27 Stycznia 2021 20:17:22
Nawigacja
· Strona Główna
· Galeria
· Forum
· Linki

· Tomato by Shibby

· Wiki-OpenWrt
· Wiki-DD-WRT
· Emulatory sprzętu

Darowizna
Ostatnio na forum
Najnowsze tematy
· Openmediavault - DLNA
· Własny NAS na Xpenology
· instalacja entware [...
· EdgeRouter X - przek...
· [HOWTO] OpenVPN serv...
· Nowiutki RT-AC68U - ...
· [MOD] Tomato by shibby
· Instalacja Entware d...
· [MOD] FreshTomato-MI...
· wrt54g ver2 i dual w...
· Torrenty na tomato -...
· Problem z konfigurac...
· instalacja VPN na as...
· orange swiatlowd pom...
· Jakie serwery adbloc...
· Konfiguracja serwera...
· [MOD] FreshTomato-AR...
· Router - WAN i przek...
· Port forwarding z je...
· Problem z logowaniem...
Najciekawsze tematy
· [MOD] Tomato by s... [13742]
· Torrenty na tomat... [957]
· [MOD] FreshTomato... [452]
· [MOD] FreshTomato... [283]
· Instalacja Entwar... [88]
· Jakie serwery adb... [70]
· orange swiatlowd ... [28]
· Własny NAS na Xpe... [23]
· instalacja entwar... [20]
· [HOWTO] OpenVPN s... [11]
· Konfiguracja serw... [11]
· Problem z konfigu... [8]
· Nowiutki RT-AC68U... [6]
· Asus RT-AC3200 zw... [6]
· Skrętka (patchcor... [5]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
38% [144 głosów]

Broadcom ARM
Broadcom ARM
51% [194 głosów]

Atheros
Atheros
6% [21 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
1% [2 głosów]

Intel/AMD/VIA
Intel/AMD/VIA
1% [4 głosów]

Żaden z powyższych
Żaden z powyższych
3% [12 głosów]

Ogółem głosów: 381
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38

Archiwum ankiet
Reklama
Twoje IP
3.236.156.34
Reklama
Zobacz temat
 Drukuj temat
[HOWTO] Blokowanie internetu, wstęp do DPI
shibby
Pierwszą rzeczą o jaką często pytają mnie świeżo-upieczeni właściciele EdgeRouterów jest: "jak zablokować dzieciakowi internet". Zatem do dzieła.

Blokowanie po IP

EdgeRouter co prawda posiada możliwości blokowania po MAC adresach lub po adresach IP ale (co lepsze) potrafi blokować po wcześniej przygotowanych grupach adresów, co uważam nawet lepszą opcją, gdyż jesteśmy w stanie przygotować sobie reguły i już do nich nie wracać a jedynie dopisywać kolejne IPki do grupy.

Rzeczą oczywistą jest najpierw przypisanie stałego adresu IP dla hostów. W tym celu przechodzimy do Services -> DHCP Server -> LAN -> Action -> Configure Static Map. Tu definiujemy statyczne dzierżawy IP (od razu dopowiem że ID to dowolna nazwa własna). Możemy też przejść do zakłądki "Leases" gdzie znajdziemy wszystkie dynamicznie rozdane adresy IP i jednym kliknięciem w "Map Static IP" możemy dodać rekord statyczny.

Kolejną rzeczą jest dodanie grupy adresów IP. Uczynimy to przechodzą do Firewall/NAT -> Firewall/NAT Groups. Dodajemy nową grupę, jako typ wybierając "Address Group". Po zapisaniu możemy wybrać Action -> Config i dopisać wybrane adresy IP.

openlinksys.info/images/er-blokada/definicja_grup.png

Teraz jak mamy już grupę to zróbmy regułę blokowania. Firewall/NAT -> Firewall polices -> Add Ruleset. Nazwijmy ją sobie dowolnie, Interfejs wybieramy Switch/In (czyli to co przychodzi na switch i wychodzi do danego IP), polityka domyślna Accept (regułami będziemy blokować). Ważne by ta nowa grupa reguł była PRZED WAN_IN, WAN_LOCAL
Tak to ma mniej więcej wyglądać

openlinksys.info/images/er-blokada/blokada_neta0.png

openlinksys.info/images/er-blokada/blokada_neta2.png

openlinksys.info/images/er-blokada/blokada_neta3.png

Następnie wybieramy Action -> Edit Ruleset i dodajemy nową regułę. Domyślna akcja dla reguły ma być DROP natomiast jako źródło wskazujemy wcześniej utworzoną grupę IP.

openlinksys.info/images/er-blokada/blokada_neta4.png

openlinksys.info/images/er-blokada/blokada_neta5.png

Dodatkowo w zakładce "Time" możemy zdefiniować gni, godziny w których blokada ma działać, np. w dni powszednie od 15:05 do 19:00 (zwróćcie uwagę, że na poniższym screenie jest zaprzeczenie, czyli w Days wpisałem sobotę i niedzielę ale zaznaczyłem checkbox by blokował we wszystkich dniach z wyjątkiem tych wymienionych)

openlinksys.info/images/er-blokada/blokada_neta6.png

Po zapisaniu reguła już zacznie działać. Można też samą regułę wyłączyć odznaczając checkbox "Enable" na pierwszej zakładce. Wtedy reguła się wyszarzy.


O krok dalej, czyli blokada po usługach z wykorzystaniem DPI

Nowością niedostępną w Tomato jest DPI (Deep-Package-Inspection) czyli możliwość analizy i blokowania po aplikacjach. Przypomnijcie sobie ile to razy padało na forum pytanie "jak zablokować dziecku Facebooka lub Youtube?". EdgeRouter na to pozwala.

Zacząć musimy od aktywacji DPI. W tym celu przechodzimy do Traffic Analysis i ustawiamy Operational Status na "Enable". Po niedługim czasie zauważymy, że dane zaczną być zbierane. Po rozwinięciu danego hosta ujrzymy kategorie aplikacji. Po najechaniu na daną kategorię zobaczymy "Build-in category". Router ma wbudowane kilkanaście głównych kategorii np
- "Peer-to-peer networks" oznacza wszystkie sieci P2P
- "Social Networks" oznacza wszystkie formy komunikatorów i portale społecznościowe
- "Games" - to szeroko rozumiane gry online, od steama, po bungie.net
- "Streaming Media" - to Youtube i wszelkie VOD

Możemy wykorzystać te wbudowane "globalne" kategorie. Możemy też zbudować własne przykładowo nie chcemy blokować całego "Streaming Media" a jedynie Youtube. Jeżeli klikniemy w protokół to wyskoczy nam okno do dodania aplikacji do własnej kategorii

openlinksys.info/images/er-blokada/dpi1.png

Możemy utworzyć nową kategorię, możemy też dodać do już istniejącej. Teraz w samej regule blokowania, na zakładce "Advanced" możemy wskazać kategorię (Application), którą chcemy zablokować. Warto dodać, że działa to "od ręki" co potrafi wywołać uśmiech na twarzy rodzica Smile


openlinksys.info/images/er-blokada/dpi2.png


Pozdrawiam
Edytowane przez shibby dnia 11-01-2021 08:20
Router: Ubiquiti EdgeRouter ER-12 (FTTH + LTE/failover, OpenVPN, DPI, VLAN) - łącze 1000/1000mbps
Switch: Ubiquiti US-8-150W
Wi-Fi: Ubiquiti UAP-AC-Pro + UAP-AC-Lite
NAS: Xpenology DS918+ (i5-6200u, 8GB ram, 3x 4TB/RAID5, SSD cache, Unifi, Pi Hole/DNS Server, Home Assistant, NextCloud+onlyOffice)
UPS: Eaton Ellipse Eco 650
 
majkel152
@shibby - czy ty tylko ptwierdziles śmierć tomato ?
nie znam się na tym ^^

kupię coś fajnego
sieć domowa:
router z pfsense https://imgur.com..., jakieś dziwne urządzenia , ups, światłowody, apeki i działa miło Smile
 
shibby
@majkel152 - nie, dlaczego? Smile Tomato to nadal świetne oprogramowanie i super, że jest rozwijane. Nadal nic nie zastąpi jego prostoty połączonej z jego możliwościami. Sam wielokrotnie do niego wracam.

Co nie zmienia faktu, że kernel 2.6 nadal mocno go blokuje. Nawiązując nawet do powyższego tutoriala, bardzo chciałbym zobaczyć nDPI w Tomato ale właśnie z racji wymuszonego przez sterowniki takiej a nie innej wersji kernela jest to niemożliwe.
Router: Ubiquiti EdgeRouter ER-12 (FTTH + LTE/failover, OpenVPN, DPI, VLAN) - łącze 1000/1000mbps
Switch: Ubiquiti US-8-150W
Wi-Fi: Ubiquiti UAP-AC-Pro + UAP-AC-Lite
NAS: Xpenology DS918+ (i5-6200u, 8GB ram, 3x 4TB/RAID5, SSD cache, Unifi, Pi Hole/DNS Server, Home Assistant, NextCloud+onlyOffice)
UPS: Eaton Ellipse Eco 650
 
Mala
Witam
świetne, właśnie takich poradników potrzeba.
a masz może poradnik na filtrowanie adresów ip, chodzi mi połączenia wan przychodzące. (geopip,ipset) WAN_IN
mam w zamyśle blokowanie państw
 
shibby
Ja takiego rozwiązania nie stosowałem jeszcze u siebie ale widzę że na necie znaleźć można gotowe skrypty do tego. Próbowałeś ich może?

https://community...bf7?page=2
Router: Ubiquiti EdgeRouter ER-12 (FTTH + LTE/failover, OpenVPN, DPI, VLAN) - łącze 1000/1000mbps
Switch: Ubiquiti US-8-150W
Wi-Fi: Ubiquiti UAP-AC-Pro + UAP-AC-Lite
NAS: Xpenology DS918+ (i5-6200u, 8GB ram, 3x 4TB/RAID5, SSD cache, Unifi, Pi Hole/DNS Server, Home Assistant, NextCloud+onlyOffice)
UPS: Eaton Ellipse Eco 650
 
Mala
super dzięki będę to próbował.
dam znać o efektach
 
Przejdź do forum:
Logowanie
Nazwa użytkownika

Hasło



Nie masz jeszcze konta?
Zarejestruj się

Nie możesz się zalogować?
Poproś o nowe hasło
Aktualnie online
· Gości online: 7

· Użytkowników online: 0

· Łącznie użytkowników: 24,012
· Najnowszy użytkownik: szukacz3
Shoutbox
Musisz zalogować się, aby móc dodać wiadomość.

salawalas
27-01-2021 18:08
Ok. Widzę,że wrzuciłeś 2.84rc2 do repo. Gratki Pfft

pedro
27-01-2021 17:50
Zawsze możesz sobie skompilować obraz z aktualnego repo Pfft

salawalas
26-01-2021 00:06
Hej.Pedro , przewidujesz jakiś emergency security patch do nowego dnsmasq? https://www.jsof-.
..s/dnspooq/

qrs
22-01-2021 16:06

Pakete-kiero
21-01-2021 13:44
Hi, I guess you know there is this NETGEAR page for developers: https://kb.netgear
.com/2649/NETGEAR-
Open-Source-Code-f
or-Programmers-GPL

tamtosiamto
12-01-2021 17:46
ja czytalem, ze wlamanie bylo na ich serwer, a to nie ma chyba wplywu na bezpieczenstwo urzadzen

Adooni
12-01-2021 09:25

bigl
11-01-2021 20:43
Czy Tomato jest na to odporne? https://www.thereg
ister.com/2020/11/
02/application_lev
el_gateway_flaw/

pedro
09-01-2021 13:04
A, myślałem że chodzi o l/p do inita.

Adooni
08-01-2021 18:40
no najnowsze tomato ma login/pass root/admin jak dobrze pamietam

pedro
08-01-2021 17:17
username: admin password: @newdig ???

maciekkoper
08-01-2021 17:07
Jest w stanie ktoś pomóc odnośnie wgrania Tomato na Netgear R7000 po wgraniu nie da się zalogować

Adooni
05-01-2021 20:54
hm przeciez to nic nie da, nie uruchomisz bezposrednio swojego routera

grzesiek1973
05-01-2021 15:59
Czy zna ktoś wartość VPI i VCI w vectrze.

shibby
02-01-2021 12:36
dobra, dodałem 2 tutoriale, na dziś wystarczy Grin

Adooni
02-01-2021 10:19
no widze ze masz wiecej czasu Smile

shibby
02-01-2021 09:58
mówisz i masz Smile pierwszy temat już jest. Kolejne mam nadzieję wkrótce

43,366,256 unikalne wizyty