|
Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
| autor |
|
vaegkuulja
Aeg maha 30
liitunud: 08.11.2007
|
30.01.2009 16:39:34
Linksys WRT54GL |
|
|
Selgus selle aparaadiga selline paha lugu, et "access restrictions" (siis reeglid mis peaksid blokeerima välja algatatud sessioone) ei suuda vahet teha sessiooni algatuse ja reply-pakettide vahel ja seda isegi TCP puhul. Enamasti huvitab tulemüüride reeglite puhul ikka sessiooni algatamise source-destination aadressid, mitte aga reply paketid.
Rumalamad tulemüürid tavaliselt ei oska tõesti vahet teha UDP pakettide puhul, kuna ei jäta meelde. TCP puhul aga polegi tulemüüril mällu meelde jätmist tarvis kuna sessiooni initsialiseerimine on TCP paketi sees. Linksys aga ei oska sedagi. Firmware on momendil Tomato, kuid tõenäoliselt on sama lugu ka teiste firmwaredega. Võrdluseks näiteks CheckPointil või Winroutel sellist ämbrit ei esinenud kunagi.
|
|
| Kommentaarid: 4 loe/lisa |
Kasutajad arvavad: |
   |
:: |
2 :: |
0 :: |
1 |
|
| tagasi üles |
|
 |
Absona
Lõuapoolik
liitunud: 17.09.2008
|
|
| Kommentaarid: 11 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
0 :: |
8 |
|
| tagasi üles |
|
|
vaegkuulja
Aeg maha 30
liitunud: 08.11.2007
|
|
01.02.2009 17:39:34
|
|
|
| Absona kirjutas: |
| Ja milles probleem on? |
Probleem on selles, et reeglid ei tee vahet sessiooni algatuse ja reply pakettide vahel nii UDP kui TCP puhul. Võid ise ette kujutada mis kasu sellistest reeglitest olla saab üldse. Reply paketid võivad joosta suvalist porti pidi ning tavaliselt nende järgi reegleid teha ei huvita kedagi. Vähegi normaalsemate tulemüüride reeglid toimivad alati ainult sessiooni algatanud souce-destination ip'de ja portide järgi. TCP'l on see kirjas paketisiseselt, UDP puhul peab tulemüür ise logi sessiooni kohta. CheckPointil on lisaks tõesti võimalus piirata ka ainult reply pakette otse, ilma sessiooni arvestamata, kuid seda läheb tarvis väga harva ja erandjuhtudel.
Lisaks muidugi on normaalsetel tulemüüridel ka layer7 inspekteerimine (vastavalt protokollile avatakse automaatselt ajutised pordid antud sessiooni tarbeks), kuid see selleks, seda ma ei loodagi sellelt müürilt. Seega ilma layer7'ta ei saa isegi FTP'd selle tulemüüriga kasutada, mis samuti vajab dynaamilisi lisaporte tööks. Kuid tundub et sellel isendil puudub juba layer5 tugi ka.
|
|
| Kommentaarid: 4 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
0 :: |
1 |
|
| tagasi üles |
|
|
comcute
HV kasutaja
liitunud: 09.11.2001
|
|
01.02.2009 17:41:38
|
|
|
Ja milles WRT54GL süüdi on?
Panid Tomato fw peale, mis ei tee seda, mida sul vaja on. Pane siis mingi teine normaalsem fw või parem veel, koosta ise netfilter reeglid.
_________________
Show someone an MS OS if they've never seen a computer, and see how surprised they are that you turn it off by going to the start button. |
|
| Kommentaarid: 11 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
0 :: |
9 |
|
| tagasi üles |
|
|
vaegkuulja
Aeg maha 30
liitunud: 08.11.2007
|
|
01.02.2009 21:37:51
|
|
|
| comcute kirjutas: |
Ja milles WRT54GL süüdi on?
Panid Tomato fw peale, mis ei tee seda, mida sul vaja on. Pane siis mingi teine normaalsem fw või parem veel, koosta ise netfilter reeglid. |
Kas väidada et originaal FW'ga on asi parem selle koha pealt? Või kas üldse on olemas sellele mõnda targemat firmware. Usun et kõiki WRT54GL omanikke huvitaks see. Antud seadme spetsifikatsioonidest igaljuhul polnud võimalik välja lugeda mis layer seadmega üldse tegemsit on ning ka 3rd-p fimwarede kohta puudub selline info. Saan aru et firmadele sellist plastmassi ei soovita, kuid koduseadme jaoks tahaks ka ikka teada, mingit raha asja eest ju ikka sai käidud.
|
|
| Kommentaarid: 4 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
0 :: |
1 |
|
| tagasi üles |
|
|
HacaX
HV Guru
liitunud: 22.01.2004
|
|
03.02.2009 14:19:28
|
|
|
Äkki on kogu probleem müürimisega tegeleva softijupi puudulikus konfis (iptables või mis iganes kasutusel seal ongi)? Kui WWW liidese kaudu mõistlikke/toimivaid reegleid püsti panna ei õnnestu siis äkki otse ruutrisse logida ja seaded paika ajada.
_________________
IMO & GPLed |
|
| Kommentaarid: 24 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
0 :: |
22 |
|
| tagasi üles |
|
|
vaegkuulja
Aeg maha 30
liitunud: 08.11.2007
|
|
03.02.2009 14:33:17
|
|
|
| HacaX kirjutas: |
| Äkki on kogu probleem müürimisega tegeleva softijupi puudulikus konfis (iptables või mis iganes kasutusel seal ongi)? Kui WWW liidese kaudu mõistlikke/toimivaid reegleid püsti panna ei õnnestu siis äkki otse ruutrisse logida ja seaded paika ajada. |
Millised seaded? Kas arvad et seadete muutmine muudab müüri mõne layeri võrra targemaks seadmeks? Siin oleks rohkem nagu programmeerimist vaja ning kuna kõrgema layeri tarkvara võtaks loomulikult ka rohkem ruumi, siis ei mahuks see ka tõenäoliselt mällu ära (võibolla mahuks ka). Teine asi mida ka kusagilt nende koduseadmete kohta välja lugeda ei õnnestu, on NAT'i tegemise portide vahemik (peaks olema kusagil ülemises otsas). Seda oleks ka kasulik teada, et vältida wan-otsa teenuseid mis samadele portidele tahavad saata.
|
|
| Kommentaarid: 4 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
0 :: |
1 |
|
| tagasi üles |
|
|
HacaX
HV Guru
liitunud: 22.01.2004
|
|
03.02.2009 17:04:05
|
|
|
Needsamad reeglid mille toimimasaamine sul praegu ei õnnestu. Avapostist loen vähemalt mina välja nagu piirduks su senine tegutsemine WWW liidese Access Restrictions lehega, seega ka uitmõte: logi SSH/telneti vahendusel ruutrisse ja anna seal oma käsud. Et äkki polegi viga otseselt seadmes endas vaid webUIs mis sinu antud parameetreid korralikult edasi ei anna (või siis annab, aga mingi lisavõtme mida sina UI kaudu määrata ei saa jätab lisamata). Konsoolis ise netfiltrile käskude söötmisega oleks see variant välistatud.
_________________
IMO & GPLed |
|
| Kommentaarid: 24 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
0 :: |
22 |
|
| tagasi üles |
|
|
vaegkuulja
Aeg maha 30
liitunud: 08.11.2007
|
|
03.02.2009 17:24:20
|
|
|
| HacaX kirjutas: |
Needsamad reeglid mille toimimasaamine sul praegu ei õnnestu.
|
Ma ei saa öelda, et ei õnnestu, kuna ma ju ei teagi mida see karp peab ja ei pea tegema. Kui ei pea tegema, siis polegi mingit probleemi ja lendab ilma pikema mõtlemata prügikasti (müün maha), ega see siis ainus müür maamunal pole.
Lihtsalt tahan teada mida masin võimaldab juba müümise pärast (et mitte valetada ostjale).
| HacaX kirjutas: |
Avapostist loen vähemalt mina välja nagu piirduks su senine tegutsemine WWW liidese Access Restrictions lehega, seega ka uitmõte: logi SSH/telneti vahendusel ruutrisse ja anna seal oma käsud.
|
Jah, kasutasin "Access Restrictionit". Ma parem kasutan siis juba paremat müüri, milleks jamada ja aega raisata, et teha tootest midagi milleks ta pole ette nähtud. Ma ainult ei tea täpselt milleks ta on või pole.
| HacaX kirjutas: |
Et äkki polegi viga otseselt seadmes endas vaid webUIs mis sinu antud parameetreid korralikult edasi ei anna (või siis annab, aga mingi lisavõtme mida sina UI kaudu määrata ei saa jätab lisamata). Konsoolis ise netfiltrile käskude söötmisega oleks see variant välistatud. |
Et siis layer4 pealt saab minna layer5 peale ainult võtmetega. No ma ei tea, kuidagi raskesti usutav, justkui varjatud või blokeeritud lisavõimalused. Layer5 peab ju UDP sessioonide kohta logi pidama, ei kujuta ette et võti seda teha võiks.
|
|
| Kommentaarid: 4 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
0 :: |
1 |
|
| tagasi üles |
|
|
nah
HV veteran
liitunud: 17.02.2006
|
|
03.02.2009 17:48:26
|
|
|
| otseselt ei tea kas abi on, aga võid ju ddwrt-d ka proovida...
|
|
| Kommentaarid: 150 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
141 |
|
| tagasi üles |
|
|
vaegkuulja
Aeg maha 30
liitunud: 08.11.2007
|
|
03.02.2009 18:08:02
|
|
|
| nah kirjutas: |
| otseselt ei tea kas abi on, aga võid ju ddwrt-d ka proovida... |
Mul käis ka see mõte et äkki on tõesti Tomato kala. Samas foorumites kõik ainult kiidavad ja isega miskit halba pole öeldud. Võibolla ka et polegi keegi "access restrictionit" kasutanud (eks ta üks lahja asi nagunii, kuna reeglitel pole ju prioriteete - ei saa reegleid järjestada). Mul ta momendili juba töötab ja hästi ei viitsiks uuesti dd-wrt't peale panna ja katsetada. Samas on ka väga tõenäoline et see "access restriction" on jäetud samaks, kuna firmwared pole ju nullist tehtud vaid ikka originaali baasil. Muidu sel Tomatol on kaks väga suurt eelist teiste firmwaredega (huvitab isegi rohkem kui need reelgil üldse) - tal saab port-forwardis määrata ka source IP-aadrees ning teiseks on tal QoS ka download-trafficu tarbeks (saab panna scriptiga mille saab eraldi teha ühe utiliidiga).
p.s. no aga naljakas on ikka see et foorumites kõik nikerdavad sellele isendile aga firmwaresi ja loendatakse uusi võimalusi, kuid kõige tähtsam unustatakse ikka mainimata - et mis tyypi riistapuuga üldse tegemist on. Aga eks tootjad ise on ka nii laisad et sellist asja ei viitsita kirja panna. Muidugi põhjus on ka selles, et need kodukasutuse ruuterid ei vastagi mingile standardile, kuna näiteks mingi funktsioon on layer7, mingi layer3 jne. Tomatol on ka layer7 ainult selles p2p sikutamise filtris, kuid portforwardimises ja tulemüürireeglites pole. Korralikel riistadel algab üldse specis jutt ala "full layer7" jne.
|
|
| Kommentaarid: 4 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
0 :: |
1 |
|
| tagasi üles |
|
|
comcute
HV kasutaja
liitunud: 09.11.2001
|
|
04.02.2009 13:59:55
|
|
|
See, mis tüüpi riistapuu on, ei oma erilist tähtsust. Loeb seal peal oleva tarkvara poolt pakutavad võimalused. Originaal ja sellel baseeruvad selles osas kehvakesed. OpenWRT poolt pakutavad võimalused on praktiliselt piiramatud, kui vaid ressurssi jätkub. Omades pakihaldussüsteemi, võid midaiganes sinna peale lasta/maha võtta ja seda töötava süsteemiga. Kõik sinu poolt tahetud võimalused on olemas ja nende kasutamine nõuab oskusi seda teha. Kui sul on vaja mingisugust lihtsat kasutajaliidest, kust kõike seda on võimalik lihtsate valikute näol teha, siis sa oled totaalselt vale hinnaklassi seadme ostnud.
_________________
Show someone an MS OS if they've never seen a computer, and see how surprised they are that you turn it off by going to the start button. |
|
| Kommentaarid: 11 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
0 :: |
9 |
|
| tagasi üles |
|
|
vaegkuulja
Aeg maha 30
liitunud: 08.11.2007
|
|
04.02.2009 19:43:46
|
|
|
| comcute kirjutas: |
| See, mis tüüpi riistapuu on, ei oma erilist tähtsust. Loeb seal peal oleva tarkvara poolt pakutavad võimalused. Originaal ja sellel baseeruvad selles osas kehvakesed. OpenWRT poolt pakutavad võimalused on praktiliselt piiramatud, kui vaid ressurssi jätkub. Omades pakihaldussüsteemi, võid midaiganes sinna peale lasta/maha võtta ja seda töötava süsteemiga. Kõik sinu poolt tahetud võimalused on olemas ja nende kasutamine nõuab oskusi seda teha. Kui sul on vaja mingisugust lihtsat kasutajaliidest, kust kõike seda on võimalik lihtsate valikute näol teha, siis sa oled totaalselt vale hinnaklassi seadme ostnud. |
Kasutajaliidest pole üldse vaja mingit (paari pordi suunamiseks), vaja oleks ainult layer7 firmwaret.
Kuid huvitav miks siis pole tehtud vastavat ("piiramatute võimalustega") firmwaret sellele webiliidesele zero-seadistamise vajadusega?
| comcute kirjutas: |
See, mis tüüpi riistapuu on, ei oma erilist tähtsust. Loeb seal peal oleva tarkvara poolt pakutavad võimalused.
|
Sul on ka ikka hea jutt. Ma lähen poodi ja küsin müüjalt, et mis seade see on ja mida see võimaldab. Müüja ütleb siis et sel pole üldse tähtsust mis asi see on, tähtis on ainult see et elektroonika suudab paljusid asju teha. Vaata, mind ei huvita loetelu sellest mida tarkvara võimaldab tulevikus või praegu, mind huvitab just see konkreetne seade ja tema võimalused.
|
|
| Kommentaarid: 4 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
0 :: |
1 |
|
| tagasi üles |
|
|
|
:: KKK
:: otsing 
:: statistika
:: kasutajate nimekiri
:: kasutajate grupid
:: registreeri
teata moderaatorile
