Přidat otázku mezi oblíbenéZasílat nové odpovědi e-mailemVyřešeno Asus WL500g Firewall nastavení

Ahoj!
Nedari sem mi nastavit u tohoto HW FW tak abych omezil provoz z LAN to WAN. Napr. Jak mam nastavit FW pro konkretni PC v LAN kdyz chci omezit provoz DC++ na konkretni (jeden) port a na nej aplikovat Bandwidth Management. Snad jsem to napsal srozumitelne a neni to uplny nesmysl. :)Prosim jen o prakticke zkusenosti. Dle manualu se to jevi jednoduse. Delam nejakou banalni chybu ovsem nevim jakou. Mockrate diky. M.

Předmět Autor Datum
Předně - jaký firmware používáš a jakou verzi? Jinak obecně se to řeší tak, že do pravidel se dává…
touchwood 06.05.2006 12:07
touchwood
O.T.: DirectConnect je krasnej priklad toho, proc jsem v jinym threadu rikal, ze by firewall nebo ba…
Ynd0r 06.05.2006 13:08
Ynd0r
pro linuxy existuje firewallový modul, který je schopen analyzovat pakety podle jejich obsahu, resp.…
touchwood 06.05.2006 17:23
touchwood
Jo, to je sikovna vec.
Ynd0r 06.05.2006 19:37
Ynd0r
Mimochodem - lze to vše postavit úplně obráceně: veškerý traffic shapovat na low (např. 5kB/s) a "uz…
touchwood 06.05.2006 17:25
touchwood
Na tom něco bude! :i::-)
anarchist 06.05.2006 19:24
anarchist
Jojo to jo, ale tim se problem jenom presune na druhou stranu... Co streamovana televize a radio - k…
Ynd0r 06.05.2006 19:36
Ynd0r
1. v tomto výše zmiňovaném případě se hraje (až na výjimky) jen na porty. 2. multicast je v pohodě…
touchwood 06.05.2006 22:08
touchwood
Kazdy program pro prijem p2p televize prece posila data nahodnym peerum na jejich porty, ktere nemuz…
Ynd0r 07.05.2006 09:40
Ynd0r
nevím, pojem "P2P televize" neznám. :-(
touchwood 07.05.2006 11:38
touchwood
Já do dneška taky ne. web1 http://www.shareforum.net/modules.php?name=News&fil e=article&sid=54
host 07.05.2006 11:48
host
http://james.seng.sg/archives/2005/09/30/peer_to_pe er_tv.html http://www.football4less.com/streams/…
Ynd0r 07.05.2006 11:58
Ynd0r
no jo, jenže jaký je pak rozdíl mezi sosačem warezu na DC++ a "sosačem" P2PTV? Já žádný technický ro…
touchwood 07.05.2006 12:02
touchwood
Kdo si chce precist skvelej text na toto tema primo od zasvecenych: http://www.cs.sfu.ca/~jcliu/Pape…
Ynd0r 08.05.2006 09:36
Ynd0r
tohle jde udělat dobře na jednom PC, možná na dvou, třech. Ale zkus to nastavovat na 100 PC nebo (je…
touchwood 08.05.2006 19:15
touchwood
100% souhlas poslední
Ynd0r 08.05.2006 19:38
Ynd0r
clanek.php P.S. Jen si nenastav jako já pro celou síť 30kbps na download. Já si myslel, že je to v…
anarchist 06.05.2006 12:13
anarchist
Diky vsem. M
Vincent 06.05.2006 13:29
Vincent
A ja jen doplnim uzitecnou adresu s priklady nastaveni port forwardingu pro spoustu ruznych routeru…
Jan Fiala 07.05.2006 11:05
Jan Fiala

Předně - jaký firmware používáš a jakou verzi?

Jinak obecně se to řeší tak, že do pravidel se dává jen (typicky) cílový port a zdrojová adresa.

Vtip nicméně asi bude v tom, že DC++ se takto jednoduše omezovat nedá. Jediný port, který je na "fest" (i když i ten je možné změnit, nicméně to pak musí být dáno na vědomí všem klientům) je port serveru, ale tam je traffic minimální, sosání se děje úplně jinde, a to na rozličných TCP portech (podle toho, jak si je ten-který klient nastaví). Doporučuji si projít specifikaci DC++ protokolu.
Ještě zde stojí otázka, zda svým klientům forwarduješ porty aby mohli být aktivní, pak by šlo řezat tyto porty, alespoň ve směru od tebe.

Ale obecně bych šel klasickou cestou - tj. nadefinovat každému PC maximální a minimální šířku pásma ven i dovnitř přes všechny porty (což řeší např. wondershaper u Olegova FW, a mám pocit, že jej od Olega převzali i Asusáci)

Mimochodem - lze to vše postavit úplně obráceně: veškerý traffic shapovat na low (např. 5kB/s) a "uznané" protokoly (HTTP, HTTPS, POP3, SMTP, FTP apod.) postavit jako "top", tj. povolit jim např. 90% pásma.

1. v tomto výše zmiňovaném případě se hraje (až na výjimky) jen na porty.

2. multicast je v pohodě (viz definice). multicast-addresses

3. zbytek (pokud bude vůbec nějaký, a nebude "zastřešen" v http) nebude IMHO problém "dotvořit" - to si ale nejsem jistý, neboť tyhle věci aktivně neprovozuju.

Kdo si chce precist skvelej text na toto tema primo od zasvecenych:
http://www.cs.sfu.ca/~jcliu/Papers/CoolStreaming.pd f

Co se tyce toho offtopicu, co jsem tady zas rozjel - rekl bych, ze p2ptv je opravdu k jitteru celkem tolerantni, byl to asi trochu vystrel od boku, tohle me fakt zrovna nepali.
Ale obecne k tem pravidlum pro aplikace vs. pouze pro porty/adresy:
Dobre, uznavam, ze ve vetsine pripadu to jde nejak krkolome obejit. Ale proc ma clovek proboha pro kazdy software porovnavat vypis netstat, nebo spis nejakym dalsim softwarem zjistovat, ktere porty otevira, kam se pripojuje, kolik tudy tece atd., kdyz to muze pocitac mnohem snadneji udelat za nej? Neni mnohem jednodussi rict: "Skype, EyeBeam a Radioplayer at maji minimalni ping a vzdycky garantovanych 150kbps, vsechno ostatni at ma prednost pred uTorrentem a StrongDC, tem povol max. 2Mbps a celkove max. 10GB tydne" - a je to? Stejne ten firewall nebo shapovaci program neudela nic jineho, nez ze pro nove otevrena spojeni zjisti puvodce a podle toho aplikuje na prislusne adresy/porty stejna pravidla, jako kdybych je psal rucne. A nemusi se ani zdrzovat nejakou analyzou paketu. Vsechno to samozrejme plati jen pro traffic z jednoho pc. Ale nezlobte se na me, kdyz to nejaky firewall nebo shapovaci program neumi, bud neni myslen na workstation, nebo ho tvurci odflakli a asi by ho sami ani nepouzivali..

tohle jde udělat dobře na jednom PC, možná na dvou, třech. Ale zkus to nastavovat na 100 PC nebo (ještě hůř) na PC, které ti nepatří...

Problém je v tom, že aplikační firewalling a shaping se dá dělat jen "ad-hoc" na konkrétní stanici a veškerá globální správa je v tomto případě velmi složitá a neúčinná. Jednoduše řečeno, jedná se o komplement, nikoliv substitut.

Zpět do poradny Odpovědět na původní otázku Nahoru