Печать страницы

Бюджетный интернет комбайн для дома и малого офиса на базе OpenWRT и роутера DLINK DSL-504T

Решил для дома собрать интернет роутер. Причин для этого было несколько:
1. Роутеры я собитать умею.
2. Всвязи с переходом на "Лимитный тариф" интернета(это когда платишь на каждый мегабайт скаченного траффика).
3. Не устраивает ограниченная функциональность роутеров мыльниц(например DLink).
На мыльницу выбор пал по очевидным причинам. Это низкое энергопотребление и никакого шума в работе. Конечно и недостатков полно, например объем оперативной памяти всего 16 мб(пользователям современных ПК с виндовс на борту это звучит как то дико), и объем постоянной памяти(флэш память) - 4МБ. А на это все надо еще и операционку положить, и логи траффика хранить.
В этих условиях нереально хранить статистику по посещаемым сайтам, и по дням. Поэтому делаем так: храним информацию о траффике суммарную по каждому IP сети, как сказали бы бухгалтера "нарастающим итогом". В конце месяца инфу отчищаем, или записываем в файл итогов(это как кому надо). Хранить будем в текстовых файлах(типа у нас выбор есть ;)

Ну чтож, приступим:

1 этап

Сборка прошивки роутера есть на сайте http://downloads.openwrt.org/kamikaze/8.09/ar7/
Для справки, AR7 это архитектура нашего процессора. Выбираем прошивку openwrt-ar7-squashfs.bin
В принципе это готовая к употреблению прошивка, включающая в себя даже WEB интерфейс. Но меня почему-то она не устроила, и я собрал свою. При этом тот же WEB интерфейс и отключил, чтобы не мешал думать :)
Сборка прошивки :

Код:

#apt-get install flex bison autoconf zlib1g-dev libncurses5-dev automake g++ patch gawk
#mkdir /home/trunk
#cd /home/trunk
#svn co https://svn.openwrt.org/openwrt/trunk/
#make menuconfig
#make

Для сборки прошивки понадобитя интернет(линкер качает много всего недостоющего, в т.ч исходники ядра Linux). В опциях MENUCONFIG выбрать платформу AR7.
Ну вот. Если все правильно, через 2 часика соберется прошивка :)) Долгий процесс, из-за кросс-компиляции. У нас то платформа 86 , а там AR7.
В папке "/home/trunk/8.9/bin/ " появится файл openwrt-ar7-squashfs.bin - его та нам и надо )

2 этап

Заливка прошивки в роутер. Дело в том, что для России эти железяки делают с урезанной памятью. Т.Е. вместо 16 МБ оперативки делают 8 МБ. Разлочить это дело можно с помощью утилит, написанных Олегом (http://wl500g.info).

Сама заливка прошивки на роутер(в самом простом случае) выглядит так :
1. Приготовим на компьютере в коммандной строке(у меня Линукс)

Код:

#telnet 192.168.1.199
или сразу
#ftp 192.168.1.199

Отключиль питание от роутера, и через 2 сек. включили. при загрузке, загрузчик ADAM2 создает на адресе 192.168.1.199 фтп сервер. Быстренько логинимся в него(быстренько-потому что послу 5 секундной задержки ADAM2 начнет загрузку текущей прошивки)

Код:

login: adam2
password:adam2

Если нас известили, что пользователь adam2 успешно залогинился, значит пока все идет по плану ;)
Переходим в папку, где находится файл пришивки

Код:

#cd /home/trunk/8.09/bin/

В интерпритаторе вводим команды:

Код:

#debug
#bin
#hash
#quote "MEDIA FLSH"
#put "openwrt-ar7-squashfs.bin" "openwrt.bin  mtd4"

У меня например надпись об успешной прошивке появилась далеко не с первого раза.
Если все нормально, переходим дальше, если нет......курите документацию, и молите великого ктулху ;)

3 этап

Настройка комбайна

Итак, прошивка лежит на месте. Входим сначала по TELNET, потом надаем пароль для пользователя ROOT, потом уже входим по SSH и отключаем TELNET.

Код:

#telnet 192.168.1.1
#passwd root
#ssh root@192.168.1.1
root@OpenWrt#/etc/init.d/telnet stop
root@OpenWrt#/etc/init.d/telnet disable

Меняем скрипт /etc/init.d/firewall на самописный

Код:

 #scp /home/firewall root@192.168.1.1:/etc/init.d/firewall
 #ssh root@192.168.1.1
 root@OpenWrt#chmod 755 /etc/init.d/firewall

Меняем файл /etc/config/network под реалии интернета

Код:

# Copyright (C) 2006 OpenWrt.org

config interface loopback
	option ifname	lo
	option proto	static
	option ipaddr	127.0.0.1
	option netmask	255.0.0.0

config interface lan
	option type	bridge
	option ifname	eth0
	option proto	static
	option ipaddr	192.168.1.1
	option netmask	255.255.255.0
	option nat	1

## Example for ATM bridging.
## Useful for PPPoE or IP over ATM. Will create 'nas${unit}'
#
config atm-bridge
	option unit 	0
	option encaps	llc
	option vpi  	1
	option vci  	50
	option payload	bridged # some ISPs need this set to 'routed'


config interface wan
##	PPPoE:
	option ifname	nas0
	option proto	pppoe

##	PPPoA:
#	option ifname	atm0
#	option proto	pppoa
#	option encaps	llc
#	option vpi  	8
#	option vci  	35

##	Both:
	option username "Пользователь_PPPoE"
	option password	"Пароль_PPPoE"

Пример скрипта /etc/init.d/firewall

Код:

#!/bin/sh

iptables -t filter -F
iptables -t filter -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
# VARIABLES
NB_IP=192.168.1.10
PC_IP=192.168.1.3
#POLICIES & DEFAULTS
iptables -P INPUT  DROP
iptables -P FORWARD  DROP
iptables -P OUTPUT  ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#CUSTOM CHAINS
iptables -N NOTEBOOK_WWW
iptables -N MAIN_WWW
iptables -N NOTEBOOK_OTHER
iptables -N MAIN_OTHER

iptables -A NOTEBOOK_WWW -j ACCEPT
iptables -A NOTEBOOK_OTHER -j ACCEPT
iptables -A MAIN_WWW -j ACCEPT
iptables -A MAIN_OTHER -j ACCEPT

iptables -A FORWARD -p icmp -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
#INPUTS
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
# FORWARDS CUSTOM
#iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT

iptables -A FORWARD -s $PC_IP -p tcp --dport 80 -j MAIN_WWW
iptables -A FORWARD -s $PC_IP -p tcp --dport ! 80 -j MAIN_OTHER
iptables -A FORWARD -s $PC_IP -p ! tcp -j MAIN_OTHER
iptables -A FORWARD -d $PC_IP -p tcp --sport 80 -m state --state ESTABLISHED,RELATED -j MAIN_WWW
iptables -A FORWARD -d $PC_IP -p tcp --sport ! 80 -m state --state ESTABLISHED,RELATED -j MAIN_OTHER
iptables -A FORWARD -d $PC_IP -p ! tcp -m state --state ESTABLISHED,RELATED -j MAIN_OTHER



iptables -A FORWARD -s 192.168.1.4 -j MAIN_WWW
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -d 192.168.1.4 -j MAIN_WWW


iptables -A FORWARD -s $NB_IP -p tcp --dport 80 -j NOTEBOOK_WWW
iptables -A FORWARD -s $NB_IP -p tcp --dport ! 80 -j NOTEBOOK_OTHER
iptables -A FORWARD -s $NB_IP -p ! tcp -j NOTEBOOK_OTHER
iptables -A FORWARD -d $NB_IP -p tcp --sport 80 -m state --state ESTABLISHED,RELATED -j NOTEBOOK_WWW
iptables -A FORWARD -d $NB_IP -p tcp --sport ! 80 -m state --state ESTABLISHED,RELATED -j NOTEBOOK_OTHER
iptables -A FORWARD -d $NB_IP -p ! tcp -m state --state ESTABLISHED,RELATED -j NOTEBOOK_OTHER
#MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE

Как видно из скрипта, у меня 2 компа- ноутбук с IP=192.168.1.10 и основной ПК с IP=192.168.1.3
Траффик я решил делить на "Веб траффик" и "НеВеб траффик". Создаем 4 цепочки правил : MAIN_WWW, MAIN_OTHER, NOTEBOOK_WWW, NOTEBOOK_OTHER
Весь траффик так или иначе будет попадать в одну из цепочек. Ну а сосчитать траффик в каждой- это умеет IPTABLES(iptables -L <цепочка> -nvx).

Привожу пример скриптов формирования отчетов и сохранения показателей счетчиков при перезагрузке роутера.

/www/count.sh

Код:

#!/bin/sh

sh /www/ipt
file=/www/index.html;
nb_www=$(cat /www/NOTEBOOK_WWW);
nb_ot=$(cat /www/NOTEBOOK_OTHER);
pc_www=$(cat /www/MAIN_WWW);
pc_ot=$(cat /www/MAIN_OTHER);


echo > $file;
echo '<html><body>' >> $file; 
echo '<H1>Traffic counter</H1> <br>' >> $file;

echo 'Notebook(www) = ' >> $file;
echo $(($nb_www/1024)) >> $file;
echo ' kB' >> $file;
echo '<br>' >> $file;

echo 'Notebook(other) = ' >> $file;
echo $(($nb_ot/1024)) >> $file;
echo ' kB' >> $file;
echo '<br>' >> $file;

echo 'Main(www) = ' >> $file;
echo $(($pc_www/1024)) >> $file;
echo ' kB' >> $file;
echo '<br>' >> $file;

echo 'Main(other) = ' >> $file;
echo $(($pc_ot/1024)) >> $file;
echo ' kB' >> $file;
echo '<br><br>' >> $file;
IT=$(cat /www/ITOG);ITOG=$(($IT/1024))
echo '<H2>SUMM '$ITOG' kB</H2>' >> $file;
echo '<hl><br>' >> $file;
echo $(date) >> $file;
echo '</body></html>' >> $file;

/www/ipt

Код:

#!/bin/sh

nbw=$(iptables -L NOTEBOOK_WWW   -nvx|grep ACCEPT|awk {'print $2'})
nbwf=$(cat /www/NOTEBOOK_WWW)
nb1=$(($nbwf+$nbw))
echo $nb1>/www/NOTEBOOK_WWW
iptables -L NOTEBOOK_WWW -nvZ > /dev/null

nbo=$(iptables -L NOTEBOOK_OTHER -nvx|grep ACCEPT|awk {'print $2'})
nbof=$(cat /www/NOTEBOOK_OTHER)
nb2=$(($nbo+$nbof))
echo $nb2>/www/NOTEBOOK_OTHER
iptables -L NOTEBOOK_OTHER -nvZ > /dev/null

mw=$(iptables  -L MAIN_WWW       -nvx|grep ACCEPT|awk {'print $2'})
mwf=$(cat /www/MAIN_WWW)
m1=$(($mwf+$mw))
echo $m1>/www/MAIN_WWW
iptables -L MAIN_WWW -nvZ > /dev/null

mo=$(iptables  -L MAIN_OTHER	 -nvx|grep ACCEPT|awk {'print $2'})
mof=$(cat /www/MAIN_OTHER)
m2=$(($mof+$mo))
echo $m2>/www/MAIN_OTHER
iptables -L MAIN_OTHER -nvZ > /dev/null
itog=$(($nb1+$nb2+$m1+$m2));export ITOG=$itog
echo $ITOG>/www/ITOG

Скрипт count.sh должет отрабатывать по cron у. Он создает файл index.html в папке
/www - это корневая папка WEB сервера openwrt.

Что это дало ???
1. Повышение скорости работы интернет(у меня безлимитка 1МБ, канал стал по настоящему 1МБ)
2. Возможности подсчета траффика
3. Переброс портов и DDNS есть и в стандартной прошивке, но на линуксе они гибче настраиваются.
4. Возможности расширения функционала.При наличии терпения, можно запихать туда OpenVPN, OpenSWAN, SQUID

На OPENWRT можно утанавливать пакеты так же как и на обычный линукс(есть утилита opkg, схожая по функциям с дебиановской apt-get)
Ну вот соссно и фсе !!! по тому же крону читстите показания iptables и файлы хранилищ в конце месяца. Дальнейшие навороты сделаете сами ! Пока.userdef.

Виртуальный Каменск

Тематические разделы => Всё о Linux/Unix => Тема начата: userdef от 24 Июня 2009, 22:49:09