[URL-фильтрация]

2 часа назад, Александр Рыжов сказал:

Код прошивки ≠ код URL фильтрации. 

Да, но и код URL фильтрации ≠ код прошивки.

[URL-фильтрация]

9 часов назад, Le ecureuil сказал:

Код контентной фильтрации (как и самой прошивки) не обновлялся с конца 2009.

Извините, это труп. Полный. И он никак не может быть даже примером.

" Где пруфы, Билли?"©

Ответвления Tomato, которой я и пользовался, обновлялись вплоть до начала 2017 года. И я вас не заставляю использовать тот же самый пакет - найдите новый, сделайте аналог...

Вы сначала проверьте, а потом уже делайте выводы или честно скажите, что просто не хотите.

  

[URL-фильтрация]

1 час назад, Le ecureuil сказал:

Что и требовалось доказать - из гигабитного устройство превратится в 100 мегабитное

Откуда такой вывод?

Это NetGear WNR3500L с процессором ~450 MHz (результат №2) без правил работает на 221/142 Mbps, а с правилами (результат №3) на 152/95 Mbps. В Giga (kn-1010) 2 ядра по 880 MHz.

Понятное дело, установив кучу приложений, включить весь функционал, можно "загрузить" любой роутер. Отмазка "сразу гигабитное устройство превращает в тыкву образца 2008 года." звучит не убедительно. Вы даже не проверили.

"Мы рекламируем Giga как гигабитное устройство." Пожалуйста, напишите большими буквами, что производительность при включении данной функции может упасть. И то, это еще надо проверить! А вы не хотите.

[URL-фильтрация]

В 28.07.2018 в 00:10, Le ecureuil сказал:

Мы рекламируем Giga как гигабитное устройство. Сможете показать что-то хотя бы на 300 Мбит/сек? (а еще лучше по pps считать, скажем 50k pps)? А то на 50 мбит с 5k pps справится можно, но это же сразу гигабитное устройство превращает в тыкву образца 2008 года.

Хорошо. Провел еще один тест на более высоких скоростях (все компоненты были связаны Ethernet 1 Gbit). Чтобы тест был приближен к бою использовал пакет speedtest (https://github.com/adolfintel/speedtest) на виртуальной машине с Debian (на ssd).

Схема:

Виртуальная машина Debian (Apache2 + php + speedtest) на Intel NUC (ssd) --1G LAN--> Keenetic Giga (KN-1010) --1G LAN--> NetGear WNR3500L --1G LAN--> PC
Правила остались те же. Как замерить pps на роутере не знаю, надеюсь новых данных хватит.

Результаты:
Эталонный тест без роутера NetGear WNR3500L        | Download: 387,5 Mbps    | Upload: 843,04 Mbps | Ping: 8,78 ms | Jitter: 8,3 ms
Тест с роутером NetGear WNR3500L без правил         | Download: 221,36 Mbps  | Upload: 142,56 Mbps | Ping: 7,59 ms | Jitter: 1,8 ms
Тест с роутером NetGear WNR3500L с правилами      | Download: 152,22 Mbps  | Upload: 95,41 Mbps   | Ping: 9,85 ms | Jitter: 4,78 ms

Этот тест проявляет разницу в скорости маршрутизации с правилами и без. Во время тестов ksoftirqd (на NetGear с Tomato) был загружен под 100%. Напомню, что все это работает на процессоре ~450 MHz из ~2010 года.

Вы подумаете над реализацией аналогичного функционала? Наверняка для этого есть уже готовые пакеты/проекты.

P.S. Не заставляй меня проводить еще тесты

P.P.S. Нашел некоторое описание функционала "Access Restriction" - https://en.wikibooks.org/wiki/Tomato_Firmware/Installation_and_Configuration#QoS_/_Access_Restrictions_Notes

[URL-фильтрация]

В продолжение темы про возможности прошивки Tomato (Tomato Firmware v1.28.7511 MIPSR2Toastman-RT K26 USB Std). Выгрузил из HTML-кода страницы "Access Restriction" переменные со списком возможных протоколов, может пригодится.

layer7 = ['100bao','aim','aimwebcontent','applejuice','ares','armagetron','audiogalaxy','battlefield1942','battlefield2','battlefield2142','bgp','biff','bittorrent','chikka','cimd','ciscovpn','citrix','code_red','counterstrike-source','cvs','dayofdefeat-source','dazhihui','dhcp','directconnect','dns','doom3','edonkey','exe','fasttrack','finger','flash','freenet','ftp','gif','gkrellm','gnucleuslan','gnutella','goboogy','gopher','gtalk','guildwars','h323','halflife2-deathmatch','hddtemp','hotline','html','http-dap','http-freshdownload','http-itunes','http-rtsp','http','httpaudio','httpcachehit','httpcachemiss','httpvideo','ident','imap','imesh','ipp','irc','jabber','jpeg','kugoo','live365','liveforspeed','lpd','mohaa','mp3','msn-filetransfer','msnmessenger','mute','napster','nbns','ncp','netbios','nimda','nntp','ntp','ogg','openft','pcanywhere','pdf','perl','png','poco','pop3','postscript','pplive','pressplay','qq','quake-halflife','quake1','quicktime','radmin','rar','rdp','replaytv-ivs','rlogin','rpm','rtf','rtmp','rtmpt','rtp','rtsp','runesofmagic','shoutcast','sip','skypeout','skypetoskype','smb','smtp','snmp-mon','snmp-trap','snmp','socks','soribada','soulseek','ssdp','ssh','ssl','stun','subspace','subversion','tar','teamfortress2','teamspeak','telnet','tesla','tftp','thecircle','tonghuashun','tor','tsp','unknown','unset','uucp','validcertssl','ventrilo','vnc','whois','worldofwarcraft','x11','xboxlive','xunlei','yahoo','youtube-2012','zip','zmaap'];    

ipp2p = [[0,'IPP2P (disabled)'],[0xFFFF,'All IPP2P Filters'],[1,'AppleJuice'],[2,'Ares'],[4,'BitTorrent'],[8,'Direct Connect'],[16,'eDonkey'],[32,'Gnutella'],[64,'Kazaa'],[128,'Mute'],[4096,'PPLive/UUSee'],[256,'SoulSeek'],[512,'Waste'],[1024,'WinMX'],[2048,'XDCC'],[8192,'Xunlei/QQCyclone']]

protocols = [null,'ICMP','IGMP','GGP','IP-ENCAP','ST','TCP','CBT','EGP','IGP','BBN-RCC-MON','NVP-II','PUP','ARGUS','EMCON','XNET','CHAOS','UDP','MUX','DCN-MEAS','HMP','PRM','XNS-IDP','TRUNK-1','TRUNK-2','LEAF-1','LEAF-2','RDP','IRTP','ISO-TP4','NETBLT','MFE-NSP','MERIT-INP','SEP','3PC','IDPR','XTP','DDP','IDPR-CMTP','TP++','IL','IPv6','SDRP','IPv6-Route','IPv6-Frag','IDRP','RSVP','GRE','MHRP','BNA','ESP','AH','I-NLSP','SWIPE','NARP','MOBILE','TLSP','SKIP','IPv6-ICMP','IPv6-NoNxt','IPv6-Opts',null,'CFTP',null,'SAT-EXPAK','KRYPTOLAN','RVD','IPPC',null,'SAT-MON','VISA','IPCV','CPNX','CPHB','WSN','PVP','BR-SAT-MON','SUN-ND','WB-MON','WB-EXPAK','ISO-IP','VMTP','SECURE-VMTP','VINES','TTP','NSFNET-IGP','DGP','TCF','EIGRP','OSPFIGP','Sprite-RPC','LARP','MTP','AX.25','IPIP','MICP','SCC-SP','ETHERIP','ENCAP',null,'GMTP','IFMP','PNNI','PIM','ARIS','SCPS','QNX','A/N','IPComp','SNP','Compaq-Peer','IPX-in-IP','VRRP','PGM',null,'L2TP','DDX','IATP','STP','SRP','UTI','SMP','SM','PTP','ISIS','FIRE','CRTP','CRUDP','SSCOPMCE','IPLT','SPS','PIPE','SCTP','FC'];

[URL-фильтрация]

В 04.07.2018 в 11:52, Le ecureuil сказал:

Включите торрент на ПК на всю скорость, и при этом пару фильтров. Лучший тест.

Ок. Нашел время провести тесты производительности, как вы и просили.

Провайдер: Билайн. Тариф: 50 Мбит/с.
Чтобы все не переделывать подключил роутер NetGear после Keenetik'а.
Схема: Beeline --LAN/DHCP--> Keenetic Giga (KN-1010) --LAN/DHCP--> NetGear WNR3500L --WiFi (802.1n/150 Mbps)--> PC

Создал 3 правила в разделе Access Restriction:
Правило №1 - только http заголовки 100 штук.
Правило №2 - только sip протокол.
Правило №3 - http заголовки 100 штук и блокировка файлов ActiveX, Flash, Java

Тест №1 - speedtest.net (до Dolgoprudny)
Без правил
ping: 5 ms | Download: 64.03 Mbps | Upload: 83.69 Mbps
ping: 6 ms | Download: 56.90 Mbps | Upload: 81.40 Mbps
ping: 6 ms | Download: 59.18 Mbps | Upload: 78.04 Mbps

С правилами
ping: 5 ms | Download: 58.50 Mbps | Upload: 72.56 Mbps
ping: 5 ms | Download: 61.36 Mbps | Upload: 73.66 Mbps
ping: 5 ms | Download: 59.03 Mbps | Upload: 73.37 Mbps

Тест №2 - Загрузка торрента
Без правил - до 8 МБ/с.
С правилами - до 7.7 МБ/с.

В обоих случаях при высокой скорости загрузки ~60 Mbps CPU загружался до 90-95%.
Итого, ощутимой разницы нет. В данных тестах много переменных, которые могли повлиять на результат: другие источники домашней сети, соседние WiFi сети, загруженность сервера speedtest, потеря пиров при загрузке торрента и т.д. Вероятно, если делать детальный анализ и более сильно нагружать роутер правилами разница будет заметна. И это на процессоре ~450 MHz.

P.S. Да, тариф 50 Мбит/с, а по факту скорость провайдер выдает больше.

[URL-фильтрация]

1 минуту назад, sergeyk сказал:

Какую скорость маршрутизации выдает ваше устройство на Tomato при таком работающем компоненте? Что за устройство / процессор?

Устройство - NetGear WNR3500L. Процессор - Broadcom BCM4718.

Не знаю как измерить скорость маршрутизации, но задержки "на глаз" заметны не были.

[URL-фильтрация]

7 часов назад, Le ecureuil сказал:

Вы читали посты выше?

Несколько раз было повторено, что в современном Интернет, где SSL-трафика больше половины, это НЕВОЗМОЖНО без MITM и снижения уровня безопасности соединений (ну или везде сапомодписанные корневые сертификаты пользователя заставлять пихать).

Технически как себе представляете работу этой фичи?

Конечно. Я и не говорю об HTTPS. Функционал Tomato, как я написал, позволяет блокировать не только HTTP запросы, но и другие протоколы/порты. Возможности этой фичи много шире чем просто фильтрация DNS запросов.

[HTTPS для админки]

7 часов назад, ndm сказал:

Нет, поскольку мы считаем это фиктивной безопасностью. Во-первых, самоподписанный сертификат еще сильнее мозолит глаза! Во-вторых, даже купив честный сертификат на my.keenetic.net, мы бы размножили его вместе с ключом на миллион устройств. Лучше пусть браузер честно покажет, что соединение не защищено, чем такая защита. Через несколько минут придет персональный keenetic.io, и включится HTTPS.

А почему Вы считаете это фиктивной безопасностью? HTTPS шифрует данные сессии, в которой передается пароль от админки, интернет-соединения, могут передаваться пароли от внешних сервисов (DDNS и т.д.). WiFi можно прослушать и найти эти данные не так и сложно для людей со специальными навыками.

[URL-фильтрация]

Поддерживаю просьбу добавить фильтрацию (не только по URL, а еще и по портам), независимую от внешних сервисов.

До Keenetic Giga (KN-1010) был NetGear WNR3500L c прошивкой Tomato, где была функция "Access Restriction". Иногда было очень удобно решить простую задачу. И это было реализовано не простым блокированием DNS-запросов, можно было выбрать протокол, порт, расписание и т.п.

[HTTPS для админки]

При переходе на Keenetic Giga (KN-1010) удивило, что внутренняя админка роутера не имеет HTTPS-сертификата, даже самоподписанного. Это было бы дополнительной функцией безопасности и браузер бы не мозолил глаза пользователям незащищенным соединением.

Планируется ли?