-
Posts
4,399 -
Joined
-
Last visited
-
Days Won
75
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by vasek00
-
-
-
USB flash с двумя разделами - один ext другой ntfs
[global] netbios name = My-K interfaces = lo br0 server string = K-II workgroup = WORKGROUP browseable = yes deadtime = 30 domain master = yes encrypt passwords = true enable core files = no guest account = nobody guest ok = yes guest only = no local master = yes log level = 0 log file = /opt/var/samba/smbd.log map to guest = Bad User max protocol = SMB2 obey pam restrictions = yes passdb backend = smbpasswd preferred master = yes preserve case = yes private dir = /opt/var/samba security = user smb encrypt = disabled smb passwd file = /opt/etc/samba/smbpasswd socket options = TCP_NODELAY SO_KEEPALIVE IPTOS_LOWDELAY SO_RCVBUF=65536 SO_SNDBUF=65536 short preserve case = yes syslog = 2 timestamp logs = no use sendfile = yes writeable = yes [OPT_L] path = /tmp/mnt/OPT_L force user = root writable = yes comment = My-Flash [DATA] path = /tmp/mnt/Data force user = root writable = yes comment = My-Data
Примечание строка "private dir = /opt/var/samba" в данном каталоге нужно наличие двух файлов "smbpasswd" и "secrets.tbd"
/opt/var/samba # ls -l -rw-r--r-- 1 root root 45056 Nov 4 09:26 secrets.tdb -rw-r--r-- 1 root root 100 Nov 4 09:26 smbd.log -rw-r--r-- 1 root root 0 Jan 1 1970 smbpasswd /opt/var/samba # ps | grep samba ... 1559 root 7812 S /opt/sbin/nmbd -D -s /opt/etc/samba/smb.conf 1563 root 7880 S /opt/sbin/smbd -D -s /opt/etc/samba/smb.conf ...
- 1
-
2 часа назад, r13 сказал:
Для понимания "аккуратнее" надо знать какие маркировки уже заняты IPsec и для ppe software чтоб не пересечься,
посему хотелось бы услышать связанные ограничения поподробнее.
cat ip_conntrack
cat nf_conntrack
-
-
В 21.10.2016 в 14:23, reevz сказал:
У меня канал постоянно забит, и интернет тормозит. А вычислить гада не могу, точнее могу, но только методом исключения.
Из entware программа - iftop даст информацию кто и что.
-
28 минут назад, GanjaKyp сказал:
vlan не подходит, потому что половина клиентов сидит на неуправляемых хабах
без разницы на чем они сидят, для них только смена IP будет = было в сегменте 192.168.1.х, а будет на роутере
LAN1(vlan3)-192.168.3.х-------------клиенты х.х.3.2-254
LAN2(vlan4)-192.168.4.х-------------клиенты х.х.4.2-254
LAN3(vlan5)-192.168.5.х-------------клиенты х.х.5.2-254
LAN4----------192.168.1.х-------------клиенты х.х.1.2-254
в SNMP виден будет каждый интерфейс тогда. Тут вы уже сможете управлять более гибко сегментами и их правами. В течении суток или двое определите пропускную каждого сегмента.
Другой вариант описан в разделе ниже
если нужно чисто на время просто выявить кто и где, то можно попробовать.
-
Так получилось что данный вариант подсчета трафика попал в две темы и в обоих показаны его реализация для подсчета вида и кол-во трафика.
Тут уже вопрос как обрабатывать данные из конечного файл для в вывода в WEB сумировать данные поля или нет.
-
Один из вариантов подсчет трафика от локального клиента если тип данного трафика (53, 80, 443 и т.д не трогая /proc/net/ip_conntrack) не важен.
1.Создать цепочку "AAIN" и включить ее в FORWARD
iptables -N AAIN iptables -I FORWARD -j AAIN получиться ниже Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 325 19767 AAIN all -- * * 0.0.0.0/0 0.0.0.0/0
2.Добавить нужные IP для контроля (откуда) и "куда" при необходимости добавив критерии в два правила ниже
grep 192.168 /proc/net/arp | while read IP TYPE FLAGS MAC MASK IFACE do iptables -nL AAIN | grep "${IP}[[:space:]]" > /dev/null if [ $? -ne 0 ]; then iptables -I AAIN -d ${IP} -j RETURN iptables -I AAIN -s ${IP} -j RETURN fi done получится например Chain RRDIPT (1 references) pkts bytes target prot opt in out source destination 0 0 RETURN all -- * * 192.168.1.99 0.0.0.0/0 0 0 RETURN all -- * * 0.0.0.0/0 192.168.1.99 0 0 RETURN all -- * * 192.168.1.254 0.0.0.0/0 0 0 RETURN all -- * * 0.0.0.0/0 192.168.1.254 325 19767 RETURN all -- * * 192.168.1.2 0.0.0.0/0 0 0 RETURN all -- * * 0.0.0.0/0 192.168.1.2
3.Любыми способами прочитать данные из цепочки "AAIN" или например так
iptables -L AAIN -vnx -t filter | grep 192.168 | awk 'BEGIN { printf "{table::" } { if (NR % 2 == 1) printf "'\''%s'\'','\''%s'\'',",$8,$2; else printf "'\''%s'\'',",$2;}' >> /opt/tmp/traffic.dat вывод в traffic.dat {table::'192.168.1.99','0','0','192.168.1.254','0','0','192.168.1.2','25801','0','-','17:53:37'}
Результат на клиенте источнике 192.168.1.2 получили 25801 bytes для получателя 0.0.0.0/0
Или второй клиент появился
Chain RRDIPT (1 references) pkts bytes target prot opt in out source destination 0 0 RETURN all -- * * 192.168.1.99 0.0.0.0/0 0 0 RETURN all -- * * 0.0.0.0/0 192.168.130.99 814 49075 RETURN all -- * * 192.168.1.16 0.0.0.0/0 0 0 RETURN all -- * * 0.0.0.0/0 192.168.130.16 0 0 RETURN all -- * * 192.168.1.254 0.0.0.0/0 0 0 RETURN all -- * * 0.0.0.0/0 192.168.130.254 133 8152 RETURN all -- * * 192.168.1.2 0.0.0.0/0 0 0 RETURN all -- * * 0.0.0.0/0 192.168.130.2
-
3 часа назад, GanjaKyp сказал:
Тариф корпоративный, с понижением скорости до 1мбс после 200гб, вот нам с шэфом интересно кто умудряется сжирать весь трафик в середине месяца))
Самое простое - это поделить сеть на сегменты и завернуть их в vlan, т.е. имеете 4LAN будете иметь 4VLAN ну или сколько надо 3, 2, а wi-fi вытащить из bridge (Home или всех клиентов перекинуть на гостевую), тогда в SNMP можно увидеть активность на данных vlan и wi-fi какой сегмент так активно работает и далее принять решение. Раз корпоративный то всех своих клиентов лучше привязывать IP с MAC для удобства контроля/учета и управления ими.
Опять же повторюсь на безлимите - просмотр сериалов в онлайн режиме практикуется очень сильно в рабочее время, как и прослушивания онлайн музыки.
-
2 часа назад, Le ecureuil сказал:
Не забудьте только в случае использования методов подсчета через conntrack отключить ppe hardware, ppe software и fastnat. Иначе вы получите неверную картину.
Но речь то идет об локальных клиентах из сетки 192.168.1.х, а уж как они выйдут с WAN порта в pppoe или pptp/l2tp без разницы
-
2 часа назад, Le ecureuil сказал:
mark используется в системе для IPsec и для ppe software, потому аккуратнее.
про то и речь.
-
1 час назад, GanjaKyp сказал:
А готовых решений не существует?)
Вопрос только, а зачем считать трафик локальных - типа тебе 10GB а потом то-то скорость урежем или кто больше прокачал или подключение соседей к своей точке доступа за N рубл. При нынешнем развитии в тарифных политиках их стоимости где скорости с 5Mb достигли 100Mb и выше - надо ли.
-
1 час назад, GanjaKyp сказал:
а статистику трафика по ip адресам клиентов сети как то можно посмотреть?
Статистику по клиентам можно попробовать использование - клиенты в /proc/net/arp трафик ip_conntrack дерганьем его и запись данных в файл.
Встречал такой вариант сбора, цепочку например AAIN загоняете в нее в зависимости от /proc/net/arp правила
... while : do iptables -N AAIN 2> /dev/null iptables -L FORWARD --line-numbers -n | grep "AAIN" | grep "1" > /dev/null if [ $? -ne 0 ]; then iptables -L FORWARD -n | grep "AAIN" > /dev/null if [ $? -eq 0 ]; then iptables -D FORWARD -j AAIN fi iptables -I FORWARD -j AAIN fi grep 192.168 /proc/net/arp | while read IP TYPE FLAGS MAC MASK IFACE do iptables -nL AAIN | grep "${IP}[[:space:]]" > /dev/null if [ $? -ne 0 ]; then iptables -I AAIN -d ${IP} -j RETURN iptables -I AAIN -s ${IP} -j RETURN fi done ...
Далее сами данные
... awk 'BEGIN { printf "{ip_conntrack::"} { gsub(/(src|dst|sport|dport|mark)=/, ""); printf "'\''%s'\'','\''%s'\'','\''%s'\'','\''%s'\'','\''%s'\'',%s,",$1,$1 == "tcp" ? $5 : $4,$1 == "tcp" ? $7 : $6,$1 == "tcp" ? $6 : $5,$1 == "tcp" ? $8 : $7,$(NF-1); } END { print "'\''-'\''}"}' /proc/net/ip_conntrack >> /opt/tmp/traffic.dat iptables -L AAIN -vnx -t filter | grep ${LAN_TYPE} | awk 'BEGIN { printf "{bw_table::" } { if (NR % 2 == 1) printf "'\''%s'\'','\''%s'\'',",$8,$2; else printf "'\''%s'\'',",$2;}' >> /opt/tmp/traffic.dat uptime | awk '{ printf "'\''-'\'','\''%s'\''}\n{uptime::%s}\n", $1, $0 } END { print "{ipinfo::<% show_wanipinfo(); %>}" }' >> /opt/tmp/traffic.dat mv -f /opt/tmp/traffic.dat /opt/tmp/traffic.asp
примерный вывод файла asp, тут видно
{arp::'192.168.1.2','00:хх:хх:хх:хх:0E'-'} {ip_conntrack::'tcp','192.168.1.2','56002','2хх.1хх.2хх.1хх','443',0,'tcp','192.168.1.2','55950','8х.1хх.1хх.4х','443',0,'tcp','192.168.1.2','56036','8х.1хх.1хх.5х','443',0,'udp','192.168.1.2','62311','8х.5х.1хх.2хх','53',0,'tcp','192.168.1.2','56003','2хх.1хх.2хх.1хх','443',0,'tcp','192.168.1.2','55888','8х.2хх.2хх.2х','443',0,'tcp','192.168.1.2','55817','192.168.1.100','22',0,'tcp','192.168.1.2',...'tcp','192.168.1.2','56027','8х.1хх.1хх.5х','443',0,'-'} {bw_table::'192.168.1.254','0','0','192.168.1.2','15956','0','-','13:28:03'} {uptime:: 13:28:03 up 2 days, 7:52, load average: 1.94, 1.44, 1.18}
Далее файл обработать для вывода в WEB. При выводе статистики на экран готовой WEB страницы скорей всего будут нагружать проц, как и любая страница мониторинга роутера, но если раз в сутки то наверное будет нормально.
-
12 часа назад, Дмитрий сказал:
Кстати обошлось без nexthop'ов что порадовало.
Уже совсем близко, осталось научиться натить проходящие мимо соединения.
Использование ..... nexthop - для балансировки нагрузки по каналам либо "весом" или с "random". Тут же привязка к новым соединениям и маршрутам с последующем их использованием, т.е. в отличие от первого где один и тот же сервер может быть доступен по разным каналам с течением интервала времени.
По поводу "натить проходящие мимо соединения" тут нужно очень аккуратно, так как разработчик использовал свои отдельные цепочки для сервисов.
-
16 часов назад, abychkov сказал:
Нас Не один - Нас Много : )
В процентном соотношении это много всего 0.001% от числа проданного или если взять сутки данного форума то
Цитата133 Users were Online in the Last 24 Hours
равно 0,8%
-
49 минут назад, Дмитрий сказал:
Если взять роутер и ничего с ним не делать, то извне придёт пакет клиенту в сети роутера, а ответ уйдет в др интерфейс в соответствии с маршрутом по-умолчанию
....
может мне маркировать все входящие пакеты на второй интерфейс или его IP, но не совсем понимаю, будет ли ответный пакет уже иметь эту же маркировку, чтоб ее увидеть и отправить обратно в нужный интерфейс по таблице, например 102?
Покажите текущие маршруты и
ip route show table main
посмотрите ниже пример где 101 в данном случае пример, а нужно подставить нужная вам таблицу
iptables -t mangle -I INPUT -i $IF_интерфейс -m state --state NEW,RELATED -j CONNMARK --set-mark 2 iptables -t mangle -I OUTPUT -m connmark --mark 2 -j CONNMARK --restore-mark echo "101 mynet1" >> /etc/iproute2/rt_tables ip route add default dev $IF_интерфейс table mynet1 ip rule add fwmark 2 table mynet1 ip route flush cache
лишь бы номер для mark не был использован в системе
- 1
-
13 часа назад, fOx сказал:
Вот ету ситуацию и хочется обойти. В принципе можно и пробовать и скриптом менять опции.
Вариант управления конфигом - точнее параметрами в данном файле. Все это делает WEB роутера, есть же параметр как включить канал (при этом настройки его остаются в конф файле) => в конфиге прописать нужное "up" на нужном интерфейсе. Тогда имеем в нужное время нужно данный параметр вписать в конфиг на модем и поставить на нем нужный приоритет, тогда система сама все сделает на данный канал.
ip global 1000 up
Выключить так же down в нужное время, т.е. нужно только контролировать основной канал, а при его потере инициировать подъем USB канала.
Как это сделать с использованием Entware для управления и изменения конфиг.файла тут на форуме уже писалось.
-
9 часов назад, Дмитрий сказал:
Помогите, знающие люди.
Хочу сделать доступ из вне через второе подключение, а гонять все через первое.
Пару раз даже начинало работать, но обычно подключиться с инета не получается, чтото пропустил.
Растет ip rule list с каждым запуском скрипта дублирующимися правилами
Странно, выбор исходящего маршрута производится только для соединений, инициируемых самим хостом, а если соединение пришло из вне то по нему должно и вернуться.
На вскидку можно попробовать так промаркируйте пакеты, раз даете на что-то доступ то используется порт
От локальных процессов mangle - OUTPUT но не есть гуд, но для проверки можно попробовать iptables -t mangle -A OUTPUT -p tcp -m tcp --dport $P_port -j MARK --set-mark 0x4 ip route add default via $IP dev $IF table 10x ip rule add fwmark 0x4/0x4 lookup 10x
Не проверял может где-то и ошибся.
Или использовать цепочки connmark http://help.ubuntu.ru/wiki/ip_balancing
- 1
-
16 часов назад, vadimbn сказал:
Дело не в том надо или нет. Я думаю, что если бы все остальное уже было реализовано, и без ошибок, и уже не нужно было бы ничего пилить - особых возражений у пользователей ваша просьба не вызвала бы. Но есть масса более насущных, касающихся именно спецификаций, проблем (например IPsec), которые так или иначе касаются большинства здешнего сообщества, и все хотят, чтобы именно их проблемы были решены в первую очередь. В этих условиях настойчивое проталкивание каких-либо дополнительных фич ничего кроме раздражения не вызывает, так и хочется поставить "минус".
Тут вопрос не в насущности, а в нужности. Повторюсь если есть USB то это не значит что нужно к нему подключать все что есть на рынке.
- 1
-
17 часов назад, zyxmon сказал:
А можно привести различия между роутером другой компании с usb портом и интернет центром zyxel? Только в наличии usb dect и usb dxl. А если взять ситуацию год назад, когда этого не было?
Да, обмельчал покупатель, стал падок на ярлыки типа "интернет центр".
Сейчас все кто производит роутеры в которых есть USB стараются придерживаться одинакового набора - модемы, принтеры и поддержка DLNA.
15 часов назад, zyxmon сказал:А стоило купить приличный НАС. Там куча софта официального - качалки, dlna, поддержка камер (правда за деньги, но не usb, а ip). Много всего.
Это стоило сделать давным давно.
- 1
-
Ответ находиться на странице Zyxel
ЦитатаИнтернет-центры ZyXEL Keenetic предназначены для подключения вашего дома к Интернету, телевидению, телефонии и другим облачным сервисам через любого провайдера по выделенной линии Ethernet, xDSL, Wi-Fi, через USB-модем 3G/4G или PON-терминал.
По поводу
ЦитатаИсходя из того, что это интернет центр с наличием usb3.0 и usb2.0 не является просто роутером, я и предложил голосование за добавление поддержки веб камер - это логичный функционал для домашнего интернет центра. ... За простой роутер, я 10к не выложил бы в магазине.
Наличие USB портов см. пункт выше. Так же на сег.день цена на данное устройство упала до 8400р если поискать (согласно графика падения цены по yandex 27.04.16 стоил 9500р)
Как и говорил при наличие такой финансовой возможности для покупки роутера можно было купить в место U-II за 9500р. = роутер (5000р. справился бы с вашими задачами на ура)+wi-fi камеру(4500р.)
-
10 часов назад, m__a__l сказал:
...Если это снова пища для размышления, возьмите данные там и запилите в скрипт, то в настоящий момент все равно не поможет, я с линуксом пока еще больше на ВЫ, пару серваков конечно пришлось на работе поднять, но там полу готовые решения, до работы со скриптами физически нет времени добраться.
Без данной пищи для размышления ну ни как нельзя, если вы считаете что у вас нет времени то у других оно думаете есть, нужно знать ваше подключение, что установлено из Entware. В принципе готовое решение тут есть - думаю пользоваться командами "ifconfig, ip или route" вы умеете, проанализировать их вывод так же сумеете, а если нет то стандартный набор функционала в прошивке.
Для начала прежде чем что-то писать (речь о скриптах) наверное надо было попробовать как это работает используя всего три строки, которые тут в данной ветки чуть ли не в каждом посте.
-
16 часов назад, m__a__l сказал:
Смысл есть, хотя бы на торрентах затраты времени на загрузку информации снизятся в 2 раза, а время, это та еденица, которой не хватает.
Для торрентов сильно и как сделать описано на форуме,так же можно разобраться и для IPOE подключения без проблем.
-
16 часов назад, m__a__l сказал:
Хотелось бы верить, что дойдут, а то при наличии 2 провайдеров по 100 мегабит, 1 простаивает
Мало вероятно, потом смысл при таких каналах в 100Мбит.
Keenetic Ultra II network smb
in Обмен опытом
Posted · Edited by vasek00
Если с Windows то может в сторону : TCP Receive Window Auto-Tuning и Compound TCP (CTCP) ну тут может быть двояко так как для игр некоторые параметры нужно наоборот отключить. Чтоб не копаться в настройках можно попробовать утилиту TCPOptimizer в ней уже есть набор данных опций, но лучше руками. В TCPOptimizer (в ней можно использовать backup настроек). Важный параметр в Windows это буфер в 64КB который как раз для более 100Мбит лучше поднять, у Windows есть несколько вариантов его оценки :
disabled: uses a fixed value for the tcp receive window. Limits it to 64KB (limited at 65535).
highlyrestricted: allows the receive window to grow beyond its default value, very conservatively
restricted: somewhat restricted growth of the tcp receive window beyond its default value
normal: default value, allows the receive window to grow to accommodate most conditions
experimental: allows the receive window to grow to accommodate extreme scenarios (not recommended, it can degrade performance in common scenarios, only intended for research purposes. It enables Receive Window values of over 16 MB)
К данным настройкам нужно подойти внимательно и не включать все и сразу, а произвести анализ каждой с проверкой.
Но опять же с одной стороной как-то ясно, но на другой стороне роутер который должен так же поддерживать данные алгоритмы - например Receive Window и Compound TCP