OpenWrt - několik dotazů

RS

OpenWrt - několik dotazů
« kdy: 27. 08. 2010, 19:41:09 »
Ahoj všichni,
dneska jsem dal OpenWrt 10.03 na Netgear WNDR3700. Předem předešlu, že v Linuxu jsem pouze BFU, takže tomu prosím přizpůsobte úroveň svých případných odpovědí.  :P

K dotazům
1. Potřeboval bych filtrovat přístup LAN->WAN nikoliv pouze podle IP a typu protokolu (což se nastavuje v iptables), ale také i podle údajů v aplikační vrstvě. Dále bych potřeboval mít možnost tato pravidla měnit na základě času. Jedná se o funkci, kterou různé levné routery běžně nabízejí pod názvem "parental control", "blocking access to internet sites", "content blocking"... Chci prostě a jednoduše mít možnost, aby v případě, že LAN/PC, které má v určitém čase zakázanou nějakou webovou doménu, nebo web jehož URL obsahuje nějaký zakázaný výraz, obdrželo do prohlížeše pouze hlášku od proxy jednoucího v routeru. Zřejmě se bude jednat o instalaci nějaké proxy, nebo firewallu aplikační vrstvy – jakého konkrétně, aby to jelo na OpenWrt? Můžete mě nasměrovat kde konkrétně najdu info o této funkci v OpenWrt?

2. Dále bych ocenil mít k dispozici nějaký jednotný tool ve kterém bych mohl pohodlně řídit to, co se běžně nazývá "remote access control" – tzn. mít možnost pohodlně a bez ruční manipulace s různými řidícími soubory, nastavit kdo a odkud má možnost oslovit router protokoly ftp, http, icmp, snmp, ssh, telnet, tftp, dále jak se router zachová při takovém pokusu o oslovení, zda spojení odmítne, akceptuje, nebo bude dělat jakoby tam vůbec nebyl a taky na jakých portech bude router na spojení čekat.

3. A aby srandy nebyl konec, tak bych ocenil nějaký tool, který by v případě nějakého sniffování podstrkovat změněné údaje – např. že by linuxový router vydával za desktop s Win2K. - Ale tohle je opravdu jen "nice to have" páč jsem prostě taková hračička. :-P

Přede děkuji všem, kdo nějak užitečně odpoví.  :P


czerokez

Re: OpenWrt - několik dotazů
« Odpověď #1 kdy: 27. 08. 2010, 22:28:19 »
jsem taky BFU, ale OpenWRT jsem par let provozoval na Asusu 500gP...

1) squid ? jednou jsem to pokusne rozjel, ale bylo to dost narocny na CPU a ten router to moc nezvladal.Mel jsem to nastaveny na transparentni cache, takze to mozna bylo tim (ukladani souboru na USB).Ale to co potrebujes, to snad zvladne...
2)pro OpenWRT existuji webova rozhrani, kde tohle nastavit jde. Jmenovalo se to Webiff, nebo LuCI, nebo tak nejak (uz ten router nemam). Proste skripty, ktery se spousti pres web.
3) cenichat se daji porty a podle nazvu naslouchajicich sluzeb lze usuzovat na pouzity OS, ze by to slo zjistit nejak jednoduse, o tom nevim.Na server s W2K se mi bezne pokousi hlasit roboti, ktery pouzivaj login root, coz ve Widlich nikdo nema, naopak by mely zkouset Administrator, kterej je vestavenej. Myslim, ze roboti to moc neresi a nahodne hledaj snadno napadnutelny obeti.Skurecnost, jestli se jim to muze vubec podarit neresi.Zakaz naslouchani vsech sluzeb a nikdo nepozna, co tam bezi.Napada me snad jedine neco jako SNMP, ale to se da zase taky vypnout.