Názory k článku Linux jako internetová gateway (1)

na XI626 je o dost lepsie pouzit HostAP (http://hostap.epitest.fi) a kartam ne2k-pci je lepsie sa vyhnut, vacsinou nevedia bus master pci a mavaju konflikty s inymi pci kartami, to radsej rtl8139, ale aj to nie je velka vyhra, najspolahlivejsie su 3com/intel hlavne pri vacsom mnozstve kariet

a slack bez X&co a gcc s perl/apache/bind... pod 100 mega no problem
na maly disk(napr ide flash) je vhodne pouzit >=2.4.22 a zmensit velkost reiserfs journalu

HostAP je pekna prasarna. Pokud clovek nepotrebuje
AP, tak jsou pry mnohem rozumnejsi wlan-ng ovladace, az najdu trochu casu, chci je vyzkouset (zatim je to jen jedna pani povidala, berte s rezervou).

rtl8139 sice neni zadna extra sitovka, ale kdyz clovek vezme v uvahu, ze bude akorat routovat 802.11b (coz je teoreticky 11Mbit, prakticky o dost min), tak je uplne jedno, co tam da.

Vyhoda realtecu je neprekonatelna cena a velmi odladene a stabilni drivery (i kdyz HW sam neni zadny zazrak). O 3com HW se vyjadrovat nebudu, ale drivery maji v linuxu dost problemy (jak Beckerovy, tak ty, co sem tam 3com vypustil).

Intel je dost drahy. Zelezo celkem slusne, ale (ostatne jak uz je u Intelu zvykem) to chce vyssi revize (napr. u jedne serverove 100Mbit sitovky s revizi 05 nefungovalo 802.1q apod.). Kod driveru e100 je psany celkem necitelnym zpusobem, e1000 jsem zatim radsi nezkoumal.

K tomu reiseru. Nevidim jediny duvod, proc davat na slaby router neco jineho, nez ext2. Proti vypadku je snadne se pojistit tim, ze po nabootovani se / premountuje ro a rw se necha jen /var (pro logy apod.). Pripadne pokud me logy nezajimaji, tak se rw oblasti muzou realizovat ramdiskem nebo nove formatovanou partition pri kazdem bootu.

Ohledne fs a montovani: zlata slova.
Zejmena v pripade flash medii, at uz jde o CF,
IDE flash disk nebo DiskOnChip/MTD, je tu jeden
zasadni duvod, proc mountovat flashku 'ro'
- flashka totiz opakovanymi zapisy trpi, rozhodne
vic nez tocivy harddisk. Kvuli pouhemu logovani
muze odejit treba uz za dva roky.
Takze se da bud namontovat flashka jako read-only
root a ramdisk na /var (bude jeste potreba par
symlinku), nebo se da udelat root na ramdisku
a flashku primontovat treba na /usr (plus par
symlinku), logovat staci na konzoli, nebo se da
udelat remote logging po siti, nebo se daji logy
v ramdisku rotovat...

Muj jednoduchy firewallek ma v tuhle chvili
12 MB, ale jsou tam rozezranosti jako vim-minimal,
tar+gzip+bzip2, sshd a dalsi zbytecne binarky
(tcpdump, iptraf, agetty...) Da se to stlacit
pomerne bez problemu na nejakych 6 MB. Hodne
orezany system se pak ale neda aktualizovat na dalku
a kvuli kazde reinstalaci se musi pripojovat CDcko.

Tenhle system je staveny od nuly ze soucastek,
ktere jsou zkopirovane z RH8.0 (plus novejsi
vanilla jadro). Nepouziva tedy miniaturni shell
a libc, zname z jednodisketovych distribuci - takze
v systemu chodi v zasade jakakoli aplikace
zkopirovana z "velkeho" linuxu, shell je pomerne
pritulny atd.

Intel je dost drahy? v pondeli jsem koupil 3 kousky eepro rev 08 (GD82559) po stovce :-)
co se tyce problemu s vlan na Intelech, nekde jsem cetl, ze potiz je v driverech a ne v zeleze ... co se zeleza tyce, uz dva roky uspesne pouzivam eepro rev 05 (alias Compaq NC3121) a byla to jedina karta, ktera mi bez problemu chodila proti 100 Mbps uplinku jakyhosi prapodivnyho prehistorickyho 10 Mbps hubu - 3c905B chodila na 10 Mbps a jine se nespojily vubec ...

Za 100 to je opravu dobry kup. Jeste jsou? Jinak u te sitovky, kde nesel ten vlan, to opravdu bylo HW, resp. FW. Neslo to totiz ani ve windows. Identicka sitovka s novejsi revizi fungovala. U Intelu normalni stav.

vsetky intely nepodporuju vlan, az od nejakej rev. vyssie to ide. btw problem s vlan na inteloch je vecou drivera eepro100 v kernely, jeden malinky patch a bezi to. btw e100 driver od intelu problem nema. bezim 802.1q oproti catalystu 2950 (9 vlanov) a pohoda uplna, bezna prevadzka je okolo 3000 az 5000 pps (24 hod/7dni v tyzdni) a chodi to uz par mesiacov bez problemu.

> Za 100 to je opravu dobry kup. Jeste jsou?

u nas uz nejsou, nicmene myslimze staci obejit par kramu zabyvajicich se repasema a da se domluvit...
treba cdrom bych secondhand asi nekupoval, ale sitovku jsem zatim nekoupil novou ani jednu a zadna jeste neselhala (asi z 25 co jsem kdy bral do ruznych stroju a pro kamarady; naopak jeden znamy uz reklamoval fungl novy realtek - vim, neni to dostatecny statisticky vzorek, ale ...)

optimalne 3com voci napriklad HW AP, chodi to velmi "spolahlivo" (kedze akakolvek ina sietovka voci HW AP problemy nerobi, iba 3comy voci vacsine od roznych vyrobcov a s roznymi chipmi, tak to bude asi chyba 3comu...)

Hardware: staci cokoliv, co ma PCI - klidne i nejaka lepsi 486ka. U Pentii je dobre trochu podtaktovat a snizit napeti, pak procesor uchladi pasivak (treba nejaky chladic na Athlony bez vetraku).
Harddisk: pokud se nemusi archivovat logy, nejlepsi je se mu vyhnout. Flash je super, ale drahy. Pokud je >32MB, je IMHO nejlepsi reseni natahnout pri startu do pameti z CD-ROM ramdisk s cramfs {2.4+, compressed ramdisk fs)- je read-only a prakticky nemodifikovatelny. /var namontovat na tmpsf (2.4+, jako ramdisk, ale lepsi - zije v cachich a bufferech jadra a zere jen tolik pameti, kolik je na nem dat) s paramerem -o noexec a /tmp jako symlink do /var/tmp. Kdyz logy moc narostou, odeslat je mailem a smazat.
Binarky - existuje perfekni programek jmenem busybox, co nahradi kolem tri set binarek - sice s omezenou funkcnosti, ale to staci.
Moduly - pokud mozno se jim jde vyhnout, zerou vic pameti, musi byt veci jako modprobe (coz busybox umi). Bohuzel je to pro nektery hw nutnost.
Administrace: telnet je jen pro blazny a naivky. Bud ssh nebo administrace prez web. Ta je IMHO betpecnejsi, protoze pak tu vubec nemusi byt veci pro "lidi" jako getty, login nebo hesla, protoze to demoni nepotrebuji. Navic busybox umi i jednoduchy www server - na sledovani a jednoduche veci typu vypis logy, ukay silu signalu a AP v dosahu, restartuj se nebo vypni se to uplne staci a je to pohodlnejsi. Samozdrejmne je lepsi aby www server bezel jako obyc. uzilatel na vysokem portu a la 8000 nebo 8080 a pokud to nechcete ridit zvenku, tak mu povolit jen vnitrni rozhrani. Navic - pokud se nikdo nemusi prihlasovat, muzou byt v /etc/password jen hvezdicky - zkuste pak lamat hesla :-).
No a pri bootu se z CD-ROM zavede read-only ramdisk a CD-ROM se vypne (hdparm -y /dev/hda) a pak se toci jen vetrak ve zdroji (doporucuju trochu snizit napetiú).
Bezpecnost: Utok na takovyto router by byl velmi narocny - utocnik by musel napadnout nejakou bezici sluzbu, protoze prihlaseni klasickym zpusobem nelze (proc taky?) a pokud tam pobezi www server se statickymi strankamy a cgi-skripty, co neberou parametry, a navic jen jako nobody (veci co potrebjou bezet jako root, muzou mit jednoduchy wrapper co nebere paramatery, neco typu exec("reboot")), bude to opravdu velmi tezke.
Kdyby nedejboze se nekdo do serveru dostal, tak:
a) muze zapisovat jen do /var, ale nemuze od tu nic spustit (jak? - modifikovany mount, co neumi -o remount), muze zpoustet z /, ale nemuze tam nic zmenit (cramfs), a i kdyby, je to jen ramdisk
b) pokud se vyhazi nepotrebne veci, bude tezke ziskat privilegia roota
c) a i kdyz je ziska, nemuze udelat serveru zadnou skodu, nanejvis ho schodit nebo vypnout, protoze nema zadne non-volatile medium, na ktere muze zapsat nebo ho smazat
Muze leda skodit pocitacu za routerem, ale s NAT bez presmerovani portu na to muze pouzit jen nastroje z routeru, a pokud tam nic nebude (ani ping co umi flood) a nepujde presmerovat porty (mala uprava v ipchains nebo iptables to zaridi), nebude mit jak.
Jedine vazne hrozby jsou vnejsi DoS utoky a diry v jadre.
A pokud si na to vyrobite slusivou pixlicku a misto z CD-ROM se to natahne s flashdisku (USB - nove desky to umi, IDE - umi vsechny), ale musi to byt flashdisk co ma prepinavc read-only (nebo mala uprava jadra), no tak mate super wifi router i s administraci.

Velice zajimave... :-)

Je nekde na netu komplexni popis, jak tohle vsechno rozchodit? Hlavne je zajimava otazka mit vsechno jen v RAM...

A jak to osetrit pri vypadku napajeni?

Predem diky za jakekoliv namety...

Mno, neni to spatna myslenka mit takovy minimalisticky router, ale zase ja treba kdyz jsem rozchodil svuj router tak jsem na nem zridil rovnou i web, ftp archiv s fotkami z digifotaku, skripty na sledovani terminu zkousek na MFF, prodluzovani vypujcek v knihovne a dalsi veci .... a to lze na read-only filesystemu jen tezko.(precejen je to pro domaci pouziti a zridit na tohle kvuli vyssi bezpecnosti dalsi masinu je drahe a mit zas furt zaply svuj "normalni" comp .... je neprakticke a hlucne)

Nehlede na to, ze zacatecnik by pri delani tehle distribuce na CD neco vypalit zapomnel, pokud by vybec neco takoveho vytvoril, takze napad je to dobry, ale spis tak pro pokrocilejsi uzivatele .... je pravda, ze kdyz se to udela hodne dobre, tak je uroven bezpecnosti u neceho takovyho vyssi nez u normalni instalace (aneb ani remote root exploit jeste nemusi znamenat totalni katastrofu, kdyz ten comp nepujde vzdalene prakticky ovladat). Zacatecnikum bych to ale nedoporucoval

fetchmail != SMTP Server :)))

Chtel bych na takovem pocitaci jeste rozchodit logovani provozu ale i s HTTP URL a velikosti protecenych dat. Poradite mi prosim nejaky jednoduchy nastroj?

mrtg

odporucil by som bandwidth ... je ovela konkretnejsi prehladnejsi a detailnejsi :O).

mohl byste hodit nejaky link ???? nedari se mi to vygooglit

Logovani se da udelat prez iptables, qosy nebo squid. Instalaci a rozchozeni zde jeste budu delat.

Zamerte se prosim i na rozpoznani protokolu a logovani i nekterych udaju z nej. Pro statistiky je to velmi dulezite. Pro aplikace na WebServices je to klicovy udaj.

mrtg/rrdtool+iptables a mozes monitorovat cokolvek na co vies napisat rule

ipac-ng - http://ipac-ng.sourceforge.net/

bude v clanku zahrnuty aj shaping ? zatial to vyzera ,ze nie,ale autor by to mohol doplnit :o).

Mno, o shapingu tady uz par clanku bylo. :-)
http://www.root.cz/clanek/1795
http://www.root.cz/clanek/1887
http://www.root.cz/clanek/1967

Díky za článek, vypadá velmi slibně. Už se těším na pokračování.

Diky za clanek, bezi mi router pro domaci sit pod Freesco distribuci, jako relativni zacatecnik bych nedokazal "vyrobit" instalaci na miru (ktera by mela lepsi shell, shaping...). Takze uz se tesim na pokracovani a par dnu a noci bez fungujiciho pripojeni :)

1/ nemyslim si, ze by na tomto routeru nesla jedina aplikace, stejne bych doporucoval udelat /usr a /var zvlast
2/ ftp nahradit ssh +instalovat nc; vzhledem k 1/, netusim koho budu mit za FW
3/ <flame> Prozatim jsem se vzdy vyhybal na serverech modulum; znamena to ovsem rekompilovat kernel. Tim ovsem usetrim dost pameti nekompiklovanim zbytecnosti
</flame>

2) no na to je pravě jak si nakonfigurujete firewall a rozhodnete se pro další nastavení
3) souhlasím, ale tomu jsem se chtěl vyhnout, já si kernel také kompiluju ale pro začátečníka a pro domácí použítí je to to lepší, toto je článek pro začátečníky

zkousel jste nekdo m0n0wall ? (http://m0n0.ch/wall)
ja ano a jako reseni minimalnich instalaci s maximalni usporou casu a jednoduchosti mi tato mini distribuce dost pomohla. Navali se image na hd/flash/etc.. a hotovo. webove rozhrani, shaping, ipfilter a mnoho dalsiho. Je to postavene na FreeBSD a funguje vyborne - mam za sebou jiz nekolik aplikaci - i kamarad co videl linux jenom zdalky to se mnou na telefonu rozbehal. Jenom jsem jeste nezkousel postavit z toho Wifi AP...
Jediny problem jsem mel pokud jsem mel wifi kartu pcmcia a mel jse PCI>PCMCIA redukci .. nenabehlo. Fungovalo pouze s ISA>PCMCIA redukci. PCI Wifi karty byly bez probu. Jeste co si tak vzpominam - umelo to samozrejme vice rozhrani, slo nastavit DMZ .. testnete a dejte vedet :D

Ad "Problem s funkcnosti PCI>PCMCIA redukce". Nemyslim si ze by to byl problem softwaru, ale spis hardwaru. Tyhle redukce obvykle vyzaduji PCI slot ve specifikace 2.2, coz je u starsich zakladnich desek trosku problem.

m0n0wall i přesto, že je postaven na mně nic neříkajícím FreeBSD, funguje výborně i jako AP. V současné době jsem však vyzkoušel pfSense (pfsense.com), což je derivát m0n0wallu dovybavený spoustou dalších funkcí a především perfektní podporou Atheros karet ...... vřele doporučuji !!!!

pokud se nepletu, tak parametr timeout neni v sekundach, ale v decisekundach, tedy v desetinach sekundy

Začátečníkům bych spíš doporučil IPCop, instalace už jednodušší být nemůže a na administraci je k dispozici
www rozhraní. Požadavky na HW jsou v podstatě stejné jako u popisovaného řešení.

* sprava telnetem? - nejsem paranoik, ale ... ssh bych uz neopustil :-)

* vim pro zacatecnika? cha cha ... mc, hm, kanon na vrabce ... slack nema neco jako nano? (ale je fakt, ze ten mc si stejne nakonec nainstaluje skoro kazdy :-)

* ISA vs. PCI - problem nastaveni preruseni je to posledni, kvuli cemu bych isu zavrhl ...

* ReiserFS jenom kvuli tomu, ze nabehne i bez fsck? a co Ext3? ... no ne ze bych nemel ReiserFS radsi :-)
- kazdopadne mountovani ro neni spatny napad, viz vyse

* linx => lynx (ale kdyz je links, na co lynx? :-)

* php - neni to spis php interpret nez php skripty? (ale co ja vim, co je v balickach ve slacku ... :-)

Toto je muj pripad doma, jsem na siti sam se synem, tedy proc ne?

Co je nano? :-) pokud se do toho neko bude poustet tak je znalost vim vyhodou, je na vsech uxiech

To by me zajimalo co mate proti isa, krome preruseni a rychlosti, me treba 3c509 se nastavovaly strasne blbe.

Kamaradovi ext3 nejak tuhla, ale ja ho zvolil jen tak. Lze i ext3.

Nano je puvodne pico, jen to ma jine jmeno. Taky mam prblemy s kartami 3c509 ISA, vubec mi nejdou dosovymi utilitami prepnout na half-duplex.

nano nie je povodne pico, nano je gpl nahrada
non-free pica, ktora vyvojom original uz v mnohom prekonala

To nano byla sranda :-)

ssh vs. telnet - nejde jen o bezpecnost ... pravda, poustet si x-ovske blbosti jako ethereal z routeru je ponekud zvrhle, ale ... proc ne :-)
(anebo uz se telnet naucil forwardovani X a ja to zaspal?)

nano bylo jiz vysvetleno; z vi znam akorat ":q!" a taky ziju (na ruznych un*xech)

ad ISA - ona byla v clanku rec o rychlosti? - to je totiz ono ... nejak mi isovske karty presprilis vytezovaly procesor (na starem stroji ... ale jelikoz hw neni muj obor, nevim, jestli to byl problem obecny nebo jenom toho stroje ... myslim ale spis, ze obecny ...)

no na mojix routroch by si mal teda znacne problemy, lebo ak nezvladnes vi(m), tak na modifikaciu suborov ti zostanu iba veci typu cat, echo a pod. :-))

ed? :-)

nic proti Vasim routerum, ale temi ruznymi un*xy jsem minil stroje pro "normalni" praci
- jen jsem zpochybnoval doporucovani vi pro zacatecnika (to je jeden z programu, ktere dokazou novacky dokonale odradit) s oduvodnenim, ze se bude jeho znalost hodit i jindy - nemusi, na desktopu je snad vzdy k disposici neco jineho (emacs :-) a na routeru jsou dve moznosti: bud jste root, a pak si nainstalujete co chcete (a pokud slacka podle tohoto navodu, tak se na vi urcite omezovat nemusite), a pokud nejste root, pak na tom routeru nemate co delat (a od roota je silne nezodpovedne, ze si pousti uzivatele na stroj dulezity pro sit...)

proc by se telnet ucil forwardovat Xka? nastavim DISPLAY a je po srande... (bezpecnost ted nechme stranou)

protože se taky občas můžu chtít podívat "zvenku", jak mi to doma chodí (*), a nemusím zrovna pracovat někde, kde jsem schopen xserveru (anebo třeba jinému firewallu) "domluvit" aby nechal můj stroj připojit se ...
(*) třeba když "doma" není _jenom_ doma, ale v domě, kde správcuju síť i pro jiné uživatele, jsem na druhém konci republiky a musím vyřešit, že něco nechodí - pravda, toto není typická situace pro začátečníky, ale to neznamená, že není lepší jim rovnou podstrčit ssh a ne telnet (imho)

S tim telnetem plne souhlasim. :-) Kazdopadne - kdyz je elinks, na co links? ;-)

javascript? v horsim pripade graficky rezim? :-)

Fuj. ;-)

Chcete-li co nejmensi editor, pak doporucuji e3 http://www.sax.de/~adlibit/ . Zabira 12000byte a umi se chovat jako Wordstar, EMACS, pico, nedit, vi... Kazdemu dle libosti ;-)
Slacka ale neznam, tak nevim, zda ho tam mate.

a co joe? takovy normalni editor.. rekl bych i pro zacatecniky..

ad "Nakonec si ještě můžeme vybrat spuštění některých daemonů"

krome inetd by bylo dobry zapnout i routovani, pokud to ma byt router

vsechno bude :-)

ad hostap vs wlan_ng: v posledni dobe pouzivame na routerech vyhradne hostap (0.1.2) a to po mnoha problemech s wlan_ng - mozna se wlan_ng ovladace zlepsily, ale s hostap jsme maximalne spokojeni...

ad sitovky: na domaci router mi intel a 3com pripadaji jako velky luxus, radsi obetovat 200,- za rtl8139d, ktere jsou dostatecne spolehlive a cenove neprekonatelne.. rtl8029 (ne2k-pci) jsou spise zoufalym vychodiskem z nouze vzhledem k problemum s chipem..

ad fs: reiserfs zbytecnost, na router staci bohate ext2, maximalne ext3, pokud chceme journal...ext2 vydrzi dost, to spis klekne harddisk, pak bych uvazoval o flashi..

ad logy: pokud hodlate pouzivat logy, je fajn taky pouzivat logrotate, nebo se jednoho krasneho dne proberete a router vam nepojede, protoze nedostatek mista...

filesistémů

ext2/ext3 sice bohate staci, ale na p120 a prehistorickych discich je reiser o poznani rychlejsi, takze pokud je potreba ze srotu neco vymacknout (svarit ferrari z lesenarskych trubek), muze to byt vhodnejsi volba.

Chci se zeptat jestli nekdo nevite o nejake vhodne minidistribuci na starsi pc@150Mhz, ma to byt router, to neni problem , ale chceme na nem mit i apache a postfix. Zkouseli jsme devil-linux.org, ale do nej se neda temer nic dokompilovat, v beta verzich ten apache sice maji, ale nepodarilo se ho rozchodit.
Ta MiniD. by mela umet i chrootovani a GRSecurity Kernel patch.

Slackware,
mam s nim jenom vyborne skusenosti. Neni problem na takovem stroji co popisujete rozchodit apacika nebo postfix. Rozchodil jsem i dedicated server pro Quake 3 na pentiu 80 s 32MB ram :)

a jak resite security updates ?

p.s.: reseni je to zajimave, ale vazne je to pro "zacatecnika" ? imho zacatecnik potrebuje budto a) hotove reseni nebo b) HW-ne-moc-odlisny od desktopu(tzn par GB HDD, decentne RAM), distibuci ne-moc-odlisnou od desktopu, vyzkouset si Squida, vyzkouset si MTA, vyzkouset shaping, vyzkouset z toho udelat server na MP3jky, vyzkouset jak moc to huci, vyzkouset jestli to nekoho v noci budi a na zaklade techto zkusenosti postavit 2. pocitac, treba bez disku , treba v jine mistnosti - kdyz uz skutecne vim ze squid je moloch a ty dalsi 2 veci taky nepouziju....zacit na minimalnim HW znamena si od zacatku svazat ruce.

Psal jsem to tak aby to zvládl člověk, který se s linuxem chce naučit. Nezvládne to úplný začátečník, ale pokud jste už jste Linux instaloval, nebo se v něm už vrtal, tak to určitě zvládnete. Hw je v podstatě libovolný právě od toho p150 výše až po cokoliv. S minidistribucemi moc dobré zkušennosti nemám, právě kvůli podpoře hw. Doporučím jediné, prostě to zkuste, smazat z disku se to dá vždy, ne?
Security updaty nechávám na správci, ale ukážu jak je provádět z opravených balíčků, je to velmi prosté.

p150 jako minimum? smesne. Router musite umet postavit na cemkoli. Neni problem mit Debiana unstable s jadrem 2.4.24 na i486/16/450...Na p150 postavim starsi desktop, aby se decka naucily s tucnakem, na router je to zbytecny luxus...

Chodím jako desktop na notebooku 386 :-) O p150 se zmiňoval předchozí přispěvatel samozřejmě minimum je opravdu 386 a 8MB RAM.

ps: ještě k tomu jsem zapoměl na jednu věc, jádro bare.i je kompilováno pro 486 takže instalace s tímto jádrem vám na 386 nepůjde

haha trapaci :) pouzivam jako router se slackwarem compaqa armadu pentium 100ku se 6MB ramky :) (a to tam mam jadro z distra, zadnej lowmem nebo neco takovyho) da se na tom pustit prakticky vsechno, krome samby ktera se mi tak po hodince strasne rozswapuje a uz se nejde prihlasit...ale routuje vyborne :)

hmm par megabit trafficu od zopar desiatok userov hrajucich napriklad CS na inete ti pri RTL8139 slusne pretazi aj vykonnejsie masiny ako P150ku... Router sa da spravit (na linuxe) z cohokolvek od 386SX/16MHz, 2 MB RAM a 10 MB disk vyssie, ide ale aj o to, co od toho ocakavas a nakolko ta stoji cas sa s tym babrat...

Absolutní souhlas, pokud se s tim v domácí síti nemá kdo zabývat, tak je jednodušší si koupit jakýkoliv broadband router (cena do 3 tisíc; např. D-Link, U.S.Robotics, ...). Má to tu výhodu, že to má určitě menší spotřebu energie než maximálně očesané PéCéčko a vejde se to do poličky na boty v předsíni :-)

Mno ja provozoval 2.4.20 na 486/24/8GB a v pohode.
Links tam sel v pohode i kdyz jsem tam mel jen 8mb, ale i tech 24 je treba pro mozillu malo (tady je pak lepsi links, links -g nebo dillo).
Zkousel jsem na tom prehravat i mp3ky nebo video ale jaksi to nebylo ono .... cpu nestihal a 2 fps u filmu (divx/xvid pres mplayer) misto 25 nebylo zrovna optimalni....
Jadro samotny (2.4.20) sezete tak 2-2.5mb .... zbytek je pro aplikace

jinak ja svym routeru (p100/64/1.6GB+4GB) provozuju mimo jine i Xka pres VNC nebo unreal tournament server a v pohode zvlada .... teda zavisi to na tom, co tam pustim v tech xkach za aplikace

btw na ty 486ce se mi kernel kompiloval radove nekolik hodin, takze na tom provozovat kernel bez modulu muze byt v pripade nutnosti zmen v kernelu ... velmi casove narocne... (treba kdyz chci zamenit hostap ovladace za novejsi)

Tenhle článek je přesně to, co jsem hledal. Chci si postavit taky takovy router/firewall/ftpserver z meho stareho kompu, ale umim krom woken akorat stary DOS. Mel by bezet bezudrzbove.
Akorat mam jeden dotaz - jelikoz bych k tomu chtel pripojit i stary GSM telefon s HW modemem (pro obcasny pristup k netu pres mobil, Oskar nema vlastniho ISP na CSD data), da se to nejak jednoduse nakonfigurovat tak, aby to bralo pres seriovy port prichozi volani a smerovalo pres wifi do netu? Znervoznuje mne ta veta "Modem asi potřebovat nebudeme".
Ale tesim se na pokracovani.

Vůbec se nenechejte zneklidnit. Já to tam napsal protě proto, že primárně je to dělané jako router pro ethernet nebo wifi a tam modem skutečně potřeba není. Ale není vůbec žádný problém to použít i pro modemové spojení nebo pro to co vy chcete. Je to zajímavý nápad, budu to muset vyzkoušet :-) Pokud je to externi modem pripojovany pres seriak tak to pujde urcite. Ja si podobne pripojuji notebook, ctete dalsi dil :-)

by bylo mozna vhodne napsat, co presne stahnout z FTP .....

Musíte stáhnout celé iso, ale jak jsem psal stačí cd1. Jde o to aby to bootovalo.

preco by musel stahovat cele ISO ? zvycajne (aspon na slackware) sa da stahovat aj obsah CD, nielen ISO, a samotne CD si potom spravit a napalit sam (byva tam tusim pri tom aj navod ako si ho spravit bootovatelne:-))

aha,takze to znamena adresar slackware?Predem se omlouvam za prihlouple otazky,lnux jsem uz instaloval,ale vzdy sem mel pujcene uz hotove cd

aha,takze to znamena adresar slackware?Predem se omlouvam za prihlouple otazky,lnux jsem uz instaloval,ale vzdy sem mel pujcene uz hotove cd

To je pravda, Slackware se da takto napitvat, ale radeji byt vami sosnu cele iso, vyhnete se problemum. Ja si take sosam cele iso, je to pohodlnejsi.

Odpovidam trochu pozdejc, ale stahnul jsem si jenom ty balicky ktere byly uvedeny v tabulce (musel sem to stahovat pres gprs, nic jineho nebylo) a pak jsem jenom slozky a,ap,n(s prislusnymi soubory) dal na CD do slozky slackware a vyrobil bootovaci diskety a linux jsem bezproblemu nainstaloval.
Jo, a musel jsem upravit soubory (maketag, maketag.ez a tagfile), musel jsem znej vymazat ty balicky ktere nemam (snad chytrejsi clovek pochopi co v tech souborech ma delat). Kdyz jsem je nesmazal tak instalace skoncila s hlaskou ze nemuze nalezt dalsi balicky.

1. filesystem - reiserfs nikde osobne nepouzivam, vacsinou mam nasadene ext3 a nerobi mi ziadne problemy... (ani na starom zeleze); router, aj ked je to slavsia masina, tych zapisov na disk nerobi neak vela, takze argumentovat rychlostou zapisu... mozno by stalo za uvahu aj pouzitie ext2 a synchronneho zapisu...
pokial je to router, ma to ATckovy zdroj a nepotrebujem sa k nemu prihlasovat alebo aby robil nieco ine okrem routingu (a pripadne NATu a firewallu)) tak je celkom uzitocne hodit ho po boote hned do halt-u (runlevel 0) - routing, NAT a firewall realizuje jadro a nic ine na stroji v halte nebezi. Pozor na ATX-ove stroje, linux sa pri halte vie vypnut, co je v tomto pripade neziaduca vlastnost...
Taktiez celkom pouzitelna metoda je bez celeho stroja z RAMdiku (takto som mal riesene vlastne distro beziace na FLASHdiskoch, pri boote sa iba nacital image RAMdisku, jadro a natiahli sa konfiguraky do systemu; FLASHka bola co sa tyka FS FAT12, ramdisk bol postaveny na minixe); logovalo sa cez syslog-ng na specialne na logy urceny stroj...

2. osobne by som odporucal instalovat aj veci z D (devel), ono je dost uzitocne moct si kompilovat veci (a k tomu sa myslim aj zaciatocnici velmi rychlo dopracuju). Kompilacia jadra je samozrejmost... (obvzlast na slabsich masinach kde potrebujem aby mi nestarsil zbytocne v jadre zbytocny kod)
[aj s develom sa da zmestit na cca 400 MB, avsak rozpakovane zdrojaky jadra tiez nie su male, takze ten 850 MB disk je viac-menej minimum]

3. telnetovat sa kamkolvek povazujem za totalnu zufalost a krajne riesenie a pouzivam to len v pripade ze si nemam ako inac pomoct a viem cez ake linky prechadzam a kto ma na nich moze snifovat... telnet si nechavam iba na niektorych strojoch ako pristup krajnej moznosti a aj to urcite nie na porte 23/tcp :-)

4. sietove karty a podobne kusky - urcite preferujem PCI, ale nie je neak zasadny problem rozbehat aj ISAcke zariadenia, akurat ked je tych kariet na ISA zbernici viacero rovnakych, tak zvycajne treba jadru (alebo modulu, v zavislosti ci su drivery zakompilovane napevno alebo sa pouzivaju moduly) povedat IO vsetkych kariet (davaju sa zvycajne aj IRQcka, ale ich hodnoty su zvycajne ignorovane a je tam mozne napisat hociaku rozumnu hodnotu :-))

Přikládám řešení, jak lze velmi snadno ze standardní instalace Slackware udělat systém, který nezapisuje žádná data na disk (v našem případě průmyslové karty PC-104 se jedná o CompatFlash) a ponechává root read-only.

Veškeré adresáře, u kterých je potřeba umožnit zápis po dobu běhu systému, jsou překopírovány do příslušných podadresářů adresářů TMPFS filesystému. Poté jsou původní adresáře logicky přemapovány na jména s příponou -cf a adresáře z TMPFS jsou přemapovány přes původní umístění adresářů.

Úprava spočívá v přidání nového inicializačního skriptu "/etc/rc.d/rc.cfroot"
---------------------------------------------------
#!/bin/sh
#
# /etc/rc.d/rc.cfroot: Replacement of some areas of root filesystem by tmpfs.
#

TMPFSMNT=/mnt/tmp

CFROOT_TEST=yes

if [ -f "$TMPFSMNT"/mounted.stamp ]; then
echo "CFROOT: $TMPFSMNT already mounted"
exit 0
fi

mount -t tmpfs none $TMPFSMNT
if [ $? -ge 1 ]; then
echo "CFROOT: $TMPFSMNT cannot be mounted"
exit 2
fi


echo "CFROOT: mounted at $TMPFSMNT OK"
echo >"$TMPFSMNT"/mounted.stamp

mkdir "$TMPFSMNT"/tmp
mount --bind "$TMPFSMNT"/tmp /tmp

mkdir "$TMPFSMNT"/etc
cp -xa /etc/* "$TMPFSMNT"/etc
mount --bind /etc /etc-cf
mount --bind "$TMPFSMNT"/etc /etc

mkdir "$TMPFSMNT"/var
cp -xa /var/* "$TMPFSMNT"/var
mount --bind /var /var-cf
mount --bind "$TMPFSMNT"/var /var

CFROOT_OK=yes
---------------------------------------------------

Dále je potřeba drobná úprava ve skriptu "rc.S".

# Start devfsd if necessary
if [ -r /dev/.devfsd ]; then
if [ -x /sbin/devfsd ]; then
echo "Starting devfs daemon: /sbin/devfsd /dev"
/sbin/devfsd /dev
fi
fi

+if [ -x /etc/rc.d/rc.cfroot ] ; then
+ . /etc/rc.d/rc.cfroot start
+fi

.....

# Remount the root filesystem in read-write mode
+ if [ ! "$CFROOT_OK" = "yes" ] ; then
echo "Remounting root device with read-write enabled."
+ if [ ! "$CFROOT_TEST" = "yes" ] ; then
/sbin/mount -w -v -n -o remount /
+ else
+ /sbin/mount -w -v -n -o remount,noatime /
+ fi
+ else
+ echo "CFROOT system, root filesystem left read-only."
+ fi

Mountování s "noatime" i v případě "RW" je přidáno proto, aby se zbytečně neopotřebovávala karta CompactFlash.

Dekuji za zajimavy clanek a velmi uzitecne komentare.
Uvazuji o nasazeni Linuxu v praci, ale narazil jsem na problem, jak odhadnout naroky na hardware (CPU, RAM) routeru pro sit cca maximalne 20 pocitacu. Predpokladam, ze za routerem bude 100Mbit switched sit.

Nemohl by me nekdo prosim nasmerovat na nejaky zdroj informaci o tom, jak spocitat, pripadne odhadnout, naroky na router?

Dekuji,

Jan

Ono je v podstatě jedno jaká je síť za routerem, já to mám na koaxu a je to v pohodě protože linka ven stejně chodí maximálně 156kb/s Zaleží to přímo úměrně na tom kolik dat bude routerm protékat a i v tomto případě to procesor moc vytěžovat nebude, protože to spíše vytězuje sběrnici pak paměť a až na konec procesor. V zátěži sběrnice a paměti je propastný rozdíl. Většinou vytížite spíše linku ven než procesor. To by vam tam musel běhat ipsec nebo něco jiného co kryptuje a tím vytěžuje procesor. Ale to teprve budu zkoušet.
Vemte třeba nějakého starého celerona na 300 nebo k6 na 500 a budete za vodou. Stačilo by i něco slabšího, ale v případě, že by to pak mělo dělat megabit a případně i kryptovat tak ať nemusíte měnit hw. No a síťovky samozřejmě jen na pci, 100Mb sitovka na isu snad ani neni :-)

Tak to by bylo dobre, protoze k routeru bude pravdepodobne 1Gb sit. Polozil jsem ten dotaz, protoze jsem kdesi (nemuzu to najit :( ) cetl zminku, ze pri NAT procesor prepisuje packety, coz nejakou dobu trva, resp. zatizi procesor. Nicmene uz netusim, jak zjistit cas/vykon potrebny na prepsani packetu, abych spocital limit. Asi tam nakonec dam pro jistotu nejake PIII a uvidime :)

Ano při natu se přepisuje hlavička paketu, zdrojová adresa a případně i zdrojový port. To sice netrvá dlouho, ale pokud je těch paketů na jednou značné množství pak ten router má záhul, daleko větší problém je u velkého provozu udržet celou překladovou tabulku v paměti. Pracuju s cisco routery a uz jsme jich takhle pár uvařili, neberte to doslovně router se nezničil jen nestačil a pak se tam dával výkonější model.
Schválně by mě pak zajímaly vaše výsledky, nemám totiž prostředí na takový velký pokus.

Doma mam uz dlhsie spraveny router na Slackware - je tam i486DX/33, 16MB RAM, 200MB disk (2.5" notebookovy - a polovicu mam este volnu), wifi karta LG LW1100P (linux-wlan-ng drivery) a ISA sietovka (NE2000-kompatibilna). Je to NAT router+firewall (iptables), bezi tam este BIND pre lokalnu siet a sshd. Procesor nie je zatazeny takmer vobec, system load je skoro nulovy (poriadne sa zvysi, ked sa pripajam cez SSH :-) Je tam nastavene vypinanie disku po urcitej dobe necinnosti, nie je tam ani cron ani syslogd (aby neroztacal disk zbytocne) ani inetd.
V robote som spravil nieco podobne - 486DX2/80, 20MB RAM, 540MB disk, 2x sietovka ISA 3Com 3c509. Tu disk bezi non-stop, je tu aj normalne logovanie aj cron. Swap particiu tam mam, ale swap je vypnuty - netreba ho :-) Planujem pridat este DHCP server.

Provozuji linuxovy server, ktery se chova jako router a oddeluje malou sit od internetu. Je nejaka moznost, jak dynamicky pridelovat sirku pripojeni tak aby nekdo, kdo stahuje nespomaloval druhe? Nebo taky, ze by kazdy mel garantovanou nejakou sirku pasma a zbytek by se rozdelil nahodne. Diky predem.

Rika se tomu trafic shaping ... viz o nekolik (desitek) prispevku vyse.

Nejsem zadny odpornik, takze ten kdo potrebuje funkcnost bez dlouhych ladeni, instalaci doporucuji distro wisp. Vhodne pro wifi routery. Bohuzel zacinam mit vetsi naroky a tak bych se rad zeptal zdali lze sestavit distr. ktera by splnovala toto:
-musi se dat pres den vypnout disk (hdparm)
-bezely by tam X-win, abych se mohl vzdalene prihlasit (treba pres VNC), spustit dc++ a zacit tahat. Disk se muze zapnout :).
-veslo se to do 200MB , zadne dalsi aplikace nejsou treba. Krome wifi a routovani a monitoringu.

Provozuju na routeru relativne male distro zalozene na Slacku - Vectorlinux 4.0, viz http://www.vectorlinux.com/ jehoz velkou vyhodou je,ze jeho iso zabira 220 MB, - dobre kdyz to tahate z netu, po instalaci bez X zabira 350 MB, a jsou v nem vsechny potrebne nastroje, jen hostap a wireless tools se tam musi dokompilovat. Nevyhodou je,ze instalaci nemuzete ovlivnit, pouze vyberete jadro a zda chcete X nebo ne. Mozna pokud vite,co delate, rucne smazat nepotrebne ;-) ,no trochu kovbojka by to ale byla :-).

Ale X na routeru ???? Neni to zbytecne ?

Jeste sem tam nacpal squida a pridelil mu 100 MB disk. cache, a nyni je 800MB disk zaplnen na 65%.

Snazim se postavit router podle tohoto navodu a mam starou sitovku 3com etherlink III a nechci kupovat novou. Prosim tedy o radu jak radne nastavit IRQ a I/O aby fungovala. Modul by mel byt 3c59x. Nejsem moc sbehly v linuxu

V článku je uvedeno u "open-ssh" že je nutno aplikovat nějaký patch. Je to z důvodu funkčnosti nebo bezpečnosti?. Můžete mi prosím někdo poradit jak postupovat při zprovoznění? sshd nejde vubec spustit. Díky moc, jsem úplný začátečník.

Tak nevim. Asi jsem udelal nekde chybu, ale me to nejde nabootovat. Zkusil jsem uz 2 HDD a porad je to stejne. Po instalaci a prvnim restartu mi to pri bootovani napise same 99 99 99 99 99 prez pul obrazovky a konec. Neco jsem asi udelal spatne, ale co? Muze mi prosim nekdo skusenejsi pomoc? Prosel jsem celou instalaci snad uz 7x :(

nalezl jsem take zajimavou floppy distribuci, idealni na router ;) http://www.coyotelinux.com - neni problem sehnat i verzi s QoS (http://dolly.czi.cz/coyote/coyote.asp), na disketu se bohate vleze a mam s tim zatim jen dobre zkusenosti, administrace pres SSH nebo Web, jen mi tam chybi CRON :/ jsem zacatecnik, ale zatim se mi s tim pracuje VELMI dobre:) doporucuji

chtel Slackware dat na starsi PC, ale nepodoruje boot CD a nevim jak to mam udelat, muzete poradit, diky

Nasel jsem operacni system star os ktery je jednoucelovy os na routovani, jako firewall, nat, dhcp ... Co si o tom myslite? Me se to jevi jako dobra vec...

tuto tabulku vo verzii pre tlac nevytlaci celu

Je řešení více routerů (resp. karet) stejně snadno reealizovatelné jako uvedený příklad ....prostě když nasekám do pc 3 pci wifiny a budu chtít na každé rozběhnout AP bude to pro lamu podobný oříšek jako instalace karty jediné??...