"железный" маршрутизатор
emark 15 декабря, 2007 - 20:16
Вот решил настроить внутриквартирную сетку (дети подрастают :). Подскажите, какой маршрутизатор лучше выбрать?
Думал на D-Link DI-604. Но вроде отзывы о нем не очень (греется, сбоит).
Еще интересует проброс портов с одной из машин наужу (в интернет) для удаленного доступа извне.
»
- Для комментирования войдите или зарегистрируйтесь
Cisco Catalist
Cisco Catalist полюбому )
________________________________________________________________________________________________
AMD64 X2 5200+ ASUS M2N-MX SE/ram 1Gb/chip video Nvidia 6150 SE/
Portage 2.1.2.11 (default-linux/amd64/2007.0, gcc-4.1.2, glibc-2.5-r4, 2.6.21-gentoo-r4
S
pk pk # uname -a Linux pk
Celeron 666.
Вот такое стоит. Справляется. Выполняемые функции:
И такой вот iptables на нём:
pk pk # cat MyScript/fierwall.sh #!/bin/sh LAN="eth0" # Очищаем и удаляем все цепочки iptables -F iptables -F -t nat iptables -X # Создаём политики по-умолчанию iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP iptables -t nat -P POSTROUTING ACCEPT # Включаем форвардинг ip в ядре. echo "1" > /proc/sys/net/ipv4/ip_forward # Разрешаем вхождение пакетов по l0 интерфейсу (выход пакетов разрешён по-умолчанию) iptables -A INPUT -i lo -j ACCEPT # Разрешаем вход пакетов от LAN, "форвардим" и "натим" их iptables -A INPUT -i $LAN -j ACCEPT iptables -A FORWARD -i $LAN -s 10.10.10.0/255.255.255.0 -j ACCEPT iptables -A FORWARD -o $LAN -d 10.10.10.0/255.255.255.0 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -t mangle -A PREROUTING -i $LAN -j TTL --ttl-set 64 iptables -t nat -A POSTROUTING -s 10.10.10.0/255.255.255.0 -j MASQUERADE # Разрешаем вход пакетов с признаком установленной связи, т.е. ответы на свои запросы iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # Разрешаем вход пакетов на свои запущенные сервисы # Quake3 iptables -A INPUT -p udp --dport 27960 -j ACCEPT # FTP iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT iptables -A INPUT -p tcp --dport 1024:1030 -j ACCEPT # Разрешаем вход по tcp с портов 20 и 21 для работы по FTP в качестве клиента в активном режиме iptables -A INPUT -p tcp --sport 20:21 -j ACCEPT #DC++ iptables -t nat -A PREROUTING -p tcp --dport 10100 -j DNAT --to-destination 10.10.10.8 iptables -t nat -A PREROUTING -p udp --dport 10100 -j DNAT --to-destination 10.10.10.8 iptables -A FORWARD -o $LAN -d 10.10.10.8 -p tcp --dport 10100 -j ACCEPT iptables -A FORWARD -o $LAN -d 10.10.10.8 -p udp --dport 10100 -j ACCEPT iptables -t nat -A PREROUTING -p tcp --dport 20200 -j DNAT --to-destination 10.10.10.7 iptables -t nat -A PREROUTING -p udp --dport 20200 -j DNAT --to-destination 10.10.10.7 iptables -A FORWARD -o $LAN -d 10.10.10.7 -p tcp --dport 20200 -j ACCEPT iptables -A FORWARD -o $LAN -d 10.10.10.7 -p udp --dport 20200 -j ACCEPT # DNS iptables -A INPUT -p udp --sport 53 -j ACCEPT # DHCP iptables -A INPUT -p udp --sport 67 --dport 68 -j ACCEPT # Ответ на traceroute iptables -A INPUT -p udp --dport 33434:33437 -j ACCEPT # ICMP iptables -A INPUT -p icmp -j ACCEPT+1 В любом
+1 В любом случае решение на linux переплюнет любые аппаратные устройства.
для soho может и
для soho может и да, но для более менее большой конторы с кучей внутренних vlan-ов и огромным интернет трафом (например 20 мбит входящего, да еще и с url-фильтром, проверкой на сигнатуры, монитором embryonic connections и тд) любой Linux/BSD умрет достаточно быстро. А если вам нужен VPN-сервер для ~100 сессий и подгружаемыми access-lists для каждого клиента?
циска системс и ей подобные все таки не зря свои железки клепают.
Quote: циска
Вы можете сказать, сколько времени уйдёт на экстренный капитальный ремонт парка цисок где нибудь в Казани или Набережных Челнах? А как часто проводиться аудит кода и выходят обновления?
>>любой Linux/BSD
>>любой Linux/BSD умрет достаточно быстро.
с одной стороны непонятно - почему это он умрёт?
с другой - а что оборудование того класса что указал топикстартер сильно лучше справиться? оно ещё раньше умрёт. а если вспомнить что циски NAT соединения не аппаратно делают... короче весде есть плюсы и минусы. И за МКАД'ом linux-решения тем лучше чем дальше МКАД, потому как старые компы есть весде, стоят по сравнению с цисками - просто даром, очень даже ремонтопригодны и гораздо прозрачнее в работе.
:) Берем циску
:) Берем циску покруче, от двух штук и выше. Сравниваем ее с о фряхой на pentuimmmx. Дохнет фряхо, циски рулят. А что вы скажете ежели вместо этой развалюхи поставить соотвествующий (по цене) циске аппарат, типа коредвадуо с парой-тройкой гиг оперативы? Думаю что с подобной нагрузкой оно справится на ура, плюс еще админ на маршрутизаторе в квейка погоняет. Никогда не задумывались почем будет циска на которой моно квейка запустить?
Asus wl500g Premium
И читать здесь http://oleg.wl500g.info/
Я wl500g premium после
Я wl500g premium после 550-го взял, такой раутер, с Олеговской прошивкой - просто меганаходка.
Если коротко, то это:
* linux на борту с доступом по ssh;
* ftp сервер (2 usb порта);
* удалённый принтер;
* торенты может сам качать если хард подключить;
* прокси сервер, фаервол, почтовый сервер;
можно даже USB колонки подключить. Чуваки туда вообще bluetooth ставили :) и по нему закачками с телефона управляли, ибо - комп шумит.. включать из-за ерунды всякой не дело :)
разумеется на него можно кучу приложений поставить, имеется встроенный пакетный менеджер.
Я ставил - wget, mc, vi.
В репозитории есть такие мостры как apache, postgree, mysql, проксисервера и многое другое.
Вобщем девайс, из которого можно всё что угодно сделать, только единственный недостаток - я год назад брал, и тогда уже только в одном месте нашёл..
Sony Vaio SZ460 Premium, Core2Duo 2.0, hdd=160G, mem=2G, hybrid video: nvidia 7400 + GMA 950
у него в любом
у него в любом случае процессор слабый, а комп шумит далеко невсякий - есть маленькие системные блоки(barebone), есть руки - которыми всё переделать можно... у меня компы шумят конечно... но вот кода иногда начинает пищать сам DSL модем, или форточку открыть - их уже неслышно... они очень тихо работать будут если постараться.
Ага, то что
Ага, то что возиться не каждый с настройкой захочет это тоже, там сделать можно всё, надо будет хорошо запастись временем :)
Sony Vaio SZ460 Premium, Core2Duo 2.0, hdd=160G, mem=2G, hybrid video: nvidia 7400 + GMA 950
Quote: только
Если есть возможность заказать в Питере или Москве - проблем быть не должно :)
Пользуюсь D-Link
Пользуюсь D-Link DI-604 полгода никаких сбоев и перегрева с ним небыло.
DI-604
за 2 месяца сдохло 3 штуки. На этот d-link много нареканий. Он либо работает как часы, либо глючит пострашному
ЗЫ лежит ща последний, работает как глючный dhcp иди как свитч. Че с ним можно сделать? (web-интерфейс не пашет) У мя идея только сделать из него брелок на сумку
а где ты их
а где ты их набрал столько? O_o
я тоже слышу много "добрых слов" в адрес длинка, но у меня стоит ихнее оборудование дома, (2 точки доступа, модем и свич) и на работе у камрада - 3 свича и 3 точки DI-634M год работают...
у меня правда они грелись когда я их вместе ставил, глючили, после того как поставил по отдельности стали меньше греться и глюков нет... я в сомненьи :)
о длинках
мне по работе досталась масса длинков DI-808HV, работают неплохо, только иногда впн-тунели отваливаются, но редко, еще у них глюки с питанием бывают, примерно после года работы, в принципе для дома покатит, я думаю