01 Marca 2024 08:24:33
Nawigacja
· Strona Główna
· Forum

· Tomato by Shibby
· FreshTomato


Wątki na forum
Najnowsze dyskusje
· serwer VPN za wan'em
· Rozłączanie klient...
· Banana PI (BRI-R3)
· Przejscie z dyndns f...
· WDR3600 i problem z WAN
· [MOD] FreshTomato-AR...
· Jaki USB hub do syno...
· [S] Karta sieciowa Q...
· Asus rt-n18u port fo...
· Netflix dzielenie ko...
· Nextcloud konfigurac...
· Netgear WNR3500L
· [MOD] FreshTomato-MI...
· [MOD] Tomato64 (x86-64)
· [S] ASUS RT-AC68U
· [S]Banana PI (BRI-R3...
· [S] Płyta, Procek, ...
· Czy to atak hakerski ?
· Asus RT-N10U - znany...
· asus rt-n10u problem...
Najpopularniejsze obecnie wątki
· [MOD] FreshTomato... [865]
· Banana PI (BRI-R3) [21]
· serwer VPN za wan'em [16]
· Jaki USB hub do s... [1]
· Rozłączanie kli... [0]
· Przejscie z dyndn... [0]
· WDR3600 i problem... [0]
· [S] Karta sieciow... [0]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
36% [151 głosów]

Broadcom ARM
Broadcom ARM
52% [215 głosów]

Atheros
Atheros
5% [22 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
1% [3 głosów]

Intel/AMD/VIA
Intel/AMD/VIA
1% [5 głosów]

Żaden z powyższych
Żaden z powyższych
4% [15 głosów]

Ogółem głosów: 415
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38
Twoje IP
44.222.218.145
Zobacz wątek
 Drukuj wątek
[HOWTO] Blokowanie internetu, wstęp do DPI
shibby
Pierwszą rzeczą o jaką często pytają mnie świeżo-upieczeni właściciele EdgeRouterów jest: "jak zablokować dzieciakowi internet". Zatem do dzieła.

Blokowanie po IP

EdgeRouter co prawda posiada możliwości blokowania po MAC adresach lub po adresach IP ale (co lepsze) potrafi blokować po wcześniej przygotowanych grupach adresów, co uważam nawet lepszą opcją, gdyż jesteśmy w stanie przygotować sobie reguły i już do nich nie wracać a jedynie dopisywać kolejne IPki do grupy.

Rzeczą oczywistą jest najpierw przypisanie stałego adresu IP dla hostów. W tym celu przechodzimy do Services -> DHCP Server -> LAN -> Action -> Configure Static Map. Tu definiujemy statyczne dzierżawy IP (od razu dopowiem że ID to dowolna nazwa własna). Możemy też przejść do zakłądki "Leases" gdzie znajdziemy wszystkie dynamicznie rozdane adresy IP i jednym kliknięciem w "Map Static IP" możemy dodać rekord statyczny.

Kolejną rzeczą jest dodanie grupy adresów IP. Uczynimy to przechodzą do Firewall/NAT -> Firewall/NAT Groups. Dodajemy nową grupę, jako typ wybierając "Address Group". Po zapisaniu możemy wybrać Action -> Config i dopisać wybrane adresy IP.

openlinksys.info/images/er-blokada/definicja_grup.png

Teraz jak mamy już grupę to zróbmy regułę blokowania. Firewall/NAT -> Firewall polices -> Add Ruleset. Nazwijmy ją sobie dowolnie, Interfejs wybieramy Switch/In (czyli to co przychodzi na switch i wychodzi do danego IP), polityka domyślna Accept (regułami będziemy blokować). Ważne by ta nowa grupa reguł była PRZED WAN_IN, WAN_LOCAL
Tak to ma mniej więcej wyglądać

openlinksys.info/images/er-blokada/blokada_neta0.png

openlinksys.info/images/er-blokada/blokada_neta2.png

openlinksys.info/images/er-blokada/blokada_neta3.png

Następnie wybieramy Action -> Edit Ruleset i dodajemy nową regułę. Domyślna akcja dla reguły ma być DROP natomiast jako źródło wskazujemy wcześniej utworzoną grupę IP.

openlinksys.info/images/er-blokada/blokada_neta4.png

openlinksys.info/images/er-blokada/blokada_neta5.png

Dodatkowo w zakładce "Time" możemy zdefiniować gni, godziny w których blokada ma działać, np. w dni powszednie od 15:05 do 19:00 (zwróćcie uwagę, że na poniższym screenie jest zaprzeczenie, czyli w Days wpisałem sobotę i niedzielę ale zaznaczyłem checkbox by blokował we wszystkich dniach z wyjątkiem tych wymienionych)

openlinksys.info/images/er-blokada/blokada_neta6.png

Po zapisaniu reguła już zacznie działać. Można też samą regułę wyłączyć odznaczając checkbox "Enable" na pierwszej zakładce. Wtedy reguła się wyszarzy.


O krok dalej, czyli blokada po usługach z wykorzystaniem DPI

Nowością niedostępną w Tomato jest DPI (Deep-Package-Inspection) czyli możliwość analizy i blokowania po aplikacjach. Przypomnijcie sobie ile to razy padało na forum pytanie "jak zablokować dziecku Facebooka lub Youtube?". EdgeRouter na to pozwala.

Zacząć musimy od aktywacji DPI. W tym celu przechodzimy do Traffic Analysis i ustawiamy Operational Status na "Enable". Po niedługim czasie zauważymy, że dane zaczną być zbierane. Po rozwinięciu danego hosta ujrzymy kategorie aplikacji. Po najechaniu na daną kategorię zobaczymy "Build-in category". Router ma wbudowane kilkanaście głównych kategorii np
- "Peer-to-peer networks" oznacza wszystkie sieci P2P
- "Social Networks" oznacza wszystkie formy komunikatorów i portale społecznościowe
- "Games" - to szeroko rozumiane gry online, od steama, po bungie.net
- "Streaming Media" - to Youtube i wszelkie VOD

Możemy wykorzystać te wbudowane "globalne" kategorie. Możemy też zbudować własne przykładowo nie chcemy blokować całego "Streaming Media" a jedynie Youtube. Jeżeli klikniemy w protokół to wyskoczy nam okno do dodania aplikacji do własnej kategorii

openlinksys.info/images/er-blokada/dpi1.png

Możemy utworzyć nową kategorię, możemy też dodać do już istniejącej. Teraz w samej regule blokowania, na zakładce "Advanced" możemy wskazać kategorię (Application), którą chcemy zablokować. Warto dodać, że działa to "od ręki" co potrafi wywołać uśmiech na twarzy rodzica Smile


openlinksys.info/images/er-blokada/dpi2.png


Pozdrawiam
Edytowany przez shibby dnia 11-01-2021 08:20
Proxmox VE: i7-7700T, 48GB RAM, 3x2TB SSD, 1x1TB SSD, 512GB NVMe, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology DS920+
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
 
majkel152
@shibby - czy ty tylko ptwierdziles śmierć tomato ?
nie znam się na tym ^^

kupię coś fajnego
sieć domowa:
router z pfsense https://i.imgur.com/IuB6Zwy.png, jakieś dziwne urządzenia , ups, światłowody, apeki i działa miło Smile
 
shibby
@majkel152 - nie, dlaczego? Smile Tomato to nadal świetne oprogramowanie i super, że jest rozwijane. Nadal nic nie zastąpi jego prostoty połączonej z jego możliwościami. Sam wielokrotnie do niego wracam.

Co nie zmienia faktu, że kernel 2.6 nadal mocno go blokuje. Nawiązując nawet do powyższego tutoriala, bardzo chciałbym zobaczyć nDPI w Tomato ale właśnie z racji wymuszonego przez sterowniki takiej a nie innej wersji kernela jest to niemożliwe.
Proxmox VE: i7-7700T, 48GB RAM, 3x2TB SSD, 1x1TB SSD, 512GB NVMe, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology DS920+
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
 
Mala
Witam
świetne, właśnie takich poradników potrzeba.
a masz może poradnik na filtrowanie adresów ip, chodzi mi połączenia wan przychodzące. (geopip,ipset) WAN_IN
mam w zamyśle blokowanie państw
 
shibby
Ja takiego rozwiązania nie stosowałem jeszcze u siebie ale widzę że na necie znaleźć można gotowe skrypty do tego. Próbowałeś ich może?

https://community.ui.com/questions/GE...bf7?page=2
Proxmox VE: i7-7700T, 48GB RAM, 3x2TB SSD, 1x1TB SSD, 512GB NVMe, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology DS920+
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
 
Mala
super dzięki będę to próbował.
dam znać o efektach
 
likeedge
Witam,

czy jest możliwość na EdgeRouterze zablokowania ściągania plików wykonalnych dla określonych użytkowników ?
 
shibby
nie odpowiem wprost na to pytanie, bo wszystko będzie zależeć od tego czy moduł DPI wykryje taką akcję jako osobny protokół po którym można by blokować. Chociaż wydaje mi się, że wykryje je jako zwykły tuch http/https, zatem bardziej prawdopodobna jest negatywna odpowiedź na twoje pytanie.
Proxmox VE: i7-7700T, 48GB RAM, 3x2TB SSD, 1x1TB SSD, 512GB NVMe, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology DS920+
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
 
likeedge
tego się obawiałem, dzięki za odpowiedź Smile
 
Przejdź do forum
Zaloguj
Wprowadź adres e-mail lub nazwę użytkownika

Hasło



Nie masz jeszcze konta? Zarejestruj się.

Zapomniałeś/aś hasła?
Aktualnie online
· Gości online: 6

· Użytkowników online: 0

· Łącznie użytkowników: 24,115
· Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.

shibby
12-02-2024 11:03
MTU zależy od typu połączenia. Inne jest dla połączenia kablowego inne dla wdzwanianego (pppoe)

PanRatio
11-02-2024 10:02
Jak podłączę Funboxa6 do światłowodu, to ma MTU 1540, a we FreshTomato max to MTU 1500 i samo zmienia na 1492. Tak ma być?

tamtosiamto
04-02-2024 10:36
jakby cos, to mam w dobrej cenie dir868l juz przerobiony na AC66U_B1 Grin i ac56u przerobiony na ac68u(dziala aimesh) tyle ze z wlacznikiem na zapalke Smile

Adooni
03-02-2024 10:36
widze ze oba sa na aledrogo i u nas mozesz sprawdzac w dziale sprzedam

Adooni
03-02-2024 10:34
zakladam że mowisz o używkach masz np Asus RT-AC56U, D-Link DIR-868L (jak go nie przerobisz na Asus RT-AC66U_B1) to FT ma specialny build nvram 32k)

vechio
01-02-2024 09:29
Cześć, czy istnieje jakiś 'odpowiednik'
; WNR3500Lv2 z 5GHz i z TYLKO wewnętrznymi antenami + ze wsparciem dla FreshTomato?

tamtosiamto
29-01-2024 21:59
to linux, raczej nie masz tak duzego, ktorego nie obsluzy

RaTaJ
28-01-2024 23:08
Dzień Dobry jaki max dysk USB można podłączyć pod NetGear WNRL3500Lv2?

Adooni
01-01-2024 09:44
Wszystkiego najlepszego w nowym roku. Jaka macie sprawdzoną antenkę do E3372S?

Adooni
25-12-2023 08:34
ja kupilem ale ostatecznie oddalem i wzialem Cudy WR3000. Bardzo dobrze dziala z OpenWRT zabawy jest z wi-fi aby znalesc kanal ktory dziala na 160. Nowyszy HW w porownaniu do x6 i 2 razy mniejszy

69,676,480 unikalnych wizyt