Zpět na článek

Diskuze: Nastavení síťového routeru A-Z (1/2)

Nejsi přihlášený(á)

Pro psaní a hodnocení komentářů se prosím přihlas ke svému účtu nebo si jej vytvoř.

Rychlé přihlášení přes:

Uživatel bez registrace

Level 1

14. 8. 2008 07:05

Komentáře tohoto uživatele máš zablokované.

(...) [I]IPv6 již umožňují přiřadit adresy celkem 2128 místům v síti[/I] (...)

To je trochu malo, ne? :)

A s tim nastavenim ftp: vite jiste, ze bude stacit routovat port 21? Neni treba jeste nejake dalsi pro data?

- petr treti

Uživatel bez registrace

Level 1

14. 8. 2008 07:53

Komentáře tohoto uživatele máš zablokované.

@Uživatel bez registrace Vypadl horní index. Je to samozřejmě 2 na 128.
- Martin Simandl

Uživatel bez registrace

Level 1

14. 8. 2008 07:06

Komentáře tohoto uživatele máš zablokované.

@Uživatel bez registrace vypadlo mi tam:

Neni treba routovat jeste nejake dalsi porty pro data?
- petr treti

Uživatel bez registrace

Level 1

14. 8. 2008 08:05

Komentáře tohoto uživatele máš zablokované.

@Uživatel bez registrace lol na co prosimte .X 21 staci pokud si nenastavis jiny :D
- RulezZzOr

Uživatel bez registrace

Level 1

14. 8. 2008 08:23

Komentáře tohoto uživatele máš zablokované.

@Uživatel bez registrace @RulezZzOr: zalezi na pouzitem modu
u aktivniho FTP je treba povolit odchozi datove TCP spojeni z portu 20
u pasivniho (klienti za FW) je to slozitejsi, protoze server si urci port, na ktery bude klient navazovat datove TCP spojeni
jsem docela zvedav, jak si s tim pouzity HW a autor clanku poradi
- paco

Uživatel bez registrace

Level 1

14. 8. 2008 08:22

Komentáře tohoto uživatele máš zablokované.

@Uživatel bez registrace @RulezZzOr: treba proto, ze pokud je ftp server v pasivnim modu, inicializuje prenos dat klient, a musi "prostrelit" router, aby se dostal k serveru?

- petr treti

Uživatel bez registrace

Level 1

14. 8. 2008 10:15

Komentáře tohoto uživatele máš zablokované.

@Uživatel bez registrace @paco: no normalne se to resi tak, ze se nastavi nejaky maly rozsah portu pro pasivni pripojeni v ftp serveru.. potom ten stejny rozsah se nasmeruje na routeru :)
- Lord_Jajator

Uživatel bez registrace

Level 1

14. 8. 2008 11:43

Komentáře tohoto uživatele máš zablokované.

@Uživatel bez registrace @Lord_Jajator: Ještě jsi zapomněl na změnu IP adresy odesílanou klientům v řídicím spojení (PORT a.b.c.d.port*256.+port) pro otevření datového spojení (standardně totiž FTP server posílá svou vlastní, tedy privátní a neroutovatelnou, IP adresu a je třeba posílat IP forwardujícího routeru)
- touchwood

Uživatel bez registrace

Level 1

14. 8. 2008 10:52

Komentáře tohoto uživatele máš zablokované.

@Uživatel bez registrace @Lord_Jajator: Normálně se to řeší přes nf_conntrack_ftp a nf_nat_ftp. ;-)
- Ritchie

Uživatel bez registrace

Level 1

14. 8. 2008 11:26

Komentáře tohoto uživatele máš zablokované.

@Uživatel bez registrace @Ritchie: Ano, zajisté. Nicméně existují SOHO routery, které toto neumí, a že jich dosud existují desítky typů. Pak je třeba postupovat "ručně" a řešit to pomocí triggeringu nebo forwardu pevného rozsahu portů
- touchwood

Uživatel bez registrace

Level 1

14. 8. 2008 07:39

Komentáře tohoto uživatele máš zablokované.

Našel sem v člonku větu, lze použít rozsah: "224.0.0.0 až 239.255.255.255"
nemělo to být: "224.0.0.0 až 255.255.255.239" ?
- Jan D

Uživatel bez registrace

Level 1

14. 8. 2008 08:25

Komentáře tohoto uživatele máš zablokované.

@Uživatel bez registrace pokud slo o multicast (IGMP), pak je rozsah 224.0.0.0 - 239.255.255.255 spravne
- paco

Uživatel bez registrace

Level 1

14. 8. 2008 07:42

Komentáře tohoto uživatele máš zablokované.

Super článek...zrovna doma plodím síť taxe to náramně hodí...Díky!
- AgentOrange

Uživatel bez registrace

Level 1

14. 8. 2008 08:31

Komentáře tohoto uživatele máš zablokované.

do privatnich adres nepatri 172.x.x.x, ale 172.16.x.x - 172.31.x.x
u ICMP by mozna stalo za to, uvest asi nejznamejsi PING (echo request/response)
mozna by to chtelo nestridat Protocol/Protokol
TCP se pise trochu jinak (Transmission)
a u IP prenasite diagramy misto datagramu ;)
- paco

Uživatel bez registrace

Level 1

14. 8. 2008 14:27

Komentáře tohoto uživatele máš zablokované.

@Uživatel bez registrace Tech nesrovnalosti jsem tam nasel vicero. Jak pises tak privatni adresy zacinajici 172 nemaji cely A rozsah.

Dost me prekvapilo tvrzeni, ze [B]kazdemu[/B] routeru se musi ucit jeho default gateway. Ve spouste pripadu tomu tak vubec byt nemusi.

Tvrdit, ze adresy se zapisuji nejakym zpusobem "což umožňuje zařazovat IP adresy do různých tříd a rozsahů" je taky blbost. Dnes se adresy neradi do trid (zastaraly a nepouzivany system) a rozsahy definuje maska.
Vubec opomenuti masky ip adres je dost zasadni.

Ftp port forwarding uz byl zminen. Kdyz uz, co se aspno podivat na specifikaci ftp protokolu?

Chapu, ze clanek je urcen laikum a tak ho beru, ale to neznamena, zatajit jim zakladni informace a mystifikovat je. Nemusi tam byt nutne OSI model a popis protokolu IP, TCP atp. snad ani neni nutny, ale zatajovat masky a delat chyby v privatnich adresach atp. mi prijde jako docela velky prohresek. Bud bych vyhodil obecny uvod a komentoval jen samotne nastaveni s tim, ze si kazdy zjisti obsah pojmu zvlast, nebo udelat lepe uvod, za cenu delsiho clanku.

Jinak bohuzel je kazdy soho router dost odlisny a obecne navody moc nefunguji. Mam zkusenosti s nekolika typy a nedavno jsem na Asusu (nebo co to bylo za potvoru) port forwarding hledal relativne dlouho :) Manualy byvaji dost kuse (aspon u meho Linksysu), takze clanek kvituji. Jen vice peclivosti!

- Daniel Šebek

Uživatel bez registrace

Level 1

14. 8. 2008 15:22

Komentáře tohoto uživatele máš zablokované.

@Uživatel bez registrace Masku jsem nakonec přesunul do 2. části, takže tím se rozsahy dostanou do kontextu. Úvod měl být maximálně zjednodušený.
- Martin Simandl

Uživatel bez registrace

Level 1

14. 8. 2008 14:33

Komentáře tohoto uživatele máš zablokované.

@Uživatel bez registrace Autorovi clanku: jeste posledni prispevek. Berte to pls jako konstruktivni kritiku a ne jako buzeraci. Clanek se mi libi, jen si lepe overte Vami psana fakta.
- Daniel Šebek

Uživatel bez registrace

Level 1

14. 8. 2008 14:30

Komentáře tohoto uživatele máš zablokované.

@Uživatel bez registrace oprava - urcit gateway.
Jinak tahle veta je spis slovickareni, nebot u soho routeru by default gw urcite byt mela. Pri pouziti v jinych situacich bych se tehle obecne recene vete urcite vyhnul...
- Daniel Šebek

Uživatel bez registrace

Level 1

14. 8. 2008 15:27

Komentáře tohoto uživatele máš zablokované.

@Uživatel bez registrace @Martin Simandl: Chapu zamer, ale bylo by vhodne alespon zminit, ze neco takoveho existuje a ze se o tom zminite pozdeji. Neznaly ctenar muze dojit ke scestnym zaverum.

Vytrvejte ve svem usili. Drzim palce!
- Daniel Šebek

Uživatel bez registrace

Level 1

14. 8. 2008 08:55

Komentáře tohoto uživatele máš zablokované.

U nastaveni pro P2P site se hodi pripomenout, ze bezne routery jaksi nestihaji provoz a chce to poohlednout se po takovem kousku u ktereho lze nastavit rozsah pouzivanych portu a hodnoty timeoutu. Defaultne domaci routery pouzivaji 512 portu, coz je pro p2p programy malo, router se zahlti a bud primo zhebne, nebo je jen wan nedostupna.

Pripadne rovnou doporucit skvely firmware DD-WRT
- polygon

Uživatel bez registrace

Level 1

14. 8. 2008 11:37

Komentáře tohoto uživatele máš zablokované.

@Uživatel bez registrace P2P komunikují většinou na jednom, max. 2 portech, jejich problém je počet SPOJENÍ. A problém u routerů je ten, že NATovací tabulka má jen omezenou velikost. Levné routery pak mají z důvodu nevýkonného CPU nastavenou jen velmi malou tabulku, ergo dokáží NATovat jen omezený počet spojení.
- touchwood

Uživatel bez registrace

Level 1

15. 8. 2008 09:57

Komentáře tohoto uživatele máš zablokované.

@Uživatel bez registrace Coz je to same co jsem rikal (:
- polygon

Uživatel bez registrace

Level 1

15. 8. 2008 10:05

Komentáře tohoto uživatele máš zablokované.

@Uživatel bez registrace @polygon: Jeste v tom zkusim udelat bordel a upresnim :)

Spojeni je definovano dvojici udaju na 2 uzlech a to stroj1[IP,port]:stroj2[IP,port].
Tzn. pocet spojeni velmi uzce souvisi s poctem pouzitych portu, pokud se jedna o prenos mezi stejnymi stroji. Pokud by kazde spojeni slo k jinemu cili, tak by se nemuselo pouzivat vicero portu (rozliseni by se odehralo na urovni ip adres).

Nicmene pri pouziti NATu (presneji NAT+PAT), o kterem se v tom to pripade bavime, se pocet spojeni rovna cislu pouzitych portu, takze mate pravdu oba :)
- Termit

Uživatel bez registrace

Level 1

14. 8. 2008 10:09

Komentáře tohoto uživatele máš zablokované.

DD-WRT je cool. Mám ho na ASUS WL-500G Deluxe a paráda. Trošku pruda ho tam dostat, ale jak už tam jednou je, není problém.

Ad článek. První věc, kterou by měl každý udělat při koupi routeru je ZMĚNIT HESLO a zakázat remote administration. Nezřídka se stává, že router v defaultu má povolený port 80 z WAN rozhraní.
No a o zabezpečení wi-fi ani raději nemluvím.
- stavi

Uživatel bez registrace

Level 1

14. 8. 2008 12:33

Komentáře tohoto uživatele máš zablokované.

@Uživatel bez registrace Ja zakotvil na tomatu (:
Jinak na tom asusu, kterej mi sem tam projde pod rukama, mne nejvic zarazilo, ze s jeho puvodnim firmwarem neslo vypnout konfiguraci z bezdratu ... coz je hned druha vec co vypinam a znemoznuju.
- Fang

Uživatel bez registrace

Level 1

14. 8. 2008 11:45

Komentáře tohoto uživatele máš zablokované.

@Uživatel bez registrace Osobně bych spíše doporučil X-WRT, který amatérům poskytuje pomoc grafického webového rozhraní, navíc upload firmware do (podporovaného) routeru je otázkou několika málo minut.
- touchwood

Uživatel bez registrace

Level 1

14. 8. 2008 11:55

Komentáře tohoto uživatele máš zablokované.

@Uživatel bez registrace DD-WRT má taky pěkné grafické rozhraní a nutnost jít "na konzoli" je opravdu minimální.
- stavi

Uživatel bez registrace

Level 1

14. 8. 2008 11:34

Komentáře tohoto uživatele máš zablokované.

Připadne mně, že některé části (např. IGMP/ICMP/TCP/UDP/IP) jsou nepřesně opsány z nějaké wiki s tím, že sám autor netuší, jaké jsou mezi nimi vztahy (např. zcela nelogicky uvádí IP až na posledním místě, i když všechny předchozí protokoly staví na IP - viz ISO/OSI), zcela vágní popis ICMP atp.

Korunu tomu pak nasadil popis forwrdingu portů, kdy si autor zcela evidentně ukousl daleko větší sousto, než dokáže spolknout, protože TAK ZVRTANOU konfiguraci FTP forwardu, která bude fungovat jen v některých případech (aktivní spojení, což nemusí fungovat všem), jsem dlouho neviděl.
- touchwood

Uživatel bez registrace

Level 1

15. 8. 2008 08:31

Komentáře tohoto uživatele máš zablokované.

@Uživatel bez registrace Take mne prekvapil pomerne sverazny vyklad teto problematiky. Gramaticke nespojitosti ve vetach naznacuji sesivani kusych informaci pomoci copy paste. Zavery, dusledky a domnele "vyhody" jsou utvareny ponekud zcestne. Argumentace typu chtel jsem byt strohy neobstoji, jelikoz i strucne lze veci vystihnout a ne kolem nich mlzit. Zajimavy mi prisel i odkaz na cenove bezkonkurencni microtik - uvedomte si prosim, ze vetsina "krabicek" coby routeru ma v sobe nahrany linux a stredne zdatnemu uzivateli by nemelo delat problem si sehnat odpovidajici distribuci a pouzit vybehove pentium/100 jako domaci router. Konecne, bylo by vhodne, kdyby si autor zkusil projit nekolik typu routeru od ruznych vyrobcu (zvlaste, pokud se clanek jmenuje A-Z), jelikoz tyto se velmi lisi, coz je patrne i v silne zavadejicim popisu konfigurace allow/deny pravidel v druhem dile.
- pht

Uživatel bez registrace

Level 1

14. 8. 2008 11:50

Komentáře tohoto uživatele máš zablokované.

@Uživatel bez registrace Ale aby to nevyznělo moc negativně - jinak je to zajímavý článek "pro lamy" jak nastavit základní věci na routeru, jen škoda těch nepřesností a volby jednoho z nejtěžších protokolů na forwarding (FTP - popis tohoto protokolu a potřebných nastavení vydá na samostatný článek), který prostě nebyl zvládnutý a z kterého bude mít nejeden "admin routeru" bolení hlavy. :-)
- touchwood

Uživatel bez registrace

Level 1

14. 8. 2008 12:49

Komentáře tohoto uživatele máš zablokované.

@Uživatel bez registrace Právě, že nastavení FTP by bylo na samostatný článek, je těžké to maximálně zjednodušit, aby nastavení fungovalo ve většině případech na [B]SOHO[/B] routerech. Cílem článku nebylo popsat vše o FTP...
Proč nelogicky na posledním místě? Nejlepší nakonec:).
Úvod jsem chtěl udělat "měkký", takže ISO/OSI až v druhém díle.
- Martin Simandl

Uživatel bez registrace

Level 1

14. 8. 2008 13:27

Komentáře tohoto uživatele máš zablokované.

@Uživatel bez registrace @Martin Simandl: v tom případě by možná nebylo od věci upozornit na tuto problematiku a opravdu jí věnovat samostatný článek... Anebo to vyřešit metodou "bombenfest-wasserdicht-und-idiotensicher" a natvrdo uvést v portforwardu potřebné datové porty a nastavení FTP serveru
- touchwood

Uživatel bez registrace

Level 1

14. 8. 2008 11:55

Komentáře tohoto uživatele máš zablokované.

Opravte si prosím tu pasáž o tom, že IIS nepodporuje PHP. Zaprvé je "břemeno podpory" na straně PHP, tedy by správně mělo být "PHP nepodporuje IIS", zadruhé ani to není pravda.

PHP podporuje IIS už dlouhá léta, dokonce verze s instalátorem umí/uměla poznat jakou verzi IIS používáte a do nastavení IIS se přidat. Začátečník tedy kromě tlačítka "Next" nemusel už nic moc řešit.

PS: V článku máte sice několik chyb, ale způsob reakcí ukazuje u některých komentujících značnou impotenci ve slušném vychování, doporučuji se nad těmito povznést.
- Pavel Rothbauer

Uživatel bez registrace

Level 1

14. 8. 2008 20:42

Komentáře tohoto uživatele máš zablokované.

@Uživatel bez registrace zkuste se na "břemeno podpory" zeptat vyvojare a ten vam objasni, proc dlouha leta pouzival LAMP
viz http://msdn.microsoft.com/en-us/magazine/cc135973.aspx
IIS had always supported PHP, but in a way that precluded many real-life PHP applications from being hosted in production environments. This was due to limitations in the two ways IIS offered for running PHP applications: using the Common Gateway Interface (CGI) protocol or using the PHP ISAPI extension.
Because CGI requires a separate process for each request, apps hosted using CGI would perform poorly on Windows. Conversely, PHP apps using the IIS high-performance multithreaded ISAPI interface would often suffer from instability due to the lack of thread safety in some popular PHP extensions.
- paco

Uživatel bez registrace

Level 1

15. 8. 2008 02:05

Komentáře tohoto uživatele máš zablokované.

@Uživatel bez registrace Hmm... asi vám úplně nerozumím, ale budu rád pokud mi to vysvětlíte, kde níže mám chybu.
0a) Že IIS s PHP fungovalo (zde jedno jak) odjakživa na tom se podle první vámi citované věty předpokládám shodneme
0b) MSDN je důvěryhodný zdroj, proto budeme považovat informace tam uvedené a vámi zde odcitované jako pravdivé
1) IIS mělo/má ISAPI, tedy PHP se "přimázla" jako dll knihovna k IIS
2) Knihovny přes ISAPI, včetně všech dalších součástí co tyto knihovny používaly, musely být napsány tak, aby byly "thread-safe", jinak při více uživatelích nastávaly problémy
3) PHP knihovna "phpXisapi.dll" je dílem vývojářů PHP, nikoli vývojářů IIS
4a) "Popular extensions" pro PHP mají na starost, resp. za ně mají zodpovědnost vývojáři PHP, nikoli vývojáři IIS (neznámé a podomácku vyrobené extensions řešit nebudeme, skoro nikdo je nepoužívá)
4b) "Popular extensions" má na starost třetí strana, která nepodléhá ani vývojářům PHP ani vývojářům IIS, ani případným prosbám a naléhání z jejich strany
5) Vývojáři IIS museli převzít iniciativu a dodělat do IIS7 podporu FastCGI, protože jak se po dlouhých létech ukázalo, "popular extensions" fungující stabilně přes ISAPI nejsou a nebudou
6) Vývojáři IIS nemohli převzít iniciativu a ony "popular extensions" si pod ISAPI přepsat sami, protože by fakticky museli převzít iniciativu nad vývojem daných extensions jako takových, protože i ony se jinak normálně vyvíjí a oni by neustále s "FastCGI verzí" museli udržovat krok, což by prakticky nebylo možné (zda je k tomu vedla i snaha o prosazení ASP na úkor PHP můžeme nechat rovněž stranou)
7a) Z předchozích bodů usuzuji, že (webový) vývojář dlouhá léta používal LAMP, protože nikdo z 4a/b neráčil přepsat extensions aby byly "thread-safe", na což mohli vývojáři IIS maximálně jen smutně koukat
7b) Vývojář dlouhá léta používal LAMP a používá ho dodnes, protože LAMP rulez a Windows, IIS, MSSQL a ASP(.NET) a vůbec celý Microsoft prostě SUX! (pouze vtip) :)
- Pavel Rothbauer

Uživatel bez registrace

Level 1

15. 8. 2008 19:08

Komentáře tohoto uživatele máš zablokované.

@Uživatel bez registrace @Pavel Rothbauer: komunikaci programu v PHP s IIS lze realizovat pomoci CGI nebo ISAPI
CGI je obecny standard a kazdy pozadavek vytvari novy proces s vlastnim kontextem, bohuzel vytvoreni noveho procesu na Windows OS je velmi "drahe" (~5M cyklu) a aplikace bezi pomalu
ISAPI je standard Microsoftu a kazdy pozadavek vytvari nove vlakno (thread) v kontextu IIS coz je rychle, bohuzel jedna PHP aplikace ma pristup ke vsem ostatnim (klice, hesla, ..) pripadne muze poslat cely server do kytek
pragmatik si pak vybral LAMP, protoze se mu nechtelo resit dilema WIMPu - rychlost (ISAPI) nebo bezpecnost (CGI)
- paco