DLink G604T to Routertech

[dacorsa]

ciao,

allora, come distro uso da 2 anni quasi sidux, è eccezzionale!

http://sidux.com/


qui la prendi:

ftp://debian.tu-bs.de/project/sidux/release/

per entrare da win a linux uso Putty in ssh

prova sidux fammi sapere!

[DarkWolf]

Grazie dacorsa ma per adesso mi va bene ubuntu (è sempre una debian based e ci so smanettare bene).
Comunque lo chief m'ha mandato i pacchetti da compilare ed ho appena finito di decomprimere il filesystem...
Iniziano le danze

[H-ZiCO]

Quote:

Originariamente inviato da DarkWolf

Grazie dacorsa ma per adesso mi va bene ubuntu (è sempre una debian based e ci so smanettare bene).
Comunque lo chief m'ha mandato i pacchetti da compilare ed ho appena finito di decomprimere il filesystem...
Iniziano le danze

beh aspettiamo di vedere la fine dei tuoi lavori con impazienza..
vorrei solo che qualcuno mi rispondesse alla domanda relativa alle impostazioni del firewall che mancano nel firmware rotuertech 2.3mod e che vorrei sapere se proprio in codesto firmware vengono attivate di default (in maniera "nascosta" ) oppure mancano proprio o se ci sono altre impostazioni che garantiscono cmq la sicurezza..

riposto img relative a tali opzioni..

[dacorsa]

Quote:

Originariamente inviato da DarkWolf

Grazie dacorsa ma per adesso mi va bene ubuntu (è sempre una debian based e ci so smanettare bene).
Comunque lo chief m'ha mandato i pacchetti da compilare ed ho appena finito di decomprimere il filesystem...
Iniziano le danze

anche sidux è una derivata debian!

ciao

provala è na figata! sopratutto lo script smxi che aggiorna la distro non considerando i pacchetti corrotti (break) da debian!

ciao

[PGR79]

ciao a tutti, sto leggendo pagine e pagine arretrate di questo thread per farmi uno storico, tra breve passero' il mio 604 dal V3 al 2.3 by DW, quindi facile che vi debba tornare a rompere le scatole per ora complimenti !!

[cicala]

Quote:

Originariamente inviato da H-ZiCO

....vorrei solo che qualcuno mi rispondesse alla domanda relativa alle impostazioni del firewall che mancano nel firmware rotuertech 2.3mod e che vorrei sapere se proprio in codesto firmware vengono attivate di default (in maniera "nascosta" ) oppure mancano proprio o se ci sono altre impostazioni che garantiscono cmq la sicurezza..

riposto img relative a tali opzioni..

ci vorrebbe qualcuno esperto di iptables...
queste dovrebbero essere le impostazioni di default del routertech:

Codice:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere           state RELATED,ESTABLISHED 
DROP       all  --  anywhere             anywhere           

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
TCPMSS     tcp  --  anywhere             anywhere           tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU 
ipaccount  all  --  anywhere             anywhere           
ACCEPT     all  --  anywhere             anywhere           state RELATED,ESTABLISHED  
TCPMSS     tcp  --  anywhere             anywhere           tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU 
DROP       all  --  anywhere             anywhere           

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       icmp --  anywhere             anywhere           icmp destination-unreachable 
DROP       icmp --  anywhere             anywhere           state INVALID 

Chain ipaccount (1 references)
target     prot opt source               destination         
           all  --  anywhere             anywhere           account: network/netmask: 192.168.1.0/255.255.255.0 name: mynetwork short-listing

@DarkWolf
se non l'hai ancora compilato ci metti questi due script che mi parevano carini:
http://www.hwupgrade.it/forum/showpo...postcount=3748
ovviamente togli usb
e aggiusta il num di connessioni

[Stev-O]

manca la parte nat e le catene di inspecting sempre che ci sia il modulo o a meno che non siano integrate nel kernel come natloopback suppongo

[DarkWolf]

Quote:

Originariamente inviato da cicala

@DarkWolf
se non l'hai ancora compilato ci metti questi due script che mi parevano carini:
http://www.hwupgrade.it/forum/showpo...postcount=3748
ovviamente togli usb
e aggiusta il num di connessioni

Certo!
Tutto quello che avete da inserire
PS comunque per info metterò dsp 7.5 (siete d'accordo?)

[cicala]

Quote:

Originariamente inviato da Stev-O

manca la parte nat e le catene di inspecting sempre che ci sia il modulo o a meno che non siano integrate nel kernel come natloopback suppongo

sarebbe questo?

Codice:

/var # /usr/local/bin/show_nat_settings.sh
cat /proc/sys/net/ipv4/netfilter/ip_conntrack_max
12289
cat /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close_wait
60
cat /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established
1200
cat /proc/sys/net/ipv4/netfilter/ip_conntrack_generic_timeout
120
cat /proc/sys/net/ipv4/netfilter/ip_conntrack_icmp_timeout
30
cat /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_be_liberal
0
cat /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_loose
3
cat /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_max_retrans
3
cat /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close
5
cat /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_fin_wait
120
cat /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_last_ack
30
cat /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_max_retrans
300
cat /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_syn_recv
60
cat /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_syn_sent
120
cat /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_time_wait
60
cat /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout
30
cat /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout_stream
180

bah.. potresti rispondere tu a H-ZiCO visto che ne hai le competenze

[cicala]

Quote:

Originariamente inviato da DarkWolf

Certo!
Tutto quello che avete da inserire
PS comunque per info metterò dsp 7.5 (siete d'accordo?)

SI! (potresti lasciare anche i 6 giusto per scaramanzia... )
allora provo a preparare anche uno script per montare partizioni cifs all'avvio (visto che la stringa necessaria è troppo lunga per stare su adam2 )

[DarkWolf]

Quote:

Originariamente inviato da cicala

SI! (potresti lasciare anche i 6 giusto per scaramanzia... )
allora provo a preparare anche uno script per montare partizioni cifs all'avvio (visto che la stringa necessaria è troppo lunga per stare su adam2 )

Ovvio! 6.2+7.5 (annexA & annexB).
Default quale dei due???
PS io ho già i 4 filesystem separati e decompressi... insomma il grosso è fatto

[Stev-O]

Quote:

Originariamente inviato da cicala

sarebbe questo?

Codice:

/var # /usr/local/bin/show_nat_settings.sh
cat /proc/sys/net/ipv4/netfilter/ip_conntrack_max
12289
cat /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close_wait
60
cat /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established
1200
cat /proc/sys/net/ipv4/netfilter/ip_conntrack_generic_timeout
120
cat /proc/sys/net/ipv4/netfilter/ip_conntrack_icmp_timeout
30
cat /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_be_liberal
0
cat /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_loose
3
cat /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_max_retrans
3
cat /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close
5
cat /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_fin_wait
120
cat /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_last_ack
30
cat /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_max_retrans
300
cat /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_syn_recv
60
cat /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_syn_sent
120
cat /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_time_wait
60
cat /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout
30
cat /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout_stream
180

bah.. potresti rispondere tu a H-ZiCO visto che ne hai le competenze

mmm no quelli sono i parametri integrati nel vanilla

per vedere l'iptables completo devi fare:

# iptables -t filter -nL -v
# iptables -t nat -nL -v
# iptables -t mangle -nL -v (che probabilmente sarà vuota)

ma gli conviene mettere le regole usando il filtro web perchè da linea tra l'altro le dovrebbe salvare
solo che adesso il router non ce l'ho, non è mio

io ti posso copincollare le regole iptables che ho su questo ma è tutto da vedere se l'eseguibile è stato compilato con tutti i moduli psd filter ecc ...

[H-ZiCO]

beh grazie delle delucidazioni..
contento veramente..
e anche darkwolf mi ha dato info riguardo a questa mia curiosità giustamente spiegandomi che questi valori relativi alle impostazioni del firewall sono stealthed su rt firmware dunque se ho capito bene sono già integrati nelle iptables..

una piccola curiosità,ma io avendo annex A posso cmq usare i dsp 7.5?
sul firmware v.3.02 ultimo RU c'erano appunto i driver 7 (atm e dsp se n sbaglio) e nn avevo problemi sul mio annex a (dlink g604t)..

in ultimo
è logico usare di default i 7.5 dsp ma come scritto per scaramanzia mettere pure i 6 (nn si sa mai)..

relativo a :
cat /proc/sys/net/ipv4/netfilter/ip_conntrack_max
12289
penso che il valore venga lasciato uguale o aumentato sul nuovo firmware rt 2.5 darkwolf mod?


@ stev-o
la mia richiesta è semplicemente capire se nel firmware rt 2.3 vi sono integrati i valori da me allegati presenti appunto nel firewall dei firmware dlink..

in ultimo:
la sezione ipfilter del firmware rt può essere suddivisa in altrettante sottosezioni una ad esempio per il traffico inbound e un altra per il traffico outbound? (come ad esempio per Dlink DSL-2640B che ha un ipfilter diviso così)...
ad esempio io ho necessità a bloccare la porta 21 del mio traffico in entrata,mentre abilitare sempre la porta 21 per quello in uscita..
(praticamente nn voglio che la mia porta 21 sia accessibile dall'esterno mentre posso usarla per collegarmi via ftp ai vari hosting e usando ipfilter di firmware rt nn riesco mica a settare soddisfando questa mia esigenza)..

x chi interessa :
a questo link ci sono emulatori dei vari prodotti dlink accessibili via web ( un po come il demo di darkwolf per i firmware rt)..

[Stev-O]

http://img177.imageshack.us/my.php?i...agine22oh0.jpg

mi sa di no a meno che non siano impostati in automatico
il router non era mio già è tanto se l'ho sventrato cambiando fw

ad ogni modo puoi leggere lo stato del firewall da uno dei menu di info o direttamente da linea come sopra

sinceramente non mi sono posto il problema perchè dovevo verificare anche altre cose, tanto giacchè le opzioni non sono parametrizzabili avevo disattivato tutti gli inspecting

ad ogni modo poco male, il vantaggio principale del rt è che migliora la parte modem, e soprattutto compensa l'oscillazione della portante wireless migliorando il segnale mettendo in modalità americana: quello è prob il punto di forza

[cicala]

Quote:

Originariamente inviato da cicala

...allora provo a preparare anche uno script per montare partizioni cifs all'avvio (visto che la stringa necessaria è troppo lunga per stare su adam2 )

come non detto... l'unica maniera che mi viene in mente è mettere le variabili (user,pass,server) su stringhe diverse di adam2 e poi reinviarle ad un unico comando... ma allora tanto vale avere la partizione minix e mettere li il comando per montare il cifs...

Quote:

Originariamente inviato da Stev-O

...ad ogni modo poco male, il vantaggio principale del rt è che migliora la parte modem, e soprattutto compensa l'oscillazione della portante wireless migliorando il segnale mettendo in modalità americana: quello è prob il punto di forza

per non parlare del qos

[Stev-O]

il qos per ragioni filosofiche non lo ritengo una cosa prioritaria e non sono neanche stato li a smanettare: forse il padrone del router lo ha attivato visto che ci si collegano 10 persone
al massimo sentiro' da lui

pero' la parte wireless tira bene, con trasferimenti di file a bitrate elevato anche sotto carico e in modalità g

peccato solo che non sia proprio piatto come segnale e che tenda a fare le montagne russe: ma è una caratteristica di tutti gli ap dlink, probabilmente è l'alimentazione

si comportano alla stessa maniera il dwl2000 e il 2100 stessa "forma d'onda"

[LuCa_Urbo]

Ciao Ragazzi!

ho letto la maggior parte dei vostri post ma non ho trovato la soluzione al mio problema: qualche ora fa ho montato il firmware RouterTech sul mio fidato G604T. Il router funziona bene, nel senso che le sue funzioni sono tutte operative: il modem è connesso e in sync con la portante a valori piu che buoni, il dhcp è attivo e funzionante, ho attivato l'upnp sulla connessione ad internet attiva, la wireless funziona ed ha chiave di cifratura wpa.

I pc collegati al router sono 2: un fisso via wired ed un portatile via wireless, ed entrambi montano windows xp ed hanno impostato indirizzo ip dinamico.

Insomma, detto così sembra tutto ok, ma ho rilevato 2 grossi problemi: i pc non riescono a vedere le cartelle condivise tra loro, ed entrambi non riescono ad accedere via internet.

Quando ho montato il nuovo firmware all'inizio la connessione era partita, per bloccarsi poco tempo dopo: siccome non sono praticissimo nel'utilizzo di questo firmware ho tentato di ripristinarlo nuovamente tramite il pack routertech autoinstallante 2.3 in corrupted mode.

Spero che qualcuno di voi riesca a suggerirmi qualche soluzione, e per questo provo a proporne una io che fino a domani non riesco a provare: può essere un problema di files di configurazione "sporchi" in una cache? se uso Ciclamab e spazzo via tutto secondo voi c'è possibilità che riparta correttamente?

Accetto qualsiasi suggerimento! grazie mille a tutte le persone che leggeranno questo post e mi risponderanno!

[DarkWolf]

Allora raga...
Io praticamente ho finito!
Connessioni ok, config ok, usb rimossa, dsp & atm 6.2+7.5 AnnexA+AnnexB (def. 7.5A), mo metto gli script di cicala e mi sa che ci siamo...
Ho un grosso dubbio però...
Con la 2.3 feci parecchie modifiche all'interfaccia web, quà invece è già tutto come nella demo... quindi o ricordo male o il team routertech ha gradito le modifiche che feci alla mod...
Quale delle due???
@cicala: ricordi che la precedente stringa per dsp/atm era: ... && reboot.sh? O creato un simlink in modo che sia solo && reboot (senza sh)... prima della chiusura preferisci che metta altro?
-
Edit: questo http://www.hwupgrade.it/forum/showpo...postcount=4489
lo inserisco oppure no?

[H-ZiCO]

dark complimenti quindi domani si passa alle prove?

ah cmq vorrei sapere perchè se digito ftp://192.168.1.1 mi esce la richiesta di login relativo al mio router
infatti facendo un nmap verso il mio ip (da un altro ip si intende) unica porta aperta mi vede la porta 21 e come servizio il server proftpd
ma è normale?
o qualcosa nn va?

[cicala]

Quote:

Originariamente inviato da DarkWolf

Allora raga...
Con la 2.3 feci parecchie modifiche all'interfaccia web, quà invece è già tutto come nella demo... quindi o ricordo male o il team routertech ha gradito le modifiche che feci alla mod...

ti riesce di mettere l'orario del router visibile nella pag del log?
il comando è:

date +%k:%M:%S

Quote:

@ricordi che la precedente stringa per dsp/atm era: ... && reboot.sh? O creato un simlink in modo che sia solo && reboot (senza sh)...

basta che il simlink punti ad un reboot che smonti anche le partizioni (nel 2.3 sia /usr/local/bin/reboot.sh che /sbin/reboot lo fanno )

Quote:

prima della chiusura preferisci che metta altro?
Edit: questo http://www.hwupgrade.it/forum/showpo...postcount=4489
lo inserisco oppure no?

faceva il reboot del router quando cadeva la linea... ma mi sembra che la richiesta fosse solo da felixmara (bah... mettilo per lui )
(ci aggiungo le parti relative a cron così che si possa avviare direttamente da adam2)
i file sono due:
1) /usr/local/bin/rb_on_ct.sh

Codice:

#!/bin/sh
if echo "logger:status/log" | cm_cli_ex | grep "Connection terminated" > /dev/null
then
   /sbin/reboot.sh
else
fi

2) /usr/local/bin/check_ct.sh

Codice:

#!/bin/sh
#  ----------------------------------------------------
#  usage: check_ct.sh [hourly-interval] [minute-interval]
#         if no parameter is supplied, then a default interval of 4 hours is used
#     e.g,
#      check_ct.sh    = check every 4 hours
#      check_ct.sh 8  # check every 8 hours
#      check_ct.sh 0  # don't check at all
#      check_ct.sh 1 15  # check every 15 minutes of every hour
#  ----------------------------------------------------

# define the "cron" command
thecmd="/usr/local/bin/rb_on_ct.sh& >/dev/null 2>&1"

# call cronparms
. /usr/local/bin/cronparms.sh

EDIT avevo dimenticato di cambiare il nome del file nella parte commentata

probabilmente sarebbe corretto che in ogni script aggiunto o modificato tu mettessi una sorta di intestazione DWmod per distinguerli da quelli RT ....

Quote:

Originariamente inviato da H-ZiCO

..... ah cmq vorrei sapere perchè se digito ftp://192.168.1.1 mi esce la richiesta di login relativo al mio router
infatti facendo un nmap verso il mio ip (da un altro ip si intende) unica porta aperta mi vede la porta 21 e come servizio il server proftpd
ma è normale?
o qualcosa nn va?

stai parlando di un'accesso via lan o wan?
puoi controllare l'accesso qui http://darkwolf.altervista.org/demo/access-control.htm
192.168.1.1 -> questo è l'indirizzo del router!


@ coloro che hanno montato il RT 2.5
potreste fare un po di prove con il modulo rshaper con le seguenti opzioni e vedere se effettivamente fa lo shaping solo su in o out:

Quote:

SHAPING OUTGOING TRAFFIC
========================

As suggested above, in kernel 2.4 is possible to manage both incoming
and outgoing packets. The load-time parameter "mode" specifies
whether the module handles received packets, transmitted ones or both
directions. It is an integer parameter that can be set to:

0: Outgoing
1: Incoming (default)
2: 2 directions

other values make the module barf and refuse to load. For example, for
bidirectional shaping use:

insmod rshaper.o mode=2

When rshaper works in mode 2, the same bandwidth limit is enforced
for both directions.

Mode 2, bidirectional shaping, can be interesting for leaf computers
where you want to limit both download and upload speed. However, a
router should not use mode 2. When a packet is forwarded through the
router and matches a shaping rule, it will be shaped twice: both when
entering the computer and when leaving from it. This in practice
reduces the available bandwidth to less-than-half and reduses the
effective length of the queue.

We know how to fix the problem, but are reluctant to add computational
overhead for every packet, so the simple rule is: "routers should not
use mode 2, that would make no sense for them anyways".

perché a me non accettava l'opzione....
forse il buon DW potrebbe ricompilarlo