HKfree wiki - Příspěvky uživatele [cs]

Oblasti v HKfree a jejich správci

2010-01-17T13:25:18Z

Jezz: /* Hive AP */

== Základní údaje a kontakty ==
Korespondenční adresa, sídlo:

'''Občanské sdružení hkfree'''

Heyrovského 1178

500 02 Hradec Králové

IČ: 266 59 573

'''Prosíme zasílat doporučené dopisy pouze v nejnutnějších případech a po dohodě'''

'''Technicka podpora'''

GSM: +420 608 10 10 70

pracovni doba v pracovnich dnech 9-19 hod

Kontakt na statutární zástupce:

'''Záviš Jirásek, jednatel'''

mail: zavis()hkfree.org

jabber: zavis@jabber.hkfree.org

ICQ: 175510025

GSM: +420 604 434 934

'''Jakub Janele, předseda'''

mail: jakub()hkfree.org

jabber: jakub@jabber.hkfree.org

ICQ: 175510025

GSM: +420 777 007 575

== Na kterou oblast se mám obrátit? ==
Pokud nejste člen hkfree a chcete se připojit, pak kontaktujte správce, který provozuje nějaké AP nejblíže k místu, kde se chcete připojit.

[http://www.hkfree.org/mapa/ Mapa přístupových bodů HKfree]

Můžete '''vypnout koncové body'''. Název AP se obvykle shoduje s příslušnou oblastí, nebo můžete na bod v mapě kliknout a podívat se na záložku "Kontakt" (pokud tam tato záložka není, zkuste "odkaz na vlastníka" - ikonka panáčka - obvykle tam je nějaký kontakt uveden).
Pokud nezjistíte, ke které oblasti AP patří, nezoufejte a zkuste jiné AP ve vašem okolí.

Vždy je nejlepší obracet se na správce, který spravuje AP ve vaší lokalitě, těžko bude každý správce vědět všechno o ostatních oblastech.

== Benešovka ==
'''''Petr Šuba (PetrS)'''''
*e-mail: petr(tečka)suba(zavinac)seznam(tečka)cz
*Skype: petrsuba
*ICQ:54109294
*ISSID: S1.benesovka.hkfree.org - míří na hospodu Hacienda
*ISSID: S2.benesovka.hkfree.org - míří na třídu E. Beneše

== Brouzdaliště ==
'''''Tomáš Přívratský (Chuck777)'''''
*e-mail: [mailto:chuck777(zavinac)hkfree(tečka)org]
*jabberID: chuck777@jabber.hkfree.org
*mobil: [790 368 527]

== Brožíkova ==
Matej Lang (lanik)
*icq 201348078
*jabber lanik@zitny.net
*msn Lang.Matej@ssakhk.cz
*mail Lang.Matej@ssakhk.cz

== Břetislavova ==
Michal Timofejev (MikeT)
*mail: [mailto://MikeT@hkfree.org MikeT@hkfree.org]
*ICQ: 89653777

Mapa: [http://www.hkfree.org/mapa/?id=2845 http://www.hkfree.org/mapa/?id=2845]

ESSID: bretislavova-5g.hkfree.org (5G všesměr)

== Bříza ==
=== Bříza - sever ===
Správce Záviš Jirásek

* ICQ: 175510025
* JID: zavis001@jabber.cz
* mail: zavis@hkfree.org

Zástupce Lukáš Novotný

* mail: LukasNNovotny@seznam.cz

* Rozsah IP: 10.107.114.0/25
* SSID
** briza-sever.hkfree.org - všesměr Vpol 2,4GHz
* Fotky(stavba): http://www.zavis.cz/thumbnails.php?album=39
* Mapa: http://www.hkfree.org/mapa/?id=2050

=== Bříza - jih ===
Správce Záviš Jirásek

* ICQ: 175510025
* JID: zavis001@jabber.cz
* mail: zavis@hkfree.org

Zástupce Lukáš Dufek

* ICQ: 233364516
* mail: dufy.l@seznam.cz

* Rozsah IP: 10.107.114.128/25
* SSID
** briza-jih.hkfree.org - všesměr Vpol 2,4GHz
* Mapa: http://www.hkfree.org/mapa/?id=2077

== Budvarek - Slatina ==
Jan Vodvárka ([[Uživatel:Budvarek|budvarek]])
* ICQ: 254314611
Daniel Lenc ([[Uživatel:Dan|dan]])
* mail: [mailto:dan@hkfree.org dan@hkfree.org]
* ICQ: 86507025
* Jabber: dan@jabber.hkfree.org 
* [http://www.hkfree.org/mapa/?id=2771 mapa]
ESSID 5GHz: budvarek.hkfree.org

== Bydžovská Lhotka (BydLo)==
Lukáš Březina (Dr.Easy)
*mail: Dr.Easy@hkfree.org
*ICQ: 290721629
ESSID: BydLo.hkfree.org

== D-network ==
Ladislav Pecho ([[Uživatel:Lada|Lada]])
*e-mail: [mailto:lada(zavinac)hkfree.org lada(zavinac)hkfree.org]
*jabberID: Lada@jabber.hkfree.org
*[[d-network| podrobnější informace]]
*interní web: [http://d-network.hkfree.org/ http://d-network.hkfree.org/]
Lukáš Kummer (rexor)
*e-mail: [mailto:rexor(zavinac)hkfree.org rexor(zavinac)hkfree.org]
*jabberID: rexor@jabber.hkfree.org

Žádosti o připojení a obecné informace nám prosím posílejte pouze na mail. Po ICQ/jabberu riskujete, že vaši (obvykle dlouhou) žádost ztratíme. IM protkoly jsou tu hlavně pro již připojené, kteří potřebují neodkladně poradit nebo vyřešit problém. Děkujeme za pochopení.

== Dobřenice ==
Tomáš Vondra

had

email:vondra@hkfree.org

ICQ 318047798

SSID dobrenice.hkfree.org * pod.dob.hkfree.org * dobreniceII.hkfree.org

telefon 603485111

== Dolany ==
* Dva sektory, jeden umístěný na Dolany, druhý na Staré Ždánice.
* umisteno na vodarne v JZD Dolany
* SMS: +420910301474
* Žádosti o připojení pište na email: [mailto:pripojeni-dolany@hkfree.org pripojeni-dolany@hkfree.org]
* 2.4GHz ESSID
** dolany1.hkfree.org - sektor smer Stare Zdanice
** dolany2.hkfree.org - sektor smer Dolany
** dolany-ap1.hkfree.org - hotspot pro HKfree pripojence - pouzijte svoje uid a heslo (napr: u9999 a heslo AAAAAA)
** dolany-ap2.hkfree.org - hotspot pro HKfree pripojence - pouzijte svoje uid a heslo (napr: u9999 a heslo AAAAAA)

== Dukelská AP ==
Petr Klouček (Electroder)
*ICQ: 315795514
*e-mail: [mailto:electroder@centrum.cz electroder@centrum.cz]
Martin Klouček (Kommarr)
*ICQ: 340344206
*e-mail: [mailto:kommarr@centrum.cz kommarr@centrum.cz] 
5GHz SSID: 
*dukelska1.hkfree.org 
*dukelska2.hkfree.org 
*dukelska3.hkfree.org 
Mapa:
*http://www.hkfree.org/mapa/?id=1336

== Farářství ==
Jan Honosek 
ICQ: 306979862 
mail: honza@lipky.hkfree.org 
Zastupce: 
Jarda Hrůza 
mail: jarda196@seznam.cz

== FugasAP / Nový Hradec Králové ==
Jan Filka (Fugas)
*fugas@hkfree.org
*ICQ: 205-103-931
ssid
*fugas.hkfree.org (2,4GHz všesměr)
*fugas2.hkfree.org (2,4GHz sektor horizontalní pol.)
*fugas3.hkfree.org (5GHz všesměr)
*fugas4-jih.hkfree.org (5GHz 90° sektor)
*fugas5-vychod.hkfree.org (5GHz 90° sektor)
*fugas6-SV.hkfree.org (5GHz 90° sektor horizontalní pol.)
== Hive ==

=== Hive AP ===

František Dvořák (Vcela)
*e-mail: vcela(zavinac)hkfree.org
*ICQ: 2036646 - piste duvod autorizace,prazdne zadosti o autorizaci zamitam
*jabberID:vcela(zavinac)jabber.hkfree.org

Miroslav Jezbera (Jezz)
*e-mail: jezz(zavinac)hkfree.org
*jabberID: jezz(zavinac)njs.netlab.cz

* mapa http://www.hkfree.org/mapa/?id=436

=== Hydra AP ===

František Dvořák (Vcela)
*e-mail: vcela(zavinac)hkfree.org
*ICQ: 2036646 - piste duvod autorizace,prazdne zadosti o autorizaci zamitam
*jabberID:vcela(zavinac)jabber.hkfree.org
*mapa http://www.hkfree.org/mapa/?id=2229

== Hradek ==
Jiri Valasek
(jirka-v)

icq 237 440 350

jirka-v@hkfree.org

== Hrbitov ==
správci:

Jan Vácha, nick reaper

*mail: reaper@hkfree.org
*ICQ: 135298157
*Jabber: johanson@jabber.hkfree.org

web: http://hrbitov.hkfree.org

== Horakova ==
AP umístěno na druhém stupni ZŠ Milady Horákové

Správce: Petr Bartoň ([[Uživatel:Bkralik|Bkralik]])
----
Zástupce: Pavel Vlček - Pvlk
----
*rozsah IP: 10.107.91.0/24
*SSID: horakova5g.hkfree.org sever.horakova5g.hkfree.org
*mapa: http://www.hkfree.org/mapa/?id=2265

== Hvezda ==
mail: oblast25@rt.hkfree.org

správce: Pavel Špryňar ([[Uživatel:Paul|Paul]])
----
Zástupce: Jan Vecek - Vecíno
*E-mail: vecino (zavinac) hkfree.org
*ICQ: 129852867
*Jabber: vecino@jabber.org
*Web: [http://lide.hkfree.org/~vecino/ http://lide.hkfree.org/~vecino/]/

=== Sekaninova ===
Spravce:
Záviš Jirásek

* ICQ: 175510025
* JID: zavis001@jabber.cz
* mail: zavis@hkfree.org

Zastupce:
Zbyněk Šlapák
* mail:zslapak@centrum.cz

AP Sekaninova
* Rozsah IP: 10.107.215.0/25
* SSID 5GHz
** sekaninova-5g-zapad.hkfree.org
** sekaninova-5g-sever.hkfree.org
** sekaninova-5g-vychod.hkfree.org
** sekaninova-5g-jih.hkfree.org
* Mapa: http://www.hkfree.org/mapa/?id=2475

Pozor - jedná se o nové AP, některé sektory nejsou nahozené, pokud se budete chystat skenovat, zda dané SSID vidíte a můžete se připojit, kontaktujte mě předtím prosím pro ověření, že daný sektor vysílá. Díky Záviš

== Hybešova ==
Josef Kotva - Choze
*ICQ: 103560589
*Jabber: Choze@jabbim.cz
*Skype: ChozeZR-7
*Email: choze@on2wheels.org
*Mobil: 608142434 (jen v nejnutnějších případech!)

*http://hybesova.hkfree.org ( http://10.107.5.1 )

== Chlumec nad Cidlinou (Holubník + Panelák)==
Martin Kašpar (C-R-E-A-T-I-V-E)
*mail: baltazarkaspar@seznam.cz, kaspi@hkfree.org
*ICQ: 258029985
*SSID holubnik1.chlumec.hkfree.org + holubnik2.chlumec.hkfree.org + holubnik3.chlumec.hkfree.org + holubnik1-5g.chlumec.hkfree.org
*SSID panelak1.chlumec.hkfree.org + panelak2.chlumec.hkfree.org + panelak1-5g.chlumec.hkfree.org + panelak2-5g.chlumec.hkfree.org
*WEB: http://chlumec.hkfree.org

== Chudeřice==
David Vlk (Dave)
*mail: [mailto:dave@hkfree.org dave@hkfree.org]
*ICQ: 371762446
*Jabber: dave@jabber.hkfree.org
*WEB: http://apnove-mesto.hkfree.org
SSID
2,4 GHz
Chuderice.HKFree.org

== JaTy Gateway (Severní ul.)==
Jarda Tejral, Poutnik
* mail: [mailto:jarda.popik@seznam.cz jarda.popik@seznam.cz]
* icq: 239996983
* jabber: poutnik@jabber.hkfree.org

Jan Mrázek, Mrazil
* mail: [mailto:mrazil@hkfree.org mrazil@hkfree.org]
* icq: 266008225
* jabber: mrazil@jabber.hkfree.org
/
* JaTy není klasické AP s možností připojení jednotlivých userů bezdrátem
* '''Možnost připojení:'''
* LAN Severní 749 - 756
* LAN 5G Mrazil Severní 720 - 724
* LAN 5G Grado Bří.Čapků 877
* LAN 5G Severní 761 - 763
* (jiná místa či čísla popisná jsou na dohodě a možnostech)

* http://www.hkfree.org/mapa/?id=567

== JNet ==
Ladislav Pecho, nick Lada

email: lada (zavinac) hkfree.org

ICQ: 78345851

jabber: Lada@jabber.hkfree.org

Martin Kouřim, nick martink (zástupce)

email: martink (zavinac) hkfree.org

ICQ: 265422476

jabber: martink@jabber.hkfree.org

Žádosti o připojení a obecné informace prosím posílejte pouze na mail. Po ICQ/jabberu riskujete, že vaši (obvykle dlouhou) žádost ztratím. IM protkoly jsou tu hlavně pro již připojené, kteří potřebují neodkladně poradit nebo vyřešit problém. Děkuji za pochopení.

http://JNet.hkfree.org

== Kocourkov ==
=== AP Kocourkov + AP Andre + AP Hrubínova===

* '''web: http://kocourkov.hkfree.org/'''
* '''e-mail: kocourkov@hkfree.org'''

'''Lubomír Buben (Harry)'''
* ICQ: 222869452
* e-mail: lubomir.buben@gmail.com
* jabber: harry@jabber.hkfree.org

'''Jindřich Gloser (Radar)'''
* e-mail: gloser@atlas.cz
* jabber: radar@jabber.hkfree.org

'''Martin Šmejda (Locutus)'''
* ICQ: 268129257
* e-mail: locutus01@seznam.cz
* jabber: locutus@jabber.hkfree.org

'''Jaromír Stoklásek (Sks)'''
* ICQ: 158506608
* e-mail: js@lc.cz

== Kratonohy ==
Filip Jílek alias Šneky
* ICQ: 273-709-209
* mail: Sneky@hkfree.org
* skype: snekyy

== Krásnice ==
===Nove budovane AP===
* Zadosti o pripojeni piste na pripojeni-krasnice@hkfree.org.
* ESSID: krasnice-new.hkfree.org (jen 2.4GHz)
<s>
===Stare AP===
Jan Klazar (Neo58)
* ICQ: 127666206
* mail: neo58@hkfree.org
* skype: neo58x
</s>

== Kukleny ==
=== AP Kukleny ===
Jakub Janele
*e-mail: jakub(zavinac)hkfree(tecka)org
*ICQ: 72000023
*JabberID HKFREE: jakub@jabber.hkfree.org
*Gtalk: jakub.janele(zavinac)gmail.com
*WEB1: [http://kukleny.hkfree.org/ http://kukleny.hkfree.org/]
*WEB2: [http://kukleny.janele.net/ http://kukleny.janele.net/]
*Skype: jakub.janele
*Mapa: [http://www.hkfree.org/mapa/show.jsp?ms=2.5&mx=643654.0&mh=600&my=1042459.5&mw=800 AP Kukleny]

=== AP Markova ===
Martin Čermák - Cermis
* E-mail: martin(zavinac)cermis(tecka)net
* ICQ: 171779801
* Jabber-ID: martin(zavinac)cermis(tecka)net
* Web spolecny
* Skype: cermis.net
* Mapa: [http://www.hkfree.org/mapa/show.jsp?ms=2.5&mx=644224.0&mh=600&my=1042287.0&mw=800 AP Markova]

== Libišany ==
Jiří Novák 
smrcek 
*mail: smrcek@hkfree.org 

== Lipky ==
Pavel Dejmek(coudek) 
mail: root(na)lipky.hkfree.org 
icq: 67098722 
[http://lipky.hkfree.org lipky.hkfree.org]

== Labská Kotlina 1 ==
Radovan Vápeník (kremilek)
*mail: kremilek@seznam.cz
*icq: 208844681
*jabber: kremilek@labska.hkfree.org

== Lesopark ==
Pavel Špryňar ([[Uživatel:Paul|Paul]])
*mail: oblast89@rt.hkfree.org

== Lhota pod Libčany ==
Ing. Vojtěch Pithart (VojtaLhota)
*jabberID: vojtap@jabber.cz
*e-mail: vpithart0@lhota.hkfree.org
*tel: 606198886

Martin Topič
*e-mail: topicmster@gmail.com

[http://web.hkfree.org/~vojta/AP-Lhota3/ AP Lhota3 (Agrodružstvo)]

== Libčany ==
správce: '''Jan Novák (examiner)'''
* ICQ: 318829625
* JID: examiner@jabber.hkfree.org
* mail: examiner@seznam.cz
* web: http://www.johnnysweb.net
=== Libčany1 ===
* mapa: http://www.hkfree.org/mapa/?id=2153
* SSID
** Libcany1a.HKfree.org - 5 GHz
** Libcany1g.HKfree.org - 2,4 GHz
* Test rychlosti:
** http://rychlost.cz/rh/20083848566-2cc96ce8d2.html

== Malšova Lhota ==
správce: Ondřej Vitvar (Glifin)
* icq: 484589968
* jabber: Glifin@jabber.hkfree.org
* mail: Glifin@hkfree.org

Zájemci o připojení hlaste se zde:
Pavel Vitvar (Arnie)
* icq: 237696744
* jabber: Arnie13@jabber.cz
* mail: Pavel.Vitvar@seznam.cz

* web: http://malhota.hkfree.org

== Malšovice ==

správce: '''Jakub Husák (Koubas)'''
* icq: 74194662
* jabber: koubas@jabber.hkfree.org
* mail: koubas@hkfree.org

Spravované přístupové body:
(Následující odkazy jsou přístupné pouze ze sítě HKfree, umístění bodů naleznete na [http://www.hkfree.org/mapa/ mapě HKfree].)
* AP-Gollova (http://ap-gollova.malnet.hkfree.org)
* AP-PVK (http://pvk.malnet.hkfree.org)

Případné zájemce o připojení prosím, aby si předem prostudovali co nejvíce informací o naší síti (jak na této WiKi, tak na [http://www.hkfree.org domovské stránce]) a brali na zřetel, že HKfree není komerční poskytovatel internetu a nenabízí mnohé ze služeb a záruk, které lze u komerčních poskytovatelů považovat za samozřejmost. Pokud se ovšem bez této přidané hodnoty obejdete, může HKfree komerčního poskytovatele více než nahradit.

== [[AP Mandysova|Mandysova]] ==
* [[AP Mandysova|detaily]]

== Nové Město nad Cidlinou ==
David Vlk (dave)
*e-mail: [mailto:dave@hkfree.org dave@hkfree.org ]
*ICQ: 371762446
*Jabber: dave@jabber.hkfree.org
*WEB: http://apnove-mesto.hkfree.org

SSID
2,4 GHz
Nove_Mesto.HKFree.org
Nove_Mesto2.HKFree.org

5 GHz
Nove_MestoS1.HKFree.org
Nove_MestoS2.HKFree.org

== Obědovice ==
Petr Šindelář - PeS
*e-mail: [mailto:pes@hkfree.org pes@hkfree.org ]
*ICQ: 16668451
*Jabber: .PeS.@jabber.cz
*WEB: http://10.107.176.1

- 2.4 i 5 GHz sektory

== OliAP - Ulrichovo náměstí ==
Filip Rejč (fikus)
*e-mail: [mailto:fikus@hkfree.org fikus@hkfree.org ]
*JabberID :fikus@jabber.hkfree.org
*ICQ : 264731666
*mobil: mam, ale nedam:)
*[http://oli.hkfree.org/ http://oli.hkfree.org]

== Opatovice nad Labem ==
Miloš Hatla
* 5GHz všesměr
*E-mail: milos.hatla(zavinac)gmail(tecka)com
*ICQ: 252544589
*Mapa: [http://www.hkfree.org/mapa/show.jsp?ms=2.5&mx=644891&mh=600&my=1047911&mw=800 AP Opatovice n.L.]

== Orca - Horova ==
Tomáš Kulíř (kulin)
*e-mail: [mailto:kulin@hkfree.org kulin@hkfree.org ]
*JabberID: kulin@jabber.hkfree.org
*ICQ: 179 149 962
*[http://orca.hkfree.org/ http://orca.hkfree.org]

Pavel Chmelař (Pavlek)
*e-mail: [mailto:pavlek@hkfree.org pavlek@hkfree.org ]
*JabberID: pavlek@jabber.hkfree.org
*ICQ: 308 763 141

== Orlicka ==
Jan Mrázek, Mrazil
* mail: [mailto:mrazil@hkfree.org mrazil@hkfree.org]
* icq: 266008225
* jabber: mrazil@jabber.hkfree.org

== Osice ==
Tomáš Jakoubek
*tomas.jakoubek@centrum.cz
*ICQ: 247131190

== Osicky ==
Michal Pazler
*debak@seznam.cz

*ICQ Nick: debak
*icq: 37452310
*JabberID: debak@njs.netlab.cz

== Pentagon ==
'''''Petr Šuba (PetrS)'''''
*e-mail: petr(tečka)suba(zavinac)seznam(tečka)cz
*Skype: petrsuba
*ICQ:54109294

== Piletice ==
Jiří Hypš (JiH)
*e-mail: [hypsj(zavinac)seznam(tecka)cz]
*ICQ 301-512-182

Jan Dařbuján (Dařbi)
*E-mail: DarbujanJ@seznam.cz

== Plačice ==
Roman Sluka (bigboy)
* mail: roman.sluka@post.cz
* ICQ: 207880058

== Plch ==
=== Plch I ===
''2,4 GHz všesměr. Konektivita z Osic.''

Vlastimil Mrňávek
* ICQ: 097-333-686
* Jabber: vlastik.m@jabber.cz

Martin Půlpán, Liron
* ICQ: 225-759-436
* Jabber: liron@jabber.hkfree.org
* E-mail: [mailto:liron@hkfree.org liron@hkfree.org]

=== Plch II ===
''AP je ve výstavbě! 2x 2,4GHz protiběžné sektory napříč Plchem, 1x 5GHz sektor směrem na Staré Ždánice. Konektivita z vodojemu v ZD Dolany.''

Pavel Půlpán
* E-mail: [mailto:pavel.pulpan@diwoczaak.net pavel.pulpan@diwoczaak.net]
* Jabber: ppulpan@gmail.com

== Plotiště ==

=== Postman ===
Jarda Hovorka
* E-mail: [mailto:jarda@hovorka.net jarda@hovorka.net]
* IP rozsah: 10.107.60.0/24

==== Náhon ====
Jarda Hovorka
* E-mail: [mailto:jarda@hovorka.net jarda@hovorka.net]
* IP rozsah: 10.107.60.0/24

=== Kalinka ===
[[Uživatel:Pouw|Pouw]]
* Fotky: http://lide.hkfree.org/~pouw/gallery/public/kalinka_ap/
* Mapa: http://www.hkfree.org/mapa/show.jsp?ms=2.5&mx=642906.0&mh=600&my=1040414.0&mw=800

=== plotiste.hkfree.net ===
Správce oblasti:
Luděk Havlíček, lullu
* E-mail: lullu(zavinac)seznam(tecka)cz
* ICQ: 241923108
* net: 10.107.8.0/24

Zástupce správce oblasti:
Jan Zeman, ZETirus
* E-mail: zetirus(zavinac)hkfree(tecka)org
* tel: 790414626
* ICQ: 262890126

Web: [http://10.107.8.1/ http://plotiste.hkfree.org/]

Mapa: [http://www.hkfree.org/mapa/?id=214 AP Plotiště]

=== Karosárna ===
Ondra Kváš
* E-mail: ondrahk at seznam point cz
* ICQ: 120958227 - do zadosti o autorizaci piste, ze se jedna o HKFree
* JABBER: ondrahk at jabber point cz

* IP rozsah: 10.107.161.0/24
SSID:
* 2G.karosarna.hkfree.org
* 5G.karosarna.hkfree.org

== PMV ==

František Dvořák (vcela)
*e-mail: vcela(zavinac)hkfree.org
*ICQ: 2036646 - piste duvod autorizace,prazdne zadosti o autorizaci zamitam
*jabberID:vcela(zavinac)jabber.hkfree.org

Miroslav Jezbera (Jezz)
*e-mail: jezz(zavinac)hkfree.org

* mapa http://www.hkfree.org/mapa/?id=35

== Podůlšany ==
===AP Podulsany===
* essid: podulsany.hkfree.org (pomalejsi)
Jiří Syrový (jrk)
* mail: jrk (zavinac) hkfree (tecka) org
* SMS: +420910301474

== Polizy AP ==

Jiří Nesvačil
* ICQ: 320941438
* email: nesvacil.jiri@seznam.cz
* http://charon.hkfree.org/~jirnes/
* Mapa: [http://www.hkfree.org/mapa/show-node.do?id=1009 Odkaz]

== Pouchov (AREA50)==
Spravce: ...

Zastupce: ...

== Praskacka ==
Jaroslav Věcek 
vecek 
email: vecek@volny.cz 

== Probluz ==
Miroslav Holubička (Ježíšek)
*email: jezisek@hkfree.org
*ICQ: 350-071-820

== Přemyslova ==
Jan Filka (Fugas)
*email: fugas@hkfree.org
*ICQ: 205-103-931
*premyslovaS1.hkfree.org (5GHz sektor horizontalní pol.)

== Purkyně ==
'''Martin Šmejda (Locutus)'''
* e-mail: locutus01@seznam.cz
* jabberID: locutus@jabber.hkfree.org
* ICQ: 268129257
SSID:
* S1.purkyne5g.hkfree.org (120° sektor od AP směr západ)
* S2.purkyne5g.hkfree.org (90° sektor od AP směr severo východ)
* purk-turin.hkfree.org (2.4GHz všesměr (šifrovaný WEPem))

== Radostov ==
Jarda Kohout
*e-mail: jaromir.kohout@volny.cz

== RoNet - Roudnička ==
Jan Šíma [Shorny]
* MAIL: [mailto:shorny@hkfree.org shorny@hkfree.org]
* JID: shorny@jabber.hkfree.org
* ICQ: 148458880
* WEB: http://ronet.hkfree.org/ & http://10.107.45.1/
* Mapa: [http://www.hkfree.org/mapa/show.jsp?ms=0.5&mx=642122.5&mh=600&my=1047084.5&mw=800 Odkaz]

Frantisek Dvorak (vcela)
*e-mail: vcela(zavinac)hkfree.org
*ICQ: 2036646 - piste duvod autorizace,prazdne zadosti o autorizaci zamitam
*jabberID:vcela(zavinac)jabber.hkfree.org

== Roudnice ==
Roman Kašpar (Ramon)
*ICQ: 99015167
*e-mail: ramon@hkfree.org

== Rusek (AREA51) ==
Jakub Andrys (Cool-Explosion)
* e-mail: [mailto:coolex(zavinac)hkfree(tecka)org coolex@hkfree.org]
* jabberID: coolex@jabber.hkfree.org
* http://rusek.hkfree.org/

== Slatina ==
Pavel Kotlář (pak)

*e-mail: [mailto:pak@hkfree.org pak@hkfree.org]

*web: [http://zruda.kotlar.net/ http://zruda.kotlar.net/]
*jabberID: pak@jabber.hkfree.org

== Spar ==
=== AP Libuse + AP Kenny3 ===
Martin Košťál (Kendy)
*ICQ: 85330673
*jabberID: kendy@jabber.hkfree.org
*e-mail: kendy[zavinaac]hkfree[teeecka]org

Zastupce:
*Jan Mrázek, Mrazil
*mail: mrazil@hkfree.org
*icq: 266008225
*jabber: mrazil@jabber.hkfree.org

== SSSR/Pod Strání ==
správce:

Martin Bartoška (SSSR)
*mail: psycho_killer@seznam.cz
*ICQ: 429601864
Jan Vácha, nick reaper

*mail: reaper@hkfree.org
*ICQ: 135298157

== Stěžery ==

=== AP Gogo ===
Pavel Kříž ([[Uživatel:Pavkriz|pavkriz]])
*ICQ: 94733420
*jabberID: pavkriz@jabber.hkfree.org
*e-mail: [mailto:pavkriz@hkfree.org pavkriz@hkfree.org]
* http://charon.hkfree.org/stezery/doku.php?id=hkfree
* http://10.107.12.1 (z vnitřní sítě)

=== AP Charlie ===
Radek Veverka - Vevrdy
*ICQ: 244407066
*e-mail: [mailto:vevrdy@centrum.cz vevrdy@centrum.cz]

=== AP Zitnyp ===
Petr Žitný (zitnyp)
*ICQ: 195407527
*jabberID: zitnyp@jabber.hkfree.org
*e-mail: [mailto:zitnyp@hkfree.org zitnyp@hkfree.org]
* http://zitnyp.hkfree.org

=== AP HEP a Čochtan ===
Martin Hajpišl - HEP
*ICQ: 156223233
*e-mail: [mailto:hajpisl@centrum.cz hajpisl@centrum.cz]

== Stěžírky ==

===AP Bytovka ,AP Navi1 ,AP Navi2 , AP Pesl===
Ivan Vohnout - Navi
*e-mail : [mailto:ivohnout@seznam.cz ivohnout@seznam.cz]

== Svinary ==
Tomas Cejnar - e.x.e 
ICQ: 248 810 260 
jabberID: e.x.e@d-network.hkfree.org 
email: e.x.e@HKfree.org 
web: http://svinary.hkfree.org/ (http://10.107.7.1/)

== Svobodné Dvory ==
=== Drtinova ===
Ladislav Klimt, lk
* JID: lk@jabber.hkfree.org
* ICQ: 318390848
* mail: ladislav.klimt@seznam.cz
Mapa: http://www.hkfree.org/mapa/show.jsp?ms=2.5&mx=643466.0&mh=600&my=1040499.0&mw=800

AP-Info: http://drtinova.hkfree.org ''dostupné pouze zevnitřní sítě hkfree''

=== Gryffus ===
Lukáš Krejza, Gryffus

* JID: gryffus@jabber.hkfree.org
* ICQ: 163855469
* mail: gryffus@hkfree.org
Mapa: http://www.hkfree.org/mapa/show.jsp?ms=2.5&mx=644493.5&mh=600&my=1040314.0&mw=800

Web: http://gryffusap.hkfree.org/ (http://10.107.33.1/) - ''dostupné pouze zevnitř sítě hkfree''

=== Dvorska ===
[[Uživatel:Pouw|Pouw]]
* Fotky: http://fotky.pouw.cz/hkfree/pouw_ap/
* Fotky: http://fotky.pouw.cz/hkfree/pouw_ap_zima/
* Mapa: http://www.hkfree.org/mapa/?id=83
* http://sd.hkfree.org/ - ''dostupné pouze zevnitřní sítě hkfree''

=== Kozlovka ===
Záviš Jirásek

* ICQ: 175510025
* JID: zavis001@jabber.cz
* mail: zavis@hkfree.org
* Rozsah IP: 10.107.113.0/25
* SSID
** kozlovka.hkfree.org - všesměr Vpol 2,4GHz
** kozlovka_jih.hkfree.org - sektor 60st. Hpol 2,4GHz, osa směr ZŠ Svobodné Dvory
* Fotky(směs): http://www.zavis.cz/thumbnails.php?album=35
* Mapa: http://www.hkfree.org/mapa/?id=2006

=== Meteor ===
Záviš Jirásek

* ICQ: 175510025
* JID: zavis001@jabber.cz
* mail: zavis@hkfree.org
* Rozsah IP: 10.107.113.128/25
* SSID
** meteor.hkfree.org - všesměr Vpol 2,4GHz
* Mapa: http://www.hkfree.org/mapa/?id=2075

=== Miki ===
Michal Halberštát

* ICQ: 307435429
* JID: miki1985@jabber.cz
* mail: michal_halberstat@seznam.cz
* SSID
** miki.hkfree.org - všesměr 5GHz
* Mapa: http://www.hkfree.org/mapa/?id=2691

== Syrovatka ==
Mira Smatolan (mira)
* mail: caleb2@centrum.cz
* ICQ: 151215553

== Theo - u bílé věže - Podvobraz==
Radim Drtílek (Evil)
*ICQ: 156202872
*JabberID: evil@jabber.hkfree.org
*e-mail: [mailto:radim(tečka)drtilek(zavináč)hkfree(tečka)org radim(tečka)drtilek(zavináč)hkfree(tečka)org]

Vít Jedlička (Theo)
*ICQ: 26721471
*JabberID: vitek@jabber.hkfree.org
*tel: 608131130
*WWW: [http://charon.hkfree.org/theoap/ http://charon.hkfree.org/theoap/]
*[http://www.hkfree.org/mapa/show.jsp?ms=2.0&mx=641181.5&mh=600&my=1042321.0&mw=800 mapa]

== Těchlovice ==
Jan Zikl
(piticko)

*icq: 287829174
*tel: 777574737 (jen v nutných případech a pro nové připojence)
*e-mail: jan.zikl(zav)gmail.com
*skype: piticko
*adresa: '''Těchlovice 96'''

== Trnava ==
Vratislav Brož (Kubrt)
*icq: 362051362
*mail: vratavb@seznam.cz

== Urbanice ==
Jan Včelák (havk, Čmelda)
* mail: [mailto:havk@centrum.cz havk@centrum.cz]
* ICQ: 193-527-931
* Skype: Cmelda_cz
* [http://www.hkfree.org/mapa/show.jsp?ms=2.0&mx=648573.5&mh=600&my=1045006.5&mw=800 mapa]

== VecinoAP ==

Jan Vecek - Vecíno
*E-mail: vecino (zavinac) hkfree.org
*ICQ: 129852867
*Jabber: vecino@jabber.org
*Web: [http://lide.hkfree.org/~vecino/ http://lide.hkfree.org/~vecino/]/

== Věkoše ==

=== AP Sokol ===
Jakub Středa, Cekr
*mail: [mailto:cekr@hkfree.org cekr@hkfree.org]
*JID: cekr@jabber.hkfree.org
*ICQ: 387487544
*URL: http://sokol.hkfree.org

=== Tapo AP (Věkoše + Placky) ===
Václav Kahl 
* JID: wasek.hk(at)jabber.cz
* mail: vasek(at)hkfree.org
* ICQ: 298084551

== Winterova ==
Jan Honosek 
ICQ: 306979862 
mail: honza@lipky.hkfree.org 
Zastupci: 
Kulin & Marecek 
ICQ: 179149962 
mail: kulir@hkfree.org 
web: http://10.107.30.1

== Xnet - Sadovská ==
Daniel Lenc ([[Uživatel:Dan|dan]])
* mail: [mailto:dan@hkfree.org dan@hkfree.org]
* ICQ: 86507025
* Jabber: dan@jabber.hkfree.org 
* [http://www.hkfree.org/mapa/?id=1345 mapa]

==[[AP yzop|yzop - Škroupova ulice]]==

mail: [mailto:yzop@hkfree.org yzop@hkfree.org] 
[[AP yzop|další detaily]]

== AP Zvonička ==

Pavel Vlček - Pajavlk
* E-mail: pvlcek(zavinac)seznam.cz
* ICQ: 164952322
* Jabber: pajavlk@jabber.hkfree.org
* Web: [http://lide.hkfree.org/~pajavlk/zvonicka]/

* mapa http://www.hkfree.org/mapa/?id=1673

Routerboard

2007-12-07T07:18:22Z

Jezz: /* Veřejné IP */

= Nastavení routerboardu =
== První střípky co je potřeba ==
Jednak je pro konfiguraci potřeba si uvědomit, že routerboard (dal jen RB) nema defaultní IP adresu a dá se tedy konfigurovat jen přes seriovou konzoli nebo přes winbox
* ke stažení winbox zde [http://www.inwifi.cz/podpora/soubor.php?f=817ddc67e43a50e4ba295ca4e54870f4 winbox.exe na INwifi]

== Připojení na RB ==
===Pomocí Winbox===
V tomhle programu (winbox) si vyberete pomocí trojtečky zařízení a jednoduše se na něj připojíte, v defaultu je
login: admin
password je prázdné

===Pomocí seriové konzole===
RB je defaultně nastaven na automatickou rychlost, ''8bit'', ''parity none'', ''1 stop bit'', ''hardwarove rizeni toku''
Jde to i pres hyperterminal ve win, pokud mate zaplou emulaci VT100J
V Linuxu asi jakykoliv terminal, napriklad ''screen''

== Nahrání nového Firmware ==
Na stránkách Mikrotiku (http://www.mikrotik.com/) v sekci download stáhnete nejnovější firmware pro váš RB (nejlépe celý balíček - Combined RouterOS package). Do RB se přihlásíte pomocí winboxu, otevřete menu '''Files''' a nahrajete tam stáhnutý firmware (přetáhnutím FW do okna winboxu). Následně dáte '''Reboot''' a RB si automaticky sám přehraje nový firmware do paměti.

== Nahrání firmware do mikrotiku pomocí konzole přes seriový port. ==
Připojte routerboard pomocí null-modem kabelu s pc a zároveň kříženým kabelem s pc. nebo normálním přez switch.

Hyperterminálem ve windows s nastavením 8bit, parity none, 1 stop bit, hardwarové řízení toku, zapnout emulaci VT100J
se připojíte k routrerboard a date reboot.

do 1 dne vteřiny musíte zmačknout jakoukoliv kavesu aby jste se dostali do inicializačního menu

Zmačkněte '''o''' pro výběr,odkud má rb bootavat
potom '''e''' pro boot z ethernetu
a '''x''' kem vyskocite ven z menu.

Na pocitaci si nastavte na ethernet adapteru ip adresu 172.16.0.10
stahnete si utilitu netinstall http://www.mikrotik.com/download/netinstall.zip
Kliknete na net booting a zadejte 172.16.0.11. - rebootujte rb nastartuje vam z vytvoreneho pxe serveru.
Stahnete *.npk soubor pro vas rb a provedte firmware upgrade(downgrade) - kliknete na detekovany rb a install.

Pro dokonceni se presunte do hyperterminalu a restartujte rb

do 1 dne vteřiny musíte zmačknout jakoukoliv kavesu aby jste se dostali do inicializačního menu

Zmačkněte '''o''' pro výběr,odkud má rb bootavat
potom '''o''' pro boot z NAND
a '''x''' kem vyskocite ven z menu.

Pokud neni nastavena v mikrotiku zadna ip adresa zalogujte se do mikrotiku - pri startu rb nemackejte v serial konzoli zadnou klavesu a postupujte podle navodu nize - Nastaveni ip adresy

== Nastavení IP adres ==
Pak už v '''interfaces''' nastavíte aktivní zařízení,
v '''IP/addresses''' nastavíte IP adresy tímto způsobem
address 10.107.x.y/z
network ponechte prázdný, vyplní se sám
broadcast ponechte prázdný, vyplní se sám
interface vyberte zařízení kterému tuto IP nastavujete
Pokud zadáte adresu způsobem ''10.107.x.y./z'' tak se vám do IP/routes přidají samy základní řádky rout. Můžete se tedy na RB pomocí winbox připojit na IP, už né na MAC.

== Nastavení routování pomocí OSPF ==
v '''Routing/ospf'''
* na záložce '''interfaces''' nastavte ''cost'', ''priority'', ''hello interval''y a ''dead interval''y. Typ site nechte ''broadcast''. ''Authentication key'' ponechte prázdný. Takto nastavte všechny ifacy co máte a používáte.
* Na záložce '''networks''' přidejte vámi routované subnety, tedy všechny subnety co máte na interfacich. Nechte jako '' area'' backbone.
* Na záložce '''areas''' by měla být ''backbone'' area jako přednastavená, ujistěte se, že je konfigurována takto
name backbone
area ID 0.0.0.0
type default
translator role translate candidate
authentication none
default cost 1
To by mělo být pro začátek vše aby to routovalo a chodilo.
Zda máte routy v systému si ověříte v kartě '''IP/rotues'''

==Bridge==
V menu '''Bridge|Bridges''' přidáme konkrétní bridge. Jednotlivé interfacy do bridge začleníme v menu '''Bridge|Ports'''.

==Grafy==
'''Tools|Graphing''' přidáme v záložce '''Queue Rules''' zaznamenávání grafů, kde bude vybráno '''all''' (kreslení všech vytvořených grafů), rozsah 10.107.0.0/16 a '''Store on disk''' bude zapnuto. Stejně tak postupujeme i v záložkách '''Interface Rules''' a '''Resource Rules'''. V menu '''Queues''' teč můžeme přidávat jednotlivé uživatele (do '''Target address''' zadáme vždy všechny IP adresy daného uživatele).

==Nastavení času==
RouterBoard nemá žádnou paměť pro uchování času, když nemá napájení. Proto po každém rebootu chvíli trvá, než si načte správný čas. Načítání času z NTP serveru nastavíme v '''System|NTP Client'''. '''Mode''' zvolíme unicast a servery například 10.107.4.100 a 10.107.3.1. Následně dáme '''apply''' a '''enable'''. V '''System|Clock''' ještě zvolíme správné časové pásmo. Jakmile bude v tomto menu svítit zeleně kontrolka DST Active, tak vše funguje jak má a RB má správně nastavený čas podle NTP serveru.

==Wireless==

Ve '''Wireless''' vybereme libovolný interface a v menu '''Advanced''' je položka Antenna Mode. Tady se ovládá, který pin z miniPCI karty se bude používat (krajní pin je pro antenna b a ten pin více do středu karty je antenna a).

==Vypnutí automatického vypínání (wireless) interfaců==
RB má takovou funkci, kdy kontroluje, jestli wireless interface má připojené stanice. Pokud ne, interface shodí. Jenže pokud je k tomuto interfacu přes bridge připojen například ethernet, shodí i jej. To může být někdy poměrně ošemetné. Pokud RouterBoard vypne wireless interface tak ho shodí kompletně, že ani nevysílá. Alespoň tak se mi to jevilo na mém Ap. Tato funkce se dá vypnout přes telnet zpusobem:

Přihlásíme se telnetem do RB. Pomocí '''TAB''' (nechť Vaše vodítko) doskáčeme až do '''interface->wireless'''
zde je potřeba, abychom si nechali vypsat seznam wireless karet, co tam máme. RB nás jinak dál nepustí. To uděláme příkazem '''print'''.

Z výpisu si vybereme wlan, u kterého chceme zrušit automat.vypínání a zadáme příkaz '''set X (číslo) + TAB - tam vybereme disable-running-check=yes '''

a je to hotovo.

'''Pozor'''
Při psaní tohoto návodu a zkoušení na RB na BydLu se mi povedlo vypnout cely bridge (wlan1 + eth1). Není disable, jako disable :).

==DHCP Relay==
Je potřeba si doinstalovat [[DHCPd#DHCP Úvod|DHCP]] balíček ('''System/Packages''' -> DHCP balíček -> enable -> Reboot).

V menu '''IP/DHCP Relay''' přidáme nový relay, interface zvolíme takový, na kterém budeme chtět automaticky přidělovat IP adresy, a DHCP Server je IP adresa počítače, na kterém se kontroluje MAC adresa (a podle toho se (ne)přidělí IP). Víc není potřeba nastavovat, ve Status můžete kontrolovat, zda o IP adresu někdo žádá nebo zda byla někomu přidělena (Requests-Responses).

==DHCP Server, Client==
Je potřeba si doinstalovat [[DHCPd#DHCP Úvod|DHCP]] balíček

'''System/Packages/dhcp'''

pak už pod '''IP/DHCP Server, Client''' nastavit co je potřeba.

Pro DHCP Server je pod tlačítkem Setup jednoduchý průvodce.

==MAC filter==

Pod '''Wireless''' tlačítkem vyberte wifi kartu, na které má běžet MAC filter. V záložce '''wireless''' stačí vypnout '''Default Authenticate''' ve spodní části okna. Připojí se tak pouze klienti co jsou uvedeni ve '''Wireless/Access List'''. Citace z manuálu pro routerOS (refman-2.9):
default-authentication ( yes | no ; default: yes ) - specifies the default action on the clients side
for APs that are not in connect list or on the APs side for clients that are not in access list
• yes - enables AP to register a client even if it is not in access list. In turn for client it
allows to associate with AP not listed in client's connect list
Jedna vychytávka: pokud se správcovi nechce pořád vypisovat MACovky nových připojenců lze na chvíli '''Default Authenticate''' zapnout, nový připojenec přiskočí do '''Wireless-Registration''', tam nad ním je možno dát "pravou myš" a přidat do Access listu ('''Copy to Access List''') a příp. dopsat komentář. Pozn. na chvíli budete bez MAC restrikce (otázka je nakolik máte bezpečnost vyřešenou jinak).

== Veřejné IP ==
Nastavení VIP podle wiki (maska 255.255.240.0 a brana 89.248.255.254) jsem na routerOS nerozběhal, proto doporučuju "obětovat" 1 VIP pro RB. Příklad z Hvězdy:
IP-addresses: 89.248.245.81/28 wlan1
(proste ten rozsah, ktery jsi dostal pro APcko)
Routing-OSPF-Networks: 89.248.245.80/28
(a cost bude jeden pro ten celej interface - tj. jak pro VIP, tak non-VIP)
Co budu dělat až bude potřeba rozdat VIPy na dvou interfacích je otázka - řešení jsou: rozpůlit stávající VIP rozsah, zažádat o další VIP rozsah, nasadit na RB linux. Vzhledem k tomu, že první dvě varianty opět sežerou další VIP "na nic", tak to vidím na tu třetí...

'''Alternativní nastavení'''

Na všech rozhraních, kde budu vysílat VIP se nastaví Proxy-ARP (Interface X:General->ARP). Na jedné síti může být pouze jeden počítač s proxy-arp. Nenastavujte proto proxy-arp na ethernet, pokud už jiný počítač na ethernetu má proxy-arp zapnuté.

Na jedno rozhraní se přidá adresa brány pro VIP: 89.248.255.254/32, nebo se může přidat routa na jiný počítač, který má tohle IP nastavené. Obojí díky proxy-arp funguje.

Nakonec přidat pro každého s VIP routu. Bohužel mikrotik neumí něco jako linux
route add -host HOST dev DEVICE
a chce vždy pro routu bránu. Jako bránu jsem dal IP, které je přiřazeno na interface, kam to chci posílat. Na hive má wifi rozhraní adresu 10.107.14.1. Pro lidi z wifi jsem přidal toto pravidlo: adresu 89.248.241.XYZ/32 pošli na bránu 10.107.14.1. Vypadá to docela divně - routuji to sám na sebe, ale u mikrotiku to funguje.

Proxy-arp má jednu vadu - pro neznámé IP způsobuje kolize adres. Tj. pokud si nastavím na počítači adresu 192.168.X.Y, tak mě to bude hlásit kolizi. U mikrotika jsem to vyřešil tím, že jsem přidal do Route list->Rules pravidlo pro 192.168.0.0/16 s akcí drop pro rozhraní s proxy-arp.
Pro adresy 192.168.X.Y to už nehlásí kolize.

==Linux do Routerboardu řady 5xx==

Do RB řady 5xx lze přidat CF kartu a na ni nahrát OS Linux. Návod na [[RouterboardRB500Linux]].

==Doporuceni==

1.
Na zimu je doporuceno,pokud je kruta - a mikrotik se pouziva v oudoorove krabici
zapnout prez serial konzoli - vykon procesoru z power-safe na full :) rb si tak vytopi domecek
a nehryzne se. Na leto je naopak doporuceno vypnout rezim full.

2. Point to point mikrotik - mikrotik v zarusenem prostredi.
Za 30 dolaru jde dokoupit licenci superchannel, ktera umozni pouzivat pulfrekvence ktere jsou v CR povolene -
pohybyje se stale ve vymezenych frekvencich. Pouzitim teto frekvence ziskame znacnou vyhodu pred "konkurenci"
napr na slovensku je toto nelegalni.

3. Area

dale je dobre z duvodu bezpecnosti si nastavit priznak area - pozor funguje pouze proti mikrotiku.Potom normalni hwap nemaji sanci se na tuto linku pripojit.

4. Pozot na radary! Podle CTU je nutne mit na sitove karte zapnuty radar detect. Tato funkce pri detekci radaru
vam odstavi ap tusim na 5 minut. Pokud to vypnete vystavujete se tomu ze za vami prijedou CTU.
Nektere radary v CR pouzivaji stejnu frekvenci jako 5G 5652 MHz 5660 MHz napriklad ty na http://www.chmi.cz/meteo/rad/index.html Pokud tam nekdy vidite takove trychtyrove cary, tak to nekdo nezapnul radar detect a vysila na stejne frekvenci, ctu po tom jdou tak bacha.

= Nastaveni RB s Beta FW jako bridge clienta =

Dlouhou dobu trvalo, než kluci z mikrotiku dokázali vyvinout FW, který by běžel jako bridge-klient bez větších problémů. Nejnovější firmware nese označení RC2. Po mém odzkoušení doporučuji. Nemám problém. Dle mého soudu ideální na klientské stanice. Levné a hodně to umí :-)

== Než nahraji beta firmware ==
Koupím RB :-) a to ne ledajaký. Ozkoušeno v Hkfree na RB133c (level3 = neumí mód AP!) Všeobecně vyzkoušeno i na řadě 5XX. Lepší poznatky, protože má více RAM a rychlejší CPU.

NEDOPORUČUJI beta FW používat na RB112!!! Už dohromady tři kusy se flashovaly přes konzoli. Tento RB beta FW nějak nezvládá.

'''1)''' Přihlásit do RB přes Winbox.

'''2)''' Nastavit IP z rozsahu, odkud budu RB nastavovat
- to je důležité, viz. krok 4!

'''3)''' Stáhnu Beta firmware a flashnu třeba přes web management
- do prohlížeče napíšu IP, kterou jsem přiřadil svému RB.

Pozn. Na zaklade rady Zitnypa jsem to udelal jinak - nenahral jsem cely firmware, ale pouze vybrane balicky pres winbox do Files (v3.0rc5 - advanced-tools, routerboard, security, system, wireless), pote stacil reboot a bylo hotovo - vynechal jsem tedy body 4+5 a necekal jsem ani tech 10min. (Paul)

'''4)''' Příhlásím se přes ssh nebo telnet (doporučuji SSH) na RB.
- bude toho mít asi hodně na práci, takže mu dejte na čas..

'''5)''' Vypnu nepotřebné balíčky -> system->package =>

-[dr.easy@Kratonohy-Client] /system package> print
Flags: X - disabled (křížkem označené VYPNEME)
# NAME VERSION
0 system 3.0rc2
1 X hotspot 3.0rc2
2 X dhcp 3.0rc2
3 routerboard 3.0rc2
4 X ppp 3.0rc2
5 X ipv6 3.0rc2
6 wireless 3.0rc2
7 X ntp 3.0rc2
8 routeros-rb500 3.0rc2
9 X routing 3.0rc2

'''Nyní system->restart - pozor, může to trvat i 10 minut. Nevypínat, ale čekat, dokud nepípne a nenaběhne!'''

== Finální úprava BETA FW ==

'''1)''' Wireless

Pokud chceme používat RB jako klienta v bridge (rozuměj eth+wlan = 1 IP //neroutovano), připojíme se přes '''WinBox''', přejdeme do '''Wireless''', vybereme naši wlan kartu a nastavíme dle obrázku:

[[Soubor:RB1.png]]

'''samozřejmě si nastavíme SSID a channel na síť, kam se připojujeme'''

'''2)''' Bridge + routa + IP

'''Vše do bridge''', záložka '''Bridge''' => přidat, v '''port''' vybrat všechny rozhraní a '''zbridgovat'''

'''IP'''= nastavíme IP adresu pro RB a přiřadíme ji na interface '''bridge'''

== Nastavení routy - DŮLEŽITÉ ==

Je to opravdu důležité, protože jinak se do RB nedostanete. Jen přes SSH, ale sám o sobě pojede.

Vysvětlím na příkladu:

Lhota3(AP) ====> RB133C (klient) ===> RB 532 (router)

'''vždy dáváme routu na ten router, který je ZA klientem (jinak by to jelo jen z jedné strany)'''

'''10.107.1.104 (lhota3) ====> 10.107.1.105 (RB133C) ===>10.107.1.106 (Router 532)'''
- Routy přidáváme v IP->Routes

[[Soubor:RB2.png]]

v případě problémů se ptejte.
P.s. návod moc narychlo, nemám čas. popř. doupravte. Díky

Dr.Easy

= Nastaveni dvou routerboardu do plne transparentniho bridge=
Pokud je potřeba postavit linku (jako u compexu mod Point-To-Point), která je plně transparentní, tj. prochazi pres ni i OSPF, tak je treba udelat par kroku.
Funkcni na dvou RB112, RB133c a jaka koliv vyssi verze RB

Mame dva RouterBoardy RB-A a RB-B. Kroky jsou identicke pro oba RB, vyjma pripadu, kde je to jasne napsano.

1) Nastaveni Interface 
Pridat interface br0 a priradit IP adresu (RB-A a RB-B nesmi mit stejnou), at se na to v budoucnu muzem dostat pres winbox z domu. Do br0 pridat ether1 i wlan1. 
[[Soubor:A-Iface_IP.png|thumb|Interface br0]]
2) Nastaveni Wireless 
Pridat novy interface WDS, a do nej vyplnit MAC adresu protejsiho RB
[[Soubor:A-Wireless1.png|thumb|Wireless pridat WDS]]
3) Nastaveni Wifi wlan1 
Nastavit ESSID. Mod u RB-A bude '''WDS Slave''' a u RB-B bude '''bridge'''. Nastavit skryti ESSIDu
[[Soubor:A-wlan1-Wireless.png|thumb|WiFi ESSID a mode]]
4) Nastaveni Wifi WDS 
Nastavit mod Static. A WDS default bridge na br0
[[Soubor:Wlan1-WDS.png|thumb|WiFi WDS]]
5) Status 
Pokud je vse nastaveno spravne vidime u RB co je v modu bridge pripojenou stanici
[[Soubor:Wlan1-Status.png|thumb|WiFi Status]]

6) Nezapomenout pridat defaultni routu, at se na to dostanem i z domu

7) Volitelne: Sifrovani prenosu 
V nastaveni Wireless-Security nastavime WPA2 PSK dle obrazku Security General. Klice zadat co nejdelsi, a na oba RB stejne
[[Soubor:Security-General.png|thumb|Security general]]
[[Soubor:Security-EAP.png|thumb|Security EAP]]

Zabezpečení poslední míle

2007-07-29T13:25:03Z

Jezz: /* Řešení */

= Řešení =

*Radius
*VPN
**PPPOE
**Openvpn
**neco jineho
*WPA(2)-PSK

== Radius ==

Řešitelé:
* ([[Uživatel:Paul|Paul]] - konec srpna)

Plán:
*testy hwapů - Ovis, AirCa, RB113c, ... (openwrt - balicek nas - pozn. wpa/wpa2)
*OS - linux, winXP/Vista ok; win2000, win95/win98 ?

Jak rozjet Radius - viz (dodelejte pls odkaz na wiki)

== WPA(2)-PSK ==

Zabezpečení pomocí WPA (Wi-Fi Protected Access) se dělí na dva druhy:
*bezpečnější podnikovou verzi (Enterprise)
*jednodušší (domácí) verzi se zabezpečením pomocí hesla (PSK - Pre-Shared key)

Podniková verze se dá nastavit, aby používala RADIUS, tzn. údaje o uživatelích se dají centralizovat.
Existuje několik variant EAP (Extensible Authentication Protocol) používaných pro přihlášení v podnikové verzi:
*EAP-TLS - každý klient dostane certifikát; server má také certifikát
*EAP-TTLS - certifikát používá server, klienti se prokazují heslem
*EAP-PEAP - podobné TTLS - řešení od MS (FreeRADIUS ho umí)
*EAP-MD5 - pro Windows XP SP1 a vyšší se nedá použít pro bezdrátové linky

Není problém rozběhat podnikovou verzi s wifi kartou ve Windows XP, MAC OS X 10.4, Linuxu (pomocí wpa_supplicant).
Bohužel jen málo HW AP v klientském režimu podporuje podnikovou verzi WPA.

Heslo pokud by bylo sdíleno všemi klienty je špatné - v případě prozrazení je viník neznámý a nehrozí mu žádný trest.

Toto omezení řeší hostapd (v případě použití HW AP jako vysílače je nutné použít OpenWRT) - část souboru hostapd.conf:

# Optionally, WPA PSKs can be read from a separate text file (containing list
# of (PSK,MAC address) pairs. This allows more than one PSK to be configured.
# Use absolute path name to make sure that the files can be read on SIGHUP
# configuration reloads.
wpa_psk_file=/etc/hostapd/wpa_psk

Pro každého klienta (identifikovaného pomocí MAC adresy) lze použít jiné heslo.
Teoreticky bez hesla pro správnou MAC se dovnitř nikdo nedostane. Jakmile je uvnitř, může si nastavit cizí IP.
Tomu zabráníme pomocí statických arp záznamů nebo iptables.
Pokud mají všichni klienti připojení pomocí jednoho HW AP navenek MAC tohoto AP je vyhráno - MAC je ověřená pomocí hesla, IP se ověřují přes MAC.

Další zajímavou vlastností je. že pokud existují dvě zařízení se shodnou MAC adresou, pak v každé chvíli může být k AP připojeno jen jedno z těchto zařízení.
Prozrazením hesla tedy uživatel riskuje, že se sám nepřipojí.

Bezpečnost WPA-PSK stojí a padá s kvalitou hesla. Heslo může být dlouhé od 8 do 63 znaků.
Většina útoků na WPA-PSK je založená na hrubé síle (zkoušení všech možností), případně na slovníkovém útoku.
Doporučuje se mít náhodné heslo složené z malých a velkých písmen a číslic délky nejméně 22 znaků.
Čím více, tím lépe, takže heslo o 32 znacích by mělo dostačovat.

WPA2-PSK je principielně podobné WPA-PSK. Vylepšení spočívá v použití větších šifrovacích klíčů.

Zdroje:
*[http://blogs.ittoolbox.com/wireless/networks/archives/cracking-wpapsk-6730 Cracking WPA-PSK]
*[http://www.informit.com/articles/article.asp?p=369221&seqNum=1 Cracking Wi-Fi Protected Access (WPA), Part 1]
*[http://www.informit.com/articles/article.asp?p=370636&seqNum=1 Cracking Wi-Fi Protected Access (WPA), Part 2]
*[http://www.linux.com/articles/55617?theme=print Create a secure Linux-based wireless access point]
*[http://en.wikipedia.org/wiki/Wi-Fi_Protected_Access Wikipedia: Wi-Fi Protected Access]

Návody

2006-01-24T19:05:18Z

Jezz: /* Správa Systému */

== Pro uživatele ==
=== Základní nastavení v síti, adresy IP, co dělat v nouzi ===
* [[Jak platit]]
* [[Nejde mi to]]
* [[Emaily v HKfree]]
* DNS servery nastavte podle pokynů správce oblasti nebo
**primární 10.107.4.100
**sekundární 10.107.4.129
* [[DHCP | Získání IP adresy z DHCP serveru]]
* [[Diskusní skupiny - news]]
* [[Veřejné IP]]

=== Regulace výkonů, rychlosti... ===
* [[Regulace výkonu]] XI-626 ve windows
* [[Flashnuti noveho firmware do karty Zcom XI626]]
* [[Omezení rychlosti sítě (potažmo internetu) v programu Netlimiter]]

=== Služby v HKfree, hlavní server ===
* [[Webové stránky]] na [[Charon|charon.hkfree.org]]
* [[Webové stránky - fotogalerie]] - Jednoduché publikování fotek s apachegallery.dk
* [[Jabber]]
* [[DC Huby v HKfree]]
* [[OpenVPN]]
* [[SSH tunel]]

=== Sdílení dat ===
* [[Jak se v Total Commanderu pripojit k ftp serveru]]
* [[Jak se v Total Commanderu pripojit k anonymnimu ftp serveru]]
* [[FTP server - jak si nastavim vlastni ftp server pomoci Serv-U]]
* [[DC Huby v HKfree]]

=== Zabezpečení ===
* [[Zabezpeceni domaciho PC s OS Windows 2k/XP - Cast 1. Aktualizace OS]]

=== Triky s windows a linux ===
* [[Jak povolit prichozi ping v integrovanem firewallu MS Windows XP]]
* [[route_trik|Jak se dostat na své HW AP když má IP adresu v jiném rozsahu]]

=== Ostatní ===
* [[GIS - Navod]]

další návody https://igw.hkfree.org/navody/
(kdo může, stěhujte to postupně semka :-))

==Pro adminy==
=== HW routery, nastavení ===
*[[ASUS]]
*[[ASUS wl500g]]
*[[LINKSYS wrt54gl]]
*[[OVISLINK]]
*[[Linux]]
*[[QoS|QoS na linuxu]]
*[[Kladivo|Robot pro omezení zahlcujícího provozu]]

=== 802.11a aneb 5 GHz ===
*[[5Ghz]] obecně: kanály, frekvence, výkony (převzato z i4)
*[[5Ghz Atheros]] - Střípky z indoor testovani karet Atheros AR5212 (na 5.8 GHz) v Linuxu
*[[5Ghz Compex]] - Zkušenosti s AP Compex WPE54AG
*[[5Ghz hardware pro připojence]] - "Chci se připojit na 802.11a APčko, co potřebuju?"

=== Z-com XI-626, HostAP, Linux, regulace vykonu a patche ===
* [[Regulace | Regulace Výkonu]]
*[http://www.jikos.cz/~jbohac/hostap/] - stazeni patchu
*[http://usenet.jyxo.cz/cz.comp.linux/0503/xi-626-nastavenie-vykonu.html] - doporucuji precist cele, vnese jasno do veci

=== Návod na překlad jádra co má podporu kontroly síťového provozu (shaping)===
*[http://igw.hkfree.org/navody/shape/2.6.10.html řada 2.6.x]
*[http://igw.hkfree.org/navody/shape/index.html řada 2.4.x]

=== Quagga a routování ===
*[[Často kladené otázky o OSPF]]
*[[watchdog na routovaci tabulku]] Navod jak zajistit zrestartovani procesu zebra a ospfd, pokud nefunguji.
*[[Equal Cost MultiPath]]
*[http://charon.hkfree.org/wiki/index.php/Jak_OSPF_funguje_a_stub/NSSA_area] Jak funguje OSPF
*[http://brita.lhota.hkfree.org/hkfree/IP-teorie.html Jemný úvod do adresace v protokolu IP verze 4] (taktéž na [http://www.abclinuxu.cz/clanky/show/50763 abclinuxu.cz])
*[http://10.107.12.1/cgi-bin/ipcalc IP kalkulačka podsítí] (totéž v internetu http://jodies.de/ipcalc )
*[[Routování veřejné IP]]

=== Správa Systému ===
*[[Upgrade Slackwaru]]

*[[Upgrade Fedory]]

*[[Vytváření balíčků v Slackwaru]]

*[[Monitorování serveru]]

*[[Graf ztráty paketů]]

=== DNS ===
http://www.zytrax.com/books/dns/apa/names.html

=== Ostatní Návody ===
*[[Chybová hláška ping: sendmsg: Operation not permitted]]
*[[LVM - Logical Volume Management]]
*[[Samba]]

*Evidence - vyplnění formulare a exportace do rtf (2 strany) http://charon.hkfree.org/ronja/evidence/]]

*[[Asistovaná konfigurace Linuxu]]

=== Odstranění rušení SVMka ===
*[[Jak odrušit SVM]]

=== Wiki ===
* [[http://10.107.12.1/dokuwiki/doku.php?id=internal_mediawiki user access patch]]

Graf ztráty paketů

2006-01-24T19:03:25Z

Jezz:

''Pomocí rrdtool a skriptu využívajícího příkaz ping lze jednoduše vytvořit graf ztráty paketů.''

== Sběr dat ==
Pro vytvoření grafu potřebujeme získat data o aktuální ztrátě. To lze například pomocí tohoto skriptu:
#!/bin/sh
rrdtool=/usr/bin/rrdtool
rrd=/var/www/stats/ploss.rrd
ip=10.107.4.129

# Vytvorit rrd soubor, pokud neexistuje
if [ ! -e "$rrd" ]; then
rrdtool create "$RRD" -s 60 \
DS:packetloss:GAUGE:120:0:100 \
RRA:AVERAGE:0.5:1:600 \
RRA:AVERAGE:0.5:15:672 \
RRA:AVERAGE:0.5:60:744 \
RRA:MAX:0.5:1:600 \
RRA:MAX:0.5:15:672 \
RRA:MAX:0.5:60:744
fi

# Zmerit PL
start=`date +%s`
ping_output=`ping -i 0.2 -c 100 -q $ip | grep %`
cut_after_proc=${ping_output%\%*}
ploss=${cut_after_proc##* }
#echo "$rrdtool update $rrd \"$start:$ploss\""
$rrdtool update $rrd "$start:$ploss"

exit 0

Skript předpokládá, že příkaz ping (v mém systému z balíku iputils) zná příslušné parametry (pošle 100 paketů v intervalu 0.2s a použije "tichý" mód) a jeho výstup má patřičný formát (obsahuje právě jeden řádek se znakem procenta a přímo před tímto znakem je uvedena procentuální ztráta paketů). Takto může daný výstup z programu ping vypadat
100 packets transmitted, 100 received, 0% packet loss, time 20199ms

Tento skript by měl být vykonán každou minutu - například z cronu. Parametr -s, čili doba mezi dvěmi měřeními, je nastaven na 60 sekund při vytváření rrd souboru a v prvním řádku je u definice vstupních dat řečeno, že po 120 sekundách má být hodnota považována za neznámou.

== Vytvoření grafu ==
Pro vytvoření grafu lze použít následující skript:
#!/bin/sh
width=600
height=300
rrdtool=/usr/bin/rrdtool
stats_dir=/var/www/stats
ploss_stats="$stats_dir/ploss.rrd"
ploss_graph0="$stats_dir/ploss.png"

$rrdtool graph $ploss_graph0.tmp \
--title 'Ztrata paketu na ronje - Poslednich 10 hodin' \
--start 'end-10h' \
--end 'now-1min' \
--upper-limit 100 \
--lower-limit 0 \
--unit '%' \
--vertical-label '%' \
--imgformat 'PNG' \
--width=$width \
--height=$height \
"DEF:pl=$ploss_stats:packetloss:AVERAGE" \
"CDEF:mpl=pl,UN,0,pl,IF" \
"AREA:mpl#ffcccc" \
"LINE1:mpl#ff0000:ztrata paketu" \
"GPRINT:mpl:AVERAGE:prumerna ztrata=%.1lf%%" \
"GPRINT:mpl:MAX:maximalni ztrata=%.1lf%%\\n" && \
mv $ploss_graph0.tmp $ploss_graph0

exit 0

Pravidelným voláním tohoto skriptu zajistíme aktualizaci grafu. Narozdíl od sběru dat není nutné použít předem daný interval. Na slabších strojích je lepší zvolit delší prodlevu (případně nižší prioritu). Jednoduchou úpravou můžeme vytvořit skript pro týdenní a měsíční grafy.

Jak vypadají vytvořené grafy si můžete prohlédnoutnout na [http://meliap.hkfree.org/stats/ronja.html http://meliap.hkfree.org/stats/ronja.html].

Graf ztráty paketů

2006-01-24T19:02:21Z

Jezz:

''Pomocí rrdtool a skriptu využívajícího příkaz ping lze jednoduše vytvořit graf ztráty paketů.''

== Sběr dat ==
Pro vytvoření grafu potřebujeme získat data o aktuální ztrátě. To lze například pomocí tohoto skriptu:
#!/bin/sh
rrdtool=/usr/bin/rrdtool
rrd=/var/www/stats/ploss.rrd
ip=10.107.4.129

# Vytvorit rrd soubor, pokud neexistuje
if [ ! -e "$rrd" ]; then
rrdtool create "$RRD" -s 60 \
DS:packetloss:GAUGE:120:0:100 \
RRA:AVERAGE:0.5:1:600 \
RRA:AVERAGE:0.5:15:672 \
RRA:AVERAGE:0.5:60:744 \
RRA:MAX:0.5:1:600 \
RRA:MAX:0.5:15:672 \
RRA:MAX:0.5:60:744
fi

# Zmerit PL
start=`date +%s`
ping_output=`ping -i 0.2 -c 100 -q $ip | grep %`
cut_after_proc=${ping_output%\%*}
ploss=${cut_after_proc##* }
#echo "$rrdtool update $rrd \"$start:$ploss\""
$rrdtool update $rrd "$start:$ploss"

exit 0

Skript předpokládá, že příkaz ping (v mém systému z balíku iputils) zná příslušné parametry (pošle 100 paketů v intervalu 0.2s a použije "tichý" mód) a jeho výstup má patřičný formát (obsahuje právě jeden řádek se znakem procenta a přímo před tímto znakem je uvedena procentuální ztráta paketů). Takto může daný výstup z programu ping vypadat
100 packets transmitted, 100 received, 0% packet loss, time 20199ms

Tento skript by měl být vykonán každou minutu - například z cronu. Parametr -s, čili doba mezi dvěmi měřeními, je nastaven na 60 sekund při vytváření rrd souboru a v prvnim řádku je u definice vstupních dat řečeno, že po 120 sekundách má být hodnota považována za neznámou.

== Vytvoření grafu ==
Pro vytvoření grafu lze použít následující skript:
#!/bin/sh
width=600
height=300
rrdtool=/usr/bin/rrdtool
stats_dir=/var/www/stats
ploss_stats="$stats_dir/ploss.rrd"
ploss_graph0="$stats_dir/ploss.png"

$rrdtool graph $ploss_graph0.tmp \
--title 'Ztrata paketu na ronje - Poslednich 10 hodin' \
--start 'end-10h' \
--end 'now-1min' \
--upper-limit 100 \
--lower-limit 0 \
--unit '%' \
--vertical-label '%' \
--imgformat 'PNG' \
--width=$width \
--height=$height \
"DEF:pl=$ploss_stats:packetloss:AVERAGE" \
"CDEF:mpl=pl,UN,0,pl,IF" \
"AREA:mpl#ffcccc" \
"LINE1:mpl#ff0000:ztrata paketu" \
"GPRINT:mpl:AVERAGE:prumerna ztrata=%.1lf%%" \
"GPRINT:mpl:MAX:maximalni ztrata=%.1lf%%\\n" && \
mv $ploss_graph0.tmp $ploss_graph0

exit 0

Pravidelným voláním tohoto skriptu zajistíme aktualizaci grafu. Narozdíl od sběru dat není nutné použít předem daný interval. Na slabších strojích je lepší zvolit delší prodlevu (případně nižší prioritu). Jednoduchou úpravou můžeme vytvořit skript pro týdenní a měsíční grafy.

Jak vypadají vytvořené grafy si můžete prohlédnoutnout na [http://meliap.hkfree.org/stats/ronja.html http://meliap.hkfree.org/stats/ronja.html].

Diskuse:Watchdog na routovaci tabulku

2005-12-27T20:34:37Z

Jezz: /* optimalizace */

== cron ==
Vojto, stalo by za to, trosku popsat co delat, pokud cron nespusti ten skript. U sebe mam trebas problem, ze mam vsechno presne podle clanku ale cron mi ten skript nepusti. (ale rucne funguje).
diky.

Pokud ti nefunguje cron, tak jednak se ujisti, ze do cronu nepises uvozovky, ktery jsou v komentari ve skriptu a zaroven, ze skript ma prava pro spusteni (chmod +x routedog.sh)
Lada

== optimalizace ==

Vojto, jsi autor, takze ti nebudu do zdrojaku hrabat, ale tady mam trochu optimalnejsi kod:

misto
POLOZEK="`route -n | grep ^[0-9] | wc -l | sed s/[^0-9]//`"
dat
POLOZEK=$(ip route | grep -c ^[0-9])

zaroven se mi v ausu podminka
if ! ps ax | grep ospfd | grep -v grep &>/dev/null
then
...
fi
soustela uplne pokazde, nehlede na tom, jestli proces bezi, nebo ne. to jsem vyresil takhle
ps ax | grep -v grep | grep -q ospfd || {
...
}
Lada

Tu podminku bych vyresil takto:
if ! ps ax | grep [o]spfd &> /dev/null; then
...
fi
Tim, ze jeden znak dam do hranatych zavorek se hledany retez nezmeni, ale samotny grep nebude vyhovovat ;-). Jezz

Linux - WorkShopy

2005-09-26T08:03:15Z

Jezz:

Tak co prvni Linux Work Shop mame za sebou, tak si ho zrekapitulujem:

Konal se:
v miste: [http://www.mapy.cz/search.py?&sz=1&rp2=57062708_180919113&zi=7&la=180919120&lo=57062708&hl=pnt=560750_-5567484_sipka&rn2=Rusek&uc=Rusek-Klubovna Rusek - Klubovna]

dne: *24.9.2005* (sobota)
od: 9:00
do: 15:00

s sebou si kazdej mel vzit:
- nejake PC
- CD-RW (vypaloval jsem vam na ne bootovaci instalacky)
- prazdnej disk
- monitor
- klavesnice
- psa (ziviho ani snad ne, spis tu prodluzku s rozdvojkou)

Program:

* 1) Priprava vsech veci (kabely, prostory, pripojeni k AP Rusek, atd.)

* 2) Vypalovani CD imagu s Debian Net-install - testing

* 3) nabotovani CD a vyber jadra

* 4) zakladni instalace
- instalovalo se po siti -> pro tyto ucely udelal Jezz proxy

* 5) moznosti rozsirene instalace

* 6) Obcerstveni

* 7) doinstalovani balicku pro lehci praci se Serverem/Routerem
- Midnight Commander
- Links
- IP Traf
- Quagga

vstupne: bylo dobrovolne - pouze aby se zaplatil pronajem

Obcerstveni: - ve 13:00 byla pauza na obed (v mistni Hospode Bumbalka jsme meli objednane obedy)
- k jidlu bylo Smazeny rizek s oblohou a hranolkama
- cena bude 65Kc

** Zucastnili se
ve tvaru: [ nick ] - ucast [ ano/ne=smazat ]

- Cool-Explosion - ano
- Fugas - ano
- Harry - ano
- Chip - ano
- Ch37 - ano
- Jezz - ano
- jih - ano
- Koubas - ano
- Kulin - ano
- Lachtan - ano
- Lory - ano
- Paul - ano
- PetrS - ano
- Vcela- ano
- Vevy - ano
- Cermis - ano
- Solark - ano

- Bubu -
- Franta -
- Honza -
- mega2 -
- Pivel -
- Polin -

Monitorování serveru

2005-09-18T09:33:54Z

Jezz: /* Nastavení monitorovací utility */

Autor: [[Wikipedista:Lore|Lore]]

== Motivace ==

Automatizované monitorování systému a hardwaru je zajisté jedna z vlastností, která
by neměla chybět na žádném profesionálně udržovaném serveru. Upozorní nás včas na případné problémy, které by mohli často vést i k hadrwarovému porušení celého serveru. Dále vídíme dlouhodobý stav žátěže, podle něhož můžeme server upgradovat
(přídání většího ventilátoru, paměti atd.)

== Úkázkové řešení ==
Na mnohých serverech hkfree běží monitoring jak systému tak i hardwaru. Jedno z
efektivních a nenáročních řesení lze najít na: [http://pouchov.hkfree.org/info/ http://pouchov.hkfree.org/info/].

== Nástavení modulu linuxového jádra ==
Abychom mohli přistupovat k údajům o teplotě procesoru, základní desky, otáčkám ventilátorů aj. je nutné při konfiguraci linuxového jádra zapnout podporu pro '''I2C''' Hardware monitoring. Pokud je váš hardware muzejní kousek, můžete se přesvědčit, zda-li je monitorování chipsetu podporováno na stránce: [http://secure.netroedge.com/~lm78 http://secure.netroedge.com/~lm78/].

Dále je nutné přidat do jádra podporu pro jednotlivé chipy. Nejjednodušší je přidat všechny podporované chipy jako moduly. Ušetříme si tím mnohé trápení. Pokud nechcete sami laborovat s nastavením konfigurace jádra, je možné si stáhnout a nainstalovat již odzkoušené verze jádra pro několik základních architektur z ftp hkfree: [ftp://ftp.hkfree.org/linux/wifi/ ftp://ftp.hkfree.org/linux/wifi/].

== Nastavení monitorovací utility ==
K tomu, abychom zjistili, které moduly jádra náhrat použijeme monitorovaní utilitu '''lm_sensors''' opět z [http://secure.netroedge.com/~lm78 http://secure.netroedge.com/~lm78/]. Nainstaluje buč příslušný balík, či sami zkompilujeme a nainstalujeme. Po instalaci máme k dispozici utilitu '''sensors-detect'''. Spustíme, dojde k vyzkoušení veškerých modulů pro monitorování. Pro ty, které fungují na našem systému, nám utilita vygeneruje příslušné řádky jednak pro '''/etc/modprobe.conf''' a jednak pro startovací skripty, kde se dané moduly nahrávají.

Zdali vše funguje vyzkoušíme pomocí příkazu:
$ sensors

To nám ukáže zhruba následují informace o hardwaru na serveru.

it8712-isa-0290
Adapter: ISA adapter
in0: +1.74 V (min = +4.08 V, max = +4.08 V)
in1: +0.00 V (min = +4.08 V, max = +4.08 V)
in2: +3.26 V (min = +4.08 V, max = +4.08 V)
in3: +2.93 V (min = +4.08 V, max = +4.08 V)
fan1: 2616 RPM (min = 0 RPM, div = 4)
temp1: +57°C (low = -1°C, high = -1°C) sensor = thermistor
temp2: +41°C (low = -1°C, high = -1°C) sensor = thermistor
vid: +1.20 V

== Nastavení grafického zobrazení ==
Nyní nás čeká nastavení softwaru, který nám bude graficky zobrazovat statistiky jednak o hardwaru, ale i softwaru (zátež linky, ping, počet přenesených dat jednotlivých uživatelů atd.)

Pro samotný sběr monitorovacích údajů použijeme asi nejrozšířenější utilitu: '''rrdtool'''. Opět si buč nainstalujeme již hotové baličký nebo stáhneme z [http://people.ee.ethz.ch/~oetiker/webtools/rrdtool/ http://people.ee.ethz.ch/~oetiker/webtools/rrdtool/].

V současné době je již k dispozici řada 1.2.x. Nicměné se nám může stát, že program, který bude zpracovávat takto sebraná data, nebude rozumět novému vnitřnímu formátu, který tato sada používá. Proto zůstaneme u bezproblémové řady 1.0.x.

Jelikož se v následujícím odstavci dočteme, že pro zobrazení takto sebraných výsledků použijeme program napsaný v Perlu, musíme také nainstalovat perlovou rrdtool knihovnu. To nám zajistí příkaz:

$ make site-perl-install

Po instalaci se rrdtool nacházejí v adresáři: <code>/usr/local/rrdtool-1.0.x/</code>.

Poslední co nám zbývá je nástroj, který nám ze všech těch monitorovacích údajů, udělá přehlednou stránku s grafama. Těchno nástrojů existuje spousta viz.: [http://people.ee.ethz.ch/~oetiker/webtools/rrdtool/rrdworld/ http://people.ee.ethz.ch/~oetiker/webtools/rrdtool/rrdworld/].

Pro naše účely použijeme sice už dnes poněkud zastaralý, ale efektivní nástroj: '''HotSaNIC''' [http://hotsanic.sourceforge.net/ http://hotsanic.sourceforge.net/]. Poslední dostupná verze (CVS snapshot) je 0.5.0-pre6.

Stáhneme HotSaNIC a rozbalíme třeba do adresáře <code>/opt/hotsanic-0.5.0-pre6/</code>. Tím je veškerá instalace hotová. Přejdeme ke konfiguraci.

Konfigurace hotsanicu se zkládá ze dvou částí.

* konfigurace jádra hotsanicu
* konfigurace jednotlivých modulů

=== konfigurace jádra hotsanicu ===
V adresáři HotSaNICu pustíme konfigurační dávku:
$ ./setup.pl

=== konfigurace jednotlivých modulů ===
HotSaNIC podporuje monitorování následujících subsystému:
* apcusv
* apps
* bind
* diskio
* dnet
* mailq
* netstat
* networks
* ntp
* part
* ping
* sensors
* shoutcast
* system
* traffic
* worms

== Nastavení softwarových alarmů ==

Monitorování serveru

2005-09-18T09:32:07Z

Jezz: /* Nástavení modulu linuxového jádra */

Autor: [[Wikipedista:Lore|Lore]]

== Motivace ==

Automatizované monitorování systému a hardwaru je zajisté jedna z vlastností, která
by neměla chybět na žádném profesionálně udržovaném serveru. Upozorní nás včas na případné problémy, které by mohli často vést i k hadrwarovému porušení celého serveru. Dále vídíme dlouhodobý stav žátěže, podle něhož můžeme server upgradovat
(přídání většího ventilátoru, paměti atd.)

== Úkázkové řešení ==
Na mnohých serverech hkfree běží monitoring jak systému tak i hardwaru. Jedno z
efektivních a nenáročních řesení lze najít na: [http://pouchov.hkfree.org/info/ http://pouchov.hkfree.org/info/].

== Nástavení modulu linuxového jádra ==
Abychom mohli přistupovat k údajům o teplotě procesoru, základní desky, otáčkám ventilátorů aj. je nutné při konfiguraci linuxového jádra zapnout podporu pro '''I2C''' Hardware monitoring. Pokud je váš hardware muzejní kousek, můžete se přesvědčit, zda-li je monitorování chipsetu podporováno na stránce: [http://secure.netroedge.com/~lm78 http://secure.netroedge.com/~lm78/].

Dále je nutné přidat do jádra podporu pro jednotlivé chipy. Nejjednodušší je přidat všechny podporované chipy jako moduly. Ušetříme si tím mnohé trápení. Pokud nechcete sami laborovat s nastavením konfigurace jádra, je možné si stáhnout a nainstalovat již odzkoušené verze jádra pro několik základních architektur z ftp hkfree: [ftp://ftp.hkfree.org/linux/wifi/ ftp://ftp.hkfree.org/linux/wifi/].

== Nastavení monitorovací utility ==
K tomu, abychom zjistili, které moduly jádra náhrat použijeme monitorovaní utilitu '''lm_sensors''' opět z [http://secure.netroedge.com/~lm78 /http://secure.netroedge.com/~lm78/]. Nainstaluje buč příslušný balík, či sami skompilujeme a nainstalujeme. Po instalaci máme k dispozici utilitu '''sensors-detect'''. Způstíme, dojde k vyzkoušení veškerých modulů pro monitorování. Pro ty, které fungují na něšem systému, nám utilita vygeneruje příslušné řádky jednak pro '''/etc/modprobe.conf''' a jednak pro startovací skripty, kde se dané moduly nahrávají.

Zdali vše funguje vyzkoušíme pomocí příkazu:
$ sensors

To nám ukáže zhruba následují informace o hardwaru na serveru.

it8712-isa-0290
Adapter: ISA adapter
in0: +1.74 V (min = +4.08 V, max = +4.08 V)
in1: +0.00 V (min = +4.08 V, max = +4.08 V)
in2: +3.26 V (min = +4.08 V, max = +4.08 V)
in3: +2.93 V (min = +4.08 V, max = +4.08 V)
fan1: 2616 RPM (min = 0 RPM, div = 4)
temp1: +57°C (low = -1°C, high = -1°C) sensor = thermistor
temp2: +41°C (low = -1°C, high = -1°C) sensor = thermistor
vid: +1.20 V

== Nastavení grafického zobrazení ==
Nyní nás čeká nastavení softwaru, který nám bude graficky zobrazovat statistiky jednak o hardwaru, ale i softwaru (zátež linky, ping, počet přenesených dat jednotlivých uživatelů atd.)

Pro samotný sběr monitorovacích údajů použijeme asi nejrozšířenější utilitu: '''rrdtool'''. Opět si buč nainstalujeme již hotové baličký nebo stáhneme z [http://people.ee.ethz.ch/~oetiker/webtools/rrdtool/ http://people.ee.ethz.ch/~oetiker/webtools/rrdtool/].

V současné době je již k dispozici řada 1.2.x. Nicměné se nám může stát, že program, který bude zpracovávat takto sebraná data, nebude rozumět novému vnitřnímu formátu, který tato sada používá. Proto zůstaneme u bezproblémové řady 1.0.x.

Jelikož se v následujícím odstavci dočteme, že pro zobrazení takto sebraných výsledků použijeme program napsaný v Perlu, musíme také nainstalovat perlovou rrdtool knihovnu. To nám zajistí příkaz:

$ make site-perl-install

Po instalaci se rrdtool nacházejí v adresáři: <code>/usr/local/rrdtool-1.0.x/</code>.

Poslední co nám zbývá je nástroj, který nám ze všech těch monitorovacích údajů, udělá přehlednou stránku s grafama. Těchno nástrojů existuje spousta viz.: [http://people.ee.ethz.ch/~oetiker/webtools/rrdtool/rrdworld/ http://people.ee.ethz.ch/~oetiker/webtools/rrdtool/rrdworld/].

Pro naše účely použijeme sice už dnes poněkud zastaralý, ale efektivní nástroj: '''HotSaNIC''' [http://hotsanic.sourceforge.net/ http://hotsanic.sourceforge.net/]. Poslední dostupná verze (CVS snapshot) je 0.5.0-pre6.

Stáhneme HotSaNIC a rozbalíme třeba do adresáře <code>/opt/hotsanic-0.5.0-pre6/</code>. Tím je veškerá instalace hotová. Přejdeme ke konfiguraci.

Konfigurace hotsanicu se zkládá ze dvou částí.

* konfigurace jádra hotsanicu
* konfigurace jednotlivých modulů

=== konfigurace jádra hotsanicu ===
V adresáři HotSaNICu pustíme konfigurační dávku:
$ ./setup.pl

=== konfigurace jednotlivých modulů ===
HotSaNIC podporuje monitorování následujících subsystému:
* apcusv
* apps
* bind
* diskio
* dnet
* mailq
* netstat
* networks
* ntp
* part
* ping
* sensors
* shoutcast
* system
* traffic
* worms

== Nastavení softwarových alarmů ==

Historie HKfree

2005-09-06T07:52:02Z

Jezz: PMW -> PMV (sjednoceni)

Pripiste, co si pamatujete :)

* 3.12.2002 - 1. návrh páteřní sítě
* 4.12.2002 - Nainstalován redakčni systém XOOPS na webu hkfree.org
* 13.12.2002 - Spuštena mapa na webu hkfree.org
* 4.4.2003 - Spuštění AP Spar
* 12.6.2003 - Přidělení rozsahu pro síť hkfree od czfree (10.107.0.0/16)
* 15.6.2003 - Spuštění AP D-Network
* 19.6.2003 - Spuštění AP Kukleny
* 20.7.2003 - Připojení Stěžer do HKFree (AP Gogo) - poté co Jakub v Kuklenách předělal všesměrovku se nám koněčně podařilo spojit do Kuklen
* 18.8.2003 - Spuštění AP Potiste s konektivitou 256kbps od Tiscali
* 25.9.2003 - Spuštění AP Lhota1 - Lhota pod Libcany
* 12.10.2003 - Spuštění AP Podulsany - 1. AP mimo kralovehradecky kraj
* 1.11.2003 - Spuštění DC Hubu Stezery
* 8. 11.2003 - Spušteno AP Charlie ve Stěžerách
* 10.11.2003 - Vybudován páteřní spoj Stěžery-Kukleny (do té doby jely Stěžery provizorně na Kuklenskou všesměrovku)
* 22.11.2003 - Spuštění AP Urbanice
* 25.11.2003 - Kendy uvolňuje jádro HK6
* 10.12.2003 - Spuštění AP Pouchov
* 23.12.2003 - AP Rusek + AP Pouchov pripojeni k AP D-Network
* 31.12.2003 - Vybudován páteřní spoj Stěžery-Urbanice (do té doby jeli Urbanice provizorně na Stěžerskou všesměrovku)
* 14.1.2004 - Spuštění [[Diskusní skupiny - news|News-serveru]]
* 17.1.2004 - Spuštění AP Theo
* 3.3.2004 - Spuštění AP Kenny3
* 10.4.2004 - Ustanovujici [[Zápisy z valných hromad|Valna hromada os.HKFREE]], nakup vlastni konektivity 2.5Mbit/s
* 12.4.2004 - Spuštění AP Hybesova
* 29.4.2004 - Spuštění MeliAP
* 1.8.2004 - Nákup a instalace SVM na páteřní spoj PMV <===> D-Network, investice z fondu našeho o.s.
* 2.8.2004 - Navýšení vlastní konektivity na 4Mbit/s
* 25.9.2004 - SVM do Stěžer - posílena páteřní trasa z PMV směrem na západ do Stěžer, investice z fondu našeho občanského sdružení
* 10.10.2004 - Navýšení vlastní konektivity na 8Mbit/s
* 28.10.2004 - Spuštění AP Lhota3 - Lhota pod Libcany na vezi sila JZD (propojeno 11.1km SVM na centralni bod PMV)
* 5.11.2004 - SVM sponzorovane OU Lhota (smer Lhota3) v provozu
* 20.11.2004 - Kompletní přestěhování AP Spar na nejvyšší barák na slezském na Libuši
* 12.12.2004 - Spuštění AP Hrbitov
* 18.12.2004 - Spuštění prvni Ronji PMV-Kyril
* 23.12.2004 - Navýšení vlastní konektivity na 17Mbit/s
* 8.1.2005 - Spuštění AP Winterova
* 8.1.2005 - Spuštění druhé Ronji Charlie <===> Gogo (stežery)
* 5.2.2005 - Setkání výboru a správců na Jnetu; odsouhlaseno mj. pronajmutí dalších 3 SVM spojů (PMV-OliAP, PMV-NHK/Hřbitov, PMV-Kukleny)
* 5.2.2005 - Spuštění ostrého provozu Ronji PMV <===> MeliAP
* 9.3.2005 - Přečíslování hyperpáteře
* 15.3.2005 - Spuštění svm linky PMV <-> Kukleny - ve 12:02 hod
* 17.3.2005 - Spuštění svm linky PMV <-> Oli
* 30.3.2005 - Spuštění AP yzop
* 2.4.2005 - Spuštění ostrého provozu Ronji na Lince Libuse <===> D-network
* 9.4.2005 - II. valná hromada v kině Centrál
* 9.4.2005 - Spuštění svm linky PMV <-> Libuse
* 16.4.2005 - Spuštění svm linky PMV <-> Hřbitov
* 23.4.2005 - Spuštění svm linky Libuse <-> Plotiste
* 26.5.2005 - Spuštění linky Theo <-> Yzop (další kolečko)
* 27.5.2005 - Spuštění AP Gryffus (Wifi páteř na Věkoše)
* 11.6.2005 - Spuštění Ronji PMV <-> AP Mandysova
* 5.8.2005 - Spuštění 1. Infra ronji v HKFree na spoji TheoAP <-> OliAP
* 31.8.2005 - Ostré spuštění Alcoma Lhota3 <-> Dobřenice
* 4.9.2005 - Spuštění spoje Alcoma PMV <-> Farářství

Robot pro omezení zahlcujícího provozu

2005-09-05T09:44:53Z

Jezz: Pridani argumentu restart; uklid iptables pri ukoncovani

Postaveno na http://ipband.sourceforge.net/

Vyžaduje adresář /var/lib/kladivo - zrobíme snadno:
# mkdir /var/lib/kladivo

Potřebný záznam pro běh v crontabu:

*/5 * * * * /root/kladivo.sh cronjob

Někde v init skriptech je záhodno nastartovat sledování pomocí:
/root/kladivo.sh startwatch
nebo skript přímo nalinkovat do startovacích adresářů (rcX.d). Na debianu to lze udělat takto:
cd /etc/init.d
ln -s /root/kladivo.sh
update-rc.d kladivo.sh defaults

Skript /root/kladivo.sh:

(proměnné v hlavičce si račte upravit k obrazu svému, nezapomenout do sledovanych sítí přidat i veřejné IP)

#!/bin/sh

# Verze 1.06 -> doplnujte aktualni verzi
# autor pavkriz@hkfree.org
# iptables rules kendy@hkfree.org
# detekce casoveho useku jezz@hkfree.org

# rychlostni limit v kB/s
LIMIT=70

# maximalni doba na jakou lze prekrocit limit (minut)
MAXOVERTIME=15

# doba, na jakou danou IP zabanujeme (minut)
BANTIME=180

# interface ktery sledujeme
WATCHIF=eth2

# podsite ktere sledujeme
WATCHNET=10.107.12.0/24:10.107.42.0/24

# jak je definovana denni doba (7:00-23:00)
# muze se prehoupnout pres pulnoc, pak je prvni cislo vetsi nez druhe (700-200)
# v noci se banovani vypina (bany bezi casove dal, ale nejsou "provadeny")
DAYTIME="700-2300"

KLADIVO=/root/kladivo.sh
LISTDIR=/var/lib/kladivo

IPTABLES=/sbin/iptables
IPBAND=/usr/sbin/ipband

case "$1" in
report)
# ziskame obsah reportu do tempfile
TMPF=`mktemp -t kladivo.XXXXXX`
cat - > "$TMPF"
# ziskame IP ktere se report tyka
IP=`awk '/Network: / { print $2 }' $TMPF`
# ziskame cas z reportu (jak dlouho presahuje limit) - jako desetinne cislo v minutach
OVERTIME=`awk '/exceeded for: / { print $7 }' $TMPF`
# odsekneme desetinnou cast
OVERTIME="${OVERTIME%%.*}"
# debug
###echo $IP $OVERTIME
if [ "$OVERTIME" -gt "$MAXOVERTIME" ]; then
# limit prekrocen na dobu delsi nez je povolena -> zabanovat
FILE="$LISTDIR/$IP"
if [ ! -e "$FILE" ]; then
# pokud jeste neni zabanovan, tak zalozime soubor se znackou pro zabanovani
# vypocteme timestamp do kdy budem IP banovat
NOW="`date +%s`"
BANTOTIME="$(($BANTIME * 60 + $NOW))"
# zapiseme timestamp do souboru
echo "$BANTOTIME" > "$FILE"
# zapiseme report na jehoz zaklade ban vznikl
echo "" >> "$FILE"
cat "$TMPF" >> "$FILE"
fi
fi
rm "$TMPF"
exit 0
;;

cronjob)
# vyprazdnit chain
$IPTABLES -F SOSACI &> /dev/null
NOW="`date +%s`"
NOWTIME="`date +%k%M`"
DAYTIME1="${DAYTIME%%-*}"
DAYTIME2="${DAYTIME##*-}"
# projit vsechny zabanovane
for FILE in $LISTDIR/* ; do
if [ -e "$FILE" ]; then
BANTO="`head -n 1 "$FILE"`"
if [ "$BANTO" -lt "$NOW" ]; then
# uz vyprsel ban
# smazat znacku o zabanovani (casem asi presunout do nejakeho archivu)
rm "$FILE"
else
# je-li stale zabanovan, obnovit banovani
BANME='no'
if [ "$DAYTIME1" -gt "$DAYTIME2" ]; then
[ "$NOWTIME" -ge "$DAYTIME1" -o "$NOWTIME" -lt "$DAYTIME2" ] \
&& BANME='yes'
elif [ "$NOWTIME" -ge "$DAYTIME1" -a "$NOWTIME" -lt "$DAYTIME2" ]; then
BANME='yes'
fi

if [ "$BANME" = 'yes' ]; then
IP="${FILE##*/}"
$IPTABLES -I SOSACI -p ! icmp -s $IP -m limit --limit 10/s -j ACCEPT
$IPTABLES -I SOSACI 2 -p ! icmp -s $IP -j DROP
$IPTABLES -I SOSACI -p ! icmp -d $IP -m limit --limit 10/s -j ACCEPT
$IPTABLES -I SOSACI 2 -p ! icmp -d $IP -j DROP
fi
fi
fi
done
exit 0
;;

startwatch|start)
# vytvorit chain kam strkame banovaci pravidla
$IPTABLES -N SOSACI && $IPTABLES -I FORWARD -j SOSACI
# spustit sledovaci ipband, ktery nam bude posilat reporty a detekovanych prekroceni
$IPBAND -F -L $WATCHNET -m 32 -b $LIMIT -a 60 -r 240 -t 5 -M root@localhost -T "$KLADIVO report" $WATCHIF
exit 0
;;

stopwatch|stop)
killall $IPBAND
# smazat iptables pravidla (chyby ignorovat, pokud neexistuji)
$IPTABLES -F SOSACI &> /dev/null
$IPTABLES -D FORWARD -j SOSACI &> /dev/null
$IPTABLES -X SOSACI &> /dev/null
exit 0
;;

restart)
$0 stop
$0 start
exit 0
;;

*)
echo "usage: $0 startwatch|stopwatch|start|stop|restart|report|cronjob"
exit 1
;;
esac

CGI skript pro sledování stavu černé listiny:

#!/bin/sh
#
#Verze 1.01
#Autor PavKriz
#
LISTDIR=/var/lib/kladivo

SEP="--------------------------------------------"
echo "Content-type: text/plain"
echo ""
TODAY=`date`
echo "Report k datu: $TODAY"
echo $SEP
NOW=`date +%s`

for FILE in $LISTDIR/* ; do
if [ -e "$FILE" ]; then
IP=`basename $FILE`
HOST=`host $IP | awk "{ print \\$5 }"`
BANTO=`head -n 1 $FILE`
UNBAN=`expr $BANTO - $NOW`
UNBAN=`expr $UNBAN / 60`
# print report
echo "Host: $HOST"
echo "Minutes to unban: $UNBAN"
echo "Ban-causing report:"
tail +8 $FILE
echo
fi
done

Kompletní řízení wifi provozu

2005-03-03T18:22:40Z

Jezz:

== Problém ==

Narozdíl od ad-hoc režimu wi-fi sítí, klienti připojení ke stejnému AP můžou komunikovat mezi sebou, ačkoliv jejich zařízení se nemusí "slyšet". Tuto komunikaci zajišťuje AP, ke kterému jsou připojeni. Pokud jejich IPv4 adresy jsou ve stejné podsíti, tato komunikace probíhá z hlediska AP na 2. vrstvě. Na softwarovém AP s HostAP to zajišťují tyto ovladače. Tento provoz neprochází síťovou vrstvou a z toho plyne následující:
* není možno použít firewall
* provoz nelze regulovat pomocí shaperu
* nelze jednoduše zjistit, kolik dat aktuálně prochází přes AP a kdo je za to zodpovědný (kromě statistik HostAP)

== Řešení ==

Toto samozřejmě není vždy žádoucí. Existují samozřejmě řešení:
* každému klientu přidělit samostatnou podsíť
* zakázat komunikaci mezi klienty (parametr HostAP <tt>bridge_packets</tt>)

První řešení je dobré, ale náročné na spotřebu IPv4 adres. Na některých ap by to znamenalo změnit již připojeným uživatelům adresy.

Druhé řešení neumožňuje komunikaci mezi klienty.

Popis problému i nápad na řešení přišel od Ládi z JNetu na newsech (17.února 2005):

Vsichni klienti na vsesmeru uvidi stejnou MAC svych kolegu - totoznou s
MAC vsesmer wifi karty.
Takze uzivatel 1 posle data pro uzivatele 2 s MAC routeru - router paket
prijme do kernelu (tim se provedou vsechny ty veci jako PREROUTIONG,
POSTROUTING a FORWARD) a posle uzivateli 2 na jeho skutecnou MAC adresu.
Stacilo by, aby router pravidelne posilal ARP "poison" pakety vsem
uzivatelum na IP celeho rozsahu a hlasil jim jako MAC svou MAC adresu.

== Realizace ==

Z probíhajicí diskuze nakonec vzešly 2 řešení:

1. Shellovský skript používající <tt>tcpdump</tt> k detekci arp požadavků a posílající příslušnou arp odpověč prostřednictvým programu <tt>arpoison</tt>.

2. Daemon v ''C'' založený na programu pro Man-in-the-middle útok. Poslouchá na příslušném rozhraní (využívá knihovnu <tt>libpcap</tt>) a na každý arp požadavek odpoví zfalšovanou arp odpovědí (na vytvoření tohoto paketu se používá <tt>libnet1</tt>).

Při testování (díky patří Kyrilovi) se zjistily 2 problémy:

1. Některé OS se ptají, zda někdo již využívá jejich IPv4 adresu. Pokud program na falšování MAC adres odpověděl, byla detekována kolize. Pomohlo ignorování takovýchto požadavků.

2. Pokud jsou připojeny 2 počítače prostřednictvím switche a jednoho hardwarového AP, pak komunikace mezi těmito počítači probíhá bez účasti AP. Pokud na arp požadavek prvního počítače na MAC druhého počítače odpoví i falšovací program, pak bude komunikace probíhat přes AP, což je zbytečné (pokud jsou síťové karty 100M a switch také, pak je to rozhodně pomalejší). Řešením tohoto problému je mít skupiny IPv4 adres - pokud se jeden počítač ptá na MAC adresu druhého počítače ve stejné skupině, pak se tento požadavek ignoruje.

Tyto řešení je vhodné doplnit zakázáním přímé komunikace mezi klienty:
iwpriv wlan1 bridge_packets 0

=== arp.sh ===
Tento skript nebere argumenty, je potřeba ho před použitím upravit. Nastavuje se rozhraní a IPv4 adresy serveru (MAC adresu zjistí sám).

=== arp_redir ===
Jak již bylo popsáno výše, jedná se o daemon v jazyku ''C''.
Syntaxe: arp_redir [VOLBY] MAC ROZHRANI
Program bude poslouchat na <tt>ROZHRANI</tt> a v odpovědích na arp požadavky bude odpovídat <tt>MAC</tt>. Volby:
* <tt>-d </tt> neodpojí se od terminálu a bude vypisovat, co dělá.
* <tt>-p SOUBOR</tt> pokud neběží v ladícím režimu, pak do <tt>SOUBORU</tt> zapíše svůj pid.
* <tt>-i SOUBOR</tt> načte z tohoto souboru skupiny IPv4 adres. Adresy jsou oddělené čárkami. Mezery, prázdné řádky a řádky začínající znakem '#' jsou ignorovány. Jeden řádek reprezentuje jednu skupinu adres. Tato volba může být použita vícekrát (načtou se všechny soubory).

== Odkazy ==
* [http://arpoison.sourceforge.net arpoison]
* [http://www.tcpdump.org tcpdump]
* [http://sourceforge.net/projects/libpcap libpcap]
* [http://www.packetfactory.net/libnet libnet1]
* [http://charon.hkfree.org/~jezz/arp_redir.tar.gz arp_redir.tar.gz] - obsahuje daemona, manuálovou stránku i shellovský skript <tt>arp.sh</tt>
* [http://charon.hkfree.org/~okoun/arp.sh arp.sh] - skript od Ládi z JNetu (spolupracoval uživatel Martink z JNetu)
* [http://packetstormsecurity.org/sniffers/MiM.c MiM.c] - zdrojový kód pro man-in-the-middle, který byl upraven na <tt>arp_redir.c</tt>.

Kompletní řízení wifi provozu

2005-03-03T18:21:47Z

Jezz: novy parametr pro arp_redir

== Problém ==

Narozdíl od ad-hoc režimu wi-fi sítí, klienti připojení ke stejnému AP můžou komunikovat mezi sebou, ačkoliv jejich zařízení se nemusí "slyšet". Tuto komunikaci zajišťuje AP, ke kterému jsou připojeni. Pokud jejich IPv4 adresy jsou ve stejné podsíti, tato komunikace probíhá z hlediska AP na 2. vrstvě. Na softwarovém AP s HostAP to zajišťují tyto ovladače. Tento provoz neprochází síťovou vrstvou a z toho plyne následující:
* není možno použít firewall
* provoz nelze regulovat pomocí shaperu
* nelze jednoduše zjistit, kolik dat aktuálně prochází přes AP a kdo je za to zodpovědný (kromě statistik HostAP)

== Řešení ==

Toto samozřejmě není vždy žádoucí. Existují samozřejmě řešení:
* každému klientu přidělit samostatnou podsíť
* zakázat komunikaci mezi klienty (parametr HostAP <tt>bridge_packets</tt>)

První řešení je dobré, ale náročné na spotřebu IPv4 adres. Na některých ap by to znamenalo změnit již připojeným uživatelům adresy.

Druhé řešení neumožňuje komunikaci mezi klienty.

Popis problému i nápad na řešení přišel od Ládi z JNetu na newsech (17.února 2005):

Vsichni klienti na vsesmeru uvidi stejnou MAC svych kolegu - totoznou s
MAC vsesmer wifi karty.
Takze uzivatel 1 posle data pro uzivatele 2 s MAC routeru - router paket
prijme do kernelu (tim se provedou vsechny ty veci jako PREROUTIONG,
POSTROUTING a FORWARD) a posle uzivateli 2 na jeho skutecnou MAC adresu.
Stacilo by, aby router pravidelne posilal ARP "poison" pakety vsem
uzivatelum na IP celeho rozsahu a hlasil jim jako MAC svou MAC adresu.

== Realizace ==

Z probíhajicí diskuze nakonec vzešly 2 řešení:

1. Shellovský skript používající <tt>tcpdump</tt> k detekci arp požadavků a posílající příslušnou arp odpověč prostřednictvým programu <tt>arpoison</tt>.

2. Daemon v ''C'' založený na programu pro Man-in-the-middle útok. Poslouchá na příslušném rozhraní (využívá knihovnu <tt>libpcap</tt>) a na každý arp požadavek odpoví zfalšovanou arp odpovědí (na vytvoření tohoto paketu se používá <tt>libnet1</tt>).

Při testování (díky patří Kyrilovi) se zjistily 2 problémy:

1. Některé OS se ptají, zda někdo již využívá jejich IPv4 adresu. Pokud program na falšování MAC adres odpověděl, byla detekována kolize. Pomohlo ignorování takovýchto požadavků.

2. Pokud jsou připojeny 2 počítače prostřednictvím switche a jednoho hardwarového AP, pak komunikace mezi těmito počítači probíhá bez účasti AP. Pokud na arp požadavek prvního počítače na MAC druhého počítače odpoví i falšovací program, pak bude komunikace probíhat přes AP, což je zbytečné (pokud jsou síťové karty 100M a switch také, pak je to rozhodně pomalejší). Řešením tohoto problému je mít skupiny IPv4 adres - pokud se jeden počítač ptá na MAC adresu druhého počítače ve stejné skupině, pak se tento požadavek ignoruje.

Tyto řešení je vhodné doplnit zakázáním přímé komunikace mezi klienty:
iwpriv wlan1 bridge_packets 0

=== arp.sh ===
Tento skript nebere argumenty, je potřeba ho před použitím upravit. Nastavuje se rozhraní a IPv4 adresy serveru (MAC adresu zjistí sám).

=== arp_redir ===
Jak již bylo popsáno výše, jedná se o daemon v jazyku ''C''.
Syntaxe: arp_redir [VOLBY] MAC ROZHRANI
Program bude poslouchat na <tt>ROZHRANI</tt> a v odpovědích na arp požadavky bude odpovídat <tt>MAC</tt>. Volby:
* <tt>-d </tt> neodpojí se od terminálu a bude vypisovat, co dělá.
* <tt>-p SOUBOR</tt> pokud neběží v ladícím režimu, pak do SOUBORU zapíše svůj pid.
* <tt>-i SOUBOR</tt> načte z tohoto souboru skupiny IPv4 adres. Adresy jsou oddělené čárkami. Mezery, prázdné řádky a řádky začínající znakem '#' jsou ignorovány. Jeden řádek reprezentuje jednu skupinu adres. Tato volba může být použita vícekrát (načtou se všechny soubory).

== Odkazy ==
* [http://arpoison.sourceforge.net arpoison]
* [http://www.tcpdump.org tcpdump]
* [http://sourceforge.net/projects/libpcap libpcap]
* [http://www.packetfactory.net/libnet libnet1]
* [http://charon.hkfree.org/~jezz/arp_redir.tar.gz arp_redir.tar.gz] - obsahuje daemona, manuálovou stránku i shellovský skript <tt>arp.sh</tt>
* [http://charon.hkfree.org/~okoun/arp.sh arp.sh] - skript od Ládi z JNetu (spolupracoval uživatel Martink z JNetu)
* [http://packetstormsecurity.org/sniffers/MiM.c MiM.c] - zdrojový kód pro man-in-the-middle, který byl upraven na <tt>arp_redir.c</tt>.

QoS - linux

2005-02-20T22:39:57Z

Jezz: J-net => JNet

== Řízení provozu na linuxu ==

V tomto mini-HOWTO jsem se snažím srozumitelně vysvětlit problematiku
řízení provozu na linuxu a uvést dostatek názorných příkladů. Všechno co
je tu popsáno si lze přečíst v angličtině v [http://www.lartc.org/howto/ Advanced routing and traffic controlling HOWTO] a na [http://www.docum.org docum.org]. Dalším dobrým zdrojem se zdá být
[http://www.opalsoft.net/qos/DS.htm Differentiated Service on Linux HOWTO].

=== Queuing disciplines (vhodný překlad?) ===

Ovlivňují způsob, jakým linux zachází s pakety. Pakety může linux obecně
přijmout, pozdržet nebo zahodit. Pokud je paket zahozen, pak závisí na
protokolu, jak se s tím vyrovná. Protokol TCP při ztrátě paketu zpomalí a
nepotvrzené pakety znovu odešle (narozdíl například od UDP). Efektivně
omezovat lze jen odchozí provoz (pokud použijeme IMQ, pak lze stejnými metodami
omezovat i příchozí provoz) používající protokol TCP. Je otázkou, zda omezovat i
ostatní protokoly. Myslím si, že je to nutné, jelikož i protokol UDP je celkem běžně
používaný a taktéž dokáže zahltit linku (například program brutalcopy od Clocka).

Když může síťová karta vysílat, pak požádá qdisc (nainstalovaný na
příslušném rozhraní), aby jí dodal data. Jejich výběr je proto v jeho
kompetenci. V nejjednodušším případě vybere z fronty nejdéle čekající,
nebo použije nějakou sofistikovanější metodu.

=== Přehled ===

Rozlišujeme dva druhy qdisců podle toho, jestli obsahují třídy nebo ne.
Qdiscy bez tříd jsou jednodušší, vyberu pár nejužitečnějších:

; pfifo_fast : Nejjednodušší qdisc, který je implicitně nainstalován. Má tři pásma, která fungují jako qdisc <code>prio</code>. V každém pásmu je fronta. Z méně prioritních front se odešlou pakety až poté co prioritnější fronty jsou prázdné (priorita se určuje pomocí [[QoS#ToS|ToS]] příznaku ip paketu). Délka front je konečná (při přeplnění jsou pakety zahazovány), ale dá se změnit.
; tbf - token bucket filter : Přesný omezovací qdisc. Princip na kterém je založen používá taktéž <tt>htb</tt>. Omezuje provoz na určitou rychlost.
; (e)sfq - (extended) stochastic fairness queueing : Už podle názvu by tento qdisc měl zaručovat férovost. Princip je takový, že obsahuje několik front a ty cyklicky obsluhuje. Do těchto front jsou podle hash funkce zařazovány TCP sezení případně toky dat protokolu UDP. Stochastický je protože, to do které fronty je paket zařazen závisí na hash funkci. Hash funkce se po několika sekundách mění (nastavuje se pomocí parametru perturb). Tento qdisc má význam na přeplněné lince. Existuje modifikace <tt>esfq</tt>, která pásma přiděluje podle zdrojové/cílové adresy a umožňuje nastavit další interní proměnné sfq (limit - délka fronty s pakety, depth - maximální počet současně obsluhovaných front, divisor - 2 umocněná na toto číslo nám udává maximální počet front (neboli počet bitů pro hash funkci; maximum 12)).

Qdiscy které mají třídy umožňují více kontrolovat tok dat. Tyto qdiscy můžou obsahovat další qdiscy. Pokud omezují (<code>htb</code>, <code>cbq</code>), pak to dělají právě třídy. Například qdisc <tt>cbq</tt> má parametr bandwidth, který slouží pouze pro informaci o kapacitě linky a nikoliv pro omezení toku. Pakety z konkrétní třídy jsou vždy předány qdiscu, který je v ní nainstalován (implicitně pfifo_fast). Přehled základních qdisců s třídami:

; prio : Nejjednodušší qdisc s třídami. Ve výchozím nastavení funguje jako <tt>pfifo_fast</tt>, vytváří tři třídy (pro prioritní :1, normální :2 a neprioritní provoz :3). Do každé této třídy můžeme nainstalovat libovolný qdisc. Lze změnit počet tříd, o vytváření tříd se stará <tt>prio</tt> sám (příklad změny počtu tříd je ve skriptu [http://charon.hkfree.org/~jezz/qos/prio_web.sh prio_web.sh] - při změně parametru bands je nutné uvést parametr priomap). Prio neomezuje nijak provoz.
; cbq : Nejznámější a také nejméně pochopený qdisc. Pracuje na základě vytíženosti linky. Pokud má omezit provoz na 10Mbit lince na 1Mbit, pak tato linka musí být z 90% volná. Tento předpoklad teoreticky drží, ale v praxi <tt>cbq</tt> často neomezuje správně provoz. Má mnoho parametrů, některé jsou málo dokumentovány a je proto těžké ho správně nastavit. U každé třídy lze nastavit, zda si může půjčovat a zda půjčuje ostatním třídám. Narozdíl od <tt>htb</tt> nelze nastavit kolik si lze maximálně půjčit.
; htb : Pracuje na stejném principu jako <code>tbf</code>, proto je celkem přesný. Lze nastavit kolik si každá třída může maximálně vypůjčit. O <code>htb</code> si můžete také přečíst článek na [http://www.root.cz/clanek/1795 root.cz].

Qdiscy tbf, cbq, htb mají společné parametry:

; rate : Rychlost (např: 20kbit, 1Mbit, 20k /20k = 160kbit !/)
; burst : Maximální povolená výchylka.
; prio : Priorita. Třídy s číselně menší prioritou jdou dříve.

Qdisc <tt>htb</tt> má navíc ceil a cburst, které nastavují maximální rychlost (kolik si třída může maximálně půjčit) a výchylku u půjčené rychlosti.

Qdisc <tt>htb</tt> i <tt>cbq</tt> nemusí (a občas je to výhodné) všechny pakety přiřazovat do tříd a tím pádem omezovat. U <tt>cbq</tt> jsou to všechny nezařazené pakety (často chyba v konfiguraci filtrů), u <tt>htb</tt> jsou to ty, které jsou směřovány do MAJOR:0 (ve výpisu jsou vidět jako <tt>direct_packets_stat</tt>).

Každý qdisc má tzv. handle (major). To je 16-bitové číslo. Kořenový qdisc má vždy číslo 1. Třídy mají tzv. classid (minor), což je také 16-bitové číslo. Volba těchto čísel je pouze na Vás. Dvojice MAJOR:MINOR jednoznačně identifikuje třídu (qdisc pouze v případě, že MINOR=0). Není rozdíl mezi zápisem 1: a 1:0. Každá třída může mít ještě podtřídy.

=== Příklady ===

Příklady (některé jsou vzaty z lartc a odzkoušeny).

==== pfifo_fast, pfifo, tbf, (e)sfq, prio ====

## PFIFO_FAST - kratší fronta
# ifconfig wlan0 txqueuelen 64

## PFIFO - kratší fronta (BFIFO - limit je v bytech)
# tc qdisc add dev wlan0 root pfifo limit 64

## TBF - omezení na 220kbit, pakety se v qdiscu zdrží nejdéle 50ms
# tc qdisc add dev wlan0 root tbf rate 220kbit latency 50ms burst 1540

## SFQ - každých 10 sekund změna hash
# tc qdisc add dev wlan0 root sfq perturb 10

## ESFQ - totožné jako SFQ výše (použity přednastavené hodnoty SFQ pro limit,depth,divisor)
# tc qdisc add dev wlan0 root esfq perturb 10 \
limit 128 depth 128 hash classic divisor 11

## ESFQ - kratší fronta = lepší odezvy
# tc qdisc add dev wlan0 root esfq perturb 10 \
limit 64 depth 64 hash src divisor 10

## PRIO
# tc qdisc add dev wlan0 root handle 1: prio
## Prio vytvoří třídy 1:1, 1:2, 1:3

## Do nejprioritnější třídy dáme sfq (tudy jede například ssh,telnet)
# tc qdisc add dev wlan0 parent 1:1 handle 10: sfq
## Normální provoz omezíme na 20kbit
# tc qdisc add dev wlan0 parent 1:2 handle 20: tbf rate 20kbit buffer 1600 limit 3000
## Do nejméně prioritní třídy nainstalujeme sfq (tudy jede scp, ftp-data)
# tc qdisc add dev wlan0 parent 1:3 handle 30: sfq

==== cbq ====

## CBQ
## Nainstalujeme kořenový qdisc
# tc qdisc add dev wlan0 root handle 1:0 cbq bandwidth 10Mbit \
avpkt 1000 cell 8

## Nyní již vytváříme třídy, proto tc class. Toto je hlavní třída,
## pomocí které omezujeme provoz na určitou hodnotu. Tato třída si nesmí
## půjčovat, jelikož není nijak omezená (qdisc neomezuje).
# tc class add dev wlan0 parent 1:0 classid 1:1 cbq bandwidth 10Mbit \
rate 4Mbit weight 0.4Mbit prio 1 allot 1514 cell 8 maxburst 20 \
avpkt 1000 bounded

## Nainstalujeme podtřídy. weight určuje nepřímo kolik dat může třída
## najednou vyslat (1/10 funguje celkem dobře). Detailněji jsou parametry popsané
## na lartc (osobně preferuji htb).
# tc class add dev wlan0 parent 1:1 classid 1:3 cbq bandwidth 10Mbit \
rate 3Mbit weight 0.3Mbit prio 5 allot 1514 cell 8 maxburst 20 \
avpkt 1000
# tc class add dev wlan0 parent 1:1 classid 1:4 cbq bandwidth 10Mbit \
rate 1Mbit weight 0.1Mbit prio 5 allot 1514 cell 8 maxburst 20 \
avpkt 1000

## Nainstalujeme do těchto tříd sfq
# tc qdisc add dev wlan0 parent 1:3 handle 30: sfq
# tc qdisc add dev wlan0 parent 1:4 handle 40: sfq

==== htb ====

## Nainstalujeme kořenový qdisc htb. Všechen provoz půjde do třídy 1:10
## pokud nebude filtry určeno jinak
# tc qdisc add dev wlan0 root handle 1: htb default 10

## Vytvoříme kořenovou třídu. Stejně jako u cbq tato třída omezuje provoz.
## Ceil u této třídy nemá smysl, jelikož nad ní je pouze qdisc, který neomezuje.
## Pokud by zde byl uveden ceil vyšší než rate, pak by tato třída neomezovala na
## rate, ale na ceil.
# tc class add dev wlan0 parent 1: classid 1:1 htb \
rate 1792kbit burst 17kbit

## Potomci výše uvedené třídy. Součet rychlostí přímých potomků dané třídy
## nesmí být vyšší než rychlost rodiče (rate). U ceil by mělo platit, že žádný
## potomek nemá vyšší maximální rychlost než jeho rodič (není to tak vážná chyba
## jako porušení předešlého pravidla).

## Tato třída má garantován 1Mbit, ale může získat celou kapacitu od 1:1
# tc class add dev wlan0 parent 1:1 classid 1:10 htb \
rate 1024kbit ceil 1792kbit burst 10kbit prio 1

## Třída s nižší prioritou, rychlostí, ale maximum stejné jako u předchozí
# tc class add dev wlan0 parent 1:1 classid 1:20 htb \
rate 512kbit ceil 1792kbit burst 5kbit prio 2

## Nejméně prioritní třída s nejmenší rychlostí
# tc class add dev wlan0 parent 1:1 classid 1:30 htb \
rate 256kbit ceil 512kbit burst 2kbit prio 3

## Vytvoříme podtřídu poslední třídy (je to méně náročnější než instalovat qdisc
## htb do této třídy a vytvořit v něm třídy). Takto může vzniknout celkem
## složitá hierarchie tříd. Třída si může půjčovat pouze od své rodičovské
## třídy. Pokud má třída 1:1 volný 1Mbit, pak přidělí 1:30 maximálně pouze
## 512kbit. Tolik rozdělí maximálně mezi podtřídy 1:31 a 1:32.
# tc class add dev wlan0 parent 1:30 classid 1:31 htb \
rate 128kbit ceil 512kbit burst 1kbit prio 4
# tc class add dev wlan0 parent 1:30 classid 1:32 htb \
rate 128kbit ceil 512kbit burst 1kbit prio 5

## Nainstalujeme do 1:10 a 1:20 prio
# tc qdisc add dev wlan0 parent 1:10 handle 10: prio
# tc qdisc add dev wlan0 parent 1:20 handle 20: prio

## Do 1:31 a 1:32 dame sfq
# tc qdisc add dev wlan0 parent 1:31 handle 31: sfq
# tc qdisc add dev wlan0 parent 1:32 handle 32: sfq

## Do podtříd qdiscu prio nainstalujeme taktéž sfq
# tc qdisc add dev wlan0 parent 10:1 handle 11: sfq
# tc qdisc add dev wlan0 parent 10:2 handle 12: sfq
# tc qdisc add dev wlan0 parent 10:3 handle 13: sfq
# tc qdisc add dev wlan0 parent 20:1 handle 21: sfq
# tc qdisc add dev wlan0 parent 20:2 handle 22: sfq
# tc qdisc add dev wlan0 parent 20:3 handle 23: sfq

=== Shrnutí ===

Qdiscy jsou užitečné, ale ne všemocné. Každý je vhodný na něco jiného. Jaké jsou tedy jejich výhody/nevýhody?

<tt>tbf</tt> přesně omezuje, ale nerozlišuje co omezuje. Když například uživatel stahuje z dc a zároveň prohlíží www stránky, pak přenosy z dc jedou rychlostí, na jakou byly omezeny pomocí <tt>tbf</tt>, ale pakety HTTP jsou často nadlimitní a proto se stránky načítají dlouho.

Pokud u qdiscu <tt>prio</tt> není omezena rychlost uvnitř třídy, pak se méně prioritní třídy nemusejí dostat vůbec ke slovu.

Pokud je třída u <tt>htb</tt>, <tt>cbq</tt> přeplněná, pak neovlivní ostatní třídy. Pakety v nich se dostanou postupně na řadu a odešlou se bez zpoždění. Pakety v přeplněné třídě na tom již tak dobře nejsou. Jelikož je tato třída přeplněná jsou některé pakety pozdrženy/zahozeny. Je lepší proto třídy naddimenzovávat.

== Filtry ==

Když už máme vytvořené třídy, pak je potřeba je naplnit. O to aby skrz ně procházeli správné pakety se starají filtry. Filtry jsou vlastně pravidla. Filtrovat lze pouze v rámci jednoho qdiscu. Například v příkladu pro <code>htb</code> lze filtry směrovat data z 1:0 do 1:31 a nikoliv do 31: a 10:1. Pokud bychom
chtěli směrovat data z 1:0 do 10:1 musíme to udělat postupně z 1:0 do 1:10 a z 10:0 do 10:1. Priorita u pravidel určuje pořadí v jakém se vykonávají. Filtry s číselně nižší prioritou se vykonají dříve, a proto je výhodné zde mít nejspecifičtější pravidla. Filtry se nemusejí mazat, stačí smazat příslušný qdisc.
Filtrovat lze podle:

* zdrojové/cílové adresy
* zdrojového a cílového portu
* ip protokolu (tcp, udp, icmp, ...)
* značky z firewallu
* podle pole [[QoS#ToS|ToS]]
* podle různých položek hlavičky IP,TCP,UDP datagramu

=== Klasifikátor u32 ===

## Výběr pomocí zdrojové adresy
# tc filter add dev wlan0 parent 1: prio 11 protocol ip u32 \
match ip src 10.107.0.0/16 \
flowid 1:20

## Výběr pomocí cílové adresy je obdobný
# tc filter add dev wlan0 parent 1: prio 11 protocol ip u32 \
match ip dst 10.107.0.0/16 \
flowid 1:20

## Výběr protokolu TCP (6 viz /etc/protocols)
# tc filter add dev wlan0 parent 1: prio 11 protocol ip u32 \
match ip protocol 6 0xff \
flowid 1:20

## Výběr podle protokolu pomocí obecného kvalifikátoru u8 (na 9 bajtu IP
## datagramu je číslo protokol vyšší vrstvy). u8 vybere devátý bajt provede
bitové AND s 0xff a porovná s hodnotou 6.
# tc filter add dev wlan0 parent 1: prio 11 protocol ip u32 \
match u8 6 0xff at 9 \
flowid 1:20

## Vybrat TCP ACK pakety menší než 64 - kombinace pravidel. První vybírá
## protokol TCP. Další zajišťuje, že paket nemá volitelné položky záhlaví (velikost
## hlavičky ip datagramu ve čtyřbajtech je rovna 5). Třetí zajišťuje, že
## velikost paketu bude menší než 64 a nakonec je test na ACK bit TCP paketu.
# tc filter add dev wlan0 parent 1:0 protocol ip prio 10 u32 \
match ip protocol 6 0xff \
match u8 0x05 0x0f at 0 \
match u16 0x0000 0xffc0 at 2 \
match u8 0x10 0xff at 33 \
flowid 1:10

## Výběr pomocí zdrojového portu ( protokol TCP; služba ftp-data)
# tc filter add dev wlan0 parent 1: prio 10 protocol ip u32 \
match ip protocol 6 0xff \
match ip sport 20 0xffff \
flowid 1:30

## Výběr pomocí cílového portu (protokolu UDP; služba DNS)
# tc filter add dev wlan0 parent 1: prio 10 protocol ip u32 \
match ip protocol 17 0xff \
match ip dport 53 0xffff \
flowid 1:10

## Výběr podle ToS pole IP paketu (hodnota Minimize-Delay; například ssh, telnet)
# tc filter add dev wlan0 parent 1:0 protocol ip prio 10 u32 \
match ip tos 0x10 0xff \
flowid 1:10

=== Klasifikátor fwmark ===

Pokud nám nestačí klasifikátor <tt>u32</tt>, pak máme ještě k dispozici <tt>fwmark</tt>. Ten umožňuje vybrat pakety podle značky, kterou získají od firewalu. To je nutné například pokud chceme filtrovat podle zdrojové adresy na rozhraní, kde probíhá SNAT (skutečné zdrojové adresy se k nám nedostanou). Tato značka není součástí IP paketu, čili ji nemůžou vidět ostatní počítače narozdíl od [[QoS#ToS|ToS]]. Na značení paketů se používá tabulka mangle.

## Označení paketu pomocí iptables (podle MAC počítače)
# iptables -t mangle -A PREROUTING -p tcp -m mac --mac-source 12:34:56:78:90:ab -j MARK --set-mark 1

## Následně filtrujeme pomocí fwmarku (handle 1 = značka 1, fw = fwmark)
# tc filter add dev wlan0 parent 1: prio 10 protocol ip handle 1 fw \
flowid 1:30

Další použití fwmarku závisí pouze na pravidlech pro iptables. U filtru se nastavuje pouze handle.

=== Klasifikujeme IPv6 ===

Jelikož IPv6 nám klepe na dveře našel jsem na internetu pár příkladů, jak ho filtrovat (příklady jsem v praxi nezkoušel, je možné, že ještě pokulhává podpora - možná někdy vyzkouším).

## Označíme je pomocí fwmarku
# ip6tables -A PREROUTING -i eth0 -t mangle -p tcp -j MARK --mark 1

## Klasicky pomocí filtru
# tc filter add dev eth1 parent 1:0 protocol ipv6 prio 2 u32 match ip6 src
2001:6a8:802:7::2 classid 1:2
# tc filter add dev eth1 parent 1:0 protocol ipv6 prio 4 u32 match ip6 src
2001:6a8:802:6::2 classid 1:3

== IMQ, IPP2P, CONNMARK - věci, které ve vanilla jádru nejsou ==

=== IMQ ===

IMQ nám umožňuje na příchozí provoz aplikovat stejné prostředky jako na odchozí. Bez něj bychom mohli použít pouze tzv. ingress qdisc, který je velice omezený vzhledem egressu. Dále můžeme omezovat provoz na více rozhraních společně. Například mějme příchozí linku 1Mbit, kterou chceme spravedlivě rozdělit mezi lokální uživatele (eth0) a wi-fi uživatele (wlan1). Bez IMQ to můžeme nechat neregulované (to asi nebude 100% spravedlivé) nebo oběma rozhraním přidělit 512kbit bez možnosti půjčovat si. Elegantnější cesta spočívá v použití IMQ.

## Zavedu modul pro imq a nastavím mu maximální počet zařízení
# modprobe imq numdevs=6

## Tímto nahodíme rozhraní imq0
# ip link set imq0 up

## Pomocí pravidla v iptables přesměrujeme všechny pakety přicházející na
## wlan0 do imq0 (pro imqN by bylo --todev N)
# iptables -t mangle -A PREROUTING -i wlan0 -j IMQ --todev 0

## A teč již můžeme omezovat ...
# tc qdisc add dev imq0 root handle 1: htb default 10
# tc class add dev imq0 parent 1: classid 1:1 htb rate 2304kbit burst 23kbit
...

=== IPP2P a CONNMARK ===

Pomocí ipp2p lze rozpoznat pakety patřící p2p sítím. Není to sice 100%, ale je to lepší než nic. Lze je tedy zakázat, nebo regulovat. Ipp2p rozezná již celkem dost protokolů:

* eDonkey
* Gnutella
* FastTrack (Kazaa)
* Direct Connect
* Bittorent

Lze vybrat všechny pakety nebo pouze datové přenosy. Pokud chcete vybrat všechny pakety patřící DC, pak použijete <tt>--dc</tt>. Pro data <tt>--dc-data</tt>. Pokud chcete jedním pravidlem pokrýt všechny
protokoly, pak použijte <tt>--ipp2p/--ipp2p-data</tt> (kromě Bittorentu pro něj musíte použít <tt>--bit</tt>). Ipp2p funguje pouze na TCP paketech. Pokud nechcete pouze zakazovat p2p provoz, pak budete muset použít CONNMARK. CONNMARK umožňuje označkovat celé TCP sezení.

## Vsude je -p tcp! Bez toho by ipp2p vypisoval chyby.
## Pokud byla tomuto TCP sezení nastavena značka, pak ji CONNMARK obnoví
# iptables -t mangle -A PREROUTING -p tcp -j CONNMARK --restore-mark

## Pokud je paket označen nastav mu do pole ToS, že není prioritní
# iptables -t mangle -A PREROUTING -p tcp -m mark --mark 1 -j TOS --set-tos Maximize-Throughput

## Neprováděj další pravidla pokud je paket již označen
# iptables -t mangle -A PREROUTING -p tcp -m mark ! --mark 0 -j ACCEPT

## Označí všechny datové přenosy p2p sítí, které ipp2p detekuje
# iptables -t mangle -A PREROUTING -p tcp -m ipp2p --ipp2p-data -j MARK --set-mark 1

## Uloží značku pokud je nastavena, aby mohla být obnovena
# iptables -t mangle -A PREROUTING -p tcp -m mark --mark 1 -j CONNMARK --save-mark

Takto označené pakety se již lehce zařadí pomocí fwmarku do správné (omezené) třídy.

== Odstraňujeme qdisc a kontrolujeme ==

=== Mazání qdiscu ===

## Toto smaže qdisc z rozhraní wlan0 (včetně všech tříd, qdisců a filtrů)
## wlan0 bude nyní obsluhovat pfifo_fast (ten se smazat nedá)
# tc qdisc del dev wlan0 root

=== Kontrolujeme funkčnost omezování ===

==== Iptables ====

## Prohlédneme počitadla u pravidel. Pokud je někde 0, pak máte zřejmě problém.
# iptables -t mangle -L -n -v
Chain PREROUTING (policy ACCEPT 15M packets, 7252M bytes)
pkts bytes target prot opt in out source destination
257K 119M IMQ all -- wlan0 * 0.0.0.0/0 0.0.0.0/0 IMQ: todev 0
481K 235M CONNMARK tcp -- * * 0.0.0.0/0 0.0.0.0/0 CONNMARK restore
98426 79M ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MARK match !0x0
9 6250 MARK tcp -- * * 0.0.0.0/0 0.0.0.0/0 ipp2p v0.6 --ipp2p-data MARK set 0x1
9 6250 TOS tcp -- * * 0.0.0.0/0 0.0.0.0/0 ipp2p v0.6 --ipp2p-data TOS set 0x08
9 6250 CONNMARK tcp -- * * 0.0.0.0/0 0.0.0.0/0 MARK match 0x1 CONNMARK save

Chain INPUT (policy ACCEPT 476K packets, 34M bytes)
pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 25M packets, 15G bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 640K packets, 72M bytes)
pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 25M packets, 15G bytes)
pkts bytes target prot opt in out source destination

==== Qdisc ====

## Podobné jako u iptables. Pokud Vám nějakým qdiscem neprotékají data, pak
## je něco špatně, nebo máte smůlu, že nikdo ještě příslušné spojení nevytvořil.
## V tomto případě přes sfq 23: (prio - ToS neprioritní) a 21: (prio - ToS
## prioritní) neprošly zatím žádné pakety.
## V tomto přehledu není pfifo_fast. Pokud by jste chtěli vidět statistiku i u
## něj, pak místo něho nainstalujte jednodušší pfifo.
# tc -s qdisc show dev wlan0
qdisc sfq 23: limit 128p quantum 1514b
Sent 0 bytes 0 pkts (dropped 0, overlimits 0)
qdisc sfq 22: limit 128p quantum 1514b
Sent 690749 bytes 6594 pkts (dropped 0, overlimits 0)
qdisc sfq 21: limit 128p quantum 1514b
Sent 0 bytes 0 pkts (dropped 0, overlimits 0)
qdisc sfq 13: limit 128p quantum 1514b
Sent 5681 bytes 24 pkts (dropped 0, overlimits 0)
qdisc sfq 12: limit 128p quantum 1514b
Sent 82019598 bytes 116223 pkts (dropped 0, overlimits 0)
qdisc sfq 11: limit 128p quantum 1514b
Sent 8638082 bytes 155069 pkts (dropped 0, overlimits 0)
qdisc sfq 32: limit 128p quantum 1514b
Sent 7530988 bytes 4982 pkts (dropped 0, overlimits 0)
qdisc sfq 31: limit 128p quantum 1514b
Sent 33633304 bytes 22338 pkts (dropped 0, overlimits 0)
qdisc prio 20: bands 3 priomap 1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1
Sent 690749 bytes 6594 pkts (dropped 0, overlimits 0)
qdisc prio 10: bands 3 priomap 1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1
Sent 90669849 bytes 271328 pkts (dropped 0, overlimits 0)
qdisc htb 1: r2q 10 default 10 direct_packets_stat 7
Sent 132546356 bytes 305261 pkts (dropped 0, overlimits 57139)

==== Třídy ====

## Stejné jako u qdiscu, ale pro třídy
# tc -s class show dev wlan0
class prio 20:1 parent 20: leaf 21:
class prio 20:2 parent 20: leaf 22:
class prio 20:3 parent 20: leaf 23:
class prio 10:1 parent 10: leaf 11:
class prio 10:2 parent 10: leaf 12:
class prio 10:3 parent 10: leaf 13:
class htb 1:1 root rate 1792Kbit ceil 1792Kbit burst 2175b cburst 1823b
Sent 138635160 bytes 338066 pkts (dropped 0, overlimits 0)
rate 17738bit 70pps
lended: 18296 borrowed: 0 giants: 0
tokens: 9582 ctokens: 7972

class htb 1:10 parent 1:1 leaf 10: prio 1 rate 1024Kbit ceil 1792Kbit burst 1279b cburst 1823b
Sent 95075747 bytes 302437 pkts (dropped 0, overlimits 0)
rate 12828bit 66pps
lended: 292524 borrowed: 9913 giants: 0
tokens: 9600 ctokens: 7972

class htb 1:32 parent 1:30 leaf 32: prio 5 rate 128Kbit ceil 256Kbit burst 127b cburst 1631b
Sent 7841358 bytes 5187 pkts (dropped 0, overlimits 0)
rate 16bit
lended: 3889 borrowed: 1298 giants: 0
tokens: -88578 ctokens: 3840

class htb 1:20 parent 1:1 leaf 20: prio 2 rate 512Kbit ceil 1792Kbit burst 639b cburst 1823b
Sent 745351 bytes 7210 pkts (dropped 0, overlimits 0)
rate 156bit 1pps
lended: 7152 borrowed: 58 giants: 0
tokens: 8704 ctokens: 7899

class htb 1:31 parent 1:30 leaf 31: prio 4 rate 128Kbit ceil 256Kbit burst 127b cburst 1631b
Sent 34972704 bytes 23232 pkts (dropped 0, overlimits 0)
rate 5018bit 3pps
lended: 12236 borrowed: 10996 giants: 0
tokens: -88578 ctokens: 3840

class htb 1:30 parent 1:1 rate 256Kbit ceil 256Kbit burst 255b cburst 1631b
Sent 42814062 bytes 28419 pkts (dropped 0, overlimits 0)
rate 5173bit 3pps
lended: 3969 borrowed: 8325 giants: 0
tokens: -40194 ctokens: 3840

Kdo to dočetl až sem je fakt machr ;-).

=== ToS ===

Typ služby (Type of Service) je druhý byte v ip paketu. Je určen pro označování paketů, jež mají být doručeny přednostně (s minimální odezvou), či pro označování neprioritního provozu. Tento byte může být využit různě. Jeden způsob využívá bitů 4-7 (počítáno zprava od 1):

{|
! Binárně || Decimálně || Význam || pásmo v <tt>pfifo_fast</tt>/třída v <tt>prio</tt> 0-2 || iptables --set-tos
|-
| 1000 || 8 || Minimální odezvy || 0 || Minimize-Delay
|-
| 0100 || 4 || Maximální propustnost || 2 || Maximize-Throughput
|-
| 0010 || 2 || Maximální spolehlivost || 1 || Maximize-Reliability
|-
| 0001 || 1 || Minimální náklady || 2 || Minimize-Cost
|-
| 0000 || 0 || Normální služba || 1 || Normal-Service
|}

Podle IPCHAINS-HOWTO smí být nastaven pouze jeden z těchto bitů. Lartc se k tomu nevyjadřuje, ale nalezneme zde mapování všech 16 možností na pásma <tt>pfifo_fast</tt>.

Další způsob využití tohoto byte poskytují tzv. Diferencované služby. Využívají prvních 6 bitů. Jak fungují si můžete přečíst na lartc.org. (osobně jsem do tímto ještě nezabýval).

== Skripty ==
* [http://charon.hkfree.org/~jezz/qos/prio_wlan0.sh prio_wlan0.sh] - skript omezující pouze p2p provoz a využívající prio. Na dobré lince podává výborné výsledky.
* [http://charon.hkfree.org/~jezz/qos/shape_bad_user.sh shape_bad_users.sh] - kladivo na neukázněné uživatele.
* [http://charon.hkfree.org/~okoun/shaper/htb.sh htb.sh] - skript od Ládi z JNetu. Omezuje upload a rozděluje linku stejným způsobem jako [http://charon.hkfree.org/~jezz/qos/shape_iface_per_user.sh shape_iface_per_user.sh] (je srozumitelnější, ale musíte ho upravit na "míru").
* [http://charon.hkfree.org/~jezz/qos/shape_iface_per_user.sh shape_iface_per_user.sh] - skript využívající pouze <tt>htb</tt> na omezení a "spravedlivé" rozdělení linky mezi uživatele. Jelikož není použito IMQ, tak omezuje pouze v jednom směru. Uživatel s nevytíženou rourou má dobré odezvy na dobré lince.
* [http://charon.hkfree.org/~jezz/qos/shape_wlan0.sh shape_wlan0.sh] - omezovací skript z něhož jsou tu občas příklady. Je komentovaný a lze v něm nastavovat celou řadu parametrů.
* [http://charon.hkfree.org/~jezz/qos/prio_web.sh prio_web.sh] - jednoduchý omezovací skript. Upřednostňuje prioritní provoz, web a dns, zbytek omezuje. Založen na skriptu od Pavkrize.
* [http://charon.hkfree.org/~jezz/qos/tc_traffic.pl tc_traffic.pl] - skript, který dokáže číst data z výstupu tc a ukládat údaje do rrd.

Kompletní řízení wifi provozu

2005-02-20T21:24:25Z

Jezz: Chyba+male doplneni

== Problém ==

Narozdíl od ad-hoc režimu wi-fi sítí, klienti připojení ke stejnému AP můžou komunikovat mezi sebou, ačkoliv jejich zařízení se nemusí "slyšet". Tuto komunikaci zajišťuje AP, ke kterému jsou připojeni. Pokud jejich IPv4 adresy jsou ve stejné podsíti, tato komunikace probíhá z hlediska AP na 2. vrstvě. Na softwarovém AP s HostAP to zajišťují tyto ovladače. Tento provoz neprochází síťovou vrstvou a z toho plyne následující:
* není možno použít firewall
* provoz nelze regulovat pomocí shaperu
* nelze jednoduše zjistit, kolik dat aktuálně prochází přes AP a kdo je za to zodpovědný (kromě statistik HostAP)

== Řešení ==

Toto samozřejmě není vždy žádoucí. Existují samozřejmě řešení:
* každému klientu přidělit samostatnou podsíť
* zakázat komunikaci mezi klienty (parametr HostAP <tt>bridge_packets</tt>)

První řešení je dobré, ale náročné na spotřebu IPv4 adres. Na některých ap by to znamenalo změnit již připojeným uživatelům adresy.

Druhé řešení neumožňuje komunikaci mezi klienty.

Popis problému i nápad na řešení přišel od Ládi z J-netu na newsech (17.února 2005):

Vsichni klienti na vsesmeru uvidi stejnou MAC svych kolegu - totoznou s
MAC vsesmer wifi karty.
Takze uzivatel 1 posle data pro uzivatele 2 s MAC routeru - router paket
prijme do kernelu (tim se provedou vsechny ty veci jako PREROUTIONG,
POSTROUTING a FORWARD) a posle uzivateli 2 na jeho skutecnou MAC adresu.
Stacilo by, aby router pravidelne posilal ARP "poison" pakety vsem
uzivatelum na IP celeho rozsahu a hlasil jim jako MAC svou MAC adresu.

== Realizace ==

Z probíhajicí diskuze nakonec vzešly 2 řešení:

1. Shellovský skript používající <tt>tcpdump</tt> k detekci arp požadavků a posílající příslušnou arp odpověč prostřednictvým programu <tt>arpoison</tt>.

2. Daemon v ''C'' založený na programu pro Man-in-the-middle útok. Poslouchá na příslušném rozhraní (využívá knihovnu <tt>libpcap</tt>) a na každý arp požadavek odpoví zfalšovanou arp odpovědí (na vytvoření tohoto paketu se používá <tt>libnet1</tt>).

Při testování (díky patří Kyrilovi) se zjistily 2 problémy:

1. Některé OS se ptají, zda někdo již využívá jejich IPv4 adresu. Pokud program na falšování MAC adres odpověděl, byla detekována kolize. Pomohlo ignorování takovýchto požadavků.

2. Pokud jsou připojeny 2 počítače prostřednictvím switche a jednoho hardwarového AP, pak komunikace mezi těmito počítači probíhá bez účasti AP. Pokud na arp požadavek prvního počítače na MAC druhého počítače odpoví i falšovací program, pak bude komunikace probíhat přes AP, což je zbytečné (pokud jsou síťové karty 100M a switch také, pak je to rozhodně pomalejší). Řešením tohoto problému je mít skupiny IPv4 adres - pokud se jeden počítač ptá na MAC adresu druhého počítače ve stejné skupině, pak se tento požadavek ignoruje.

Tyto řešení je vhodné doplnit zakázáním přímé komunikace mezi klienty:
iwpriv wlan1 bridge_packets 0

=== arp.sh ===
Tento skript nebere argumenty, je potřeba ho před použitím upravit. Nastavuje se rozhraní a IPv4 adresy serveru (MAC adresu zjistí sám).

=== arp_redir ===
Jak již bylo popsáno výše, jedná se o daemon v jazyku ''C''.
Syntaxe: arp_redir [VOLBY] MAC ROZHRANI
Program bude poslouchat na <tt>ROZHRANI</tt> a v odpovědích na arp požadavky bude odpovídat <tt>MAC</tt>. Volby:
* <tt>-d </tt> neodpojí se od terminálu a bude vypisovat, co dělá.
* <tt>-i SOUBOR</tt> načte z tohoto souboru skupiny IPv4 adres. Adresy jsou oddělené čárkami. Mezery, prázdné řádky a řádky začínající znakem '#' jsou ignorovány. Jeden řádek reprezentuje jednu skupinu adres. Tato volba může být použita vícekrát (načtou se všechny soubory).

== Odkazy ==
* [http://arpoison.sourceforge.net arpoison]
* [http://www.tcpdump.org tcpdump]
* [http://sourceforge.net/projects/libpcap libpcap]
* [http://www.packetfactory.net/libnet libnet1]
* [http://charon.hkfree.org/~jezz/arp_redir.tar.gz arp_redir.tar.gz] - obsahuje daemona, manuálovou stránku i shellovký skript <tt>arp.sh</tt>
* [http://charon.hkfree.org/~okoun/arp.sh arp.sh] - skript od Ládi z J-netu (spolupracoval uživatel Martink z J-netu)
* [http://packetstormsecurity.org/sniffers/MiM.c MiM.c] - zdrojový kód pro man-in-the-middle, který byl upraven na <tt>arp_redir.c</tt>.

Projekty v HKFree

2005-02-20T20:17:49Z

Jezz:

[[RESETATOR|Hardwarový resetátor]]

[[RONJA]]

[[IPv6]]

[[Kompletní řízení wifi provozu]]

Kompletní řízení wifi provozu

2005-02-20T20:16:25Z

Jezz:

== Problém ==

Narozdíl od ad-hoc režimu wi-fi sítí, klienti připojení ke stejnému AP můžou komunikovat mezi sebou, ačkoliv jejich zařízení se nemusí "slyšet". Tuto komunikace zajišťuje AP, ke kterému jsou připojeni. Pokud jejich IPv4 adresy jsou ve stejné podsíti, tato komunikace probíhá na 2. vrstvě. Na softwarovém AP s HostAP to zajišťují tyto ovladače. Tento provoz neprochází síťovou vrstvou a z toho plyne následující:
* není možno použít firewall
* provoz nelze regulovat pomocí shaperu
* nelze jednoduše zjistit, kolik dat aktuálně prochází přes AP a kdo je za to zodpovědný (kromě statistik HostAP)

== Řešení ==

Toto samozřejmě není vždy žádoucí. Existují samozřejmě řešení:
* každému klientu přidělit samostatnou podsíť
* zakázat komunikaci mezi klienty (parametr HostAP <tt>bridge_packets</tt>)

První řešení je dobré, ale náročné na spotřebu IPv4 adres. Na některých ap by to znamenalo změnit již připojeným uživatelům adresy.

Druhé řešení neumožňuje komunikaci mezi klienty.

Popis problému i nápad na řešení přišel od Ládi z J-netu na newsech (17.února 2005):

Vsichni klienti na vsesmeru uvidi stejnou MAC svych kolegu - totoznou s
MAC vsesmer wifi karty.
Takze uzivatel 1 posle data pro uzivatele 2 s MAC routeru - router paket
prijme do kernelu (tim se provedou vsechny ty veci jako PREROUTIONG,
POSTROUTING a FORWARD) a posle uzivateli 2 na jeho skutecnou MAC adresu.
Stacilo by, aby router pravidelne posilal ARP "poison" pakety vsem
uzivatelum na IP celeho rozsahu a hlasil jim jako MAC svou MAC adresu.

== Realizace ==

Z probíhajicí diskuze nakonec vzešly 2 řešení:

1. Shellovský skript používající <tt>tcpdump</tt> k detekci arp požadavků a posílající příslušnou arp odpověč prostřednictvým programu <tt>arpoison</tt>.

2. Daemon v ''C'' založený na programu pro Man-in-the-middle útok. Poslouchá na příslušném rozhraní (využívá knihovnu <tt>libpcap</tt>) a na každý arp požadavek odpoví zfalšovanou arp odpovědí (na vytvoření tohoto paketu se používá <tt>libnet1</tt>).

Při testování (díky patří Kyrilovi) se zjistily 2 problémy:

1. Některé OS se ptají, zda někdo již využívá jejich IPv4 adresu. Pokud program na falšování MAC adres odpověděl, byla detekována kolize. Pomohlo ignorování takovýchto požadavků.

2. Pokud jsou připojeny 2 počítače prostřednictvím switche a jednoho hardwarového AP, pak komunikace mezi těmito počítači probíhá bez účasti AP. Pokud na arp požadavek prvního počítače na MAC druhého počítače odpoví i falšovací program, pak bude komunikace probíhat přes AP, což je zbytečné (pokud jsou síťové karty 100M a switch také, pak je to rozhodně pomalejší). Řešením tohoto problému je mít skupiny IPv4 adres - pokud se jeden počítač ptá na MAC adresu druhého počítače ve stejné skupině, pak se tento požadavek ignoruje.

Tyto řešení je vhodné doplnit zakázáním přímé komunikace mezi klienty:
iwpriv wlan1 bridge_packets 0

=== arp.sh ===
Tento skript nebere argumenty, je potřeba ho před použitím upravit. Nastavuje se rozhraní a IPv4 adresy serveru (MAC adresu zjistí sám).

=== arp_redir ===
Jak již bylo popsáno výše, jedná se o daemon v jazyku ''C''.
Syntaxe: arp_redir [VOLBY] MAC ROZHRANI
Program bude poslouchat na <tt>ROZHRANI</tt> a v odpovědích na arp požadavky bude odpovídat <tt>MAC</tt>. Volby:
* <tt>-d </tt> neodpojí se od terminálu a bude vypisovat, co dělá.
* <tt>-i SOUBOR</tt> načte z tohoto souboru skupiny IPv4 adres. Adresy jsou oddělené čárkami. Mezery, prázdné řádky a řádky začínající znakem '#' jsou ignorovány. Jeden řádek reprezentuje jednu skupinu adres. Tato volba může být použita vícekrát (načtou se všechny soubory).

== Odkazy ==
* [http://arpoison.sourceforge.net arpoison]
* [http://www.tcpdump.org tcpdump]
* [http://sourceforge.net/projects/libpcap libpcap]
* [http://www.packetfactory.net/libnet libnet1]
* [http://charon.hkfree.org/~jezz/arp_redir.tar.gz arp_redir.tar.gz] - obsahuje daemona, manuálovou stránku i shellovký skript <tt>arp.sh</tt>
* [http://charon.hkfree.org/~okoun/arp.sh arp.sh] - skript od Ládi z J-netu (spolupracoval uživatel Martink z J-netu)
* [http://packetstormsecurity.org/sniffers/MiM.c MiM.c] - zdrojový kód pro man-in-the-middle, který byl upraven na <tt>arp_redir.c</tt>.

Oblasti v HKfree a jejich správci

2005-02-11T21:50:14Z

Jezz: /* PMV+MeliAP */

== Podůlšany ==
Jiří Syrový, nick jrk
*mail: jrk@hkfree.org
*jabberID: jrk@pod.hkfree.org nebo jrk@jabber.hkfree.org
*Rozsah IP: 10.107.10/24
*Počet routerů: 3

== Urbanice, Praskačka ==
Jiří Včelák
dzet

== Lhota pod Libčany ==
Ing. Vojtěch Pithart (VojtaLhota)
*Jabber: vojtap@jabber.cz
*Email: vpithart0@lhota.hkfree.org
*Tel: 728941335

AP Lhota3 (Agrodružstvo) http://charon.hkfree.org/lhota3/

== Stěžery ==
Pavel Kříž ([[Wikipedista:Pavkriz|pavkriz]])
*ICQ: 94733420
*Jabber: pavkriz@jabber.hkfree.org
*Email: pavkriz@hkfree.org
http://stezery.hkfree.org

== Kukleny ==
* JMENO > Jakub Janele

* MAIL > kukleny @ janele.net

* ICQ UIN > 72000023

* JABBER > jakub@jabber.hkfree.org

* WEB1 > http://kukleny.hkfree.org,

* WEB2 > http://kukleny.janele.net

== Slatina ==
Pavel Kotlář - pak 
ICQ: 136809389 
jabberID: pak@jabber.hkfree.org 
email: pavel@kotlar.net, pak@hkfree.org 
web: [http://slatina.hkfree.org/ http://slatina.hkfree.org/] 

== Spar ==
Martin Košťál
Kendy

http://www.spar.hkfree.org

== D-network ==
Lukáš Dláb
Devon

http://d-network.hkfree.org

== Theo - u bílé věže ==
Radim Drtílek - Evil

ICQ: 156202872

JABBER: evil@jabber.hkfree.org

MAIL: radim (tečka) drtilek (zavináč) hkfree (tečka) org

Vít Jedlička - Theo

ICQ: 26721471

WWW: http://charon.hkfree.org/theoap
http://theo.hkfree.org

== Pouchov+Rusek ==
Jakub Andrys, nick Cool-Explosion

email: coolex zavinac hkfree tecka org

ICQ: 262619019

jabber: coolex@jabber.hkfree.org

http://pouchov.hkfree.org/

http://rusek.hkfree.org/

== PMV+MeliAP ==
Tomáš Ludvík
melandros

Miroslav Jezbera (Jezz)
*mail: jezz(zavinac)hkfree.org
*jabber: jezz(zavinac)meliap.hkfree.org

http://meliap.hkfree.org

== OliAP - Ulrichovo náměstí ==
fikus (Filip Rejč)

mejl: fikus@hkfree.org

JID :fikus@jabber.hkfree.org

icq : 264731666

mobil: mam, ale nedam:)

http://oli.hkfree.org

== JNet ==
Ladislav Pecho, nick Lada

email: lada (zavinac) hkfree.org

ICQ:78345851

jabber: Lada@jabber.hkfree.org

http://JNet.hkfree.org

== Lipky ==
Pavel Dejmek 
coudek 
mail: root(na)lipky.hkfree.org 
icq: 67098722 
[http://lipky.hkfree.org lipky.hkfree.org]

== Hybešova ==
Josef Kotva - Choze
*ICQ: 103560589
*Email: choze@on2wheels.org
*http://ap.hybesova.hkfree.org ( http://10.107.5.1 )

== Labská Kotlina 1 ==
Radovan Vápeník, nick kremilek
*mail: kremilek@hkfree.org
*icq: 208844681

== Praskacka ==
Jaroslav Vecek
vecek

== Svinary ==
Tomas Cejnar - e.x.e 
ICQ: 248 810 260 
jabberID: e.x.e@d-network.hkfree.org 
email: e.x.e@HKfree.org 
web: http://svinary.hkfree.org/ (http://10.107.7.1/)

== Hvezda ==
Emanuel Petr, nick Motyl
* Jabber: motyl@jabber.cz
* ICQ: 125671184

== Dobrenice ==
Tomas Vondra

had

vondra@hkfree.org

ICQ 318047798

== Osicky ==
Michal Pazler
ICQ<ul><li>Nick: debak</li>
<li>icq: 37452310</li></ul>
JabberID: debak@njs.netlab.cz

== Winterova ==
Jan Honosek 
ICQ: 306979862 
mail: honza@lipky.hkfree.org 

Zastupci: 
Kulin & Marecek 
ICQ: 179149962 
mail: kulir@hkfree.org 

web: http://10.107.30.1

== Hradek ==
Jiri Valasek

jirka-v

icq 237 440 350

ValasekJiri[zavinac]seznam.cz

== Hrbitov ==
Emanuel Petr, nick Motyl
* Jabber: motyl@jabber.cz
* ICQ: 125671184

asistenti:
Michal Puhlovsky, nick Killer

*JabberID: killer@jabber.hkfree.org
*ICQ: 172308535

Jan Vacha, nick reaper

*JabberID: johnson@jabber.hkfree.org
*ICQ: 135298157

== Pentagon ==
Jan Valter, koumes
* ICQ: 138400719
web: http://10.107.4.33

Rozcestník HKfree

2005-01-14T18:25:28Z

Jezz: sjednocení + čárky + meliAP

== Stránky v síti ==
[http://brita.lhota.hkfree.org/hkfree/ Stránky o HKFree ve Lhotě]

[http://igw.hkfree.org/ Stránky Oriona]

[http://kukleny.hkfree.org/ Stránky oblasti AP Kukleny]

[http://meliap.hkfree.org/ Stránky oblasti MeliAP]

[http://pouchov.hkfree.org/ Stránky oblasti AP Pouchov]

[http://rusek.hkfree.org/ Stránky oblasti AP Rusek]

[http://www.spar.hkfree.org/ Stránky oblasti AP Spar (Libuse)]

QoS - linux

2005-01-05T14:06:37Z

Jezz: Nový skript pro QoS (pro dobre pingy :))

== Řízení provozu na linuxu ==

V tomto mini-HOWTO jsem se snažím srozumitelně vysvětlit problematiku
řízení provozu na linuxu a uvést dostatek názorných příkladů. Všechno co
je tu popsáno si lze přečíst v angličtině v [http://www.lartc.org/howto/ Advanced routing and traffic controlling HOWTO] a na [http://www.docum.org docum.org]. Dalším dobrým zdrojem se zdá být
[http://www.opalsoft.net/qos/DS.htm Differentiated Service on Linux HOWTO].

=== Queuing disciplines (vhodný překlad?) ===

Ovlivňují způsob, jakým linux zachází s pakety. Pakety může linux obecně
přijmout, pozdržet nebo zahodit. Pokud je paket zahozen, pak závisí na
protokolu, jak se s tím vyrovná. Protokol TCP při ztrátě paketu zpomalí a
nepotvrzené pakety znovu odešle (narozdíl například od UDP). Efektivně
omezovat lze jen odchozí provoz (pokud použijeme IMQ, pak lze stejnými metodami
omezovat i příchozí provoz) používající protokol TCP. Je otázkou, zda omezovat i
ostatní protokoly. Myslím si, že je to nutné, jelikož i protokol UDP je celkem běžně
používaný a taktéž dokáže zahltit linku (například program brutalcopy od Clocka).

Když může síťová karta vysílat, pak požádá qdisc (nainstalovaný na
příslušném rozhraní), aby jí dodal data. Jejich výběr je proto v jeho
kompetenci. V nejjednodušším případě vybere z fronty nejdéle čekající,
nebo použije nějakou sofistikovanější metodu.

=== Přehled ===

Rozlišujeme dva druhy qdisců podle toho, jestli obsahují třídy nebo ne.
Qdiscy bez tříd jsou jednodušší, vyberu pár nejužitečnějších:

; pfifo_fast : Nejjednodušší qdisc, který je implicitně nainstalován. Má tři pásma, která fungují jako qdisc <code>prio</code>. V každém pásmu je fronta. Z méně prioritních front se odešlou pakety až poté co prioritnější fronty jsou prázdné (priorita se určuje pomocí [[QoS#ToS|ToS]] příznaku ip paketu). Délka front je konečná (při přeplnění jsou pakety zahazovány), ale dá se změnit.
; tbf - token bucket filter : Přesný omezovací qdisc. Princip na kterém je založen používá taktéž <tt>htb</tt>. Omezuje provoz na určitou rychlost.
; (e)sfq - (extended) stochastic fairness queueing : Už podle názvu by tento qdisc měl zaručovat férovost. Princip je takový, že obsahuje několik front a ty cyklicky obsluhuje. Do těchto front jsou podle hash funkce zařazovány TCP sezení případně toky dat protokolu UDP. Stochastický je protože, to do které fronty je paket zařazen závisí na hash funkci. Hash funkce se po několika sekundách mění (nastavuje se pomocí parametru perturb). Tento qdisc má význam na přeplněné lince. Existuje modifikace <tt>esfq</tt>, která pásma přiděluje podle zdrojové/cílové adresy a umožňuje nastavit další interní proměnné sfq (limit - délka fronty s pakety, depth - maximální počet současně obsluhovaných front, divisor - 2 umocněná na toto číslo nám udává maximální počet front (neboli počet bitů pro hash funkci; maximum 12)).

Qdiscy které mají třídy umožňují více kontrolovat tok dat. Tyto qdiscy můžou obsahovat další qdiscy. Pokud omezují (<code>htb</code>, <code>cbq</code>), pak to dělají právě třídy. Například qdisc <tt>cbq</tt> má parametr bandwidth, který slouží pouze pro informaci o kapacitě linky a nikoliv pro omezení toku. Pakety z konkrétní třídy jsou vždy předány qdiscu, který je v ní nainstalován (implicitně pfifo_fast). Přehled základních qdisců s třídami:

; prio : Nejjednodušší qdisc s třídami. Ve výchozím nastavení funguje jako <tt>pfifo_fast</tt>, vytváří tři třídy (pro prioritní :1, normální :2 a neprioritní provoz :3). Do každé této třídy můžeme nainstalovat libovolný qdisc. Lze změnit počet tříd, o vytváření tříd se stará <tt>prio</tt> sám (příklad změny počtu tříd je ve skriptu [http://charon.hkfree.org/~jezz/qos/prio_web.sh prio_web.sh] - při změně parametru bands je nutné uvést parametr priomap). Prio neomezuje nijak provoz.
; cbq : Nejznámější a také nejméně pochopený qdisc. Pracuje na základě vytíženosti linky. Pokud má omezit provoz na 10Mbit lince na 1Mbit, pak tato linka musí být z 90% volná. Tento předpoklad teoreticky drží, ale v praxi <tt>cbq</tt> často neomezuje správně provoz. Má mnoho parametrů, některé jsou málo dokumentovány a je proto těžké ho správně nastavit. U každé třídy lze nastavit, zda si může půjčovat a zda půjčuje ostatním třídám. Narozdíl od <tt>htb</tt> nelze nastavit kolik si lze maximálně půjčit.
; htb : Pracuje na stejném principu jako <code>tbf</code>, proto je celkem přesný. Lze nastavit kolik si každá třída může maximálně vypůjčit. O <code>htb</code> si můžete také přečíst článek na [http://www.root.cz/clanek/1795 root.cz].

Qdiscy tbf, cbq, htb mají společné parametry:

; rate : Rychlost (např: 20kbit, 1Mbit, 20k /20k = 160kbit !/)
; burst : Maximální povolená výchylka.
; prio : Priorita. Třídy s číselně menší prioritou jdou dříve.

Qdisc <tt>htb</tt> má navíc ceil a cburst, které nastavují maximální rychlost (kolik si třída může maximálně půjčit) a výchylku u půjčené rychlosti.

Qdisc <tt>htb</tt> i <tt>cbq</tt> nemusí (a občas je to výhodné) všechny pakety přiřazovat do tříd a tím pádem omezovat. U <tt>cbq</tt> jsou to všechny nezařazené pakety (často chyba v konfiguraci filtrů), u <tt>htb</tt> jsou to ty, které jsou směřovány do MAJOR:0 (ve výpisu jsou vidět jako <tt>direct_packets_stat</tt>).

Každý qdisc má tzv. handle (major). To je 16-bitové číslo. Kořenový qdisc má vždy číslo 1. Třídy mají tzv. classid (minor), což je také 16-bitové číslo. Volba těchto čísel je pouze na Vás. Dvojice MAJOR:MINOR jednoznačně identifikuje třídu (qdisc pouze v případě, že MINOR=0). Není rozdíl mezi zápisem 1: a 1:0. Každá třída může mít ještě podtřídy.

=== Příklady ===

Příklady (některé jsou vzaty z lartc a odzkoušeny).

==== pfifo_fast, pfifo, tbf, (e)sfq, prio ====

## PFIFO_FAST - kratší fronta
# ifconfig wlan0 txqueuelen 64

## PFIFO - kratší fronta (BFIFO - limit je v bytech)
# tc qdisc add dev wlan0 root pfifo limit 64

## TBF - omezení na 220kbit, pakety se v qdiscu zdrží nejdéle 50ms
# tc qdisc add dev wlan0 root tbf rate 220kbit latency 50ms burst 1540

## SFQ - každých 10 sekund změna hash
# tc qdisc add dev wlan0 root sfq perturb 10

## ESFQ - totožné jako SFQ výše (použity přednastavené hodnoty SFQ pro limit,depth,divisor)
# tc qdisc add dev wlan0 root esfq perturb 10 \
limit 128 depth 128 hash classic divisor 11

## ESFQ - kratší fronta = lepší odezvy
# tc qdisc add dev wlan0 root esfq perturb 10 \
limit 64 depth 64 hash src divisor 10

## PRIO
# tc qdisc add dev wlan0 root handle 1: prio
## Prio vytvoří třídy 1:1, 1:2, 1:3

## Do nejprioritnější třídy dáme sfq (tudy jede například ssh,telnet)
# tc qdisc add dev wlan0 parent 1:1 handle 10: sfq
## Normální provoz omezíme na 20kbit
# tc qdisc add dev wlan0 parent 1:2 handle 20: tbf rate 20kbit buffer 1600 limit 3000
## Do nejméně prioritní třídy nainstalujeme sfq (tudy jede scp, ftp-data)
# tc qdisc add dev wlan0 parent 1:3 handle 30: sfq

==== cbq ====

## CBQ
## Nainstalujeme kořenový qdisc
# tc qdisc add dev wlan0 root handle 1:0 cbq bandwidth 10Mbit \
avpkt 1000 cell 8

## Nyní již vytváříme třídy, proto tc class. Toto je hlavní třída,
## pomocí které omezujeme provoz na určitou hodnotu. Tato třída si nesmí
## půjčovat, jelikož není nijak omezená (qdisc neomezuje).
# tc class add dev wlan0 parent 1:0 classid 1:1 cbq bandwidth 10Mbit \
rate 4Mbit weight 0.4Mbit prio 1 allot 1514 cell 8 maxburst 20 \
avpkt 1000 bounded

## Nainstalujeme podtřídy. weight určuje nepřímo kolik dat může třída
## najednou vyslat (1/10 funguje celkem dobře). Detailněji jsou parametry popsané
## na lartc (osobně preferuji htb).
# tc class add dev wlan0 parent 1:1 classid 1:3 cbq bandwidth 10Mbit \
rate 3Mbit weight 0.3Mbit prio 5 allot 1514 cell 8 maxburst 20 \
avpkt 1000
# tc class add dev wlan0 parent 1:1 classid 1:4 cbq bandwidth 10Mbit \
rate 1Mbit weight 0.1Mbit prio 5 allot 1514 cell 8 maxburst 20 \
avpkt 1000

## Nainstalujeme do těchto tříd sfq
# tc qdisc add dev wlan0 parent 1:3 handle 30: sfq
# tc qdisc add dev wlan0 parent 1:4 handle 40: sfq

==== htb ====

## Nainstalujeme kořenový qdisc htb. Všechen provoz půjde do třídy 1:10
## pokud nebude filtry určeno jinak
# tc qdisc add dev wlan0 root handle 1: htb default 10

## Vytvoříme kořenovou třídu. Stejně jako u cbq tato třída omezuje provoz.
## Ceil u této třídy nemá smysl, jelikož nad ní je pouze qdisc, který neomezuje.
## Pokud by zde byl uveden ceil vyšší než rate, pak by tato třída neomezovala na
## rate, ale na ceil.
# tc class add dev wlan0 parent 1: classid 1:1 htb \
rate 1792kbit burst 17kbit

## Potomci výše uvedené třídy. Součet rychlostí přímých potomků dané třídy
## nesmí být vyšší než rychlost rodiče (rate). U ceil by mělo platit, že žádný
## potomek nemá vyšší maximální rychlost než jeho rodič (není to tak vážná chyba
## jako porušení předešlého pravidla).

## Tato třída má garantován 1Mbit, ale může získat celou kapacitu od 1:1
# tc class add dev wlan0 parent 1:1 classid 1:10 htb \
rate 1024kbit ceil 1792kbit burst 10kbit prio 1

## Třída s nižší prioritou, rychlostí, ale maximum stejné jako u předchozí
# tc class add dev wlan0 parent 1:1 classid 1:20 htb \
rate 512kbit ceil 1792kbit burst 5kbit prio 2

## Nejméně prioritní třída s nejmenší rychlostí
# tc class add dev wlan0 parent 1:1 classid 1:30 htb \
rate 256kbit ceil 512kbit burst 2kbit prio 3

## Vytvoříme podtřídu poslední třídy (je to méně náročnější než instalovat qdisc
## htb do této třídy a vytvořit v něm třídy). Takto může vzniknout celkem
## složitá hierarchie tříd. Třída si může půjčovat pouze od své rodičovské
## třídy. Pokud má třída 1:1 volný 1Mbit, pak přidělí 1:30 maximálně pouze
## 512kbit. Tolik rozdělí maximálně mezi podtřídy 1:31 a 1:32.
# tc class add dev wlan0 parent 1:30 classid 1:31 htb \
rate 128kbit ceil 512kbit burst 1kbit prio 4
# tc class add dev wlan0 parent 1:30 classid 1:32 htb \
rate 128kbit ceil 512kbit burst 1kbit prio 5

## Nainstalujeme do 1:10 a 1:20 prio
# tc qdisc add dev wlan0 parent 1:10 handle 10: prio
# tc qdisc add dev wlan0 parent 1:20 handle 20: prio

## Do 1:31 a 1:32 dame sfq
# tc qdisc add dev wlan0 parent 1:31 handle 31: sfq
# tc qdisc add dev wlan0 parent 1:32 handle 32: sfq

## Do podtříd qdiscu prio nainstalujeme taktéž sfq
# tc qdisc add dev wlan0 parent 10:1 handle 11: sfq
# tc qdisc add dev wlan0 parent 10:2 handle 12: sfq
# tc qdisc add dev wlan0 parent 10:3 handle 13: sfq
# tc qdisc add dev wlan0 parent 20:1 handle 21: sfq
# tc qdisc add dev wlan0 parent 20:2 handle 22: sfq
# tc qdisc add dev wlan0 parent 20:3 handle 23: sfq

=== Shrnutí ===

Qdiscy jsou užitečné, ale ne všemocné. Každý je vhodný na něco jiného. Jaké jsou tedy jejich výhody/nevýhody?

<tt>tbf</tt> přesně omezuje, ale nerozlišuje co omezuje. Když například uživatel stahuje z dc a zároveň prohlíží www stránky, pak přenosy z dc jedou rychlostí, na jakou byly omezeny pomocí <tt>tbf</tt>, ale pakety HTTP jsou často nadlimitní a proto se stránky načítají dlouho.

Pokud u qdiscu <tt>prio</tt> není omezena rychlost uvnitř třídy, pak se méně prioritní třídy nemusejí dostat vůbec ke slovu.

Pokud je třída u <tt>htb</tt>, <tt>cbq</tt> přeplněná, pak neovlivní ostatní třídy. Pakety v nich se dostanou postupně na řadu a odešlou se bez zpoždění. Pakety v přeplněné třídě na tom již tak dobře nejsou. Jelikož je tato třída přeplněná jsou některé pakety pozdrženy/zahozeny. Je lepší proto třídy naddimenzovávat.

== Filtry ==

Když už máme vytvořené třídy, pak je potřeba je naplnit. O to aby skrz ně procházeli správné pakety se starají filtry. Filtry jsou vlastně pravidla. Filtrovat lze pouze v rámci jednoho qdiscu. Například v příkladu pro <code>htb</code> lze filtry směrovat data z 1:0 do 1:31 a nikoliv do 31: a 10:1. Pokud bychom
chtěli směrovat data z 1:0 do 10:1 musíme to udělat postupně z 1:0 do 1:10 a z 10:0 do 10:1. Priorita u pravidel určuje pořadí v jakém se vykonávají. Filtry s číselně nižší prioritou se vykonají dříve, a proto je výhodné zde mít nejspecifičtější pravidla. Filtry se nemusejí mazat, stačí smazat příslušný qdisc.
Filtrovat lze podle:

* zdrojové/cílové adresy
* zdrojového a cílového portu
* ip protokolu (tcp, udp, icmp, ...)
* značky z firewallu
* podle pole [[QoS#ToS|ToS]]
* podle různých položek hlavičky IP,TCP,UDP datagramu

=== Klasifikátor u32 ===

## Výběr pomocí zdrojové adresy
# tc filter add dev wlan0 parent 1: prio 11 protocol ip u32 \
match ip src 10.107.0.0/16 \
flowid 1:20

## Výběr pomocí cílové adresy je obdobný
# tc filter add dev wlan0 parent 1: prio 11 protocol ip u32 \
match ip dst 10.107.0.0/16 \
flowid 1:20

## Výběr protokolu TCP (6 viz /etc/protocols)
# tc filter add dev wlan0 parent 1: prio 11 protocol ip u32 \
match ip protocol 6 0xff \
flowid 1:20

## Výběr podle protokolu pomocí obecného kvalifikátoru u8 (na 9 bajtu IP
## datagramu je číslo protokol vyšší vrstvy). u8 vybere devátý bajt provede
bitové AND s 0xff a porovná s hodnotou 6.
# tc filter add dev wlan0 parent 1: prio 11 protocol ip u32 \
match u8 6 0xff at 9 \
flowid 1:20

## Vybrat TCP ACK pakety menší než 64 - kombinace pravidel. První vybírá
## protokol TCP. Další zajišťuje, že paket nemá volitelné položky záhlaví (velikost
## hlavičky ip datagramu ve čtyřbajtech je rovna 5). Třetí zajišťuje, že
## velikost paketu bude menší než 64 a nakonec je test na ACK bit TCP paketu.
# tc filter add dev wlan0 parent 1:0 protocol ip prio 10 u32 \
match ip protocol 6 0xff \
match u8 0x05 0x0f at 0 \
match u16 0x0000 0xffc0 at 2 \
match u8 0x10 0xff at 33 \
flowid 1:10

## Výběr pomocí zdrojového portu ( protokol TCP; služba ftp-data)
# tc filter add dev wlan0 parent 1: prio 10 protocol ip u32 \
match ip protocol 6 0xff \
match ip sport 20 0xffff \
flowid 1:30

## Výběr pomocí cílového portu (protokolu UDP; služba DNS)
# tc filter add dev wlan0 parent 1: prio 10 protocol ip u32 \
match ip protocol 17 0xff \
match ip dport 53 0xffff \
flowid 1:10

## Výběr podle ToS pole IP paketu (hodnota Minimize-Delay; například ssh, telnet)
# tc filter add dev wlan0 parent 1:0 protocol ip prio 10 u32 \
match ip tos 0x10 0xff \
flowid 1:10

=== Klasifikátor fwmark ===

Pokud nám nestačí klasifikátor <tt>u32</tt>, pak máme ještě k dispozici <tt>fwmark</tt>. Ten umožňuje vybrat pakety podle značky, kterou získají od firewalu. To je nutné například pokud chceme filtrovat podle zdrojové adresy na rozhraní, kde probíhá SNAT (skutečné zdrojové adresy se k nám nedostanou). Tato značka není součástí IP paketu, čili ji nemůžou vidět ostatní počítače narozdíl od [[QoS#ToS|ToS]]. Na značení paketů se používá tabulka mangle.

## Označení paketu pomocí iptables (podle MAC počítače)
# iptables -t mangle -A PREROUTING -p tcp -m mac --mac-source 12:34:56:78:90:ab -j MARK --set-mark 1

## Následně filtrujeme pomocí fwmarku (handle 1 = značka 1, fw = fwmark)
# tc filter add dev wlan0 parent 1: prio 10 protocol ip handle 1 fw \
flowid 1:30

Další použití fwmarku závisí pouze na pravidlech pro iptables. U filtru se nastavuje pouze handle.

=== Klasifikujeme IPv6 ===

Jelikož IPv6 nám klepe na dveře našel jsem na internetu pár příkladů, jak ho filtrovat (příklady jsem v praxi nezkoušel, je možné, že ještě pokulhává podpora - možná někdy vyzkouším).

## Označíme je pomocí fwmarku
# ip6tables -A PREROUTING -i eth0 -t mangle -p tcp -j MARK --mark 1

## Klasicky pomocí filtru
# tc filter add dev eth1 parent 1:0 protocol ipv6 prio 2 u32 match ip6 src
2001:6a8:802:7::2 classid 1:2
# tc filter add dev eth1 parent 1:0 protocol ipv6 prio 4 u32 match ip6 src
2001:6a8:802:6::2 classid 1:3

== IMQ, IPP2P, CONNMARK - věci, které ve vanilla jádru nejsou ==

=== IMQ ===

IMQ nám umožňuje na příchozí provoz aplikovat stejné prostředky jako na odchozí. Bez něj bychom mohli použít pouze tzv. ingress qdisc, který je velice omezený vzhledem egressu. Dále můžeme omezovat provoz na více rozhraních společně. Například mějme příchozí linku 1Mbit, kterou chceme spravedlivě rozdělit mezi lokální uživatele (eth0) a wi-fi uživatele (wlan1). Bez IMQ to můžeme nechat neregulované (to asi nebude 100% spravedlivé) nebo oběma rozhraním přidělit 512kbit bez možnosti půjčovat si. Elegantnější cesta spočívá v použití IMQ.

## Zavedu modul pro imq a nastavím mu maximální počet zařízení
# modprobe imq numdevs=6

## Tímto nahodíme rozhraní imq0
# ip link set imq0 up

## Pomocí pravidla v iptables přesměrujeme všechny pakety přicházející na
## wlan0 do imq0 (pro imqN by bylo --todev N)
# iptables -t mangle -A PREROUTING -i wlan0 -j IMQ --todev 0

## A teč již můžeme omezovat ...
# tc qdisc add dev imq0 root handle 1: htb default 10
# tc class add dev imq0 parent 1: classid 1:1 htb rate 2304kbit burst 23kbit
...

=== IPP2P a CONNMARK ===

Pomocí ipp2p lze rozpoznat pakety patřící p2p sítím. Není to sice 100%, ale je to lepší než nic. Lze je tedy zakázat, nebo regulovat. Ipp2p rozezná již celkem dost protokolů:

* eDonkey
* Gnutella
* FastTrack (Kazaa)
* Direct Connect
* Bittorent

Lze vybrat všechny pakety nebo pouze datové přenosy. Pokud chcete vybrat všechny pakety patřící DC, pak použijete <tt>--dc</tt>. Pro data <tt>--dc-data</tt>. Pokud chcete jedním pravidlem pokrýt všechny
protokoly, pak použijte <tt>--ipp2p/--ipp2p-data</tt> (kromě Bittorentu pro něj musíte použít <tt>--bit</tt>). Ipp2p funguje pouze na TCP paketech. Pokud nechcete pouze zakazovat p2p provoz, pak budete muset použít CONNMARK. CONNMARK umožňuje označkovat celé TCP sezení.

## Vsude je -p tcp! Bez toho by ipp2p vypisoval chyby.
## Pokud byla tomuto TCP sezení nastavena značka, pak ji CONNMARK obnoví
# iptables -t mangle -A PREROUTING -p tcp -j CONNMARK --restore-mark

## Pokud je paket označen nastav mu do pole ToS, že není prioritní
# iptables -t mangle -A PREROUTING -p tcp -m mark --mark 1 -j TOS --set-tos Maximize-Throughput

## Neprováděj další pravidla pokud je paket již označen
# iptables -t mangle -A PREROUTING -p tcp -m mark ! --mark 0 -j ACCEPT

## Označí všechny datové přenosy p2p sítí, které ipp2p detekuje
# iptables -t mangle -A PREROUTING -p tcp -m ipp2p --ipp2p-data -j MARK --set-mark 1

## Uloží značku pokud je nastavena, aby mohla být obnovena
# iptables -t mangle -A PREROUTING -p tcp -m mark --mark 1 -j CONNMARK --save-mark

Takto označené pakety se již lehce zařadí pomocí fwmarku do správné (omezené) třídy.

== Odstraňujeme qdisc a kontrolujeme ==

=== Mazání qdiscu ===

## Toto smaže qdisc z rozhraní wlan0 (včetně všech tříd, qdisců a filtrů)
## wlan0 bude nyní obsluhovat pfifo_fast (ten se smazat nedá)
# tc qdisc del dev wlan0 root

=== Kontrolujeme funkčnost omezování ===

==== Iptables ====

## Prohlédneme počitadla u pravidel. Pokud je někde 0, pak máte zřejmě problém.
# iptables -t mangle -L -n -v
Chain PREROUTING (policy ACCEPT 15M packets, 7252M bytes)
pkts bytes target prot opt in out source destination
257K 119M IMQ all -- wlan0 * 0.0.0.0/0 0.0.0.0/0 IMQ: todev 0
481K 235M CONNMARK tcp -- * * 0.0.0.0/0 0.0.0.0/0 CONNMARK restore
98426 79M ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MARK match !0x0
9 6250 MARK tcp -- * * 0.0.0.0/0 0.0.0.0/0 ipp2p v0.6 --ipp2p-data MARK set 0x1
9 6250 TOS tcp -- * * 0.0.0.0/0 0.0.0.0/0 ipp2p v0.6 --ipp2p-data TOS set 0x08
9 6250 CONNMARK tcp -- * * 0.0.0.0/0 0.0.0.0/0 MARK match 0x1 CONNMARK save

Chain INPUT (policy ACCEPT 476K packets, 34M bytes)
pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 25M packets, 15G bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 640K packets, 72M bytes)
pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 25M packets, 15G bytes)
pkts bytes target prot opt in out source destination

==== Qdisc ====

## Podobné jako u iptables. Pokud Vám nějakým qdiscem neprotékají data, pak
## je něco špatně, nebo máte smůlu, že nikdo ještě příslušné spojení nevytvořil.
## V tomto případě přes sfq 23: (prio - ToS neprioritní) a 21: (prio - ToS
## prioritní) neprošly zatím žádné pakety.
## V tomto přehledu není pfifo_fast. Pokud by jste chtěli vidět statistiku i u
## něj, pak místo něho nainstalujte jednodušší pfifo.
# tc -s qdisc show dev wlan0
qdisc sfq 23: limit 128p quantum 1514b
Sent 0 bytes 0 pkts (dropped 0, overlimits 0)
qdisc sfq 22: limit 128p quantum 1514b
Sent 690749 bytes 6594 pkts (dropped 0, overlimits 0)
qdisc sfq 21: limit 128p quantum 1514b
Sent 0 bytes 0 pkts (dropped 0, overlimits 0)
qdisc sfq 13: limit 128p quantum 1514b
Sent 5681 bytes 24 pkts (dropped 0, overlimits 0)
qdisc sfq 12: limit 128p quantum 1514b
Sent 82019598 bytes 116223 pkts (dropped 0, overlimits 0)
qdisc sfq 11: limit 128p quantum 1514b
Sent 8638082 bytes 155069 pkts (dropped 0, overlimits 0)
qdisc sfq 32: limit 128p quantum 1514b
Sent 7530988 bytes 4982 pkts (dropped 0, overlimits 0)
qdisc sfq 31: limit 128p quantum 1514b
Sent 33633304 bytes 22338 pkts (dropped 0, overlimits 0)
qdisc prio 20: bands 3 priomap 1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1
Sent 690749 bytes 6594 pkts (dropped 0, overlimits 0)
qdisc prio 10: bands 3 priomap 1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1
Sent 90669849 bytes 271328 pkts (dropped 0, overlimits 0)
qdisc htb 1: r2q 10 default 10 direct_packets_stat 7
Sent 132546356 bytes 305261 pkts (dropped 0, overlimits 57139)

==== Třídy ====

## Stejné jako u qdiscu, ale pro třídy
# tc -s class show dev wlan0
class prio 20:1 parent 20: leaf 21:
class prio 20:2 parent 20: leaf 22:
class prio 20:3 parent 20: leaf 23:
class prio 10:1 parent 10: leaf 11:
class prio 10:2 parent 10: leaf 12:
class prio 10:3 parent 10: leaf 13:
class htb 1:1 root rate 1792Kbit ceil 1792Kbit burst 2175b cburst 1823b
Sent 138635160 bytes 338066 pkts (dropped 0, overlimits 0)
rate 17738bit 70pps
lended: 18296 borrowed: 0 giants: 0
tokens: 9582 ctokens: 7972

class htb 1:10 parent 1:1 leaf 10: prio 1 rate 1024Kbit ceil 1792Kbit burst 1279b cburst 1823b
Sent 95075747 bytes 302437 pkts (dropped 0, overlimits 0)
rate 12828bit 66pps
lended: 292524 borrowed: 9913 giants: 0
tokens: 9600 ctokens: 7972

class htb 1:32 parent 1:30 leaf 32: prio 5 rate 128Kbit ceil 256Kbit burst 127b cburst 1631b
Sent 7841358 bytes 5187 pkts (dropped 0, overlimits 0)
rate 16bit
lended: 3889 borrowed: 1298 giants: 0
tokens: -88578 ctokens: 3840

class htb 1:20 parent 1:1 leaf 20: prio 2 rate 512Kbit ceil 1792Kbit burst 639b cburst 1823b
Sent 745351 bytes 7210 pkts (dropped 0, overlimits 0)
rate 156bit 1pps
lended: 7152 borrowed: 58 giants: 0
tokens: 8704 ctokens: 7899

class htb 1:31 parent 1:30 leaf 31: prio 4 rate 128Kbit ceil 256Kbit burst 127b cburst 1631b
Sent 34972704 bytes 23232 pkts (dropped 0, overlimits 0)
rate 5018bit 3pps
lended: 12236 borrowed: 10996 giants: 0
tokens: -88578 ctokens: 3840

class htb 1:30 parent 1:1 rate 256Kbit ceil 256Kbit burst 255b cburst 1631b
Sent 42814062 bytes 28419 pkts (dropped 0, overlimits 0)
rate 5173bit 3pps
lended: 3969 borrowed: 8325 giants: 0
tokens: -40194 ctokens: 3840

Kdo to dočetl až sem je fakt machr ;-).

=== ToS ===

Typ služby (Type of Service) je druhý byte v ip paketu. Je určen pro označování paketů, jež mají být doručeny přednostně (s minimální odezvou), či pro označování neprioritního provozu. Tento byte může být využit různě. Jeden způsob využívá bitů 4-7 (počítáno zprava od 1):

{|
! Binárně || Decimálně || Význam || pásmo v <tt>pfifo_fast</tt>/třída v <tt>prio</tt> 0-2 || iptables --set-tos
|-
| 1000 || 8 || Minimální odezvy || 0 || Minimize-Delay
|-
| 0100 || 4 || Maximální propustnost || 2 || Maximize-Throughput
|-
| 0010 || 2 || Maximální spolehlivost || 1 || Maximize-Reliability
|-
| 0001 || 1 || Minimální náklady || 2 || Minimize-Cost
|-
| 0000 || 0 || Normální služba || 1 || Normal-Service
|}

Podle IPCHAINS-HOWTO smí být nastaven pouze jeden z těchto bitů. Lartc se k tomu nevyjadřuje, ale nalezneme zde mapování všech 16 možností na pásma <tt>pfifo_fast</tt>.

Další způsob využití tohoto byte poskytují tzv. Diferencované služby. Využívají prvních 6 bitů. Jak fungují si můžete přečíst na lartc.org. (osobně jsem do tímto ještě nezabýval).

== Skripty ==

* [http://charon.hkfree.org/~jezz/qos/prio_wlan0.sh prio_wlan0.sh] - skript omezující pouze p2p provoz a využívající prio. Na dobré lince podává výborné výsledky.
* [http://charon.hkfree.org/~jezz/qos/shape_bad_users.sh shape_bad_users.sh] - kladivo na neukázněné uživatele.
* [http://charon.hkfree.org/~jezz/qos/shape_iface_per_user.sh shape_iface_per_user.sh] - skript využívající pouze <tt>htb</tt> na omezení a "spravedlivé" rozdělení linky mezi uživatele. Jelikož není použito IMQ, tak omezuje pouze v jednom směru. Uživatel s nevytíženou rourou má dobré odezvy na dobré lince.
* [http://charon.hkfree.org/~jezz/qos/shape_wlan0.sh shape_wlan0.sh] - omezovací skript z něhož jsou tu občas příklady. Je komentovaný a lze v něm nastavovat celou řadu parametrů.
* [http://charon.hkfree.org/~jezz/qos/prio_web.sh prio_web.sh] - jednoduchý omezovací skript. Upřednostňuje prioritní provoz, web a dns, zbytek omezuje. Založen na skriptu od Pavkrize.
* [http://charon.hkfree.org/~jezz/qos/tc_traffic.pl tc_traffic.pl] - skript, který dokáže číst data z výstupu tc a ukládat údaje do rrd.

Návody

2004-12-19T13:55:08Z

Jezz: /* Pro adminy */

==Pro uživatele==
* [[Jak platit]]
* [[Nejde mi to]]
* SMTP server pro odchozí poštu: '''smtp.hkfree.org'''
* POP3 server pro příchozí poštu: '''pop3.hkfree.org''' (jen pro ty co mají hkfree mail)
** uživatel pop3 serveru je Vaše celá mail adresa např: somebody@hkfree.org
** heslo je to co máte na registračním formuláři nebo to co ste si změnili.
* DNS servery nastavte podle pokynů správce oblasti nebo
**primární 10.107.4.100
**sekundární 10.107.4.129
* [[Diskusní skupiny - news]]
* [[Regulace výkonu]]
* [[Webové stránky]] na [[Charon|charon.hkfree.org]]
* [[Jabber]]
* [[SSH tunel]]
* [[Flashnuti noveho firmware do karty Zcom XI626]]

další návody https://igw.hkfree.org/navody/
(kdo může, stěhujte to postupně semka :-))

==Pro adminy==
*[[ASUS]]
*[[ASUS wl500g]]
*[[OVISLINK]]
*[[Linux]]
*[[QoS|QoS na linuxu]]

===Zebra a routování===
*[[Často kladené otázky o OSPF]]
*[[Equal Cost MultiPath]]
*[http://brita.lhota.hkfree.org/hkfree/IP-teorie.html Jemný úvod do adresace v protokolu IP verze 4] (taktéž na [http://www.abclinuxu.cz/clanky/show/50763 abclinuxu.cz])
*[http://10.107.12.1/cgi-bin/ipcalc IP kalkulačka podsítí] (totéž v internetu http://jodies.de/ipcalc )

QoS - linux

2004-12-19T13:46:24Z

Jezz: QoS na linuxu

== Řízení provozu na linuxu ==

V tomto mini-HOWTO jsem se snažím srozumitelně vysvětlit problematiku
řízení provozu na linuxu a uvést dostatek názorných příkladů. Všechno co
je tu popsáno si lze přečíst v angličtině v [http://www.lartc.org/howto/ Advanced routing and traffic controlling HOWTO] a na [http://www.docum.org docum.org]. Dalším dobrým zdrojem se zdá být
[http://www.opalsoft.net/qos/DS.htm Differentiated Service on Linux HOWTO].

=== Queuing disciplines (vhodný překlad?) ===

Ovlivňují způsob, jakým linux zachází s pakety. Pakety může linux obecně
přijmout, pozdržet nebo zahodit. Pokud je paket zahozen, pak závisí na
protokolu, jak se s tím vyrovná. Protokol TCP při ztrátě paketu zpomalí a
nepotvrzené pakety znovu odešle (narozdíl například od UDP). Efektivně
omezovat lze jen odchozí provoz (pokud použijeme IMQ, pak lze stejnými metodami
omezovat i příchozí provoz) používající protokol TCP. Je otázkou, zda omezovat i
ostatní protokoly. Myslím si, že je to nutné, jelikož i protokol UDP je celkem běžně
používaný a taktéž dokáže zahltit linku (například program brutalcopy od Clocka).

Když může síťová karta vysílat, pak požádá qdisc (nainstalovaný na
příslušném rozhraní), aby jí dodal data. Jejich výběr je proto v jeho
kompetenci. V nejjednodušším případě vybere z fronty nejdéle čekající,
nebo použije nějakou sofistikovanější metodu.

=== Přehled ===

Rozlišujeme dva druhy qdisců podle toho, jestli obsahují třídy nebo ne.
Qdiscy bez tříd jsou jednodušší, vyberu pár nejužitečnějších:

; pfifo_fast : Nejjednodušší qdisc, který je implicitně nainstalován. Má tři pásma, která fungují jako qdisc <code>prio</code>. V každém pásmu je fronta. Z méně prioritních front se odešlou pakety až poté co prioritnější fronty jsou prázdné (priorita se určuje pomocí [[QoS#ToS|ToS]] příznaku ip paketu). Délka front je konečná (při přeplnění jsou pakety zahazovány), ale dá se změnit.
; tbf - token bucket filter : Přesný omezovací qdisc. Princip na kterém je založen používá taktéž <tt>htb</tt>. Omezuje provoz na určitou rychlost.
; (e)sfq - (extended) stochastic fairness queueing : Už podle názvu by tento qdisc měl zaručovat férovost. Princip je takový, že obsahuje několik front a ty cyklicky obsluhuje. Do těchto front jsou podle hash funkce zařazovány TCP sezení případně toky dat protokolu UDP. Stochastický je protože, to do které fronty je paket zařazen závisí na hash funkci. Hash funkce se po několika sekundách mění (nastavuje se pomocí parametru perturb). Tento qdisc má význam na přeplněné lince. Existuje modifikace <tt>esfq</tt>, která pásma přiděluje podle zdrojové/cílové adresy a umožňuje nastavit další interní proměnné sfq (limit - délka fronty s pakety, depth - maximální počet současně obsluhovaných front, divisor - 2 umocněná na toto číslo nám udává maximální počet front (neboli počet bitů pro hash funkci; maximum 12)).

Qdiscy které mají třídy umožňují více kontrolovat tok dat. Tyto qdiscy můžou obsahovat další qdiscy. Pokud omezují (<code>htb</code>, <code>cbq</code>), pak to dělají právě třídy. Například qdisc <tt>cbq</tt> má parametr bandwidth, který slouží pouze pro informaci o kapacitě linky a nikoliv pro omezení toku. Pakety z konkrétní třídy jsou vždy předány qdiscu, který je v ní nainstalován (implicitně pfifo_fast). Přehled základních qdisců s třídami:

; prio : Nejjednodušší qdisc s třídami. Ve výchozím nastavení funguje jako <tt>pfifo_fast</tt>, vytváří tři třídy (pro prioritní :1, normální :2 a neprioritní provoz :3). Do každé této třídy můžeme nainstalovat libovolný qdisc. Lze změnit počet tříd, o vytváření tříd se stará <tt>prio</tt> sám (příklad změny počtu tříd je ve skriptu [http://charon.hkfree.org/~jezz/qos/prio_web.sh prio_web.sh] - při změně parametru bands je nutné uvést parametr priomap). Prio neomezuje nijak provoz.
; cbq : Nejznámější a také nejméně pochopený qdisc. Pracuje na základě vytíženosti linky. Pokud má omezit provoz na 10Mbit lince na 1Mbit, pak tato linka musí být z 90% volná. Tento předpoklad teoreticky drží, ale v praxi <tt>cbq</tt> často neomezuje správně provoz. Má mnoho parametrů, některé jsou málo dokumentovány a je proto těžké ho správně nastavit. U každé třídy lze nastavit, zda si může půjčovat a zda půjčuje ostatním třídám. Narozdíl od <tt>htb</tt> nelze nastavit kolik si lze maximálně půjčit.
; htb : Pracuje na stejném principu jako <code>tbf</code>, proto je celkem přesný. Lze nastavit kolik si každá třída může maximálně vypůjčit. O <code>htb</code> si můžete také přečíst článek na [http://www.root.cz/clanek/1795 root.cz].

Qdiscy tbf, cbq, htb mají společné parametry:

; rate : Rychlost (např: 20kbit, 1Mbit, 20k /20k = 160kbit !/)
; burst : Maximální povolená výchylka.
; prio : Priorita. Třídy s číselně menší prioritou jdou dříve.

Qdisc <tt>htb</tt> má navíc ceil a cburst, které nastavují maximální rychlost (kolik si třída může maximálně půjčit) a výchylku u půjčené rychlosti.

Qdisc <tt>htb</tt> i <tt>cbq</tt> nemusí (a občas je to výhodné) všechny pakety přiřazovat do tříd a tím pádem omezovat. U <tt>cbq</tt> jsou to všechny nezařazené pakety (často chyba v konfiguraci filtrů), u <tt>htb</tt> jsou to ty, které jsou směřovány do MAJOR:0 (ve výpisu jsou vidět jako <tt>direct_packets_stat</tt>).

Každý qdisc má tzv. handle (major). To je 16-bitové číslo. Kořenový qdisc má vždy číslo 1. Třídy mají tzv. classid (minor), což je také 16-bitové číslo. Volba těchto čísel je pouze na Vás. Dvojice MAJOR:MINOR jednoznačně identifikuje třídu (qdisc pouze v případě, že MINOR=0). Není rozdíl mezi zápisem 1: a 1:0. Každá třída může mít ještě podtřídy.

=== Příklady ===

Příklady (některé jsou vzaty z lartc a odzkoušeny).

==== pfifo_fast, pfifo, tbf, (e)sfq, prio ====

## PFIFO_FAST - kratší fronta
# ifconfig wlan0 txqueuelen 64

## PFIFO - kratší fronta (BFIFO - limit je v bytech)
# tc qdisc add dev wlan0 root pfifo limit 64

## TBF - omezení na 220kbit, pakety se v qdiscu zdrží nejdéle 50ms
# tc qdisc add dev wlan0 root tbf rate 220kbit latency 50ms burst 1540

## SFQ - každých 10 sekund změna hash
# tc qdisc add dev wlan0 root sfq perturb 10

## ESFQ - totožné jako SFQ výše (použity přednastavené hodnoty SFQ pro limit,depth,divisor)
# tc qdisc add dev wlan0 root esfq perturb 10 \
limit 128 depth 128 hash classic divisor 11

## ESFQ - kratší fronta = lepší odezvy
# tc qdisc add dev wlan0 root esfq perturb 10 \
limit 64 depth 64 hash src divisor 10

## PRIO
# tc qdisc add dev wlan0 root handle 1: prio
## Prio vytvoří třídy 1:1, 1:2, 1:3

## Do nejprioritnější třídy dáme sfq (tudy jede například ssh,telnet)
# tc qdisc add dev wlan0 parent 1:1 handle 10: sfq
## Normální provoz omezíme na 20kbit
# tc qdisc add dev wlan0 parent 1:2 handle 20: tbf rate 20kbit buffer 1600 limit 3000
## Do nejméně prioritní třídy nainstalujeme sfq (tudy jede scp, ftp-data)
# tc qdisc add dev wlan0 parent 1:3 handle 30: sfq

==== cbq ====

## CBQ
## Nainstalujeme kořenový qdisc
# tc qdisc add dev wlan0 root handle 1:0 cbq bandwidth 10Mbit \
avpkt 1000 cell 8

## Nyní již vytváříme třídy, proto tc class. Toto je hlavní třída,
## pomocí které omezujeme provoz na určitou hodnotu. Tato třída si nesmí
## půjčovat, jelikož není nijak omezená (qdisc neomezuje).
# tc class add dev wlan0 parent 1:0 classid 1:1 cbq bandwidth 10Mbit \
rate 4Mbit weight 0.4Mbit prio 1 allot 1514 cell 8 maxburst 20 \
avpkt 1000 bounded

## Nainstalujeme podtřídy. weight určuje nepřímo kolik dat může třída
## najednou vyslat (1/10 funguje celkem dobře). Detailněji jsou parametry popsané
## na lartc (osobně preferuji htb).
# tc class add dev wlan0 parent 1:1 classid 1:3 cbq bandwidth 10Mbit \
rate 3Mbit weight 0.3Mbit prio 5 allot 1514 cell 8 maxburst 20 \
avpkt 1000
# tc class add dev wlan0 parent 1:1 classid 1:4 cbq bandwidth 10Mbit \
rate 1Mbit weight 0.1Mbit prio 5 allot 1514 cell 8 maxburst 20 \
avpkt 1000

## Nainstalujeme do těchto tříd sfq
# tc qdisc add dev wlan0 parent 1:3 handle 30: sfq
# tc qdisc add dev wlan0 parent 1:4 handle 40: sfq

==== htb ====

## Nainstalujeme kořenový qdisc htb. Všechen provoz půjde do třídy 1:10
## pokud nebude filtry určeno jinak
# tc qdisc add dev wlan0 root handle 1: htb default 10

## Vytvoříme kořenovou třídu. Stejně jako u cbq tato třída omezuje provoz.
## Ceil u této třídy nemá smysl, jelikož nad ní je pouze qdisc, který neomezuje.
## Pokud by zde byl uveden ceil vyšší než rate, pak by tato třída neomezovala na
## rate, ale na ceil.
# tc class add dev wlan0 parent 1: classid 1:1 htb \
rate 1792kbit burst 17kbit

## Potomci výše uvedené třídy. Součet rychlostí přímých potomků dané třídy
## nesmí být vyšší než rychlost rodiče (rate). U ceil by mělo platit, že žádný
## potomek nemá vyšší maximální rychlost než jeho rodič (není to tak vážná chyba
## jako porušení předešlého pravidla).

## Tato třída má garantován 1Mbit, ale může získat celou kapacitu od 1:1
# tc class add dev wlan0 parent 1:1 classid 1:10 htb \
rate 1024kbit ceil 1792kbit burst 10kbit prio 1

## Třída s nižší prioritou, rychlostí, ale maximum stejné jako u předchozí
# tc class add dev wlan0 parent 1:1 classid 1:20 htb \
rate 512kbit ceil 1792kbit burst 5kbit prio 2

## Nejméně prioritní třída s nejmenší rychlostí
# tc class add dev wlan0 parent 1:1 classid 1:30 htb \
rate 256kbit ceil 512kbit burst 2kbit prio 3

## Vytvoříme podtřídu poslední třídy (je to méně náročnější než instalovat qdisc
## htb do této třídy a vytvořit v něm třídy). Takto může vzniknout celkem
## složitá hierarchie tříd. Třída si může půjčovat pouze od své rodičovské
## třídy. Pokud má třída 1:1 volný 1Mbit, pak přidělí 1:30 maximálně pouze
## 512kbit. Tolik rozdělí maximálně mezi podtřídy 1:31 a 1:32.
# tc class add dev wlan0 parent 1:30 classid 1:31 htb \
rate 128kbit ceil 512kbit burst 1kbit prio 4
# tc class add dev wlan0 parent 1:30 classid 1:32 htb \
rate 128kbit ceil 512kbit burst 1kbit prio 5

## Nainstalujeme do 1:10 a 1:20 prio
# tc qdisc add dev wlan0 parent 1:10 handle 10: prio
# tc qdisc add dev wlan0 parent 1:20 handle 20: prio

## Do 1:31 a 1:32 dame sfq
# tc qdisc add dev wlan0 parent 1:31 handle 31: sfq
# tc qdisc add dev wlan0 parent 1:32 handle 32: sfq

## Do podtříd qdiscu prio nainstalujeme taktéž sfq
# tc qdisc add dev wlan0 parent 10:1 handle 11: sfq
# tc qdisc add dev wlan0 parent 10:2 handle 12: sfq
# tc qdisc add dev wlan0 parent 10:3 handle 13: sfq
# tc qdisc add dev wlan0 parent 20:1 handle 21: sfq
# tc qdisc add dev wlan0 parent 20:2 handle 22: sfq
# tc qdisc add dev wlan0 parent 20:3 handle 23: sfq

=== Shrnutí ===

Qdiscy jsou užitečné, ale ne všemocné. Každý je vhodný na něco jiného. Jaké jsou tedy jejich výhody/nevýhody?

<tt>tbf</tt> přesně omezuje, ale nerozlišuje co omezuje. Když například uživatel stahuje z dc a zároveň prohlíží www stránky, pak přenosy z dc jedou rychlostí, na jakou byly omezeny pomocí <tt>tbf</tt>, ale pakety HTTP jsou často nadlimitní a proto se stránky načítají dlouho.

Pokud u qdiscu <tt>prio</tt> není omezena rychlost uvnitř třídy, pak se méně prioritní třídy nemusejí dostat vůbec ke slovu.

Pokud je třída u <tt>htb</tt>, <tt>cbq</tt> přeplněná, pak neovlivní ostatní třídy. Pakety v nich se dostanou postupně na řadu a odešlou se bez zpoždění. Pakety v přeplněné třídě na tom již tak dobře nejsou. Jelikož je tato třída přeplněná jsou některé pakety pozdrženy/zahozeny. Je lepší proto třídy naddimenzovávat.

== Filtry ==

Když už máme vytvořené třídy, pak je potřeba je naplnit. O to aby skrz ně procházeli správné pakety se starají filtry. Filtry jsou vlastně pravidla. Filtrovat lze pouze v rámci jednoho qdiscu. Například v příkladu pro <code>htb</code> lze filtry směrovat data z 1:0 do 1:31 a nikoliv do 31: a 10:1. Pokud bychom
chtěli směrovat data z 1:0 do 10:1 musíme to udělat postupně z 1:0 do 1:10 a z 10:0 do 10:1. Priorita u pravidel určuje pořadí v jakém se vykonávají. Filtry s číselně nižší prioritou se vykonají dříve, a proto je výhodné zde mít nejspecifičtější pravidla. Filtry se nemusejí mazat, stačí smazat příslušný qdisc.
Filtrovat lze podle:

* zdrojové/cílové adresy
* zdrojového a cílového portu
* ip protokolu (tcp, udp, icmp, ...)
* značky z firewallu
* podle pole [[QoS#ToS|ToS]]
* podle různých položek hlavičky IP,TCP,UDP datagramu

=== Klasifikátor u32 ===

## Výběr pomocí zdrojové adresy
# tc filter add dev wlan0 parent 1: prio 11 protocol ip u32 \
match ip src 10.107.0.0/16 \
flowid 1:20

## Výběr pomocí cílové adresy je obdobný
# tc filter add dev wlan0 parent 1: prio 11 protocol ip u32 \
match ip dst 10.107.0.0/16 \
flowid 1:20

## Výběr protokolu TCP (6 viz /etc/protocols)
# tc filter add dev wlan0 parent 1: prio 11 protocol ip u32 \
match ip protocol 6 0xff \
flowid 1:20

## Výběr podle protokolu pomocí obecného kvalifikátoru u8 (na 9 bajtu IP
## datagramu je číslo protokol vyšší vrstvy). u8 vybere devátý bajt provede
bitové AND s 0xff a porovná s hodnotou 6.
# tc filter add dev wlan0 parent 1: prio 11 protocol ip u32 \
match u8 6 0xff at 9 \
flowid 1:20

## Vybrat TCP ACK pakety menší než 64 - kombinace pravidel. První vybírá
## protokol TCP. Další zajišťuje, že paket nemá volitelné položky záhlaví (velikost
## hlavičky ip datagramu ve čtyřbajtech je rovna 5). Třetí zajišťuje, že
## velikost paketu bude menší než 64 a nakonec je test na ACK bit TCP paketu.
# tc filter add dev wlan0 parent 1:0 protocol ip prio 10 u32 \
match ip protocol 6 0xff \
match u8 0x05 0x0f at 0 \
match u16 0x0000 0xffc0 at 2 \
match u8 0x10 0xff at 33 \
flowid 1:10

## Výběr pomocí zdrojového portu ( protokol TCP; služba ftp-data)
# tc filter add dev wlan0 parent 1: prio 10 protocol ip u32 \
match ip protocol 6 0xff \
match ip sport 20 0xffff \
flowid 1:30

## Výběr pomocí cílového portu (protokolu UDP; služba DNS)
# tc filter add dev wlan0 parent 1: prio 10 protocol ip u32 \
match ip protocol 17 0xff \
match ip dport 53 0xffff \
flowid 1:10

## Výběr podle ToS pole IP paketu (hodnota Minimize-Delay; například ssh, telnet)
# tc filter add dev wlan0 parent 1:0 protocol ip prio 10 u32 \
match ip tos 0x10 0xff \
flowid 1:10

=== Klasifikátor fwmark ===

Pokud nám nestačí klasifikátor <tt>u32</tt>, pak máme ještě k dispozici <tt>fwmark</tt>. Ten umožňuje vybrat pakety podle značky, kterou získají od firewalu. To je nutné například pokud chceme filtrovat podle zdrojové adresy na rozhraní, kde probíhá SNAT (skutečné zdrojové adresy se k nám nedostanou). Tato značka není součástí IP paketu, čili ji nemůžou vidět ostatní počítače narozdíl od [[QoS#ToS|ToS]]. Na značení paketů se používá tabulka mangle.

## Označení paketu pomocí iptables (podle MAC počítače)
# iptables -t mangle -A PREROUTING -p tcp -m mac --mac-source 12:34:56:78:90:ab -j MARK --set-mark 1

## Následně filtrujeme pomocí fwmarku (handle 1 = značka 1, fw = fwmark)
# tc filter add dev wlan0 parent 1: prio 10 protocol ip handle 1 fw \
flowid 1:30

Další použití fwmarku závisí pouze na pravidlech pro iptables. U filtru se nastavuje pouze handle.

=== Klasifikujeme IPv6 ===

Jelikož IPv6 nám klepe na dveře našel jsem na internetu pár příkladů, jak ho filtrovat (příklady jsem v praxi nezkoušel, je možné, že ještě pokulhává podpora - možná někdy vyzkouším).

## Označíme je pomocí fwmarku
# ip6tables -A PREROUTING -i eth0 -t mangle -p tcp -j MARK --mark 1

## Klasicky pomocí filtru
# tc filter add dev eth1 parent 1:0 protocol ipv6 prio 2 u32 match ip6 src
2001:6a8:802:7::2 classid 1:2
# tc filter add dev eth1 parent 1:0 protocol ipv6 prio 4 u32 match ip6 src
2001:6a8:802:6::2 classid 1:3

== IMQ, IPP2P, CONNMARK - věci, které ve vanilla jádru nejsou ==

=== IMQ ===

IMQ nám umožňuje na příchozí provoz aplikovat stejné prostředky jako na odchozí. Bez něj bychom mohli použít pouze tzv. ingress qdisc, který je velice omezený vzhledem egressu. Dále můžeme omezovat provoz na více rozhraních společně. Například mějme příchozí linku 1Mbit, kterou chceme spravedlivě rozdělit mezi lokální uživatele (eth0) a wi-fi uživatele (wlan1). Bez IMQ to můžeme nechat neregulované (to asi nebude 100% spravedlivé) nebo oběma rozhraním přidělit 512kbit bez možnosti půjčovat si. Elegantnější cesta spočívá v použití IMQ.

## Zavedu modul pro imq a nastavím mu maximální počet zařízení
# modprobe imq numdevs=6

## Tímto nahodíme rozhraní imq0
# ip link set imq0 up

## Pomocí pravidla v iptables přesměrujeme všechny pakety přicházející na
## wlan0 do imq0 (pro imqN by bylo --todev N)
# iptables -t mangle -A PREROUTING -i wlan0 -j IMQ --todev 0

## A teč již můžeme omezovat ...
# tc qdisc add dev imq0 root handle 1: htb default 10
# tc class add dev imq0 parent 1: classid 1:1 htb rate 2304kbit burst 23kbit
...

=== IPP2P a CONNMARK ===

Pomocí ipp2p lze rozpoznat pakety patřící p2p sítím. Není to sice 100%, ale je to lepší než nic. Lze je tedy zakázat, nebo regulovat. Ipp2p rozezná již celkem dost protokolů:

* eDonkey
* Gnutella
* FastTrack (Kazaa)
* Direct Connect
* Bittorent

Lze vybrat všechny pakety nebo pouze datové přenosy. Pokud chcete vybrat všechny pakety patřící DC, pak použijete <tt>--dc</tt>. Pro data <tt>--dc-data</tt>. Pokud chcete jedním pravidlem pokrýt všechny
protokoly, pak použijte <tt>--ipp2p/--ipp2p-data</tt> (kromě Bittorentu pro něj musíte použít <tt>--bit</tt>). Ipp2p funguje pouze na TCP paketech. Pokud nechcete pouze zakazovat p2p provoz, pak budete muset použít CONNMARK. CONNMARK umožňuje označkovat celé TCP sezení.

## Vsude je -p tcp! Bez toho by ipp2p vypisoval chyby.
## Pokud byla tomuto TCP sezení nastavena značka, pak ji CONNMARK obnoví
# iptables -t mangle -A PREROUTING -p tcp -j CONNMARK --restore-mark

## Pokud je paket označen nastav mu do pole ToS, že není prioritní
# iptables -t mangle -A PREROUTING -p tcp -m mark --mark 1 -j TOS --set-tos Maximize-Throughput

## Neprováděj další pravidla pokud je paket již označen
# iptables -t mangle -A PREROUTING -p tcp -m mark ! --mark 0 -j ACCEPT

## Označí všechny datové přenosy p2p sítí, které ipp2p detekuje
# iptables -t mangle -A PREROUTING -p tcp -m ipp2p --ipp2p-data -j MARK --set-mark 1

## Uloží značku pokud je nastavena, aby mohla být obnovena
# iptables -t mangle -A PREROUTING -p tcp -m mark --mark 1 -j CONNMARK --save-mark

Takto označené pakety se již lehce zařadí pomocí fwmarku do správné (omezené) třídy.

== Odstraňujeme qdisc a kontrolujeme ==

=== Mazání qdiscu ===

## Toto smaže qdisc z rozhraní wlan0 (včetně všech tříd, qdisců a filtrů)
## wlan0 bude nyní obsluhovat pfifo_fast (ten se smazat nedá)
# tc qdisc del dev wlan0 root

=== Kontrolujeme funkčnost omezování ===

==== Iptables ====

## Prohlédneme počitadla u pravidel. Pokud je někde 0, pak máte zřejmě problém.
# iptables -t mangle -L -n -v
Chain PREROUTING (policy ACCEPT 15M packets, 7252M bytes)
pkts bytes target prot opt in out source destination
257K 119M IMQ all -- wlan0 * 0.0.0.0/0 0.0.0.0/0 IMQ: todev 0
481K 235M CONNMARK tcp -- * * 0.0.0.0/0 0.0.0.0/0 CONNMARK restore
98426 79M ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 MARK match !0x0
9 6250 MARK tcp -- * * 0.0.0.0/0 0.0.0.0/0 ipp2p v0.6 --ipp2p-data MARK set 0x1
9 6250 TOS tcp -- * * 0.0.0.0/0 0.0.0.0/0 ipp2p v0.6 --ipp2p-data TOS set 0x08
9 6250 CONNMARK tcp -- * * 0.0.0.0/0 0.0.0.0/0 MARK match 0x1 CONNMARK save

Chain INPUT (policy ACCEPT 476K packets, 34M bytes)
pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 25M packets, 15G bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 640K packets, 72M bytes)
pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 25M packets, 15G bytes)
pkts bytes target prot opt in out source destination

==== Qdisc ====

## Podobné jako u iptables. Pokud Vám nějakým qdiscem neprotékají data, pak
## je něco špatně, nebo máte smůlu, že nikdo ještě příslušné spojení nevytvořil.
## V tomto případě přes sfq 23: (prio - ToS neprioritní) a 21: (prio - ToS
## prioritní) neprošly zatím žádné pakety.
## V tomto přehledu není pfifo_fast. Pokud by jste chtěli vidět statistiku i u
## něj, pak místo něho nainstalujte jednodušší pfifo.
# tc -s qdisc show dev wlan0
qdisc sfq 23: limit 128p quantum 1514b
Sent 0 bytes 0 pkts (dropped 0, overlimits 0)
qdisc sfq 22: limit 128p quantum 1514b
Sent 690749 bytes 6594 pkts (dropped 0, overlimits 0)
qdisc sfq 21: limit 128p quantum 1514b
Sent 0 bytes 0 pkts (dropped 0, overlimits 0)
qdisc sfq 13: limit 128p quantum 1514b
Sent 5681 bytes 24 pkts (dropped 0, overlimits 0)
qdisc sfq 12: limit 128p quantum 1514b
Sent 82019598 bytes 116223 pkts (dropped 0, overlimits 0)
qdisc sfq 11: limit 128p quantum 1514b
Sent 8638082 bytes 155069 pkts (dropped 0, overlimits 0)
qdisc sfq 32: limit 128p quantum 1514b
Sent 7530988 bytes 4982 pkts (dropped 0, overlimits 0)
qdisc sfq 31: limit 128p quantum 1514b
Sent 33633304 bytes 22338 pkts (dropped 0, overlimits 0)
qdisc prio 20: bands 3 priomap 1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1
Sent 690749 bytes 6594 pkts (dropped 0, overlimits 0)
qdisc prio 10: bands 3 priomap 1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1
Sent 90669849 bytes 271328 pkts (dropped 0, overlimits 0)
qdisc htb 1: r2q 10 default 10 direct_packets_stat 7
Sent 132546356 bytes 305261 pkts (dropped 0, overlimits 57139)

==== Třídy ====

## Stejné jako u qdiscu, ale pro třídy
# tc -s class show dev wlan0
class prio 20:1 parent 20: leaf 21:
class prio 20:2 parent 20: leaf 22:
class prio 20:3 parent 20: leaf 23:
class prio 10:1 parent 10: leaf 11:
class prio 10:2 parent 10: leaf 12:
class prio 10:3 parent 10: leaf 13:
class htb 1:1 root rate 1792Kbit ceil 1792Kbit burst 2175b cburst 1823b
Sent 138635160 bytes 338066 pkts (dropped 0, overlimits 0)
rate 17738bit 70pps
lended: 18296 borrowed: 0 giants: 0
tokens: 9582 ctokens: 7972

class htb 1:10 parent 1:1 leaf 10: prio 1 rate 1024Kbit ceil 1792Kbit burst 1279b cburst 1823b
Sent 95075747 bytes 302437 pkts (dropped 0, overlimits 0)
rate 12828bit 66pps
lended: 292524 borrowed: 9913 giants: 0
tokens: 9600 ctokens: 7972

class htb 1:32 parent 1:30 leaf 32: prio 5 rate 128Kbit ceil 256Kbit burst 127b cburst 1631b
Sent 7841358 bytes 5187 pkts (dropped 0, overlimits 0)
rate 16bit
lended: 3889 borrowed: 1298 giants: 0
tokens: -88578 ctokens: 3840

class htb 1:20 parent 1:1 leaf 20: prio 2 rate 512Kbit ceil 1792Kbit burst 639b cburst 1823b
Sent 745351 bytes 7210 pkts (dropped 0, overlimits 0)
rate 156bit 1pps
lended: 7152 borrowed: 58 giants: 0
tokens: 8704 ctokens: 7899

class htb 1:31 parent 1:30 leaf 31: prio 4 rate 128Kbit ceil 256Kbit burst 127b cburst 1631b
Sent 34972704 bytes 23232 pkts (dropped 0, overlimits 0)
rate 5018bit 3pps
lended: 12236 borrowed: 10996 giants: 0
tokens: -88578 ctokens: 3840

class htb 1:30 parent 1:1 rate 256Kbit ceil 256Kbit burst 255b cburst 1631b
Sent 42814062 bytes 28419 pkts (dropped 0, overlimits 0)
rate 5173bit 3pps
lended: 3969 borrowed: 8325 giants: 0
tokens: -40194 ctokens: 3840

Kdo to dočetl až sem je fakt machr ;-).

=== ToS ===

Typ služby (Type of Service) je druhý byte v ip paketu. Je určen pro označování paketů, jež mají být doručeny přednostně (s minimální odezvou), či pro označování neprioritního provozu. Tento byte může být využit různě. Jeden způsob využívá bitů 4-7 (počítáno zprava od 1):

{|
! Binárně || Decimálně || Význam || pásmo v <tt>pfifo_fast</tt>/třída v <tt>prio</tt> 0-2 || iptables --set-tos
|-
| 1000 || 8 || Minimální odezvy || 0 || Minimize-Delay
|-
| 0100 || 4 || Maximální propustnost || 2 || Maximize-Throughput
|-
| 0010 || 2 || Maximální spolehlivost || 1 || Maximize-Reliability
|-
| 0001 || 1 || Minimální náklady || 2 || Minimize-Cost
|-
| 0000 || 0 || Normální služba || 1 || Normal-Service
|}

Podle IPCHAINS-HOWTO smí být nastaven pouze jeden z těchto bitů. Lartc se k tomu nevyjadřuje, ale nalezneme zde mapování všech 16 možností na pásma <tt>pfifo_fast</tt>.

Další způsob využití tohoto byte poskytují tzv. Diferencované služby. Využívají prvních 6 bitů. Jak fungují si můžete přečíst na lartc.org. (osobně jsem do tímto ještě nezabýval).

== Skripty ==

* [http://charon.hkfree.org/~jezz/qos/prio_wlan0.sh prio_wlan0.sh] - skript omezující pouze p2p provoz a využívající prio. Na dobré lince podává výborné výsledky.
* [http://charon.hkfree.org/~jezz/qos/shape_bad_users.sh shape_bad_users.sh] - kladivo na neukázněné uživatele.
* [http://charon.hkfree.org/~jezz/qos/shape_wlan0.sh shape_wlan0.sh] - omezovací skript z něhož jsou tu občas příklady. Je komentovaný a lze v něm nastavovat celou řadu parametrů.
* [http://charon.hkfree.org/~jezz/qos/prio_web.sh prio_web.sh] - jednoduchý omezovací skript. Upřednostňuje prioritní provoz, web a dns, zbytek omezuje. Založen na skriptu od Pavkrize.
* [http://charon.hkfree.org/~jezz/qos/tc_traffic.pl tc_traffic.pl] - skript, který dokáže číst data z výstupu tc a ukládat údaje do rrd.

Oblasti v HKfree a jejich správci

2004-12-12T14:25:40Z

Jezz: /* PMW+MeliAP */

== Podůlšany ==
Jiří Syrový, nick jrk

mail: jrk@hkfree.org

jabberID: jrk@pod.hkfree.org nebo jrk@charon.hkfree.org

Rozsah IP: 10.107.10/24

Počet routerů: 3

== Urbanice, Praskačka ==
Jiří Včelák
dzet

== Lhota pod Libčany ==
Vojtěch Pithart
VojtaLhota

== Stěžery ==
Pavel Kříž ([[Wikipedista:Pavkriz|pavkriz]])
*ICQ: 94733420
*Jabber: pavkriz@charon.hkfree.org
*Email: pavkriz@hkfree.org
http://stezery.hkfree.org

== Kukleny ==
Jakub Janele
Jakub

== Slatina ==
Pavel Kotlář
pak

== Spar ==
Martin Košťál
Kendy

== D-network ==
Lukáš Dláb
Devon

== Theo - u bílé věže ==
Radim Drtílek
Evil &
Vít Jedlička
Theo

== Pouchov+Rusek ==
Jakub Andrys, nick Cool-Explosion

email: coolex zavinac hkfree tecka org

ICQ: 262619019

jabber: coolex@charon.hkfree.org

http://pouchov.hkfree.org/

http://rusek.hkfree.org/

== PMW+MeliAP ==
Tomáš Ludvík
melandros

http://meliap.hkfree.org

== Oli - Ulrichovo nám. ==
Filip Rejč
fikus

== JNet ==
Ladislav Pecho, nick Lada

email: lada tecka pecho zavinac email tecka cz

ICQ:78345851

jabber: Lada@charon.hkfree.org

http://JNet.hkfree.org

== Lipky ==
Pavel Dejmek
coudek

== Hybešova ==
Josef Kotva
choze

== Labská Kotlina 1 ==
Radovan Vápeník
kremilek

== Praskacka ==
Jaroslav Vecek
vecek

== Svinary ==
Tomas Cejnar
e.x.e

== Hvezda ==
Emanuel Petr, nick Motyl

== Dobrenice ==
Tomas Vondra

had

vondra@hkfree.org

ICQ 318047798

== Osicky ==
Michal Pazler
debak

== Hradek ==
Jiri Valasek
jirka-v

== Hrbitov ==
Emanuel Petr, nick Motyl

asistenti:
Michal Puhlovsky, nick Killer

*JabberID: killer@charon.hkfree.org
*ICQ: 172308535

Jan Vacha, nick reaper

*JabberID: johnson@charon.hkfree.org
*ICQ: 135298157

Oblasti v HKfree a jejich správci

2004-12-12T14:24:42Z

Jezz: /* PMW+MeliAP */

== Podůlšany ==
Jiří Syrový, nick jrk

mail: jrk@hkfree.org

jabberID: jrk@pod.hkfree.org nebo jrk@charon.hkfree.org

Rozsah IP: 10.107.10/24

Počet routerů: 3

== Urbanice, Praskačka ==
Jiří Včelák
dzet

== Lhota pod Libčany ==
Vojtěch Pithart
VojtaLhota

== Stěžery ==
Pavel Kříž ([[Wikipedista:Pavkriz|pavkriz]])
*ICQ: 94733420
*Jabber: pavkriz@charon.hkfree.org
*Email: pavkriz@hkfree.org
http://stezery.hkfree.org

== Kukleny ==
Jakub Janele
Jakub

== Slatina ==
Pavel Kotlář
pak

== Spar ==
Martin Košťál
Kendy

== D-network ==
Lukáš Dláb
Devon

== Theo - u bílé věže ==
Radim Drtílek
Evil &
Vít Jedlička
Theo

== Pouchov+Rusek ==
Jakub Andrys, nick Cool-Explosion

email: coolex zavinac hkfree tecka org

ICQ: 262619019

jabber: coolex@charon.hkfree.org

http://pouchov.hkfree.org/

http://rusek.hkfree.org/

== PMW+MeliAP ==
Tomáš Ludvík
melandros

[http://meliap.hkfree.org http://meliap.hkfree.org]

== Oli - Ulrichovo nám. ==
Filip Rejč
fikus

== JNet ==
Ladislav Pecho, nick Lada

email: lada tecka pecho zavinac email tecka cz

ICQ:78345851

jabber: Lada@charon.hkfree.org

http://JNet.hkfree.org

== Lipky ==
Pavel Dejmek
coudek

== Hybešova ==
Josef Kotva
choze

== Labská Kotlina 1 ==
Radovan Vápeník
kremilek

== Praskacka ==
Jaroslav Vecek
vecek

== Svinary ==
Tomas Cejnar
e.x.e

== Hvezda ==
Emanuel Petr, nick Motyl

== Dobrenice ==
Tomas Vondra

had

vondra@hkfree.org

ICQ 318047798

== Osicky ==
Michal Pazler
debak

== Hradek ==
Jiri Valasek
jirka-v

== Hrbitov ==
Emanuel Petr, nick Motyl

asistenti:
Michal Puhlovsky, nick Killer

*JabberID: killer@charon.hkfree.org
*ICQ: 172308535

Jan Vacha, nick reaper

*JabberID: johnson@charon.hkfree.org
*ICQ: 135298157

Návody

2004-12-11T16:08:12Z

Jezz: /* Pro adminy */

==Pro uživatele==
* [[Jak platit]]
* SMTP server pro odchozí poštu: '''smtp.hkfree.org'''
* POP3 server pro příchozí poštu: '''pop3.hkfree.org''' (jen pro ty co mají hkfree mail)
** uživatel pop3 serveru je Vaše celá mail adresa např: somebody@hkfree.org
** heslo je to co máte na registračním formuláři nebo to co ste si změnili.
* DNS servery nastavte podle pokynů správce oblasti nebo
**primární 10.107.4.100
**sekundární 10.107.4.129

další návody https://igw.hkfree.org/navody/
(kdo může, stěhujte to postupně semka :-))

==Pro adminy==
*[[ASUS]]
*[[OVISLINK]]
*[[Linux]]

===Zebra a routování===
*[[Equal Cost MultiPath]]

Debian

2004-12-11T16:06:40Z

Jezz:

== Nastavení síťě ==
1. /etc/network/interfaces - viz man interfaces

2. Povolení přeposílání paketů

v /etc/network/options nastavíme ip_forward=yes

3. Vypnutí rp_filtru (nutné při tvorbě koleček)

v /etc/network/options nastavíme spoofprotect=no

do /etc/sysctl.conf přidáme řádky:

net/ipv4/conf/all/rp_filter=0
net/ipv4/conf/wlan0/rp_filter=0
... (dále doplňte jednotlivé síťovky)

Bez rebootu se to aktivuje takto:

/etc/init.d/networking restart
/etc/init.d/procps.sh restart

== Překlad balíčků ze zdrojových souborů ==
1. Stahneme si zdrojaky - obvykle 2-3 soubory:

PACKAGE_VERSION-DEBIANSUBVERSION.dsc
PACKAGE_VERSION.orig.tar.gz
PACKAGE_VERSION-DEBIANSUBVERSION.diff.gz (může chybět u debian native balíčků)

2. Rozbalíme je

dpkg-source -x PACKAGE_VERSION-DEBIANSUBVERSION.dsc

3. A zkompilujeme

cd PACKAGE_VERSION
fakeroot dpkg-buildpackage -us -uc (pokud pracujeme pod rootem neni fakeroot potreba)

4. Nainstalujeme

dpkg -B PACKAGE_VERSION-DEBIANSUBVERSION.deb

== Balíčky ==
[http://www.debian.org/distrib/packages Databáze balíčků pro debian]

[http://www1.apt-get.org/search.php Různé balíčky od různých lidí]

[http://www.backports.org Backporty novějších balíčků do stable a testingu]

[http://debian.malyjarda.cz Neoficiální balíčky populárních aplikací]

== Zdroje ==
[http://www.debian.org/ Oficiální stránky]

[http://www.debian.cz/ České stránky projektu debian]

[http://www.debian.org/News/weekly/ Týdenní souhrn událostí kolem debianu]

[http://www.debian.org/intl/l10n/po-debconf/cs Stav překladu debconf šablon do češtiny]

Linux

2004-12-11T15:30:41Z

Jezz:

== Jádro ==
[http://www.kernel.org kernel.org]

== Distribuce linuxu ==
[[Debian]] ([http://www.debian.org www.debian.org])

Slackware ([http://www.slackware.com www.slackware.com])

...

== Wi-Fi a linux ==
[http://hostap.epitest.fi HostAP]

[http://www.hpl.hp.com/personal/Jean_Tourrilhes/Linux/Wireless.html Zdroj o wi-fi pod linuxem]

== Stránky o linuxu ==
[http://www.linux.cz linux.cz]

[http://root.cz root.cz]

[http://www.abclinuxu.cz abclinuxu.cz]

[http://www.linuxzone.cz linuxzone.cz]

[http://www.penguin.cz penguin.cz]