czy mogę tak zmienić standardowe ustawienia urządzeń?

echo "net.ipv4.conf.default.secure_redirects=0" >> /etc/sysctl.conf tu nie wiem czy w razie czego nie zotawić na 1
echo "net.ipv4.conf.all.secure_redirects=0" >> /etc/sysctl.conf i tak samo tu na 1 w razie gdyby się coś włączyło?
echo "net.ipv4.conf.default.accept_redirects=0" >> /etc/sysctl.conf
echo "net.ipv4.conf.all.accept_redirects=0" >> /etc/sysctl.conf
echo "net.ipv4.conf.default.accept_source_route=0" >> /etc/sysctl.conf
echo "net.ipv4.conf.all.accept_source_route=0" >> /etc/sysctl.conf
echo "net.ipv4.conf.all.send_redirects=0" >> /etc/sysctl.conf
echo "net.ipv4.conf.default.send_redirects=0" >> /etc/sysctl.conf
echo "net.ipv4.conf.all.drop_gratuitous_arp=1" >> /etc/sysctl.conf
echo "net.ipv4.conf.default.drop_gratuitous_arp=1" >> /etc/sysctl.conf
echo "net.ipv4.igmp_max_memberships=0" >> /etc/sysctl.conf
echo "net.ipv4.igmp_max_msf=0" >> /etc/sysctl.conf

i czy cała reszta to będzie poprawne oraz lepsze dla bezpieczeństwa od standardowych ustawień? Czy warto ustawienia standardowe zmieniać jak wyżej pokazałem? Czy lepiej nic nie ruszać?

27

(7 odpowiedzi, napisanych Oprogramowanie / Software)

ok wyczyściłem ta paranoje zostawiając resztę bo po testach okazało się masz racje nic się nie przebija z wam ani z lan tylko to co zezwolę przechodzi i o to chodziło. Ale teraz mam problem z izolacją jak to ogarnąć skoro wszystko jest w br-lan wifi 5Ghz ustawiony na isolate=1 i klienci w tym ssid się nie widzą ale widzą porty lan z portów lan widać wszystko a do tego dochodzi wifi 2,4Ghz które ustawiam na isolate=0 i teraz ci są widoczni wszędzie jak to prosto ogarnąć wystarczy blokada na mac ssid wifi 2,4Ghz a mac ssid wifi 5Ghz oraz mac lan1? Pamiętając tez ze Adguard jest na br-lan więc nie wiem czy da się to ogarnąć jedną reguła blokującą cały ruch w lan? To chyba nie zadziała myślałem żeby dać coś takiego a przed tym wyjątek na dns itd. ale nie wiem czy to zadziała chyba pomysłu z blokadą na mac lepszy bo niżej zadziała nftables niż blokady w uci?

uci add firewall rule
uci set firewall.@rule[-1].name='blokada lan'
uci set firewall.@rule[-1].src='lan'
uci set firewall.@rule[-1].dest='lan'
uci set firewall.@rule[-1].proto='all'
uci set firewall.@rule[-1].src_ip='192.168.1.0/24'
uci set firewall.@rule[-1].dest_ip='192.168.1.0/24'
uci set firewall.@rule[-1].target='DROP'

28

(7 odpowiedzi, napisanych Oprogramowanie / Software)

tylko o jedno mi chodzi w tym temacie i na to szukam porady czy dodanie do adguarda tego ma jakiś sens?
    - 127.0.0.0/8
    - 10.0.0.0/8
    - 172.16.0.0/12
    - 192.168.0.0/16
    - 169.254.0.0/16
    - 100.64.0.0/10
    - 192.0.0.0/24
    - 192.0.2.0/24
    - 198.18.0.0/15
    - 198.51.100.0/24
    - 203.0.113.0/24
    - ::1
    - fc00::/7
    - fe80::/10
    - 0.0.0.0/8
    - 224.0.0.0/4
    - 240.0.0.0/4
    - 255.255.255.255
czy lepiej zostawić jak było oryginalnie

  blocked_hosts:
    - version.bind
    - id.server
    - hostname.bind

oraz czy to ma sens

uci add firewall rule
uci set firewall.@rule[-1].name='Blokada z lan'
uci set firewall.@rule[-1].dest='wan'
uci set firewall.@rule[-1].proto='all'
uci set firewall.@rule[-1].dest_ip='127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 169.254.0.0/16 100.64.0.0/10 192.0.0.0/24 192.0.2.0/24 198.18.0.0/15 198.51.100.0/24 203.0.113.0/24 0.0.0.0/8 224.0.0.0/4 240.0.0.0/4 255.255.255.255'
uci set firewall.@rule[-1].target='DROP'
uci set firewall.@rule[-1].family='ipv4'
uci add firewall rule
uci set firewall.@rule[-1].name='Blokada z wan'
uci set firewall.@rule[-1].src='wan'
uci set firewall.@rule[-1].proto='all'
uci set firewall.@rule[-1].src_ip='127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 169.254.0.0/16 100.64.0.0/10 192.0.0.0/24 192.0.2.0/24 198.18.0.0/15 198.51.100.0/24 203.0.113.0/24 0.0.0.0/8 224.0.0.0/4 240.0.0.0/4 255.255.255.255'
uci set firewall.@rule[-1].target='DROP'
uci set firewall.@rule[-1].family='ipv4'

czy wystarczyło by jedno

uci add firewall rule
uci set firewall.@rule[-1].name='Blokada z wan'
uci set firewall.@rule[-1].src='wan'
uci set firewall.@rule[-1].proto='all'
uci set firewall.@rule[-1].src_ip='127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 169.254.0.0/16 100.64.0.0/10 192.0.0.0/24 192.0.2.0/24 198.18.0.0/15 198.51.100.0/24 203.0.113.0/24 0.0.0.0/8 224.0.0.0/4 240.0.0.0/4 255.255.255.255'
uci set firewall.@rule[-1].target='DROP'
uci set firewall.@rule[-1].family='ipv4'
uci commit firewall

Po prostu chodzi mi czy z tym nie poleciałem w jakąś paranoje i czy te zakresy są dobre czy niczego mi nie brakuje i czy nie wystarczyło by jedno a moze wcale nie potrzeba skoro i tak jest wszystko drop i zezwalam tylko na co zezwalam?

Oraz czy ten firewall który zrobiłem nie chodzi czy jest zły czy dobry tylko czy jest lepszy niż ten oryginalny do domowej sieci i nic mi nie popsuje takie ustawienie skoro testowałem to tydzień i wszystko działa dobrze?

29

(7 odpowiedzi, napisanych Oprogramowanie / Software)

znaczy w temacie wan<>wan chodzi mi o dziwne zachowanie od strony dhcp ISP dziwne skany, multicasty itd od strony wan. bo w lan<>lan chodzi mi o separacje klientów samo ustawienie w radio nie wystarcza
uci set wireless.@wifi-iface[0].isolate='0' tu mam klientów którzy musza się widzieć i to działa na poziomie sterownika
uci set wireless.@wifi-iface[1].isolate='1' jednak mimo tego izoluje to tylko klientów w tym wifi, a dalej do lan do kolejnego SSID i tak widać tych z radio 0 nie wiem czy to osiągnę przez uci czy musze robić to przez nftables ale to praca na później bo obecnie wszystko jest w br-lan bez vlanów itd. nie wiem czy będę tworzył vlany jak może ograne to nftables. 

Teraz najbardziej chodzi mi czy mam dobrze zrobione pierwsze dwa pytania firewall i adguard tenn wycinek "kodów' co wkleiłem czy tak może być czy to moja paranoja i przesadziłem i czy nic się nie popsuje skoro teraz działa wszystko poprawnie a nawet szybciej? Mogę tak zostawić? Chyba już lepiej się nie da do domowej sieci?

mam pytania czy mogę tak używać firewalla i czy wszystko jest poprawnie ustawione Nazwy troche dziwne ale to wersja na brudno która testuje i chyba osiągnąłem to co chciałem jeśli potwierdzicie ze tak może być ustawione?

uci set firewall.@defaults[0].input='DROP'
uci set firewall.@defaults[0].output='DROP'
uci set firewall.@defaults[0].forward='DROP'
uci set firewall.@zone[0].input='DROP'
uci set firewall.@zone[0].output='DROP'
uci set firewall.@zone[0].forward='DROP'
uci set firewall.@zone[1].input='DROP'
uci set firewall.@zone[1].output='DROP'
uci set firewall.@zone[1].forward='DROP'
uci del_list firewall.@zone[1].network='wan6'
uci del firewall.@defaults[0].syn_flood # uważam ze nie potrzebne skoro i tak jest wszędzie drop
uci set firewall.@defaults[0].drop_invalid='1'
uci set firewall.@defaults[0].flow_offloading='1'
uci set firewall.@defaults[0].flow_offloading_hw='1'
uci delete firewall.@forwarding[0]
while uci -q delete firewall.@rule[0]; do :; done
while uci -q delete firewall.@redirect[0]; do :; done
uci add firewall rule
uci set firewall.@rule[-1].name='Forwarding nie forward wszystko co zezwolone'
uci set firewall.@rule[-1].src='lan'
uci set firewall.@rule[-1].dest='wan'
uci set firewall.@rule[-1].proto='tcp udp'
uci set firewall.@rule[-1].dest_port='80 443 123 8080 9113 9114 27000-27100' # gdybym nie używał adguarda pewnie musiał być dodać 53 a tak nie zezwalam wszystko leci przez adguarda
uci set firewall.@rule[-1].target='ACCEPT'
uci set firewall.@rule[-1].family='ipv4'
uci add firewall rule
uci set firewall.@rule[-1].name='Zone0 input ruter lan'
uci set firewall.@rule[-1].proto='tcp udp'
uci set firewall.@rule[-1].dest='wan'
uci set firewall.@rule[-1].dest_port='53 443 123'    #gdybym używał opkg pewnie brakowało by portu 80
uci set firewall.@rule[-1].target='ACCEPT'
uci set firewall.@rule[-1].family='ipv4'
uci add firewall rule
uci set firewall.@rule[-1].name='Zone1 output ruter wan'
uci set firewall.@rule[-1].src='lan'
uci set firewall.@rule[-1].dest_port='22 53 67 80 3000'
uci set firewall.@rule[-1].proto='tcp udp'
uci set firewall.@rule[-1].target='ACCEPT'
uci set firewall.@rule[-1].family='ipv4'
uci add firewall rule
uci set firewall.@rule[-1].name='Zone0 output ruter lan'
uci set firewall.@rule[-1].dest='lan'
uci set firewall.@rule[-1].proto='tcp udp'
uci set firewall.@rule[-1].dest_port='68'
uci set firewall.@rule[-1].target='ACCEPT'
uci set firewall.@rule[-1].family='ipv4'
uci add firewall rule
uci set firewall.@rule[-1].name='Blokada z lan' # w zasadzie nie wiem czy potrzebne ale zablokowałem bo widziałem jakieś podejrzane adresy i od strony lan i wan na czystym nie zabezpieczonym openwrt
uci set firewall.@rule[-1].src='lan'
uci set firewall.@rule[-1].dest='wan'
uci set firewall.@rule[-1].proto='all'
uci set firewall.@rule[-1].dest_ip='127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 169.254.0.0/16 100.64.0.0/10 192.0.0.0/24 192.0.2.0/24 198.18.0.0/15 198.51.100.0/24 203.0.113.0/24 0.0.0.0/8 224.0.0.0/4 240.0.0.0/4 255.255.255.255'
uci set firewall.@rule[-1].target='DROP'
uci set firewall.@rule[-1].family='ipv4'
uci add firewall rule
uci set firewall.@rule[-1].name='Blokada z wan'
uci set firewall.@rule[-1].src='wan'
uci set firewall.@rule[-1].proto='all'
uci set firewall.@rule[-1].src_ip='127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 169.254.0.0/16 100.64.0.0/10 192.0.0.0/24 192.0.2.0/24 198.18.0.0/15 198.51.100.0/24 203.0.113.0/24 0.0.0.0/8 224.0.0.0/4 240.0.0.0/4 255.255.255.255'
uci set firewall.@rule[-1].target='DROP'
uci set firewall.@rule[-1].family='ipv4'
uci commit firewall
/etc/init.d/firewall restart

czy coś jest nie potrzebne?


kolejne pytanie

czy do adguarda mogę dodać

  blocked_hosts:
    - version.bind
    - id.server
    - hostname.bind
    - 127.0.0.0/8
    - 10.0.0.0/8
    - 172.16.0.0/12
    - 192.168.0.0/16
    - 169.254.0.0/16
    - 100.64.0.0/10
    - 192.0.0.0/24
    - 192.0.2.0/24
    - 198.18.0.0/15
    - 198.51.100.0/24
    - 203.0.113.0/24
    - ::1
    - fc00::/7
    - fe80::/10
    - 0.0.0.0/8
    - 224.0.0.0/4
    - 240.0.0.0/4
    - 255.255.255.255

ma to jakiś sens czy wystarczy firewall czy nie blokować tego ani w adguard ani w firewallu ?
Nie wiem czy nie ide w paranoje z tym zabezpieczeniem ale jakby internet odżył po tym i był szybszy = bardziej responsywny. No i najważniejsze wszystko mi działa.

Kolejne pytanie zastanawiam się jeszcze czy do firewalla nie dołożyć blokady wan do wan oraz lan do lan z wyjątkami?

A i uprzedzę tak u mnie wszystko działa tak samo z
uci set firewall.@defaults[0].flow_offloading='1'
uci set firewall.@defaults[0].flow_offloading_hw='1'
na jeden lub ustawionym na zero  dlatego z wiadomych powodów wybieram ustawienie na jeden skoro działa tak samo a jedyne problemy jakie miałem z tym ustawieniem na jeden to SQM, tc nie działało w pełni i tym podobne, ale to temat poboczny i inaczej rozwiązałem równy podział.
Poproszę o pomoc

Nie kombinuje tylko ruter mi siada po czasie jak sam nie ma internetu nawet listy adguarda mimo dość sporego opóźnienia się nie pobierają problemy są tez z www Adguarda i LUCI czy SSH ping tez nie odpowiada no ruter musi mieć internet. Po za tym planuje połączyć kamery po VPN i tu tez potrzebuje IP i dns od rutera a nie przepuszczony przez Adguarda.
Takie połączenie bezpośrednie jest też szybsze niż dodawać podwójną pętlę i dopisywać 127.0.0.1 do adguarda czy odwrotnie aby ruter pytał lan 192.168.1.1 po dhcp bo to tez pętla ale odwrotna pytająca tak czy tak sama do siebie co moze nie być stabilne.   

Na chwilę obecną to rozwiązanie działa
uci set dhcp.@dnsmasq[0].resolvfile='/tmp/resolv.conf.ppp'

A czemu tak jest bo ruter z automatu chce /tmp/resolv.conf.auto a w pppoe tego nie ma tylko jest /tmp/resolv.conf.ppp

Moje założenie prawdopodobnie było błędne cudowałem z tym różnie najlepszy efekt osiągnąłem dodając druga instalacje dnmasq tylko do rutera na 127.0.0.1 ale odkryłem też inny prosty sposób który działa na pppoe
uci set dhcp.@dnsmasq[0].port='0'
uci set dhcp.lan.dhcp_option='6,192.168.1.1'
uci set dhcp.@dnsmasq[0].resolvfile='/tmp/resolv.conf.ppp'
uci commit dhcp
/etc/init.d/dnsmasq restart
nie wiem na jak długo to będzie działać czy znów ruter się nie wysypie czy nie będzie jakiegoś konfliktu bo teraz to wygląda tak jakby miał dwa dnsy od adguarda i ten z resolv.conf.ppp

Ogólnie z openwrt jest problem i kombinacje gdy się ma wan-pppoe a nie DHCP a w Polsce właśnie pppoe dominuje. Router powinien automatycznie ustawić te DNS-y również dla systemu
czyli: /tmp/resolv.conf powinien wskazywać na DNS-y z .ppp, jeśli nie ma połączenia DHCP WAN-u tylko jest PPPOE WAN ja rozumiem ze OpenWRT jest super-modularny nie chce narzucać żadnego resolvera/routera i zakłada że użytkownik sam wie co chce ale czasem jest to błędnym założeniem na prawdę tyle czasu nad tym spędziłem mam nadzieję ze powyższe rozwiązanie będzie stabilne czy lepiej napisać prosty skrypt do podmianki?

tak gdybym chciał korzystać z DHCP z adguarda to dodał bym to
uci set dhcp.lan.ignore='1'
uci set dhcp.wan.ignore='1'
uci commit dhcp
/etc/init.d/dnsmasq restart
i chyba byłby problem rozwiązany?

ale nie gdy chce zostawić DHCP od dnsmasq bo jest wydajniejsze mniej zasobożerne i chciałbym zostawić dnsmasq do DHCP a adguard tylko do dns lokalnie i dnsmasq jak już wcześniej doszliśmy do samego rutera. Dziękuje ci za pomoc w tym temacie bo był to horror dla mnie by to zrobić i zrozumieć cenna lekcja ze na osobnych interfejsach mogą działać na tych samych portach. Dzięki temu nie musze usuwać dnsmasq i tytuł tematu troche nie aktualny ale w sumie cały czas dotyczy poprawności ustawienia obu wink

Teraz skoro dnsmasq zostaje dla rutera to mogę wykorzystać jego wydajniejsze DHCP tylko dla 192.168.1.1 lan bo dla rutera i jego pakietów chyba nie potrzebne DHCP lokalnie tam jest wszystko przypisane statycznie dobrze myślę?
Ale ze jestem takim typem człowieka ze wole mieć to zrobione też na sztywno aby w razie czego uniknąć problemów to tak myślę.
Moze tak:
uci set dhcp.lan.ignore='0'
uci set dhcp.wan.ignore='1'
uci commit dhcp
/etc/init.d/dnsmasq restart

uci set dhcp.lan.dhcp_option="6,192.168.1.1"
dobrze kombinuje?

Więc skoro budujesz własny obraz bez dnsmasq to sobie dołącz do obrazu własny resolv.conf z uzupełnionymi już danymi.
To nie jest automatyczne trzeba mieć zawsze z tyłu głowy i o tym pamiętać po za tym jak pisałem nie wszystko korzysta tylko z resolv.conf ale skoro można tak zrobić:

Tak, na różnych interfejsach możesz uruchomić różne programy na tych samych portach.
to dziękuje bardzo za ta odpowiedz to rozwiązuje temat różnych DNS dla klientów i rutera

Ale co teraz z DHCP po dnsmasq nie będzie przecieków dla klientów po 127.0.0.1:53 ?

bo wyłączyłeś dnsmasq to był resolv.conf a jak go nie dodasz do obrazu to nie będzie bo nie ma go co utworzyć (ten problem rozwiązuje i automatyzuje pakiet resolvconf pobiera go z wan i automatyzuje) po za tym nie wszystko korzysta tylko z resolv.conf dlatego jedyne co mi przychodzi do głowy to zredukowanie dnsmasq tylko dla rutera 127.0.0.1:53 a do adguarda 192.168.1.1:53 i mam rozdzielone jak chciałem ale czy wtedy oba mogą pracować na 53 nie bedzie konfliktów? i co z DHCP po dnsmasq nie będzie przecieków dla klientów po 127.0.0.1:53 ?

dla samego rutera i innych usług które później instaluje nie ma dns na ruterze nie ma tez resolv.conf bo adguardhome go nie dodaje aby to w miararę dobrze działało trzeba dodać:
echo -e "nameserver 127.0.0.1" > /etc/resolv.conf
i do adguarda dopisać aby był również na 127.0.0.1 wtedy to w miare chodzi ale trzeba też ustawić opóźnienie startu dla adguarda aby startował po wan po za tym widzę też tu pętle zapytań dns co może być kłopotliwe i nie wydajne ale mniejsza o to bo nie rozwiązuje to mojego tematu aby ruter miał osobny dns a klienci osobny proszę skupmy sie na temacie
Czy powyższy pomysł ograniczenia dnsmasq do samego 127.0.0.1:53 a adguarda do 192.168.1.1:53 miało by sens i jest mozliwe? No i co z DHCP przez dnsmasq nie było by przecieków zapytań?

jak dam uci set dhcp.@dnsmasq[0].port='0' to ruter znów nie ma dns i to jest podstawowy błąd w tych wszystkich poradnikach dotyczących adguardhome gdy chcesz go używać na porcie 53

Tylko ze jak dodaje VPN lub inne usługi i pakiety to znów nie ma dns trzeba przypisywać je ręcznie. Mam taki pomysł żeby zredukować dnsmasq tylko dla 127.0.0.1:53 a resolv i reszta będzie działać poprawnie z automatu a dla 192.168.1.1:53 dać adguardhome. Chyba wtedy nie będzie konfliktu ze dwa działają na tym samym porcie 53? i mam efekt rozdzielenia osobnego dns dla rutera i dla klientów.
Jesli to by wyszło i działało bez konfliktowo i poprawnie to pozostanie teraz kwestia DHCP czy używając globalnie dnsmasq w tej roli nie będzie przecieku dns z dnsmasq bo po testach DHCP adguardhome widzę ze nie działa to za dobrze jak globalny DHCP z dnsmasq dla samych klientów mogły być DHCP adguardhome ale nie dla całego systemu po za tym DHCP z dnsmasq jest mniej obciążający. I tu robi się drugi temat jak ustawić DHCP o ile to co powyżej napisałem by sie udało.

u mnie nie normalne bo operator leci w bambuko z podawaniem tych DNS za każdym razem nowego połączenia np: po restarcie, nie wspominając o stabilności ale nie o to chodzi brakuje dns globalnego dla samego rutera po usunięciu dnsmasq dlatego skupmy się na temacie najłatwiej było by dodać coś ala globalny resolvconf który by sam ustawiał dns globalnie i niby zainstalować to mogę jak robię:
opkg update
opkg install resolvconf
ale do obrazu się dodać już nie chce sam ten pakiet? a ten pakiet fajny o tyle ze robi to automatycznie na podstawie wan i dodaje też /tmp/resolv.conf.auto po każdym resecie

Moze istnieje inne lepsze rozwiązanie które da odpowiednie dnsy dla wszystkich usług/pakietów dla rutera? 

Proszę skupmy się tylko na powyższym temacie: jak rozdzielić dns rutera tak aby nie było problemów z żadnymi usługami/pakietami w przyszłości?

Magluje testuje sprawdzam i się bawię tym systemem robiąc przy okazji stabilną wersje do celu jaki sobie obrałem i przy okazji chce go lepiej poznać więc proszę wybacz mi błędy ja się dopiero uczę

Mam problem wywalam dnsmasq i instaluje adguardhome by robił jako główny dns ale robi sie problem wtedy sam ruter nie ma dns wiec musiałem dopisać: echo -e "nameserver 1.1.1.1\nnameserver 9.9.9.9\nnameserver 8.8.8.8" > /etc/resolv.conf to częściowo rozwiązało problem dla NTP itd ale nie całkiem jak sie okazało inne rzeczy korzystają jeszcze gdzie indziej z DNS więc musiałem też zrobić tak: uci set network.wan.peerdns='0'
uci set network.wan.dns='1.1.1.1'
uci set network.wan.dns='9.9.9.9'
uci set network.wan.dns='8.8.8.8'
uci commit network 

i teraz mam pytania czy za jakiś czas się nie okaże ze są jeszcze jakieś usługi/pakiety gdzie brakuje dnsów dla rutera? bo jak widać na moim przykładzie podmiana ich w jednym miejscu nie wystarczyła.
Oraz drugie pytanie czy te rozwiązania powyżej nie robią luki w ruterze? ale przy zwykłych DNS pewnie odpowiedz i tak jest oczywista.
Dlatego to pytania do was bardziej doświadczonych w tym systemie moze nakierujecie mnie na jakiś kierunek aby pozbyć się dnsmasq i poprawienie zastąpić go adguardhome

Na koniec dodam ze temat DHCP obecnie do ominięcia bo to jeszcze będę testował czy adguardhome da rade czy użyje do tego celu odhcpd. Więc skupmy się na powyższym temacie rozdzielając dns rutera aby nie było problemów z żadnymi usługami/pakietami w przyszłości oraz osobny dns dla klientów

Witam oficjalny obraz niestety nie ma tego ustawionego, dlatego prośba do obeznanych w temacie dla nowicjusza o sprawdzenie zależności szczególnie buforów bo coś mi się wydaje ze jest nie tak czytam o tym sporo i próbuje ustawić to poprawnie ale cały czas mi wychodzi ze: ustawienia tcp_rmem / tcp_wmem i tcp_mem kolidują bo są identyczne co prowadzi do sytuacji w której kilka połączeń intensywnie korzystających z buforów połączeń TCP wyczerpie całą pulę dostępnej pamięci TCP. Przyznaje ze ustawiam to tak troche na odczucia eksperymentalnie jaka wartość jest najlepsza bo np: wmem_default/rmem_default/optmem_max równo i do tego równo też z minimalnym  tcp_mem/udp_mem (6291456) daje najlepsze efekty wczytywania stron www, netflixa, hbo i ogólnie wszystko działa szybciej bardziej responsywnie. Podobnie ustawienie: wmem_min/rmem_min równo z najmniejszym tcp_wmem/tcp_rmem (4096) daje najlepsze efekty w grach.  Ale tak jak wyczytałem zależności różne to zależności miedzy tcp_rmem/tcp_wmem i tcp_mem/udp_mem nie mogę zrozumieć i poprawnie ustawić. Proszę o sprawdzenie wszystkiego czy jest dobrze i dawkę wiedzy dla nowicjusza moje łącze to 1gbps w obie strony, ruter to flint 2. Pozdrawiam

net.core.rmem_max=33554432
net.core.wmem_max=33554432
net.core.rmem_default=6291456
net.core.wmem_default=6291456
net.core.optmem_max=6291456
net.ipv4.tcp_mem=6291456 8388608 12582912
net.ipv4.udp_mem=6291456 8388608 12582912
net.ipv4.tcp_rmem=4096 8388608 12582912
net.ipv4.tcp_wmem=4096 8388608 12582912
net.ipv4.udp_rmem_min=4096
net.ipv4.udp_wmem_min=4096
net.netfilter.nf_conntrack_tcp_timeout_established=7440
net.netfilter.nf_conntrack_tcp_timeout_time_wait=30
net.netfilter.nf_conntrack_tcp_timeout_fin_wait=30
net.netfilter.nf_conntrack_tcp_timeout_close_wait=15
net.netfilter.nf_conntrack_udp_timeout=15
net.netfilter.nf_conntrack_udp_timeout_stream=60
net.netfilter.nf_conntrack_tcp_timeout_close=5
net.netfilter.nf_conntrack_tcp_timeout_last_ack=15
net.netfilter.nf_conntrack_tcp_timeout_syn_recv=15
net.netfilter.nf_conntrack_tcp_timeout_syn_sent=60
net.netfilter.nf_conntrack_tcp_timeout_unacknowledged=150
net.ipv4.tcp_orphan_retries=0
net.ipv4.tcp_keepalive_time=300
net.ipv4.tcp_keepalive_intvl=30
net.ipv4.tcp_keepalive_probes=5
net.ipv4.tcp_fin_timeout=30
net.ipv4.tcp_retries1=3
net.ipv4.tcp_retries2=10
net.core.netdev_max_backlog=32768
net.ipv4.tcp_max_syn_backlog=8192
net.netfilter.nf_conntrack_max=65535
net.netfilter.nf_conntrack_buckets=16384
net.ipv4.tcp_challenge_ack_limit=2147483647
net.core.somaxconn=16384
net.core.dev_weight=1024

Gdybym zmienił tak było by lepiej?

net.ipv4.tcp_mem=8388608 12582912 16777216
net.ipv4.udp_mem=8388608 12582912 16777216
net.ipv4.tcp_rmem=4096 6291456 10485760
net.ipv4.tcp_wmem=4096 6291456 10485760

tak aby system miał rezerwę dla innych procesów?

42

(6 odpowiedzi, napisanych Oprogramowanie / Software)

Sprawdziłem /sys/devices/system/cpu/cpufreq/policy0/scaling_governor i po  /sys/devices/system/cpu/cpufreq nie ma żadnych katalogów.
Wielka szkoda bo widzę ze ta przymusowa oszczędność energii i trzymanie się 0,99Ghz wyżej podskakuje tylko na chwilę i to zabija potencjał bo potrafi przytkać w sytuacjach obciążający CPU aż odczuwalny jest lag/zacięcie jednak gdy wskakuje na chwilę powyżej 0,99 okolice 1,5 momentalnie wszystko leci bez zadyszki. Szkoda ze nie znalazłem rozwiązania a czasu niestety brakuje na wszystko

43

(22 odpowiedzi, napisanych Oprogramowanie / Software)

Cezary napisał/a:

3. Jeżeli używasz tylko jednej listy to... po co ci adguard? Możesz ją wrzucic od razu do dnsmasq. No chyba że robisz to dla wykresów czy czegoś podobnego.

Panie Cezary proszę o wyjaśnienie dokładnie gdybym ograniczył się do jednej listy w dnsmasq to jak miałbym to zrobić? Tak by się również sama co 24 godziny aktualizowała?
Znalazłem temat w którym to opisujesz ale szczerze mało z tego rozumiem https://eko.one.pl/?p=openwrt-adblock
A Myślę ze to rozwiązanie było by najmniej zasobożerne skoro używał bym tylko jednej listy do blokowania reklam.
Przeleciałem wszystkie adblocki i o dziwo AdGuard ma najmniejsze obciążenie procesora (możliwe ze jest najlepiej zoptymalizowany pod tym kątem) za to sporo obciąża RAM szczególnie przy aktualizacji list choć na tym ruterze go nie brakuje, jednak odchudzam obraz i robię co mogę by oszczędzić właśnie procesor do innych rzeczy które planuje w późniejszym czasie...

44

(6 odpowiedzi, napisanych Oprogramowanie / Software)

Dziękuję za wyjaśnienie.
A nie zakładając nowego tematu zapytam czy na procesorze w tym ruterze: MediaTek MT7986AV @2.0GHz (Filogic 830)
będzie działała opcja "metoda skalowania procesora na wydajność"

echo "echo performance > /sys/devices/system/cpu/cpufreq/policy0/scaling_governor" > /etc/rc.local
echo "exit 0" >> /etc/rc.local
sh /etc/rc.local

Która jest zawarta w FAQ ?
tzn. Czy ten procesor umożliwia wyłączenie lub zmianę  opcji skalowana dla oszczędności energii lub czegoś w tym temacie dla lepszej wydajności?

45

(6 odpowiedzi, napisanych Oprogramowanie / Software)

Witam posiadam GL.iNet GL-MT6000 i mam takie pytanie czy mogę z tych zainstalowanych pakietów które są na starcie zrezygnować tak aby odchudzić obraz do niezbędnego minimum?

Oto lista pakietów które znajdują się na starcie:
base-files busybox ca-bundle dnsmasq dropbear e2fsprogs f2fsck firewall4 fstools kmod-crypto-hw-safexcel kmod-gpio-button-hotplug kmod-leds-gpio kmod-mt7915e kmod-mt7986-firmware kmod-nft-offload kmod-phy-aquantia kmod-usb3 libc libgcc libustream-mbedtls logd luci mkf2fs mt7986-wo-firmware mtd netifd nftables odhcp6c odhcpd-ipv6only opkg ppp ppp-mod-pppoe procd procd-seccomp procd-ujail uboot-envtools uci uclient-fetch urandom-seed urngd wpad-basic-mbedtls

Na chwilę obecną usuwam: odhcp6c, odhcpd-ipv6only i ruter działa bez problemu czy mógłbym cos jeszcze usunąć albo gdzie znaleźć listę z opisem tych pakietów i informacją które są niezbędne?

46

(22 odpowiedzi, napisanych Oprogramowanie / Software)

Ten poradnik to jest taka ogólna podstawa a nawet przesadne zachwalanie bo wprowadza w błąd nie uwzględniając bolączek AH na słabszych urządzeniach.

W "Ustawienia główne"
zaznacz tylko aktualizacje co 24 godzin 
reszty tych 3 nie zaznaczaj a dzienniki i statystyki zostaw domyślnie
Szczególnie nie zaznaczaj bezpieczne przeglądanie (lepiej to zaznaczyć w przeglądarce) bo w AH powoduje znaczny wzrost ms średniego przetwarzania czyli prościej zamula ładowanie stron.

W "Ustawienia DNS"
Na początek wpisz normalne DNSy od Twojego operatora jak nie masz jakiś szybkich innych i nie chcesz się bawić w ipv6 oraz szyfrowanie, bezpieczeństwo po za tym zwykłe DNSy ipv4 są najszybsze.
Oraz zaznacz "równoległe zadania" to też przyspiesza.
odwrotne prywatne resolwery klientów, odznaczone
odwrotne rozpoznawanie IP klientów, odznaczone

Konfiguracja serwera DNS
limit ilościowy ustaw na 0 aby tez przyspieszyć AH
Wyłącz rozwiązywanie adresów IPv6, zaznaczone to też przyspieszy oraz lepiej obsłuży filtry z adresami IPv4
Potem ustawienie TTL: zablokowanej odpowiedzi na 5 minut (wpisujesz w sekundach czyli 300), mini na 1 godzina, max na 24 godziny takie wartości wydają mi się najbardziej uniwersalne i rozsądne u mnie się sprawdzają. Rozmiaru pamięci tu już musisz sam pod siebie ocenić ile Ci potrzeba, w uproszczonym, skrócie: patrzysz ile masz max zapytań DNS na 24 godziny w statystykach, pewnie przeważnie większość to będzie to A (na IPv4) czyli średnio 32bity razy ilość zapytań razy dwa do zapasu, jak za mało będzie te 4Mb ustawione standardowo to podnosisz z tym ze do sieci domowej więcej niż 32Mb (wpisujesz tam w bajtach) bym nie dawał bo to nie ma sensu. I zaznacz optymistyczne buforowanie. Z czasem najczęściej odwiedzane witryny zobaczysz ze przyspieszą ładowanie.

W ustawieniach klienta możesz podpisać każdego klienta i ustawiać indywidulanie.

No i co do Filtrów, ilość rekordów zależy od ilości RAMu.
Jakie listy wybierzesz zależy od Cb jaki Ci pasować będą ja stawiam na jedną dobrą listę anty reklamową i przeciw śledzeniu, potem bawię się w białe listy wyjątków a po czasie będzie reszta mniejszych z kategorii bezpieczeństwo ale tak by nie doprowadzić do zapchania RAMu w czasie aktualizacji list, wspominałem o tym problemie wielokrotnie tu trzeba patrzeć na ilość rekordów pod dane urządzenie ile ma wolnego RAMu.
To tak na szybko ustawienie optymalizacji AH pod szybkość działania

47

(22 odpowiedzi, napisanych Oprogramowanie / Software)

filmy na filmweb.pl

wymaga odblokowania (domeny śledzącej i reklamowej)
www3.smartadserver.com
ced.sascdn.com

Twój wybór czy chcesz to zrobić, bo powód do blokowania jest wink

Na łagodniejszej liście Hagezi Pro (bez plus) nie ma takich problemów, dlatego polecałem Ci zacząć od tej listy do reklam bo wszystko od Hagezi od Pro (bez plusa) do niżej (Normal, Light) nie wymaga białych list ale też nie blokują dużo śledzących domen bardziej same reklamy. To są takie listy łagodniejsze dodaj i zapomni bez zabawy w białe listy wink

48

(22 odpowiedzi, napisanych Oprogramowanie / Software)

@janusz07 mam prośbę jak możesz podaj więcej tych nie działających stron chętnie to w wolnym czasie sprawdzę

49

(22 odpowiedzi, napisanych Oprogramowanie / Software)

U Hagezi masz kilka list podstawowych do reklam stopniowane: Light, Normal, Pro, Pro ++, Ultimate i to uważam za wystarczające po za tym są one dość często aktualizowane. Na Twoim miejscu startował bym od Pro bez plus i schodź na niższą wersję wedle potrzeby wink
Możesz też wypróbować stary 1Host ciągle jakoś dalej rozwijany tam tez jest stopniowanie Mini, Lite, Pro oraz Xtreme które jest mocniejsze nawet od Ultimate Hageziego.
Albo listy OISD też są stopniowane wersje.

Naprawdę list jest sporo Steven, Peter, Dan Pollock, AwAvenue itd... trzeba poświeć trochę czasu i potestować pod swoją sieć oraz użytkowanie.
Ja wole jedną dobrą listę z kategorii śledzenie i reklamy nawet gdyby miał się bawić w białe listy bo na ruterze potrzebuje optymalizacji wielkości liczby rekordów z AH (i znanym problemem z RAM poniżej 2 Gb) gdybym chciał później tez dodać pare mniejszych list z kategorii bezpieczeństwo. Bo niestety lista do reklam plus TIF to już za dużo na ten ruter mimo ze ma aż 1 Gb ramu.

Szukanie najszybszych DNSów też mi zajęło sporo czasu przy każdym włączaniu PC odpalanie przez mc DNS benchmark a potem dodanie wyselekcjonowanej listy 14 DNSów do AH z ustawieniem: "Najszybszy..." i co 30 dni sprawdzanie jak się lista układa sama i pokazuje które są najszybsze aby w końcu ustawić to tak jak chce (które są najszybsze a które dodać do rezerwowych) na to potrzeba sporo czasu oraz cennych opinii innych którzy korzystają z tej sieci. U mnie wyszło oczywistość najszybszy jest DNS od ISP ale zaraz za nim 1.1.1.1 na zmianę z OpenDNS  jednak po testach wyszło ze wpisanie DNS od ISP w AH powoduje dodatkowe 10-20ms opóźnienia do DNSa niż jest bez AH co przekłada się na wolniejsze wczytywanie stron a mi nie zależy na jakimś wytrawnym DNSie blokującym, szyfrującym tylko na najlepszej szybkości i optymalizacji pod szybkość a z czasem do najpopularniejszych stron przy używaniu i ustawieniu w AH pamięci podręcznej DNS ta szybkość jeszcze dodatkowo rośnie i o to mi chodzi by "złapać kilka srok za ogon" i wycisnąć co się da z szybkości i funkcji DNSa a przy okazji blokować reklamy dla mnie same plusy wink

50

(22 odpowiedzi, napisanych Oprogramowanie / Software)

Wracając do tematu czyli z tym skryptem odzyskał bym te stracone ms do DNS?
Dziękuję za naprowadzenie na trop gdzie szukać by to lepiej zoptymalizować pod szybkość wink