| Author |
Message
|
scaner
Poziom 15
Joined: 28 Sep 2004
Posts: 239
Location: "-"
|
 #1
 08 May 2006 12:03 IPCOP rozwiązujemy problemy... |
|
|
|
Witam - temat może dość przewrotny ale to raczej ja potrzebuję pomocy.
Na początek troszeczkę historii. Od paru miesięcy jesteśmy szczęśliwymi posiadaczami DSL`a 500. Na początku było nas 4ech potem ( no jak to bywa) dołączyli się i pozostali sąsiedzi. Teraz jest nas 11stu. Najpierw łącze dzielił ruter DL604 ( wieszał się i w końcu padł- w sieci były takie 3 i wszystkie padly). Potem zakupiłem Edimax BR-6524k. No ten to miał parę "bajerów" ale im więcej mu zapodałem do roboty (włączyłem trochę filtrów podział łącza, QoS...) tym wolniej chodził ! Już bliski byłem podniesienia do DSL1000 ale ... ALE wpadł mi w ręce Chip chyba maj2005 a w nim opis rutera na PC co się nazywa IPCOP. No miodzio. wszyscy myśleli, że juz mamy DSL1000 ! cała sieć nabrała nowego ducha! Zachęcony powodzeniem postanowiłem dodać mojemu IPCOP trochę nowych opcji ( bo są dostępne moduły) ale ... niestety w TYM MIEJSCU zaczęły się"schody"!!!! i tu proszę o pomoc. W którymspoście na tutejszym forum przeczytałem: żeby odciąć p2p nalezy zastosowac filtrowanie warstwy aplikacji protokolu IP......jesli masz sprzet lepszy (tak na oko to od P I 166MHz , 32 ram HDD 1G) to zastosuj IPCop firewall, tam l7 jest dostepny jako dodatek.
No i właśnie bardzo proszę o poinstruowanie mnie ( i nie tylko mnie ) co i jak mam zrobić aby to zdobyć i pomyślnie załączyć.
Tytułem zakończenia .... zapewne są i inne aplikacje zapewne bardziej ciekawsze ale zanim o nich pomyśle to DOKŁADNIE przetestuje IPCOP`a :)
|
|
| Back to top |
|
 |
pacraf
Poziom 14
Joined: 09 Jun 2003
Posts: 198
|
#2
08 May 2006 14:02 Re: ipcop rozwiazujemy problemy..... |
|
|
|
witam
IPCop zainstalowany bez jakichkolwiek dodatków oferuje juz kształtowanie ruchu (czyli "sprawiedliwy podział"), wystarczy wejść w menu QoS wpisać poprawne wartości uplink i downlink (np 128 kbps 512kbps) , ja nawet preferuje zaniżyć nieco te wartości o około 10% i uruchomić QoS.
Natomiast prawdziwą bolączką małych sieci osiedlowych są programy p2p. wystarczy jeden cwaniak , i potrafi naprawde popsuć osiągi sieci. Oczywisce IPCop potrafi poradzić sobie i z tym. Należy zaopatrzyć się w Putty (klient konsoli ssh) WinSCP (sluzy do ladowania plikow przez ssh).
w IPCop koniecznie należy włączyć dostęp do konsoli przez ssh.
Na stronie http://mhaddons.tk pobieramy z działu download > ipcop1.4.7 and higher> p2pblock Ipcop 1.4.8 i pobieramy na swoj komp. teraz łączymy sie WinSCP i ładujemy plik na IPCOP , potem zgodnie z opisem na stronie: łączymy sie za pomoca putty z ipcop, domyślenie bedziemy w katalogu root, tam tez domyslnie zaladuje plik winscp, wiec wpisujemy tar zxvf p2pblock[resztanazwypliku]. plik sie rozpakuje. wchodzisz w katalog z p2pblok. i uruchamiasz skrypt instalacyjny ./install
po tym wszystkim pojawi sie nowa opcja w services - p2pblock.
wchodzisz, zaznaczasz jakie protokoly chcesz zabokowac, i start i juz!
mala uwaga. Na poczatek nie zaznaczaj opcji [string matching] - jest procesorożerna strzaszliwie, ale też oferuje wręcz paranoidalny stopień zabezpieczenia, bo analizuje ZAWARTOŚĆ każdego pakietu celem wyłapania p2p.
dodam że p2pblock został zbudowany m.in. na bazie l7-filter, kto chce niech doczyta o tym projekcie, ale wg mnie to super sprawa, ponieważ identyfikuje protokoły na podstawie zawartości pakietow, a nie na podstawie portu na jakim pracuje... pozwaliło to np na zbudowanie innego super dodatku do IPCop (nie tylo ipcop- wiadomo) mianowcie QoS polaczonego z l7-filter , czyli pozwalajacego określić priorytet niski dla p2p , wysoki dla http , najwyzszy dla voip i dns... SUPER dziala. ale to inna beczka, najpierw odpal p2pblock...
oki, tyle takiego pobieżnego wprowadzenia, jak beda problemy to pisz konkretnie na czym utknoles.
aha, warto jeszcze przejrzeć strone http://tom-e.de/binary.html gdzie można pobrac wiele gotowych binarek na ipcopa. polecam MidnightCommander... to takie norton commander na konsole. w putty wpiszesz tylko mc i bedziesz mial commanderka w akcji...
pzdr.
|
|
| Back to top |
|
|
scaner
Poziom 15
Joined: 28 Sep 2004
Posts: 239
Location: "-"
|
#3
08 May 2006 22:05 Re: ipcop rozwiazujemy problemy..... |
|
|
|
... no nie tak do końca ... pisze Pan, że : IPCop zainstalowany bez jakichkolwiek dodatków oferuje juz kształtowanie ruchu (czyli "sprawiedliwy podział"), wystarczy wejść w menu QoS wpisać poprawne wartości uplink i downlink (np 128 kbps 512kbps) , ja nawet preferuje zaniżyć nieco te wartości o około 10% i uruchomić QoS.
Mam IPCOpa v.1.4.10 i nie ma tam opcji QoS .. tak jak Pan pisze. Przypuszczam, że ma Pan na myśli zakładkę USŁUGI i MODULACJA RUCHEM gdzie wpisujemy Szybkość Downlink (kbit/s):
Szybkość Uplink (kbit/s): czy tak mam to rozumiec??. Co do reszty dodatkow to zainstaluje tylko wyjaśnie opcje, które są w standardzie ... pozostalo mi jeszcze do wyjaśnienia zakładka USŁUGI , PROXY, a w niej pola Ograniczenia transferu.
Maks. rozmiar przychodzący (KB): Maks. rozmiar wychodzący (KB): o co tu chodzi??? jak jest wpisany 0 i 0 to wszystko dziala ale jak wpisze "za mało" to nie laduje sie np www.wapster.pl a jak wpisze :za dużo" to po czasie pada serwer??? o co w tych ustawieniach chodzi ???
|
|
| Back to top |
|
|
pacraf
Poziom 14
Joined: 09 Jun 2003
Posts: 198
|
#4
08 May 2006 22:57 ipcop rozwiazujemy problemy..... |
|
|
|
Prosze juz nie pisz Pan..............
hmm to co napisales dotyczy wersji polskiej... z przyzwyczajenia uzywam tylko angielskiej i do takiej bede podawal opis.... niestety w tej dziedzinie nie ma ze boli... angileski to mus. duzo jest spolszczonego , ale nie wszystko.
zakladam ze IPCOP jest uruchomiony w trybie RED i GREEN (czyli dwie karty sieciowe - jedna na internet, druga na likalke)
zatem w zakaldce proxy uruchom transparent proxy czyli [enabled on green] [transparent on green] [log enabled] zaznaczone. wielkosc pamieci serwera proxy ustaw narazie na 50 MB (zakladam ze hdd jest powyzej 350MB) proxy port 800 - domyslny. max object 4096 - tez wartosc domyslna. reszta pól wartość zero albo pusta.. domyślne ustawienia....
ta usluga uruchomiona pozwoli zaoszczedzic na ruchu dzieki temu ze serwer bedzie pamietal ostanie 50MB danych z netu o rozmiarze mniejszym niz 4096kB na dysku. czyli jak ktos sciaga np onet, a po minucie ktos inny tez wlaczy sobie onet, to serwer nie bedzie tracil czasu na sciaganie zawartosci z internetu, tylko grzebnie w pamieci i szybciutko poda zawartosc stronki. a wspomniana opcja transparent on green (przzroczystosc) powoduje ze uzytkowincy nie musza konfigurowac niczego u siebie. serwer jest niwidoczny dla nich.
pola transfer limit zostaw z wartosciami zero.
generalnie cala zakladka proxy nie sluzy do ograniczania ruchu, tylko do oszczedzania lacza internetowego poprzez zapamietywanie zawartosci przegladanych stron. tak mniej wiecej. 50 MB na poczatek to dosyc, duze wartosci na slabym sprzecie mogo objamic sie mieleniem dyskiem, i ogolnie pogorszeniem dzialania zamiast poprawą.
pzdr.
ps jesli chcesz wprowadzic podzial szerokosci, to wlasnie to modulacja ruchem, to wlasnie QoS. tam spisujesz parametry swojego lacza i juz.
a opisany wczescniej p2p block to juz kolejny krok, polecam potrenuj p2pblock... bedziesz super zadowolony.
jak odpalisz to , to moze bedziesz chcial zrobic zeby w dzien sie p2p bllokowalo, a w nocy odbokowalo - niech tam w niocy sobie sciagaja ludzie... no jak bedziesz tak daleko to opisze co i jak.
nara!
|
|
| Back to top |
|
|
scaner
Poziom 15
Joined: 28 Sep 2004
Posts: 239
Location: "-"
|
#5
08 May 2006 23:50 Re: ipcop rozwiazujemy problemy..... |
|
|
|
... no i wszystko się zgadza. Jeśli chodzi o ustawienia PROXY. Jak miałem ustawione tak jak przy instalacji to serwer dzialal, ale jak zachcialo mi sie grzebania to padł w 6 godzin :). Tak więc sprawe PROXY mamy za sobą ( przynajmniej wiem,że pozostałe pola mają być puste albo ma w nich być wpisane 0 ). Jednak kolejne schody ..... ściągnąłem program WinSCP no i nie moge sie połączyć z moim serwerem. Rozumiem, że mam to połączenie wykonać od strony LANu a nie WANU. w polu "nazwa hosta" wpisuje ( u nie nazwalem) epia czy może wpisuje nr IP ? nazwa uzytkownika admin haselko takie jakie podalem w procesie instalacji i naciskam logowanie... Czy może jeszcze przed tym musze coś skonfigurować. Przepraszam ale z wykształcenia jestem elektronikiem a informatyka to juz hobby ( z koniecznosci)
|
|
| Back to top |
|
|
pacraf
Poziom 14
Joined: 09 Jun 2003
Posts: 198
|
#6
09 May 2006 07:28 ipcop rozwiazujemy problemy..... |
|
|
|
no przedewszystkim czy uruchomiles dostep do serwera poprzez ssh ?
jest to w pierwszym menu od lewej. musisz to uruchomic.
w winscp nacisnij NEW - nowe polaczenie
host name - nr IP serwera np 192.168.0.1 albo nazwa sieciowan nie wiem jaka nadales, np serwerek.
port 222. domyslny port dla ssh to 22, ale IPCop ma domyslny 222 ze wzgledow bezpieczenstwa. username root, haslo jakie tam masz
w putty podobnie, rowniez port 222 , reszta analogicznie....
pzdr.
|
|
| Back to top |
|
|
scaner
Poziom 15
Joined: 28 Sep 2004
Posts: 239
Location: "-"
|
#7
09 May 2006 17:00 Re: ipcop rozwiazujemy problemy..... |
|
|
|
... prawie dobrze. Plik przetransportowany i rozpakowany ale !!! po wpisaniu komendy install wyskakuje : too few argumenrs co dalej
|
|
| Back to top |
|
|
Google
|
| #
09 May 2006 17:00 |
|
|
|
|
|
| Back to top |
|
|
pacraf
Poziom 14
Joined: 09 Jun 2003
Posts: 198
|
#8
09 May 2006 20:37 ipcop rozwiazujemy problemy..... |
|
|
|
zwróć uwage, ze napisalem "./install" a nie "install"
zasadnicza roznica...
no i dla pewnosci napisze ze musisz byc w rozpakowanym katalogu.
przjsc do niego mozesz jak w dosie :
cd p2presztanazwykatalogu
potem wpisz ./install
pzdr
|
|
| Back to top |
|
|
scaner
Poziom 15
Joined: 28 Sep 2004
Posts: 239
Location: "-"
|
#9
09 May 2006 21:22 Re: ipcop rozwiazujemy problemy..... |
|
|
|
Kurcze PEŁEN SUKCES. Jako laik wyjaśnię jakie popełniałem błędy. Na początek (jak już pisałem) brak połączenia do serwera pomimo włączonego SSH. Jak się okazało nieprawidłowo podałem port zamiast 222 został ten 22. Kolejna sprawa, z rozpakowaniem poszło gładko... ale z uruchomieniem pliku instalacyjnego to juz gorzej :(. Błąd jaki popełniłem to wpisując komendę wcale NIE BYŁEM W KATALOGU p2pblock , no moja wina ale jak mnie nakierowano aby użyć komend "podobnych" z DOS`a to już byłem w domku :). Więc wszedłem do tego katalogu (cd p2pblock) uruchomiłem plik komendą ./install i ...poszło ! Mam zakładkę p2pblock :] . Proszę jeszcze o pomoc w wyjaśnieniu dostępnych funkcji w tej zakładce. Linia String-Match została juz objaśniona no może tylko dopisać jakim "mocnym serwerem" trzeba dysponować aby zbytnio go nie zamęczyć włączając ten string. Ja postawiłem na platformę viaepia M10000. Małe zgrabne CICHE i mało prądu potrzebuje - ponoć poniżej 40W. Następnie Layer7-Filter co to i kiedy stosować no i ipp2p-Filter. WIELKIE DZIĘKI DLA pacraf. Zachęcam innych do przetestowania tej platformy sprzętowej. Zaprawdę powiadam sieć nabierze nowego DUCHA i w pewnym sensie świeżości :)
|
|
| Back to top |
|
|
scaner
Poziom 15
Joined: 28 Sep 2004
Posts: 239
Location: "-"
|
#10
10 May 2006 11:33 przyszedł czas na blokowanie "innych" treści |
|
|
|
Tak się składa, że oprócz blokady p2p. Chciałbym w miarę możliwości zablokować strony o takich treściach jak rasizm, pedofilia i inne tego typu. Wiem, że jest to walka z wiatrakami, ale lepiej robić coś niż nic. Znalazłem coś takiego: http://ww2.banish.sidsolutions.net:8081/index.jsp może i się nada ale chciałbym aby można było analizować choć nagłówki stron po słowach kluczowych. Czy ma ktoś z Was jakiś pomysł? Czy ten Banish się do tego nada... No i jak będzie z blokowaniem p2p na dzień a odblokowaniem na noc. W końcu na coś ten net jest ...
|
|
| Back to top |
|
|
pacraf
Poziom 14
Joined: 09 Jun 2003
Posts: 198
|
#11
11 May 2006 10:02 Re: ipcop rozwiazujemy problemy..... |
|
|
|
Nie ma zadnego problemu z filtrowaniem zabronionych stron , zlow kluczowych itp. do tego sa rowniez odpowiednie moduły dla IPCop.
ale musisz miec swiadomosc ze przegladanie "w czasie rzeczywistym coraz wiekszej ilosci danych pod roznymi "kątami" zajmuje coraz wiecej czasu. zaleznie od platformy sprzetowej bedzie to dzialac , albo tez zacznie "mulić" jedno jest pewne - jakikolwiek bedzie wynik - bedzie to wycisniecie max ze sprzetu - zadne windowsowe routowanie z filtrowaniem nie bedzie mialo zblizonego wyniku. Ale do rzeczy.
W zakladce p2pblock naprawde nei ma czego omawiac... po prostu fajkujesz protokoly jakie chcesz zablokowac i dajesz start, czy jakos tak... od tego momentu wszystkie NOWE polaczenia p2p powinne nie dochodzic do skutku. te ktore zostały nawiazane wczesniej nie zostana przerwane, zatem jesli chcesz aby natychmiast zamknac caly ruch p2p , nalezaloby przerestartowac router. Ale z doswiadczenia widze ze nie ma potrzeby restartowania. ruch zamiera powoli sam.
wyprobowac dzialanie mozesz bardzo prosto. wylacz p2pblock. zaisntaluj u siebie emule. odpal emule (connect). na pewno polaczy sie bez problemu.
teraz uruchom p2pblock. i sprobuje polaczyc sie po raz kolejny emule... nawet nie zaloguje sie do sieci, nie mowiac juz o sciaganiu.
co do blokowania stron, to jest taki fajny dodatek do ipcop. nazywa sie ADDON SERVER. jak zainstalujesz addons server, to bedziesz mial mozliwosc zaisntalowania dodatkow ktore oferuje ten dodatek. ADDON server to mozna powiedziec taki posrednik w instalowaniu dodatkow. pozwala zainstalwoac latwo nastepne z nim zwiazane dodatki , bez grzebania w putty i winscp...
http://firewalladdons.sourceforge.net/
tam pobierz program, zaisntaluje zgodnie z opisem podanym na stronie.
bardzo podobnie jak p2pblok
jak pojawi ci sie dodatkowa zakladka ADDONS to bedzie git i pogadamy dalej co i jak.....
pzdr.
|
|
| Back to top |
|
|
scaner
Poziom 15
Joined: 28 Sep 2004
Posts: 239
Location: "-"
|
#12
11 May 2006 11:12 Re: ipcop rozwiazujemy problemy..... |
|
|
|
Witam moduł p2pblock działa w 100%. Już wczoraj zainstalowałem tak dla testów eMule i ZERO nawet się z serwerem nie połączył. Co do tego ADDON SERVER to poćwicze może pojutrze bo czasu już mi brak, poza tym wysmycze jakiś drugi komp na testowy serwer bo ten już śmiga że hoho a nie mam zamiaru na nowo wszystkiego wklepywać. No i klepanina w bashu zaczyna mi sie podobać ... tylko ten czas. Odezwe się jak zrobie acha włączyłem to "paranoidalne" filtrowanie w zakładce p2pblock (String-Match) dla Kazy i eMule. nie wiem, ale tak myśle, że w zakładce status, wykres wydajności- jeśli by mój serwer nie wyrabiał to powinno to mieć odzwierciedlenie w wykresie. Narazie bezczynność to 97% wiec chyba nie jest źle.
[size=9][color=#999999]Dodano po 12 [minuty]:[/color][/size]
Jeszcze jedno tytułem wyjaśnienia strawy filtrowania treści - nie mam zamiaru bawić się w Wielkiego Brata. Chodzimi tylko aby wpisywany adres w wyszukiwarce IE czy Opera & innej był blokowany jeśli będzie zawierał wpisane wyrażenie z "czarnej listy" (analogicznie jak oferują to rutery-tzw. blokowanie po słowach kluczowych nie mylić z blokowaniem URLi). Jest to baardzo proste zabezpieczenie i łatwe do obejścia ale dla naszych miluśińskich powinno wystarczyć i o to mi chodzi.
|
|
| Back to top |
|
|
Google
|
| #
11 May 2006 11:12 |
|
|
|
|
|
| Back to top |
|
|
pacraf
Poziom 14
Joined: 09 Jun 2003
Posts: 198
|
#13
11 May 2006 12:14 Re: ipcop rozwiazujemy problemy..... |
|
|
|
co do testowania do dobry pomysl zeby robic to na innej maszynie , skoro jest taka mozliwosc.
tak w ogole to konfig ipcop mozesz zachowac. wtedy postawienie go zajmuje troche mniej czasu
jesli myslisz ze blokowanie stringu w adresie poprawi "bezpieczenstwo emocjonalne" to sie mylisz... to trzeba zalatwic konkretnie, albo nie ma sensu ruszac tematu wcale. cokolwiek bys nie wybral, sa gotowe moduly do tego... od takiego sprawdzaqnia tresci , ze nawet w google nie wyszukasz zabronionych tresci, az do najlzejszych, czyli jak podales blokowanie adresow z dziwnymi nazwami....
btw. pomysl o odblokowaniu p2p np od 1wszej w nocy do np 10 rano... p2p nie jest takie zle, trzeba tylko nad tym zapanowac... jak zablokujesz na amen, to ludzie zaczna szukac jakichs egzotycznych programow, ktorych p2pblock nie wylapie... nie tedy droga - wszyscy musza byc zadowoleni.
|
|
| Back to top |
|
|
scaner
Poziom 15
Joined: 28 Sep 2004
Posts: 239
Location: "-"
|
#14
11 May 2006 13:03 Re: ipcop rozwiazujemy problemy..... |
|
|
|
No tak masz racje ... no to montuje ADDON SERVER.
Odnośnie p2p jest DOKŁADNIE tak jak mówisz... p2p nie jest takie złe (sam miałem OSŁa zapuszczonego 24h tylko był tak ustawiony, ze sciagał nie blokując innch) trzeba TYLKO nad nim zapanować. Panowanie na kompie USERA odpada z oczywistych względów ( nie będę przecie odwiedzał każdego i mu ustawiał OSŁA czy czegoś tam innego a za chwile on go przeinstaluje i znowu będzie to samo) . Co z tego, że :powiedziane było: p2p włączamy po 22:00 a i tak "zapominają" Najlepiej zablokować w dzień a na noc odblokować tylko ... no właśnie tylko jak to zautomatyzować ... Pisałeś, że masz na to sposób .....
|
|
| Back to top |
|
|
pacraf
Poziom 14
Joined: 09 Jun 2003
Posts: 198
|
#15
12 May 2006 16:26 Re: ipcop rozwiazujemy problemy..... |
|
|
|
od zadan zwiazanych z powiedzmy ogolnie wykonywaniem pewnych czynnosci o okreslony czasie, lub co okreslony czas w linuxie odpowiada demon cron. trzeba cronowi powidziec zeby o godzinie xx wlaczyl p2p , a o godzinie yy wylaczyl. to wszystko.
technicznie:
logujesz sie putty.
wpisujesz fcrontab -e
to otworzy w trybie edycji aktualna liste zadan
zejdz kursorem na koniec i dopisz , albo wklej:
# start p2pblock o 09 10 rano
10 09 * * * /etc/rc.d/rc.p2pblock start >/dev/null 2>&1
# stop p2pblock o 23 50 w nocy
50 23 * * * /etc/rc.d/rc.p2pblock stop >/dev/null 2>&1
zwroc uwage na przestawione minuty i godziny miejscem...
jak zakonczysz to nacisnij [ESC] [:] [w] [q] [ENTER]
jesli sie pomylisz przy przepisywaniu, to backspace wciskaj z controlem.
samo backspace nie cofa kursora tylko wstawia jakis znak...
godziny sa takie niepelne zeby nie nalozyc sie z jakimis innym zadaniami, zwlaszcza o polnocy ipcop ma co robic, bo nowy dziem, = nowe pliki logow, nowe grafy itp itd... wiec lepiej zawsze pare minut mu dac na oddech.
jak juz zakonczysz wpisywanie, to mozesz podejrzec swoj wpis, uruchom w putty
fcrontab -l
to tylko wypluje co tam w srodku bez ruszania czegokolwiek. na koncu musi byc twoj wpis....
pzdr.
|
|
| Back to top |
|
|
Google
|
| #
12 May 2006 16:26 |
|
|
|
|
|
| Back to top |
|
|
scaner
Poziom 15
Joined: 28 Sep 2004
Posts: 239
Location: "-"
|
#16
13 May 2006 20:30 Re: ipcop rozwiazujemy problemy..... |
|
|
|
..... dziś 13 sty pomimo tego dodałem to linki do crona jutro rano sprawdzę czy działają, bo serwer to przetrzymał hehe.
|
|
| Back to top |
|
|
scaner
Poziom 15
Joined: 28 Sep 2004
Posts: 239
Location: "-"
|
#17
14 May 2006 14:38 Re: ipcop rozwiazujemy problemy..... |
|
|
|
Może w ramach reklamy "wkleję" fotkę z fragmentem z instrukcji konfiguracji oraz znalezioną króciutką recenzję:IPCop to system wyprodukowany w USA. Jak sama nazwa wskazuje, to swego rodzaju policjant (z ang. cop). Priorytetowym zadaniem tejże dystrybucji jest ochrona sieci komputerowych. Dotarliśmy do informacji, że system jest wielojęzyczny, co bardzo sprawę ułatwia, ale niestety, nie wiemy jakie języki w obecnej wersji są obsługiwane. IPCop został zaopatrzony w najnowsze technologie dotyczące zagadnień bezpieczeństwa. Producenci są zdania, że ich produkcja - IPcop, to najlepsze \\\"narzędzie\\\" tego typu, możliwe, że mają rację!
Strona projektu:
http://www.ipcop.org
Może uda mi się wywołać szerszą dyskusję na jego temat. Im więcej czytam i staram się tłumaczyć tym bardziej przekonuję się do tego projektu.
| Filesize: |
33 KB |
|
|
|
| Back to top |
|
|
pacraf
Poziom 14
Joined: 09 Jun 2003
Posts: 198
|
#18
14 May 2006 20:20 ipcop rozwiazujemy problemy..... |
|
|
|
chyba nie ma potrzeby...
kto szuka i w google wpisze linux firewall na pewno w pierwszej 10 linkach bedzie ten projekt...
|
|
| Back to top |
|
|
scaner
Poziom 15
Joined: 28 Sep 2004
Posts: 239
Location: "-"
|
#19
15 May 2006 06:49 Re: ipcop rozwiazujemy problemy..... |
|
|
|
Serwewer działa teraz czas go :dopieścić" kilka pytań jeśli można :
1)Jeśli chodzi o "czasowe " zarządzanie p2p to powiem, że działa, jeśli będę chciał zmienić godziny tego załączania to wnoszę, że muszę zalogować sie w PUTTY poddać edycji plik poleceniem fcrontab -e poprawić wpisy i zatwierdzić [ESC] [:] [w] [q] [ENTER] Czy tak ?
2) Czytając plik i instrukcją znalazłem, że dla klientów WiFi jest przeznaczony interfejs NIEBIESKI. Spytam jaki jest cel tego, czy tylko separacja sieci WiFi od kabla ( tak aby klienci sie "nie widzieli" ci z WiFi i kabla) czy coś więcej. Mój serwer na płycie ma tylko jedno gniazdo PCI. Więc jeśli to będzie konieczne to będę musiał zmienić płytę główną a nie uśmiecha mi się to ( ta moja PG jest baardzo oszczędna jeśli chodzi o zapotrzebowanie w energię Viaepia M10000)
|
|
| Back to top |
|
|
pacraf
Poziom 14
Joined: 09 Jun 2003
Posts: 198
|
#20
16 May 2006 15:39 Re: ipcop rozwiazujemy problemy..... |
|
|
|
ad 1. dokladnie.
ad 2. generalnie powieszenie klientow WiFi na osobnym interfejsie ma na celu poprawienie bezpieczenstwa klientow kablowych (green). chodzi o to , ze nawet jesli nastapi wlamanie do czescie WiFi, to siec green i tak bedzie odseparowana.
ponadto odseparowanie wifi od kabla ma te zalete ze nawet jesli ktos udostepni cos w otoczeniu sieciowym na kablu, to ci od wifi nie beda tego widziec i nie beda zapychac waskiego gardla jakim jest WiFi... tak przynajmniej mi sie wydaje.
ja tego nie stosuje, mam 7 userow na kablu i kilku na WiFi i wszyscy sa w green i nie ma narazie problemow. ale to bardzo amatorska siec i na pewno nie jest to przyklad godny nasladowania. w twoim ukladzie tez bym tego nie ruszal, bo rzeczywiscie jak plyta jest oszczedna to szkoda to zmieniac.
|
|
| Back to top |
|
|
scaner
Poziom 15
Joined: 28 Sep 2004
Posts: 239
Location: "-"
|
#21
20 May 2006 10:31 Re: ipcop rozwiazujemy problemy..... |
|
|
|
| pacraf wrote: |
| . ale to bardzo amatorska siec i na pewno nie jest to przyklad godny nasladowania. |
... nono czytałem o bardziej profesjonalnych sieciach, które miały same problemy hehe.
Jeśli chodzi o dodatkowy slot PCI to chyba kupię PCI RISER - są dostępne do tej płyty. Chcę ruszyć ten temat interfejsu BLUE bo nigdy dość zabezpieczeń ( nawet na tak amatorską sieć jak moja ). Wtedy będę miał już chyba wszystko co mogę mieć na dzisiejszy stan mojej wiedzy i sprzętu: szyfrowanie, separacja klientów oraz ścisłe przypisanie MAC do IP.
Hmmm nie byłbym sobą jeśli nie chciałbym czegoś dodać zmienić. Przeglądałem http://www.copfilter.org/ no i tak sobie myśle czy ten dodatek wart jest uwagi. Mam na myśli filtrowanie adwaru, spamu i wirusów. Czy ma ktoś jakieś doświadczenia w tej kwestii ?
|
|
| Back to top |
|
|
scaner
Poziom 15
Joined: 28 Sep 2004
Posts: 239
Location: "-"
|
#22
23 May 2006 10:35 Teraz Copfilter ! |
|
|
|
Witam czytelników. Zainstalowałem na (rezerwowym) serwerze dodatek do ipcopa o nazwie: Copfilter. Problem w tym, że doskonale radzi sobie z blokowaniem stron zawierających wirusy (test wypadł pozytywnie-w opisie są linki do tych stron!). Jednak nie blokuje emaili z załącznikami w których jest wirus oraz plików z ftp choć też powinien to robić- POMOCY co źle robię ....
P.S modułu adware jeszcze nie testowałem.
no i nie wierzę, że nikt tych spraw nie rusza... a tylko pozostaje na zrobieniu działającego serwera. Jak się okazuje cała "zabawa" właśnie TERAZ się zaczyna.
|
|
| Back to top |
|
|
colnet
Poziom 9
Joined: 24 May 2006
Posts: 38
|
#23
24 May 2006 17:37 Re: ipcop rozwiazujemy problemy..... |
|
|
|
Witam!
Mam problem, zainstalowałem IPCop;a, wszystko pięknie działa, poprzednio miałem Mandrake i działało jako tako, trochę na dziko, nad IPCop'em mam kontrole i chociaż widzę cos się dzieje w sieci. Do IPCop'a podchodziłem na początku trochę sceptycznie bo już mam doświadczenie z Linux'em ale jednak IPCop wywarł na mnie bardzo dobre wrażenie. Sieć chodzi bardzo dobrze, dopóki ktoś lub wiele osób (to już jest tragedia) nie włączy programu P2P wtedy ping do wp.pl wynosi ponad 2000 ms... paranoja na jedną stronę czekasz ponad minutę. Zainstalowałem ntop (monitoruje co robią użytkownicy – dobre ale po dobie zjadło mi cały RAM i SWAP na serwerze) przeglądałem dane które zebrał ntop i wyczytałem z niego że około 80% transferu to BitTorrent 5% Emule 10% HTTP i 5% to reszta ruchu. Dobra wiedziałem coś więcej znalazłem coś takiego jak QoS (podobno bardzo dobre) i zainstalowałem, znalazłem opis oraz skonfigurowałem. Mam łączę DSL TP 1024/256 kb. Myślałem że będzie lepiej, ale w tym problem że wcale nie jest! Jest tak samo QoS chyba tylko udaje że działa, bo już nie wiem czy ja coś źle skonfigurowałem czy o coś innego w tym chodzi.
Skonfigurowałem według tego opisu (opisywali na tym samym łączu co ja mam):
1. First change the default class from the drop down box to 199.
2. Now add your upload speed in kbps to the text box below the default class. The figure you enter here should be 90% of the upload speed limit that your ISP provides you.
e.g.
ISP upload speed = 256 kbps×90% = 230 kbps.
So add 230 into the text box.
4.Now click save.
[edit]
Fast Class (100)
This is the class that will used to channel relatively time dependent protocols like, MSN, IRC and SSH.
1. Using the "Add a new class ppp0[eth1]" section, select 100 from the Class drop down box.
2. Select the priority as 2.
3. Set the "Minimum Upload in kbit" as 50 Kbps.
4. Set the "Maximum delay in milliseconds" as 40 ms.
5. Set the "Maximum Upload in kbit" as your upload speed given by your ISP.
6. Click on save.
Very Fast Class (101)
This class is used for RTP data and anything that is very time dependent like online games and VoIP
1. Using the "Add a new class ppp0[eth1]" section, select 101 from the Class drop down box.
2. Select the priority as 1.
3. Set the "Minimum Upload in kbit" as 90 Kbps.
4. Set the "Maximum delay in milliseconds" as 20 ms.
5. Set the "Maximum Upload in kbit" as your upload speed given by your ISP.
6. Click on save.
Bulk Traffic Class (103)
This class is used for all the traffic that isn't time dependent, traffic like P2P and FTP.
1. Using the "Add a new class ppp0[eth1]" section, select 103 from the Class drop down box.
2. Select the priority as 7.
3. Set the "Minimum Upload in kbit" as 0 Kbps.
4. Set the "Maximum delay in milliseconds" as 150 ms.
5. Set the "Maximum Upload in kbit" this should be 50-100 Kbps less than the total upload speed given by your ISP.
6. Click on save.
Default Class (199)
This class is used for all the traffic that isn't covered by a rule. i.e. undefined traffic.
1. Using the "Add a new class ppp0[eth1]" section, select 199 from the Class drop down box.
2. Select the priority as 4.
3. Set the "Minimum Upload in kbit" as 0 Kbps.
4. Set the "Maximum delay in milliseconds" as 50 ms.
5. Set the "Maximum Upload in kbit" this should be 50-100 Kbps less than the total upload speed given by your ISP.
6. Click on save.
Setting ACK
ACK is a part of the TCP protocol, giving ACK packets high priority will speed up all TCP connections. And thus should assigned to the 101 class.
So in the QoS page on the IPCop do the following:
1. Go to the "select class for ACK's on ppp0[eth1]" section.
2. Select 101 from the drop down box.
3.Click on save.
Potem dodałem poszczególne aplikacje do odpowiednich podklas bittorenta, emule, kazaa, ftp dodałem do klasy 103, dns do klasy 101 a http do klasy 100. Potem uruchomiłem QoS'a , potem uruchomiłem jeszcze „Start collector” i obserwowałem ruch na wykresach po kliknięciu na „Show graphs” i rzeczywiście pokazywał obciążenie różnych klas, jak włączyłem P2P to pokazywał ruch na wykresie klasy 103 a jak przeglądałem strony to pokazywał ruch na 100 i 101.
Ale i tak jak ktoś włączy P2P to internet drastycznie zwalania, tak samo jak bez uruchomionego QoS'a, co zrobiłem źle? Jakieś wskazówki? Totalne blokowanie P2P w poszczególnych godzinach odpada.
Sorry że opis taki długi ale taki przynajmniej przedstawia przejrzyście moją sytuację.
|
|
| Back to top |
|
|
scaner
Poziom 15
Joined: 28 Sep 2004
Posts: 239
Location: "-"
|
#24
24 May 2006 18:11 Re: ipcop rozwiazujemy problemy..... |
|
|
|
... e kolego a zanim wklepałeś swój post poczytałeś choć trochę co w TYM poście (trochu wyżej) jest napisane na temat p2p ? Ja zgodnie z tymi wskazówkami postąpiłem i p2p nie ma szans - żadnych szans przynajmniej do 22:50 .
Dodaj moduł p2pblock i wio...
A jak już masz doświadczenie z linuxem do powiedz dlaczego: po zainstalowaniu modułu copfilter blokuje wirusy ze stron HTTP a pozwala wejść z FTP i poczty ...
|
|
| Back to top |
|
|
colnet
Poziom 9
Joined: 24 May 2006
Posts: 38
|
#25
24 May 2006 18:13 Re: ipcop rozwiazujemy problemy..... |
|
|
|
Przeczytałem WSZYTKO i nawet więcej. Napisałem w poprzednim poście "Totalne blokowanie P2P w poszczególnych godzinach odpada"
P2Pblock testowałem i tak działa na emule i kazaa, ale nie całkowicie na torrenta, bo P2Pblock przepuszcza w jakiś sposób torrenta.
Nie testowałem Copfiltera i nie mam pojęcia jak on działa.
|
|
| Back to top |
|
|
scaner
Poziom 15
Joined: 28 Sep 2004
Posts: 239
Location: "-"
|
#26
24 May 2006 18:19 Re: ipcop rozwiazujemy problemy..... |
|
|
|
...no to zmienia postać rzeczy. Poczekamy może ktoś sie odezwie. Też poczytam . acha BitCometa blokuje ;)
Dodano po 2 [minuty]:
| colnet wrote: |
Nie testowałem Copfiltera i nie mam pojęcia jak on działa. |
Więc zapraszam do testów ...
|
|
| Back to top |
|
|
colnet
Poziom 9
Joined: 24 May 2006
Posts: 38
|
#27
24 May 2006 18:25 ipcop rozwiazujemy problemy..... |
|
|
|
BitCometa tak ale dla torrenta tego cholerstwa tyle jest że coś jednak przepuszcza gdzieś czytałem że niektóre klienty torrenta szyfrują ruch i są już praktycznie nie do wyłapania... Copfilter mnie jakoś na razie nie interesuje.
Ja zainstalowałem Sambe u mnie to jest coś takiego że możesz udostępnić dany folder/dysk dałem pełny odczyt/zapis i każdy może na serwer wrzucić film muzykę itp. i jest on dostępny cały czas co odciąża trochę internet od P2P bo jak ludzie zobaczą film na serwerz to po LAN ściągają w 5 minut a nie w kilka godzin z netu. Polecam wszystkim jak co Sambe.
Polecam tą stronę: http://www.ipcop.h-loit.de/
|
|
| Back to top |
|
|
Google
|
| #
24 May 2006 18:25 |
|
|
|
|
|
| Back to top |
|
|
scaner
Poziom 15
Joined: 28 Sep 2004
Posts: 239
Location: "-"
|
#28
24 May 2006 18:53 Re: ipcop rozwiazujemy problemy..... |
|
|
|
W takim razie chyba nie pozostanie nic tylko HTB i FSQ. Tylko w ipcop tego nie ma i cza dodać. Z tego co mi wiadomo to jest zaimplementowane w NND i chyba m0n0wal u.
|
|
| Back to top |
|
|
maniacs
Poziom 14
Joined: 29 Sep 2003
Posts: 193
|
#29
24 May 2006 23:54 Re: ipcop rozwiazujemy problemy..... |
|
|
|
dawno temu bawiłem się / pracowałem na tej dystrybucji (przetrenowałem od 1.2. do 1.4 beta) i niestety ale na ipcopa jedynie poprawnie działało mi cbq - poprawnie bo ładnie przycinało ruch do usera i niestety potrafiło mieć kłopoty z ograniczaniem ruchu do sieci)
przez chwile na 1.4 miałem postawionego niceshapera ale w tamatym czasie niedokońca potrafiłem go skonfigurować :cry: choć cieszył fakt że odpalał
ogulnie bardzo fajna dystrybucja - polecam i z zaciekawieniem poczytam co nowego można z niej wycisnąć
|
|
| Back to top |
|
|
colnet
Poziom 9
Joined: 24 May 2006
Posts: 38
|
#30
25 May 2006 16:15 Re: ipcop rozwiazujemy problemy..... |
|
|
|
Maniacs a próbowałeś może skonfigurować QoS'a ? A może ktoś inny próbował?
|
|
| Back to top |
|
|
