Citat:
agvozden: probaj sa insmod da ubacis taj modul, mada ima i drugih modula koji se mogu dodati, ali nemam iskustva sa modulima na ddwrt
da li si pokusao sa QoS da postavis limitiranje?
Nisam siguran da li smem da dodajem module jer je memorija na ruteru ograničena pa da ne bih brick-ovao ruter...
Sa QoS lepo radi limitiranje, ali meni je bilo bitno da skroz ubijem P2P na toj mreži za goste... Ne zbog toga što imam nešto protiv P2P. Meni naime ne bi ništa smetalo (paket mi je flate rate) a moj interfejs Premium dok je interfejs za goste Bulk, ali se svašta može skinuti putem P2P (dečija pronografija itd.). Zamislio sam da ta otvorena mreža služi najviše za Androide... Rešio sam tako što sam blokirao VPN passtrough, i postavio da za taj interfejs se koriste OpenDNS serveri pa onda na tamo filtriram šta želim. Ograničio sam broj konekcija, blokirao teredo i za sad radi kako želim... Do sad nisu uspeli da zaobiđu te restrikcije, videćemo ubuduće...
Ovako mi izgleda sad firewall:
Citat:
iptables -I FORWARD -s 192.168.88.0/24 -p tcp --syn -m connlimit --connlimit-above 120 -j DROP
iptables -I FORWARD -s 192.168.88.0/24 -p ! tcp -m connlimit --connlimit-above 100 -j DROP
iptables -I FORWARD -s 192.168.2.0/24 -p tcp --syn -m connlimit --connlimit-above 350 -j DROP
iptables -I FORWARD -s 192.168.2.0/24 -p ! tcp -m connlimit --connlimit-above 150 -j DROP
iptables -I FORWARD -i br1 -o br0 -m state --state NEW -j DROP
iptables -I FORWARD -i br0 -o br1 -m state --state NEW -j ACCEPT
iptables -I FORWARD -i br1 -d `nvram get lan_ipaddr`/`nvram get lan_netmask` -m state --state NEW -j DROP
iptables -I FORWARD -i br1 -d 192.168.1.1 -j DROP
iptables -I FORWARD -j DROP -i `nvram get wan_ifname` -p ipv6
iptables -I FORWARD -j DROP -i `nvram get wan_ifname` -p udp --sport 3544 --dport 3544
iptables -I INPUT -m pkttype --pkt-type multicast -j DROP
iptables -I INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -I INPUT -p icmp --icmp-type echo-request -j DROP
iptables -I INPUT -d 127.0.0.0/8 -j REJECT
iptables -I INPUT -i br1 -m state --state NEW -j DROP
iptables -I INPUT -i br1 -p udp --dport 67 -j ACCEPT
iptables -I INPUT -i br1 -p udp --dport 53 -j ACCEPT
iptables -I INPUT -i br1 -p tcp --dport 53 -j ACCEPT
iptables -t nat -I PREROUTING -i br1 -p udp --dport 53 -j DNAT --to 208.67.222.222
iptables -t nat -I PREROUTING -i br1 -p tcp --dport 53 -j DNAT --to 208.67.222.222
iptables -t nat -I POSTROUTING -o `nvram get wan_ifname` -j MASQUERADE
iptables -t nat -I POSTROUTING -o `get_wanface` -j SNAT --to `nvram get wan_ipaddr`
iptables -t mangle -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu