Linux Router Project

[daewoo]

Ciao ragazzi,
ho novità che riguardano il discorso che facevo sul router della parrocchia.
Il router è un pirelli smart gate, quell'aggeggio rosso e nero di forma rotonda con una smart card inserita di lato (mamma mia che porcheria). qualcuno di voi 'lha mai visto all'opera?
Oggi ho provato a smanettarci un pò su, di fretta, e ho visto che collegandosi all'ip privato del router si accede ad un'interfaccia nella quale non si può fare assolutamente nulla se non cambiare il pin, che poi non so neppure a cosa serve. Addirittura il dhcp è bloccato, o lo usi o lo usi, e pure il nat è preimpostato e non si può cambiare. In pratica non si può aprire nessuna porta oltre quelle di default, pazzesco.
Stasera ho fatto una ricerca su google e mi sono imbattutto in un thread di gente incazzatissima che ha questo tipo di router. Pare addirittura che senza questo suddetto router la linea adsl non è possibile connettersi ad internet, il tutto è bloccato.
Forse ci potrebbe essere un altro indirizzo privato che permette di accedere alla configurazione, ma lo devo provare.
A quanto pare l'ipotesi di implementare un firewall linux sta tramontando.....

vi farò sapere, se avete notizie in merito postate pure!

ciao

[Cemb]

Mah, è un aggeggio molto diffuso, anche se non l'ho mai avuto per le mani.

Comunque perchè dici che non si può usare un altro dispositivo per collegarsi? Onestamente qualsiasi modem va bene, una volta che la linea è attiva e il modem supporta il corretto protocollo (pppoe o pppoa).
In bocca al lupo!

[daewoo]

tutti gli essere normali su questa terra lo penserebbero, ma vatti a dare un'occhiata a questo thread e poi dimmi che ne pensi!

http://www.officialsm.net/blog/index.php?itemid=22

ciao cemb

[Cemb]

In effetti sembra proprio una schifezza.. immagino fra l'altro che non avrà minimo supporto sotto linux..
Brava telecom..

[daewoo]

Scusate lo sfogo un pò OT ma è incredibile che la Telecozz spacci un router e una linea adsl come business, e poi il cliente non ha il minimo controllo sul servizio, ma intendo le cose minime. Se voelssi aprire un servizio particolare? come il controllo remoto, oppure un server ftp? Penso che queste esigenze in azienda siano piuttosto frequenti......
Poi se pensiamo al fatto che senza quel router la linea non funziona, allora raggiungiamo l'inverosimile!!!!!!!!!

scussate ancora....

P.S.:spero che qualcuno apra quel router come na cozza e capisca il meccanismo per settarlo come si deve....


ciao ciao

[Cemb]

Mah, secondo me con un po' di pazienza qualcuno che apre il router e lo concia per le feste si trova! vedi solo quello che sono riusciti a fare con i vari Alcatel Speed touch trasformati da modem a router..

Comunque secondo me non possono bloccarti la linea costringendoti a usare un preciso apparecchio.. Bisognerebbe prendere un altro router e provare a configurarlo con i giusti parametri per gestire la connessione. Secondo me "se po' ffà", e qualcuno prima o poi lo farà..

Figurati che volevo passare a un modem ethernet (poi mi sono tenuto l'ottimo USB) e telecom voleva 80 euro per cambiarmi modem e protocollo (da pppoa a pppoe), mentre tutti i modem ethernet viaggiano benissimo su pppoa.. mah!

Byez!

[magiufi]

Purtroppo non si può; con un altro router senza smart card la linea non funziona.
da un cliente che c'era l'esigenza di assistenza remota sul server abbiamo dovuto chiedere il cambio di linea.
Pensate che era un cliente che lavorava per telecom, vendono l'adsl e proprio per loro si sono fatti dare una schifezza

[Cemb]

Ma che tristezza! è allucinante!!
Ma almeno in fase di contratto ti spiegano 'sta cosa?
E se uno dice di non volere il router in comodato d'uso e se lo compra da solo?

[dario79]

volevo delle info x un router x fastweb fibra

allora io la ho la fibra e alle fesserie che dicono che basta un pc con 2 nic e nat per poter collegare quanti pc vuoi in lan su fibra non ci credo più.

Le ho provate tutte tra cui un serverino con coyote linux o win 2003 server, mdk 10 ecc

il problema è che tali router lavorano ad un layer 3 ma il catalist cisco di fastweb si accorge comunque della presenza di altri pc e se non fa cadere la porta comunque rende la navigazione del tutto anomala e irregolare.

Ora sono con un router hardware dlink 604 e fa lo stesso.

Volevo sapere se esiste un modo in linux di fare un nat di più basso livello, che rimappi oltre che i vari ip anche i mac di appartenenza dei client.

Vi ringrazio molto.

TNX

[skazzo]

Quote:

Originariamente inviato da dario79
volevo delle info x un router x fastweb fibra

allora io la ho la fibra e alle fesserie che dicono che basta un pc con 2 nic e nat per poter collegare quanti pc vuoi in lan su fibra non ci credo più.

Le ho provate tutte tra cui un serverino con coyote linux o win 2003 server, mdk 10 ecc

il problema è che tali router lavorano ad un layer 3 ma il catalist cisco di fastweb si accorge comunque della presenza di altri pc e se non fa cadere la porta comunque rende la navigazione del tutto anomala e irregolare.

Ora sono con un router hardware dlink 604 e fa lo stesso.

Volevo sapere se esiste un modo in linux di fare un nat di più basso livello, che rimappi oltre che i vari ip anche i mac di appartenenza dei client.

Vi ringrazio molto.

TNX

se non sbaglio il problema è che il router, o meglio il concentratore dalle parti di fastweb si accorge che i TTL dei pacchetti inviati da casa tua sono differenti, quindi sa che ci sono0 più computer connessi.
Per fare in modo che i TTL siano tutti uguali bisogna agire sulla tabella MANGLE di iptables.
mi sa che devo farlo anche io perchè non riesco ad accedere a rosso alice, credo sia quello il problema...
trovati in giro per la rete:

Quote:

iptables -t mangle -A FORWARD -j TTL --ttl-inc 1
la regola rende invisibili le macchine alle quali il firewall inoltra i pacchetti ed è utile per confondere il "Passive OS Fingerprinting" oltre che ostacolare nel capire la reale struttura della rete

iptables -t mangle -I POSTROUTING -o $INTERNET -j ECN -p tcp --ecn-tcp-remove

Quote:

Con un piccolo trucchetto ho reso invece invisibile il server durante la fase di forward, facendolo sparire anche dai traceroute. In pratica nella tabella mangle del canale di prerouting ho aggiunto una regola che incrementa di uno il TTL di tutti pacchetti in transito.

$IPTABLES -t mangle -A PREROUTING -j TTL --ttl-inc 1

oppure si può utilizzare --ttl-set per dare sempre lo stesso ttl aiu pacchetti in uscita....

forse mi sbaglio, ma è un tentativo!

bye

[dario79]

papà linux permette di fare sempre tutto....

il fatto che sono un pochino niubbo....

raga possibile che un router hardware non basti?

inoltre avete un link o qualcuno che sia disposto a spiegarmi grosso modo la procedura di configurazione?

attendo anime pie magari in pvt

grazie mille ragazzi

[mingotta]

E' uscita la versione STABILE di IPCop 1.4.0!!!!

La sto provando ora e devo dire che rispetto alla 1.3 ci sono un sacco di migliorie:
il maggior numero di modem adsl riconosciuti:

utilizzo del disco fisso e della memoria in percentuali e con grafico carino:

grafico del traffico di rete carino:

possibilità di creare delle fixed-leases sul dhcp server (in modo che alcuni mac address ottengono sempre lo stesso indirizzo IP dal dhcp server di IPCop):

il client di dns dinamico è compatibile con un sacco di dyndns providers:

possibilità di inserire entries nell'/etc/hosts dall'interfaccia web anzichè dalla command line interface.

Traffic shaping!! Questo è da provare, sicuramente sarà utile alle ditte/uffici che devono limitare/impedire il traffico p2p.

Possibilità di attivare Snort (Intrusion detection system) sia sull'interfacci di rete pubblica (RED) che su quella privata (GREEN), e possibilità di scaricare ed installare con un click il ruleset di Snort aggiornato.

Pieno supporto per reti wireless (non testato, perchè non ho nulla di wireless)

il supporto per le VPN dovrebbe essere abbastanza avanzato visto che ce l'hanno dalla 1.3.0:

Cmq hanno rinnovato pure il sito ufficiale: http://www.ipcop.org , sul quale potete trovare un sacco di info in più. Può darsi che passerò da ClarkConnect ad IPCop, tempo permettendo. Ciao!

[dario79]

leggi 2 righe più su il mio 3d


secondo te con questo ipcop riesco a nascondere in quanto firewall/router una lan di 10 pc all'hag di fastweb???
un semplice nat non basta purtroppo


tnx

[mingotta]

Non ho avuto il tempo di guardare bene, ma stai sicuro che non è una questione di IPCop o chissà quale altra distribuzione di linux. La cosa la dovresti risolvere con iptables, perciò dai un'occhiata qui: http://www.google.com/search?q=ttl+m...utf-8&oe=utf-8

e vedi un po' tu. qnd torno gli do un'occhiata meglio anch'io!
ciao

[Cemb]

il fixed lease c'era già sulla 1.3 !

Comunque grazie della segnalazione, se lo provi facci sapere come va!
BYEZ!

[mingotta]

Quote:

Originariamente inviato da Cemb
il fixed lease c'era già sulla 1.3 !

Forse c'era su IPFrog, ma non su IPCop ufficiale.
C'era come addon.

Molte delle nuove features erano cmq già apparse come addons.

[magiufi]

Quote:

Originariamente inviato da Cemb
Ma che tristezza! è allucinante!!
Ma almeno in fase di contratto ti spiegano 'sta cosa?
E se uno dice di non volere il router in comodato d'uso e se lo compra da solo?

Ti danno un altro tipo di abbonamento
ciao

[Cemb]

Quote:

Originariamente inviato da mingotta
Forse c'era su IPFrog, ma non su IPCop ufficiale.
C'era come addon.

Molte delle nuove features erano cmq già apparse come addons.

Ma sei sicuro?

Io lo usavo per non incasinarmi la configurazione di samba della mia LAN.. preferivo avere gli ip fissi per i due pc desktop, e li assegnavo ai MAC delle loro schede di rete già con ipcop 1.3...

IpFrog è una scoperta relativamente recente..

[mingotta]

Per Dario79

Dovresti guardare qui:
http://www.fifi.org/doc/iptables-dev...O-4.html#ss4.7
Ti dice come settare il TTL di tutti i pacchetti ad un valore da te specificato, ad esempio

# iptables -t mangle -A POSTROUTING -j TTL --ttl-set 126
aggiunge alla catena del POSTROUTING (cioè appena prima che i pacchetti escano dal router) la regola di settare a 126 il TTL di tutti i pacchetti in uscita.

Con questo comando vedi il TTL che la tua linux box imposterà sui pacchetti generati da se stessa: cat /proc/sys/net/ipv4/ip_default_ttl

In questo modo i router di fastweb che fanno un controllo del TTL dei pacchetti che fuoriescono dalla tua interfaccia di rete "pubblica" vedranno sempre lo stesso TTL.

Non essendo un esperto di iptables, ti rinvio al sito ufficiale di Netfilter: www.netfilter.org, dove dovresti trovare un sacco di info.

Leggi inoltre questo thread su ipcops.net: http://www.ipcops.net/index.php?name...ghlight=mangle
In poche parole dice che su IPCop 1.3 non è presente il modulo del kernel iptables_mangle.o perciò non c'è niente da fare.
Sulla 1.4 (appena sfornata) c'è.
Su ClarkConnect 2.2 c'è:

Codice:

# lsmod | grep mang
iptable_mangle          2808   0  (autoclean) (unused)
ip_tables              15776  11  [ipt_state ipt_REDIRECT ipt_owner ipt_MASQUERADE ipt_REJECT ipt_LOG iptable_mangle iptable_nat iptable_filter]

Fai un po' di prove. A me non mi funziona il comando citato sopra. Non ho capito perchè, e magari tu, che sei più motivato, potrai dirci qualcosa in più!!
Ciao

[dario79]

grazie mille dell'interessamento

appena posso ci smanetto un po'!

tnx