ni bil že bogvedi kje prej blokiran, ni ravno neka trdna osnova, na katero bi se zanašal. Moja požarna pregrada pa ga itak 'ne mara' in ga takoj pokne na črno listo grešnikov, samo da se je 'dotakne'.
Če hočeš resno 'prerešetat' svojo škatlico, potem si naloži Kali na en USB ključek, z njega poženi prenosnik, vse skupaj na modemu priključi na vzporedni port ali še bolje če router skonfiguriraš na fikni IP naslov, Kali tudi in oboje povežeš direktno, brez česarkoli vmes. Potem pa zaženeš kakšen resen scan (Nmap, Nessus, Nexpose,...)... in na koncu pwnaš router :)
Takointako TI bolje veš, kot katerikoli scanner, kaj si sam odprl od zunaj proti notri in katere servise si svetu izpostavil. Skeniranje je na prvi stopnji (npr. Nmap) samo za to, da se prepričaš, da nisi morda še kaj spregledal. Druga stopnja pa je malo bolj kritična in zahteva že malo prakse, ker greš skozi tiste porte, ki so odprti in testiraš servise, ki so na njih, če imajo kakšne očitne ranljivosti.
Tu pa potem pride v igro tisti 'Update, Update, Update,...' - bolj ko boš posodabljal in vzdrževal aktualno stanje vseh servisov, manj bo ranljivosti, ki bi jih lahko kdo zlorabil. Žal pa se moraš zavedat, da samo update ne pomaga nič, če recimo tvoj javno dostopni FTP server dovoljuje RW dostop do korenskega directory-ja, ali pa če dovoliš root dostop do njega, po možnosti še z geslom '123456'. Razni scannerji ti tukaj tudi ne bodo kaj dosti pomagali.
Takšnih možnih 'bedastih' napak, ki jih lahko narediš, je ogromno. Več servisov ko imaš, več je različnih konfiguracij, več je spolskega ledu, na katerem lahko spodrsneš - sploh, če nisi res prepričan, kaj to pravzaprav nastavljaš in kakšne posledice to lahko ima.
Praviš, da ti tisti GRC test pravi, da imaš port 1194 zaprt? Kaj si nastavil OpenVPN dostop samo za določen IP naslov? Ali je to že ena takšna napaka, o kateri sem govoril, da ti jo lahko povzroči skeniranje 'na veliko daljavo'?
Kar se tiče naključnega dodeljevanja IP naslovov, je to še dokaj trivialna zadeva. Morda celo kje obstaja kakšna nastavitev, da se to da spremeniti (google?).
Drugače pa bi ti priporočil, da začneš uporabljati DHCP rezervacije za vse, kar je 'domače'. Čisto dinamično pa dodeljuj naslove napravam, ki pri tebi zgolj 'gostujejo'. Tako boš zagledal nek IP naslov in boš točno vedel, k kateri napravi spada. Brez tega pa ima tisti naslov lahko katerakoli naprava v hiši (predstavljaj si, da imaš še 'pametne žarnice', ki imajo vsaka svoj IP naslov, kako to potem šele postane zabavno ugotoviti, kam kateri naslov spada!).
Bluetooth...? Ali sploh kaj uporabljaš bluetooth? WiFi in Bluetooth si oba delita 2,4GHz območje in se teoretično lahko motita. Ta opcija naj bi kvazi zmanjšala te motnje, če jih imaš. Če jih nimaš, izključi.
UPnP velja za nekakšen hud nebodigatreba, ko se gre za varnost in žegen, ko se gre za poenostavitev priklopa raznih naprav in programov. Meni noben firewall ne podpira plug-and-pray, pa vseeno vse naprave in programi delujejo kot treba.
QoS postane zanimiv takoj, ko nekdo začne brez omejitve vlačiti torrente čez router, ko se nobena spletna stran noče več lepo odpirati, video stream se zatika, Skype šteka,.... Dokler si sam na mreži že veš zakaj 'trpiš', bolj hud je, če ti nekdo drug povzroča 'duševne bolečine'. Takrat te lahko odreši QoS, ali pa da nekomu iztakneš kabel (najbolje kar onega za elektriko). QoS pri tem povzroča manj razprtij v družini....
Prihodni/odhodni promet? - odvisno od implementacije. Pri meni imam QoS vezan na posamezna pravila požarne pregrade, ne glede na to, ali je incoming ali outgoing pravilo. Poleg QoS priority queue-jev pa imam lahko še bandwidth in connection limite na vsakem pravilu. Če malo pomisliš na IP telefonijo, potem vsekakor hočeš tudi za incoming klice imeti visoko prioritet, ne le za odhajajoče?
Kako ima Tomato to urejeno, pa res nebi vedel.
Tudi glede https administracije, ti ne morem nič reči, kako je to implementirano na Tomatu. Čisto možno, da moraš sam generirat self signed certifikat, da bo zadeva špilala. Da bi se čisto ven zaklenil ne verjamem, vsaj ne, če imaš SSH vključen, saj potem lahko preko konzolnega dostopa še kaj rešiš.
Pri meni http sploh ni opcija za administracijo. Takoj, ko se škatla boota, sama preveri, če ima veljaven certifikat in ga zgenerira, če slučajno manjka. Tako že v osnovi ne more priti do kakšnega lockout-a (imam pa še SSH in RS232 konzolni dostop, če čisto vse ostalo odpove).
Web login as root? Ker pri http root geslo prenašaš v cleartextu in ga lahko kdo prestreže? Ker potem z root geslom na tvoji škatli počne glih karkoli se mu zahoče? Ups?
Tam pri JFFS sem ti prilepil link, na katerem je nekaj pisalo o tem, za kaj naj bi se rabil. Če ne veš zakaj bi rabil, izključiš. KO boš rabil, še vedno lahko vključiš.
SNMP je popolnoma nekaj drugega kot SSH.
SSH ti odpre shell, ukazno okno, v katerem tipkaš ukaze. Podobno kot v CMD oknu na Windows, le da router 'govori' Linux...
SNMP pa je nekakšen strežnik za posredovanje podatkov, katere prebiraš s posebnimi programi, ki znajo komunicirati preko SNMP protokola in služijo nadzoru naprav v omrežju, deloma tudi upravljanju. En primer takšnega orodja je npr. Paessler PRTG Network Monitor. V teh orodjih si lahko nastaviš alarme, če so neke vrednosti presežene, se naprave ne odzivajo,.... Overkill za domačo mrežo, za kakšno poslovno pa lahko zelo koristno orodje.
Mavrik ::
Malo težko ti je odgovarjati na vprašanja, ker se ukvarjaš z naprednimi nastavitvami omrežij, ne poznaš pa veliko osnov -_-. Če se le da, pusti nastavitve privzete, ker drugače si komot kaj pokvariš - na večino tvojih vprašanj bo namreč odgovor "tega ne rabiš".
Vsi protokoli, ki so na tem seznamu, znajo imeti težave ko prehajajo čez NAT. Vklop helperja naloži kernel modul, ki bi naj pomagal pri sledenju teh povezav in jih spravljal čez tvoj NAT. So pa moduli dokaj stari in hroščati. Če ne laufaš strežnikov za te protokole (in resno jih ne bi smel O.o), tega ne rabiš.
Spreminja TTL na paketih, ko prehajajo čez router. Tega ne rabiš.
Vklopi L7 klasifikacijo že na vhodnih paketih, zato da jo lahko potem hitreje / točneje dela na izhodu. To bi bilo uporabno pri QoS... če ne bi bila L7 klasifikacija praktično neuporabna zaradi široke uporabe SSLja dandanes. Ne rabiš.
Pomaga ti spravljati multicast z zunanjega (ali drugega) omrežja na notranje omrežje preko NATa. Doma večinoma ljudje to uporabljajo da spravijo IPTV multicast na notranjo omrežje brez da ti zakolje wifi.
DSCP je polje v IP paketih - na Comcastu (ISP v ZDA) je bil en čas zajeb z njihovimi Cisco routerji, ki je povzročil počasne prenose. Zato ta fix. Ne rabiš.
Ja, 802.11b/g/n Wifi na 2.4GHz se jasno moti z Bluetoothom, ki deluje na istih frekvencah. Motijo ga tudi druge brezžične naprave na tem spektru (brezžične miške, tipkovnice, Xbox 360 kontrolerji in še kaj). Enkrat probaj obiskati kako Apple fanboy pisarno kjer ima vsak miško + tipkovnico pa boš hitro videl kako 2.4GHz wifi umre :P
Coexistence mode (če na tvojem routerju sploh dela) poskuša deliti spekter z Bluetooth napravo. Načeloma to nekoliko poslabša prenos, ti pa pomaga če ti Wifi crkuje. Jasno je, da mora tudi Bluetooth naprava sama podpirati coexistence.
Če je na omrežju samo router in ena naprava v dobrih pogojih, potem načeloma nekoliko pomaga (naprava mora jasno to tudi podpirati). Če je več naprav ti pa naredi lepo štalo s trki in ti bistveno poslabša prenose. Moje izkušnje kažejo da se tega ne splača vklapljati, ker poslabša delovanje Wifija kakor hitro maš več kot samo laptop.
Ko imaš vzpostavljeno povezavo navzven na nekem portu, se ti vklopi port forwarding, drugače ne (npr. povezan si na IRC in ti ta čas drži 113 ident odprt navznoter). Za domačo uporabo precej neuporabno.
S stališča varnosti ja, s tem da se ti splača ročno poforwardati porte za te storitve.
QoS ti doma pomaga predvsem če imaš zabasano omrežje navzven (npr. cimre ko ti laufajo torrente). Ga je pa precej tečno nastaviti tako, da potem ne zgubiš hitrosti ko je omrežje fraj in z veseljem ti bo usuval router, če nimaš kakega izmed dražjih serij z več RAMa in CPUja. In ja, deluje predvsem navzven. Seveda lahko navznoter omejiš hitrost tudi, samo potem so podatki že itak prišli čez najožji del omrežja in je to kontraproduktivno.
Pomounta morebiten preostali del flasha (če ga imaš sploh kaj na voljo na routerju), tako da lahko na njega pišeš. Uporabno morda za to da se ti statistike hranijo tam med router rebooti ter na nekaterih routerjih za inštalacijo dodatnih paketov. Načeloma ne rabiš in s tem se da hitro izrabiti routerjev flash.
Če moraš to vprašati, potem nič. Če imaš pa doma 20 routerjev in 150 drugih omrežnih naprav pa maš verjetno SNMP monitoring kje postavljen in ti ni treba vprašati ;)
- Tracking / NAT Helpers - FTP, GRE/PPTP, H.323, SIP, RTSP - ?
Vsi protokoli, ki so na tem seznamu, znajo imeti težave ko prehajajo čez NAT. Vklop helperja naloži kernel modul, ki bi naj pomagal pri sledenju teh povezav in jih spravljal čez tvoj NAT. So pa moduli dokaj stari in hroščati. Če ne laufaš strežnikov za te protokole (in resno jih ne bi smel O.o), tega ne rabiš.
- TTL Adjust - ?
Spreminja TTL na paketih, ko prehajajo čez router. Tega ne rabiš.
- Inbound Layer 7 - ?
Vklopi L7 klasifikacijo že na vhodnih paketih, zato da jo lahko potem hitreje / točneje dela na izhodu. To bi bilo uporabno pri QoS... če ne bi bila L7 klasifikacija praktično neuporabna zaradi široke uporabe SSLja dandanes. Ne rabiš.
- Multicast (IGMPproxy, Udpxy) - ?
Pomaga ti spravljati multicast z zunanjega (ali drugega) omrežja na notranje omrežje preko NATa. Doma večinoma ljudje to uporabljajo da spravijo IPTV multicast na notranjo omrežje brez da ti zakolje wifi.
- Enable DSCP Fix - ?
DSCP je polje v IP paketih - na Comcastu (ISP v ZDA) je bil en čas zajeb z njihovimi Cisco routerji, ki je povzročil počasne prenose. Zato ta fix. Ne rabiš.
- Bluetooth Coexistence - zakaj ni to konstantno vklopljeno, verjetno poslabša performans WiFi-ja?
5: Bom vseeno vprašal: a se lahko WiFi in Bluetooth signal motita met seboj? Bluetooth coexistence mode na bi to popravil torej (kako)?
Ja, 802.11b/g/n Wifi na 2.4GHz se jasno moti z Bluetoothom, ki deluje na istih frekvencah. Motijo ga tudi druge brezžične naprave na tem spektru (brezžične miške, tipkovnice, Xbox 360 kontrolerji in še kaj). Enkrat probaj obiskati kako Apple fanboy pisarno kjer ima vsak miško + tipkovnico pa boš hitro videl kako 2.4GHz wifi umre :P
Coexistence mode (če na tvojem routerju sploh dela) poskuša deliti spekter z Bluetooth napravo. Načeloma to nekoliko poslabša prenos, ti pa pomaga če ti Wifi crkuje. Jasno je, da mora tudi Bluetooth naprava sama podpirati coexistence.
- Frame Burst - ali to res pojača prenos?
Če je na omrežju samo router in ena naprava v dobrih pogojih, potem načeloma nekoliko pomaga (naprava mora jasno to tudi podpirati). Če je več naprav ti pa naredi lepo štalo s trki in ti bistveno poslabša prenose. Moje izkušnje kažejo da se tega ne splača vklapljati, ker poslabša delovanje Wifija kakor hitro maš več kot samo laptop.
- Triggered Port Forwarding - če mi lahko na kratko razložite kako deluje.
Ko imaš vzpostavljeno povezavo navzven na nekem portu, se ti vklopi port forwarding, drugače ne (npr. povezan si na IRC in ti ta čas drži 113 ident odprt navznoter). Za domačo uporabo precej neuporabno.
- Enable UPnP, NAT-PMP - to imam vse izklopljeno, čeprav iporabljam Skype, OpenVPN itd., je tako v redu?
S stališča varnosti ja, s tem da se ti splača ročno poforwardati porte za te storitve.
7. QoS - ali QoS pomaga oblikovati paketke le pri outgoing prometu? Bi torej pridobil na performansu Skypa če bi vklopil in nastavil Qos? V obe smeri ali ne navzven?
QoS ti doma pomaga predvsem če imaš zabasano omrežje navzven (npr. cimre ko ti laufajo torrente). Ga je pa precej tečno nastaviti tako, da potem ne zgubiš hitrosti ko je omrežje fraj in z veseljem ti bo usuval router, če nimaš kakega izmed dražjih serij z več RAMa in CPUja. In ja, deluje predvsem navzven. Seveda lahko navznoter omejiš hitrost tudi, samo potem so podatki že itak prišli čez najožji del omrežja in je to kontraproduktivno.
- JFFS - kaj lahko pridobim s tem?
Pomounta morebiten preostali del flasha (če ga imaš sploh kaj na voljo na routerju), tako da lahko na njega pišeš. Uporabno morda za to da se ti statistike hranijo tam med router rebooti ter na nekaterih routerjih za inštalacijo dodatnih paketov. Načeloma ne rabiš in s tem se da hitro izrabiti routerjev flash.
- SNMP - kaj lahko naredim s tem?
Če moraš to vprašati, potem nič. Če imaš pa doma 20 routerjev in 150 drugih omrežnih naprav pa maš verjetno SNMP monitoring kje postavljen in ti ni treba vprašati ;)
The truth is rarely pure and never simple.
Zgodovina sprememb…
- spremenil: Mavrik ()
Mavrik ::
- SSH Daemon - Se bom s tem poigral ob prostem času, gotovo je na internetu kakšen tutorial za SSH povezavo.
SSH dostop je na Tomatotih precej neuporaben, ker se večina nastavitev shranjuje / obdrži preko spletnega vmesnika v NVRAM. S stališča varnosti bi ti priporočal da tega ne vkapljaš.
The truth is rarely pure and never simple.
He-Man ::
@ SeMiNeSanja:
- Potem je ta GRC kar nekaj? :D Jaz pa ves vesel da mi kaže vse brezhibno pri meni. Eh ja...
- Sicer me zanima kako je z varnostjo omrežja ampak Kali se zdaj ne grem učit, ker mi bo enostavno preveč vsega naenkrat. Hvala za omembo, mogoče mi pride v prihodnosti prav.
- Po pravici povedano ne vem točno kaj imam odprto in kaj ne. Kar je privzeto pač, router sam regulira port 1194 za OpenVPN očitno, pod Port Forwarding nisem sam delal nič.
- Verjetno bi bilo dobro, da si poberem Nmap za Windows in preko Command prompta preskeniram vse porte? Kako testirati servise na portih je pa preko mojega trenutnega znanja.
- Aha, to mi govoriš na splošno. Namreč nimam javno dostopnega FTP serverja. :)
- GRC pravi, da so vsi moji porti v STEALTH mode, tudi 1194. OpenVPN naj bi deloval preko 1194, št. porta imam v config datoteki zapisano za javnim IP-jem. Verjetno GRC laže torej oz. sploh ne more delati na tako daljavo.
- Glede DHCP rezervacij se popolnoma strinjam. Rezerviran IP, boljša rešitev kot statični. Mimogrede, je sploh kakšna prednost pri statičenm IP-ju napram rezerviranem IP-ju ki ga dodeli DHCP? Recimo za omrežni tiskalnik.
- Bluetooth uporabim 1x na leto ko mi hoče kdo poslat kaj s telefona na računalnik, vprašal sem informativno. Hvala za razlago.
- uPnP & QoS - hvala za informacije, zaenkrat mislim da nič od tega ne potrebujem.
- Glede administracije, SSH in Telnet sem izključil. Kako generiram self signed certifikat za HTTPS?
- Web login as root - sicer res dostopam preko HTTP trenutno ampak samo lokalno, nikoli iz WAN smeri. Sem vseeno v nevarnosti?
- Se opravičujem, JFFS link sem spregledal prej, sem si sedaj prebral. Ne rabim tega 1,5 MB ki ga je ostalo na flash spominu routerja ker ne bom nobenih dodatkov nameščal.
- Hvala tudi za razlago SNMP-ja, za doma torej ne bom rabil.
____________________________________________________________
@ Mavrik:
- Vem, da večine ne bom rabil ampak me zanima ink nekje se moram naučiti, kam lepše kot tukaj, v slovenskem jeziku. :)
- Ne laufam strežnikov za te protokole, porivzeto so vsi helperji vklopljeni, razen za RTSP (če se ne motim).
- DSCP fix je sicer privzeto obkljukan.
- Kjer se uporablja wireless tipkovnice in miške na veliko imajo verjetno WiFi na 5.0 GHz?
- Frame burst bom pustil pri miru torej.
- O port forwardingu (je to enako kot odpiranje portov?) se bom moral še močno podučiti. Kakšen nasvet kje začeti in kako v praksi na domačem omrežju preizkusiti, da se mi vtisne v spomin? :) Saj nekaj sem že delal ko sem kolegu nastavil IP kamero da je lahko vmesnik spremljal kjerkoli z interneta. A takrat sem sledil tutorialom ne pa vsega razumel.
- Vse ostalo: velika hvala za razlago!
- SSH daemon sem izklopil v routerju. Kako bi pa lahko doma dostopal do nečesa preko SSH? Mogoče na pfSense? Toliko, da se vsaj povezati naučim.
____________________________________________________________
Po dolgem iskanju sem našel še tole, za vse ki imate Tomato routerje: http://techiereppe.blogspot.com/2012/01... (13 delov vsega skupaj).
Čeprav sta razlagi mojstrov nad mano dosti boljši. Še 1x hvala obema!
- Potem je ta GRC kar nekaj? :D Jaz pa ves vesel da mi kaže vse brezhibno pri meni. Eh ja...
- Sicer me zanima kako je z varnostjo omrežja ampak Kali se zdaj ne grem učit, ker mi bo enostavno preveč vsega naenkrat. Hvala za omembo, mogoče mi pride v prihodnosti prav.
- Po pravici povedano ne vem točno kaj imam odprto in kaj ne. Kar je privzeto pač, router sam regulira port 1194 za OpenVPN očitno, pod Port Forwarding nisem sam delal nič.
- Verjetno bi bilo dobro, da si poberem Nmap za Windows in preko Command prompta preskeniram vse porte? Kako testirati servise na portih je pa preko mojega trenutnega znanja.
- Aha, to mi govoriš na splošno. Namreč nimam javno dostopnega FTP serverja. :)
- GRC pravi, da so vsi moji porti v STEALTH mode, tudi 1194. OpenVPN naj bi deloval preko 1194, št. porta imam v config datoteki zapisano za javnim IP-jem. Verjetno GRC laže torej oz. sploh ne more delati na tako daljavo.
- Glede DHCP rezervacij se popolnoma strinjam. Rezerviran IP, boljša rešitev kot statični. Mimogrede, je sploh kakšna prednost pri statičenm IP-ju napram rezerviranem IP-ju ki ga dodeli DHCP? Recimo za omrežni tiskalnik.
- Bluetooth uporabim 1x na leto ko mi hoče kdo poslat kaj s telefona na računalnik, vprašal sem informativno. Hvala za razlago.
- uPnP & QoS - hvala za informacije, zaenkrat mislim da nič od tega ne potrebujem.
- Glede administracije, SSH in Telnet sem izključil. Kako generiram self signed certifikat za HTTPS?
- Web login as root - sicer res dostopam preko HTTP trenutno ampak samo lokalno, nikoli iz WAN smeri. Sem vseeno v nevarnosti?
- Se opravičujem, JFFS link sem spregledal prej, sem si sedaj prebral. Ne rabim tega 1,5 MB ki ga je ostalo na flash spominu routerja ker ne bom nobenih dodatkov nameščal.
- Hvala tudi za razlago SNMP-ja, za doma torej ne bom rabil.
____________________________________________________________
@ Mavrik:
- Vem, da večine ne bom rabil ampak me zanima ink nekje se moram naučiti, kam lepše kot tukaj, v slovenskem jeziku. :)
- Ne laufam strežnikov za te protokole, porivzeto so vsi helperji vklopljeni, razen za RTSP (če se ne motim).
- DSCP fix je sicer privzeto obkljukan.
- Kjer se uporablja wireless tipkovnice in miške na veliko imajo verjetno WiFi na 5.0 GHz?
- Frame burst bom pustil pri miru torej.
- O port forwardingu (je to enako kot odpiranje portov?) se bom moral še močno podučiti. Kakšen nasvet kje začeti in kako v praksi na domačem omrežju preizkusiti, da se mi vtisne v spomin? :) Saj nekaj sem že delal ko sem kolegu nastavil IP kamero da je lahko vmesnik spremljal kjerkoli z interneta. A takrat sem sledil tutorialom ne pa vsega razumel.
- Vse ostalo: velika hvala za razlago!
- SSH daemon sem izklopil v routerju. Kako bi pa lahko doma dostopal do nečesa preko SSH? Mogoče na pfSense? Toliko, da se vsaj povezati naučim.
____________________________________________________________
Po dolgem iskanju sem našel še tole, za vse ki imate Tomato routerje: http://techiereppe.blogspot.com/2012/01... (13 delov vsega skupaj).
Čeprav sta razlagi mojstrov nad mano dosti boljši. Še 1x hvala obema!
He-Man ::
...če mi lahko lepo prosim še malo odgovorite na prejšnji post? Hvala.
Lepo prosim? Saj je le malo vprašanj ostalo. :)
Lepo prosim? Saj je le malo vprašanj ostalo. :)
Zgodovina sprememb…
- spremenilo: He-Man ()
AC_DC ::
fw: tomato shibby
tomato-K26-1.28.RT-MIPSR1-131-MiniIPv6.trx
(zadnji fw)
Ko sem vklopil ipv6 native ipv6 from isp/ dhcpv6 with prefix delegation, je ipv6 začel delati http://ipv6-test.com/ http://test-ipv6.com/ , vendar sedaj preko web gui ne morem priti več v nastavitve routerja 192.168.1.1 (The connection was reset).
sumim da je fail v tej nastavitvi:
Accept RA from= WAN
Bi moral verjetno označiti še za lan.
Preko ssh dostop dela, tako da bi tam nekako moral spremeniti konfiguracijo.
tomato-K26-1.28.RT-MIPSR1-131-MiniIPv6.trx
(zadnji fw)
Ko sem vklopil ipv6 native ipv6 from isp/ dhcpv6 with prefix delegation, je ipv6 začel delati http://ipv6-test.com/ http://test-ipv6.com/ , vendar sedaj preko web gui ne morem priti več v nastavitve routerja 192.168.1.1 (The connection was reset).
sumim da je fail v tej nastavitvi:
Accept RA from= WAN
Bi moral verjetno označiti še za lan.
Preko ssh dostop dela, tako da bi tam nekako moral spremeniti konfiguracijo.
Zgodovina sprememb…
- spremenilo: AC_DC ()
SeMiNeSanja ::
Splošno gledano, nastavitve za IPv6 nebi smele vplivati na dostop preko IPv4.
Ali se je morda z vključitvijo IPv6 samodejno spremenil IP naslov za web vmesnik, tako da je zdaj dostopen samo še preko IPv6? Preveri, če imaš kje kakšno nastavitev, na kateri IP/port naj se ti oglaša web vmesnik in če se je tam kaj spremenilo.
Ali se je morda z vključitvijo IPv6 samodejno spremenil IP naslov za web vmesnik, tako da je zdaj dostopen samo še preko IPv6? Preveri, če imaš kje kakšno nastavitev, na kateri IP/port naj se ti oglaša web vmesnik in če se je tam kaj spremenilo.
AC_DC ::
Do gui sem sedaj prišel nazaj z grdo metodo
putty ssh login:
Imho je problem emšo in zmogljivosti (4/16 flash/ram) mb & 200 mhz cpu, kajti kot gledam CPU Load (1/5/15 mins) so številke visoke (s tem da so vsi interni router logi na off), potem ko vklopim ipv6 (ssh login zahteva dosti manj cpu moči kot preko gui).
putty ssh login:
nvram set ipv6_accept_ra=1
nvram set ipv6_accept_ra_wan=1
nvram set ipv6_accept_ra_lan=1
nvram commit
reboot
Imho je problem emšo in zmogljivosti (4/16 flash/ram) mb & 200 mhz cpu, kajti kot gledam CPU Load (1/5/15 mins) so številke visoke (s tem da so vsi interni router logi na off), potem ko vklopim ipv6 (ssh login zahteva dosti manj cpu moči kot preko gui).
Zgodovina sprememb…
- spremenilo: AC_DC ()
AC_DC ::
Tomato shibby 1.31 ima kot kaže nek hud bug ko vklopiš ip v6.
Sedaj sem namestil tomato toastman [ tomato-WRT54G_WRT54GL-1.28.7636Toastman-IPT-ND-MiniIPv6.bin 3.2 mb 11-05-2014 ] in dela iz prve vse.
Sedaj sem namestil tomato toastman [ tomato-WRT54G_WRT54GL-1.28.7636Toastman-IPT-ND-MiniIPv6.bin 3.2 mb 11-05-2014 ] in dela iz prve vse.
http://www.4shared.com/dir/v1BuINP3/Toastman_Builds.html#dir=3aeoKSuX
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Kako "prevladati" z svojim WIFI omrežjem čez sosedove? (strani: 1 2 )Oddelek: Omrežja in internet | 10305 (7832) | djabi |
» | 2 routerja, težava s QoSOddelek: Pomoč in nasveti | 1480 (1301) | Vaseer |
» | Tomato Firmware 1.21 v slovenskem jezikuOddelek: Omrežja in internet | 8350 (3446) | Veron |
» | Naslovi IPv4 bodo pošli prihodnje leto (strani: 1 2 )Oddelek: Novice / Ostale najave | 9689 (7373) | Bakunin |
» | Internet + IPTV preko WLAN omrežjaOddelek: Omrežja in internet | 23001 (13828) | umexteacher |