Prosíme přihlašte se nebo zaregistrujte.

Přihlašte se svým uživatelským jménem a heslem.
Vaše pomoc je stále potřeba!

Autor Téma: iptables - filtrovani vstupnich paketu [vyřešeno]  (Přečteno 12638 krát)

Kreny

  • Návštěvník
  • Příspěvků: 39
iptables - filtrovani vstupnich paketu [vyřešeno]
« kdy: 24 Října 2008, 18:17:14 »
Zdravim, damy a panove,

mam problem:
Doma mam lokalni sit, o kterou se mi stara AP . na WAN portu je pevna IP, na LAN a WIFI pak klasicke 192.168.1.xxx
Vsechno bylo OK, az na vcerejsek.
Vcera jsme v ramci pokroku presli na televizi/telefon pres internet a nas provider to vyresil tak, ze donesl 5-ti portovy switch za 170 korun a nastrkal do neho dve televize a telefon (celkem 3 porty), jejich internet (4. port) a zbyl mi jen jeden port. Ten jsem spojil s WAN portem meho AP, v ifconfigu jsem memu AP rekl, ze na WAN ma pripojeny 100Mbit FullDuplex (protoze se to nejak detekovalo jako 10mbit a cele to pak jelo desitkou) a byl jsem spokojeny, ze sve jede.

Problem ale je, ze kdyz se zapnou obe televize, tak jejich switch tupe posila na ostatni 4 porty veskerou komunikaci a me to nejak zahlti moje AP a temer se nedostanu na Internet. Muzete mi prosim nekdo poradit, jak mam pomoci iptables (nebo cehokoli jineho:) rict memu AP, at ignoruje vsechno krom paketu smerujicich na IP toho AP? (ja poctive googlil a uz mi z toho jde hlava kolem a nic nenachazim)

Nebo jeste jinak, v cem jinem by mohl byt problem, pokud by se to nevyresilo filtrem v iptables ?

Dekuji za pomoc
« Poslední změna: 27 Října 2008, 17:46:34 od Petr Merlin Vaněček »

8472

  • Aktivní člen
  • *
  • Příspěvků: 460
  • Zivot je ako rebrik do kurina, kratky a osraty ...
Re: iptables - filtrovani vstupnich paketu
« Odpověď #1 kdy: 24 Října 2008, 20:17:44 »
hm,

1. mas nejaku moznost konfigurovat ten switch co si dostal? napr. cez web management a pod., ci tam nie je nejaka moznost vypnut prijem z ostatnych portov. kazdopadne sa mi to podla toho co pises zda skor ako hub, a nie switch.

2. prip. ako to zastavit pomocou iptables? vies nejako identifikovat komunikaciu z ostatnych zariadeni? ci uz maju nejaku IPcku, MAC adresu a pod.? to by sa potom dalo blokovat priamo na tom AP WAN vstupe - ak ti to samozrejme AP umozni.
Logic clearly dictates that the needs of the many outweigh the needs of the few.

Kreny

  • Návštěvník
  • Příspěvků: 39
Re: iptables - filtrovani vstupnich paketu
« Odpověď #2 kdy: 25 Října 2008, 09:50:12 »
Ahoj,
diky za rychlou odpoved.
AD1, Ten jejich "switch" je samozrejme jen hub, hloupa krabice, co posila vsechno na vsechny bez moznosti volby.
AD2, Presne tohle potrebuji. Z toho hubu vedou draty na settop boxy, ktere maji svou vlastni IP a taky na muj AP, ktery ma svoji IP. Takze bych potreboval pomoc s tim, co mam napsat (pravdepodobne) do iptables, aby na WAN portu AP zahazovalo vse, krom paketu urcenych primo pro IP toho AP.

Petr Merlin Vaněček

  • Moderátor
  • Závislák
  • ***
  • Příspěvků: 5057
    • Lomítkáři
Re: iptables - filtrovani vstupnich paketu
« Odpověď #3 kdy: 25 Října 2008, 16:43:45 »
Vůbec se nemusím jednat o HUB, ale klidně o switch, jen je TV šířena jako stream nad multicastem na 224.0.0.1 - tím pádem by router měl takovou komunikaci poslat všem multicastovým strojům, o což se docela klidně může snažit. V iptables prostě na AP jednoduše udělejte
Kód: [Vybrat]
iptables -A INPUT -p ALL -d 224.0.0.1 -j DROP

Nicméně se trochu bojím, že pokud nezvládá AP jako takové, tak problém bude přetrvávat. Pokud jde jen o zahlcení bezdrátové části, tak by to mělo pomoci.
Stiskni CTRL + W ...
80% mozku tvoří kapalina ... u některých brzdová

Kreny

  • Návštěvník
  • Příspěvků: 39
Re: iptables - filtrovani vstupnich paketu
« Odpověď #4 kdy: 25 Října 2008, 18:49:26 »
Ja to trochu upresnim. Opravdu se jedna o switch, je to konkretne typ "LevelOne 5 Port Switch". Ty settop boxy maji kazdy svou vlastni IP.
Kdyz je pustim, muj tcpdump na AP vidi tohle (samozrejme se to opakuje porad dokola):

00:03:48.264700 IP 172.20.0.222.49152 > 239.0.0.1.5000: UDP, length 1316
00:03:48.265088 IP 172.20.0.222.49152 > 239.0.0.4.5000: UDP, length 1316

Muzete mi prosim Vas priklad aplikovat na tohle ? Ja to zkousel a nepomohlo mi to, za provozu televizi se nedostanu ani na AP, natoz dale do internetu.

V pripade, ze budu muset jejich uber switch vymenit za nejaky chytrejsi, jaky byste mi doporucili ? A nebude se situace opakovat ? Nezahltli to prozmenu ten switch ? A jak se to vlastne potom resi ?

Diky za odpoved

Petr Merlin Vaněček

  • Moderátor
  • Závislák
  • ***
  • Příspěvků: 5057
    • Lomítkáři
Re: iptables - filtrovani vstupnich paketu
« Odpověď #5 kdy: 25 Října 2008, 19:07:28 »
Je to úplně jedno, co tam dáte za switch. Bude fungovat naprosto identicky. LeveOne produkty jsou vcelku dobré a funkční řešení.

Předpokládám, že 172.20.0.222 je IP jednoho sboxu?

Kód: [Vybrat]
iptables -A INPUT -p ALL -s 172.20.0.222 -j DROP

možná by bylo vhodné přidat i druhý směr
Kód: [Vybrat]
iptables -A INPUT -p ALL -d 172.20.0.222 -j DROP
Stiskni CTRL + W ...
80% mozku tvoří kapalina ... u některých brzdová

8472

  • Aktivní člen
  • *
  • Příspěvků: 460
  • Zivot je ako rebrik do kurina, kratky a osraty ...
Re: iptables - filtrovani vstupnich paketu
« Odpověď #6 kdy: 25 Října 2008, 19:14:48 »
Vůbec se nemusím jednat o HUB, ale klidně o switch, jen je TV šířena jako stream nad multicastem na 224.0.0.1 - tím pádem by router měl takovou komunikaci poslat všem multicastovým strojům, o což se docela klidně může snažit.
isteze, ja som nepisal ze to je hub, ale ze mi to podla sposobu komunikacie pripominalo skor hub.
a co sa tyka toho TV streamu, tak zatial som sa s takymi vecami nehral, preto som netusil ze to lieta cez multicast.


Citace
Ja to trochu upresnim. Opravdu se jedna o switch, je to konkretne typ "LevelOne 5 Port Switch". Ty settop boxy maji kazdy svou vlastni IP.
Kdyz je pustim, muj tcpdump na AP vidi tohle (samozrejme se to opakuje porad dokola):

00:03:48.264700 IP 172.20.0.222.49152 > 239.0.0.1.5000: UDP, length 1316
00:03:48.265088 IP 172.20.0.222.49152 > 239.0.0.4.5000: UDP, length 1316

Muzete mi prosim Vas priklad aplikovat na tohle ? Ja to zkousel a nepomohlo mi to, za provozu televizi se nedostanu ani na AP, natoz dale do internetu.
tak podla tejto komunikacie by som do AP natlacil asi nasledovne:
Kód: [Vybrat]
iptables -A INPUT -p udp -d 172.20.0.222 -j DROP
hm, ako vidim si ma predbehol, neva :)

este ma napadlo ze by sa mohla pridat aj varianta s bloknutim podla MAC adresy
si cez arp -a zisti MAC adresy ostatnych zariadeni
a ich potom uz len jednoducho pridaj do pravidla:
iptables -A INPUT -p udp -m mac --mac-source {MAC adresu} -j DROP
Logic clearly dictates that the needs of the many outweigh the needs of the few.

Petr Merlin Vaněček

  • Moderátor
  • Závislák
  • ***
  • Příspěvků: 5057
    • Lomítkáři
Re: iptables - filtrovani vstupnich paketu
« Odpověď #7 kdy: 25 Října 2008, 19:28:03 »
Já mám jen trochu strach, že problém bude v přetěžování vlastního CPU té krabičky a -j DROP packet stejně zpracuje a zařadí. Takže mám trochu strach, že to to AP prostě nezvládá.
Stiskni CTRL + W ...
80% mozku tvoří kapalina ... u některých brzdová

Kreny

  • Návštěvník
  • Příspěvků: 39
Re: iptables - filtrovani vstupnich paketu
« Odpověď #8 kdy: 25 Října 2008, 20:22:22 »
Hezky vecer,

ohledne IP settopboxu, tak podle me to budou takto :

00:03:48.264700 IP 172.20.0.222.49152 > 239.0.0.1.5000: UDP, length 1316
00:03:48.265088 IP 172.20.0.222.49152 > 239.0.0.4.5000: UDP, length 1316

tucne by mely byt sboxy a kurzivou by mel byt nejaky jejich server, ktery mi posilala digitalni televizi.
tcpump jsem provedl na WAN portu meho AP, takze podle me switch posila jeden stream na 239.0.0.1 a druhy na 239.0.0.4 ... ale posila to na vsechny porty, takze me to zatezuje AP (jedna se o Asus WL500G DeLuxe s OpenWRT vevnitr).

Strojovy cas nutny pro zahozeni paketu pres iptables a nebo pro vyhodnoceni, zda je na LAN pripojena tato IP je asi podobny, co ? :(
Da se s tim neco delat? Slo by treba poridit si nejaky programovatelny switch a rict mu, ze na portu x ma poustet pouze pakety pro x, na y pro y a podobne ? Nebude mit zase problem ten switch to zvladnout ? (bavime se o lidovych switchich, ne o nejake masine za x desitek tisic:)

Dekuji za odpoved a dekuju za reakce a pomoc

Petr Merlin Vaněček

  • Moderátor
  • Závislák
  • ***
  • Příspěvků: 5057
    • Lomítkáři
Re: iptables - filtrovani vstupnich paketu
« Odpověď #9 kdy: 25 Října 2008, 20:33:06 »
Obávám se, že switch toto nezvládne. Rozhodně ne lidový :)
Upravte IP dle potřeby v těch příkazech a vyzkoušejte - za to nic nedáte.

WL500G je dobrý kus železa, ale CPU vevnitř je přeci jen hodně slaboučké - mám dojem je tam Broadcom BCM470 někde kolem 250MHz, ne? Bohužel mám zkušenosti, že ani mikrotik na tom není o moc lépe.
Stiskni CTRL + W ...
80% mozku tvoří kapalina ... u některých brzdová

Kreny

  • Návštěvník
  • Příspěvků: 39
Re: iptables - filtrovani vstupnich paketu
« Odpověď #10 kdy: 25 Října 2008, 22:23:10 »
zadal jsem do AP :

iptables -A INPUT -p udp -d 172.20.0.222 -j DROP

a bohuzel vysledek je stejny. Zde prikladam par radek z top, kdyz jedou obe televize

Mem: 8400K used, 22116K free, 0K shrd, 844K buff, 2584K cached
Load average: 0.07, 0.05, 0.01    (State: S=sleeping R=running, W=waiting)

  PID USER     STATUS   RSS  PPID %CPU %MEM COMMAND

  566 root     R        400   563  1.3  1.3 top
  562 root     S        588   517  0.7  1.9 dropbear
     3 root     RWN        0     1  0.3  0.0 ksoftirqd_CPU0
  563 root     S        440   562  0.0  1.4 ash

--> dle toho to (podle me) nevypada, ze by nestihalo CPU meho AP. Nemuze to byt velke sousto pro sitovku ? Jako ze sitovka ktera se stara o WAN neni schopna pojmout tolik komunikace ? Dalo by se ji nejak pomoci urcitym nastavenim ? V tomhle se nevyznam, tak se asi ptam hloupe :)

Petr Merlin Vaněček

  • Moderátor
  • Závislák
  • ***
  • Příspěvků: 5057
    • Lomítkáři
Re: iptables - filtrovani vstupnich paketu
« Odpověď #11 kdy: 26 Října 2008, 08:35:21 »
grrr ... to přeci není možné :D

Kód: [Vybrat]
sudo iptables -A INPUT -s 224.0.0.0/8 -j DROP
sudo iptables -A FORWARD -d 224.0.0.0/8 -j DROP
sudo iptables -A FORWARD -s 224.0.0.0/8 -j DROP
sudo iptables -A OUTPUT -d 224.0.0.0/8 -j DROP

sudo iptables -A INPUT -s 239.0.0.0/8 -j DROP
sudo iptables -A FORWARD -d 239.0.0.0/8 -j DROP
sudo iptables -A FORWARD -s 239.0.0.0/8 -j DROP
sudo iptables -A OUTPUT -d 239.0.0.0/8 -j DROP
Stiskni CTRL + W ...
80% mozku tvoří kapalina ... u některých brzdová

8472

  • Aktivní člen
  • *
  • Příspěvků: 460
  • Zivot je ako rebrik do kurina, kratky a osraty ...
Re: iptables - filtrovani vstupnich paketu
« Odpověď #12 kdy: 26 Října 2008, 10:38:40 »
to je fakt divne.
co tak namiesto blokovania roznych zdrojov bloknut rovno vsetko co ide na AP:
Kód: [Vybrat]
iptables -P INPUT DROP
iptables -A INPUT -s 127.0.0.1 -i lo -m state --state NEW -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Logic clearly dictates that the needs of the many outweigh the needs of the few.

Kreny

  • Návštěvník
  • Příspěvků: 39
Re: iptables - filtrovani vstupnich paketu
« Odpověď #13 kdy: 26 Října 2008, 10:57:04 »
ja jsem na AP sshcknutej jako root, ale i tak mi to moc nepomohlo, asi mi to nezvlada APecko :(
V tom pripade jake navrhujete nejschudnejsi reseni ? (a omlouvam se, ze s tim porad otravuju:)

Kreny

  • Návštěvník
  • Příspěvků: 39
Re: iptables - filtrovani vstupnich paketu
« Odpověď #14 kdy: 26 Října 2008, 11:02:03 »
Jeste jedna vec mi prisla na mysl. Nevim, jaky datovy tok ma televize pres internet. Dejme tomu, ze maximalne 10mbit/s . To prece neni mozne, aby AP nezvladlo vyhodnotit 10mbit/s informaci ? Internet mam sam o sobe 25 mbit a kdyz jsou televize vypnute, tak to sviha jak ma ... a kdyz jede televize, tak ani nenactu www stranku. Nemohl by byt pes zakopan uplne nekde jinde ?

Petr Merlin Vaněček

  • Moderátor
  • Závislák
  • ***
  • Příspěvků: 5057
    • Lomítkáři
Re: iptables - filtrovani vstupnich paketu
« Odpověď #15 kdy: 26 Října 2008, 11:05:07 »
Kreny: jo, sorry, to je deformace :D
8472: nápad dobrý, ale s tímhle trochu bacha - řekl bych, že se na to AP chce alespoň z vnitřku ještě někdy dostat :)

takže bych to minimálně trochu upravil:
Kód: [Vybrat]
iptables -P INPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Ještě dodám, že by asi bylo fajn dát si to do nějakého .sh scriptu, aby nedošlo ke vtipu, že se po prvním řádku odříznete od AP :)

místo eth0 samosebou dejte název rozhraní na kterém je vnitřní rozsah - mám pocit, že openwrt to nějak bridguje, tak fakt nevím.

ad. předchozí příspěvek - problém je, že multicast jsou miliardy maličkých UDP paketů, protože je snaha, aby případná ztráta paketu měla co nejmenší dopad na výsledný obraz/zvuk. Narozdíl od TCP se nevyžaduje ověření přijetí paketu (a z toho plynoucí snížení rychlosti vysílání protistrany atp. - viz. specifikace TCP a UDP). Proto se UDP provoz špatně tvaruje a dělá ISP problémy, protože jediné, co může udělat je pakety zahazovat tak, aby rychlost přenosu odpovídala tomu, co garantuje, ale bohužel nesníží vytíženost vlastních spojů, protože UDP prostě "teče co to dá". Takže u vašeho AP není problém v rychlosti přenosu dat, ale v množství paketů přenesených.
« Poslední změna: 26 Října 2008, 11:34:25 od Petr Merlin Vaněček »
Stiskni CTRL + W ...
80% mozku tvoří kapalina ... u některých brzdová

kkaarreell

  • Stálý člen
  • **
  • Příspěvků: 1072
Re: iptables - filtrovani vstupnich paketu
« Odpověď #16 kdy: 26 Října 2008, 13:29:58 »
Prijde mi, ze jakekoliv zahazovani paketu tvuj problem nevyresi. Uzkym hrdlem je evidentne ta cast site mezi televizema, internetem a tvym AP. Pakety muzes zahazovat jak chces (a mozna to ten AP dela uz ted, jelikoz proc by je posilal do jine site, ze?), nicmene dokud budou ty televize zahlcovat prenosove pasmo, tak tam moc jinych paketu neprocpes. Ja byt tebou, tak se obratim na toho providera, co vam takove skvele reseni nabidnul.

Petr Merlin Vaněček

  • Moderátor
  • Závislák
  • ***
  • Příspěvků: 5057
    • Lomítkáři
Re: iptables - filtrovani vstupnich paketu
« Odpověď #17 kdy: 26 Října 2008, 13:39:17 »
kkaarreell: prosím, přečtěte si první příspěvek, kde je popsáno, kterak jsou všechna zařízení propojena - 10/100 switchem, úzké hrdlo dozajista tento switch nebude (samosebou pokud není umřetý, což nepředpokládám). Tuším, že hrdlem nebude ani Internet, neb to by bezproblémově nefungovaly televize. Než začnete osočovat providera, podívejte se prosím na řešení ostatních providerů poskytujících zároveň TV - mimo jiné i o2 - kterak mají toto řešené. Zjistíte, že naprosto identicky (jen u o2 je místo switche externího switch integrovaný v routeru). Pokud máte jiné řešení, kterak na jednom UTP kabelu (omezme se na 4 žíly) poslat pomocí klasického protokolu IP TV/radio/VoIP a oddělit je na straně zákazníka dříve, podělte se prosím o tuto zkušenost. Jsem si jist, že za nějaké jiné řešení Vám ISP utrhají ruce (a já budu v čele), protože síť je multicastem opravdu vytěžována a řešení bývá problematické.

Kreny: Nicméně jednu myšlenku opravdu předchozí příspěvek přinesl - zkuste místo AP připojit do switche přímo libovolný PC a nastavit jej tak, jako by to bylo AP (tj. nastavit IP adresu, případně jen klonovat MAC, pokud získáváte IP od ISP ze serveru DHCP).
Stiskni CTRL + W ...
80% mozku tvoří kapalina ... u některých brzdová

8472

  • Aktivní člen
  • *
  • Příspěvků: 460
  • Zivot je ako rebrik do kurina, kratky a osraty ...
Re: iptables - filtrovani vstupnich paketu
« Odpověď #18 kdy: 26 Října 2008, 15:07:29 »
8472: nápad dobrý, ale s tímhle trochu bacha - řekl bych, že se na to AP chce alespoň z vnitřku ještě někdy dostat :)
samozrejme, som to bral akosi automaticky, a zabudol napisat upozornenie k tomuto moznemu problemu, aby si absolutne neodfajcil pristup k AP.
kazdopadne, experimentovat s tym moze, ak prida do crontabu ulohu aby sa mu napr. po pol hodine zrusili iptables nastavenia - prikazmi:
Kód: [Vybrat]
iptables -F && iptables -X
je to dobra "zaloha" pre pripad ze by si fakt odfajcil ten pristup k AP
Logic clearly dictates that the needs of the many outweigh the needs of the few.

kkaarreell

  • Stálý člen
  • **
  • Příspěvků: 1072
Re: iptables - filtrovani vstupnich paketu
« Odpověď #19 kdy: 26 Října 2008, 22:38:04 »
Petr Merlin Vaněček:
No, tak to zkusim jeste jednou. Pochopil jsem, ze sit vypada nasledovne:
Kód: [Vybrat]
                 |---- TV1
                 |
internet-------------- TV2
                 |____ telefon     
                 |
                 |------ AP --> LAN (s WiFi)

Chcete rict, ze ty multicast pakety putuji i do jeho LAN site (skrz AP)?

Pokud ano, tak to mi prijde opravdu divne (dle meho nazoru by se to tak chovat nemelo) a v tom pripade jsem neco nepochopil.

Pokud ne, tak jakekoliv nastavovani zahazovani paketu na AP nema smysl, jelikoz to jiz AP davno dela (proste ty pakety dal do LAN neposila).
A pak je otazkou, proc se pakety z LAN nedostanou ven (a naopak). A napada me jedine vysvetleni a to, ze to proste nestihaji, jelikoz je sit na druhe strane zahlcena (treba i kvuli umretemu switchi).

Btw, ja bych nezkousel zapojovat pc misto AP, ale naopak bych vrazil jedno PC misto jedne televize a zkousel pri zapnute telce rychlost komunikace PC<->LAN (pres AP), PC<->internet a LAN (pres AP)<->internet.

A co se tyce osocovani providera, tak oni casto naslibuji hory doly. Nebyl by to prvni pripad, kdy sluzba nedosahuje slibenych parametru. A co se poptat u sousedu, jak jsou na tom oni?
« Poslední změna: 26 Října 2008, 22:58:20 od kkaarreell »

Kreny

  • Návštěvník
  • Příspěvků: 39
Re: iptables - filtrovani vstupnich paketu
« Odpověď #20 kdy: 27 Října 2008, 06:28:37 »
Dobry rano,
sit vypada presne tak, jak kkaarreell "nakreslil".
Vcera jsem zkousel misto AP pripojit PC s pevnou IP, zapnout obe televize a internet bezel jak mel (plnou rychlosti, takze ten switch zvladne utahnout dve telky s internetem).
Az se dnes vratim z prace, tak zkusim dat misto telefonu PC a zjistit, jak rychle mi to jede PC#1 --> AP --> PC#2 pri zapnutych televizich, ale obavam se, ze se ani nepingnu.

Ohledne myslenky, kterou psal Petr Merlin Vanecek (miliarda paketu), ma cenu zkusit vygenerovat traffic na vnitrni siti nebo pri propojeni PC#1 --> AP --> PC#2 a pak to same zkusit s pouzitim jineho AP (samozrejme lidoveho, muzu mit jedno AP od Linksysu) ? Mam na mysli to, jestli AP v cenovych relacich kolem 1500 se mohou lisit tak vyrazne, ze treba Linksys to zvladne levou zadni ?  Pokud to cenu ma, tak mohl byste nekdo napsat skriptik, jak toho dosahnout (posilat UDP pakety porad dokola) ?

Jinak provider se divil, ze si nekdo dovolil mit doma lokalni sit a na internet pristupovat pres AP. Tuhle sluzbu ted zavadeji a nemaji s tim zkusenosti, takze se vlastne ani nemam kde poptat :)

Vsem moc dekuji za stavajici a budouci reakce

Petr Merlin Vaněček

  • Moderátor
  • Závislák
  • ***
  • Příspěvků: 5057
    • Lomítkáři
Re: iptables - filtrovani vstupnich paketu
« Odpověď #21 kdy: 27 Října 2008, 07:44:07 »
Petr Merlin Vaněček:
No, tak to zkusim jeste jednou. Pochopil jsem, ze sit vypada nasledovne:
Kód: [Vybrat]
                 |---- TV1
                 |
internet-------------- TV2
                 |____ telefon    
                 |
                 |------ AP --> LAN (s WiFi)

Chcete rict, ze ty multicast pakety putuji i do jeho LAN site (skrz AP)?
Pokud ano, tak to mi prijde opravdu divne (dle meho nazoru by se to tak chovat nemelo) a v tom pripade jsem neco nepochopil.


Ale kdepak - multicast packety se do LAN sítě vůbec nedostanou, problém je řekněme zjednodušeně na WAN portu AP. Prostě to nezvládá.

Switch i vše ostatní bude ok (což potvrdil test s připojeným PC místo AP), jen to AP bohužel nedokáže na portu zpracovat tak velký počet UDP paketů (proč jsou tam a ne jen na portech s TV je snad jasné - pokud ne, přečtěte si pár věcí ohledně UDP provozu a multicastu).
Stiskni CTRL + W ...
80% mozku tvoří kapalina ... u některých brzdová

kkaarreell

  • Stálý člen
  • **
  • Příspěvků: 1072
Re: iptables - filtrovani vstupnich paketu
« Odpověď #22 kdy: 27 Října 2008, 10:03:32 »
ano, souhlasim, nyni je evidentni, ze nezvlada AP. a stejne tak je evidentni, ze jakekoliv zahazovani paketu na AP nic neresi a je treba vykonejsi AP.

Kreny

  • Návštěvník
  • Příspěvků: 39
Re: iptables - filtrovani vstupnich paketu
« Odpověď #23 kdy: 27 Října 2008, 10:21:01 »
Moje stavajici AP je ASUS WL500G DeLuxe. Muzete mi prosim poradit neco vykonnejsiho ? Nebo nesel by nahradit switch providera nejakym routerem, kteremu bych rekl, aby na port, na kterem je AP, nic takoveho neposilal ? Nezahti to prozmenu ten router ?Z prace si muzu pujcit Linksys WRT45GL ,ale to asi bude vykonove velice podobne :(

Petr Merlin Vaněček

  • Moderátor
  • Závislák
  • ***
  • Příspěvků: 5057
    • Lomítkáři
Re: iptables - filtrovani vstupnich paketu
« Odpověď #24 kdy: 27 Října 2008, 10:31:19 »
Tuším, že nebude problém přímo s výkonem WL500G, ale nastavením iptables na dané iface. Pošlete sem prosím výpis
Kód: [Vybrat]
iptables -L
iptables -t nat -L

Možná tam bude nějaký burst kvůli ochraně před DoS. Teoreticky by se dal vypnout. Myslím, že pokud použijete originální FW, nebo jiný router, vše pojede. Ale je to jen odhad.
Stiskni CTRL + W ...
80% mozku tvoří kapalina ... u některých brzdová

 

Provoz zaštiťuje spolek OpenAlt.