Ambos lados, revisión anteriorRevisión previaPróxima revisión | Revisión previaPróxima revisiónAmbos lados, revisión siguiente |
es:howtos:network_services:running_an_access_point_from_a_slackware_box [2019/06/17 05:29 (UTC)] – [4.4 Cortafuegos] antares_alf | es:howtos:network_services:running_an_access_point_from_a_slackware_box [2019/06/25 23:29 (UTC)] – [4.5 PPP] antares_alf |
---|
Cuando una solicitud http llega al AP desde el enlace de Internet, primero se cambiará el DNAT en la etapa de pre-enrutamiento nat, pero la política de filtro la eliminará si no encontramos una manera de déjalo entrar, ahí es donde entra en juego la regla de filtro de avance. | Cuando una solicitud http llega al AP desde el enlace de Internet, primero se cambiará el DNAT en la etapa de pre-enrutamiento nat, pero la política de filtro la eliminará si no encontramos una manera de déjalo entrar, ahí es donde entra en juego la regla de filtro de avance. |
| |
If you start going crazy over transferring large files over fast networks for a problem that seems like mtu related but is not you might want to consider turning net.ipv4.tcp_sack off. | Si comienza a volverse loco con la transferencia de archivos grandes a través de redes rápidas para un problema que parece estar relacionado con mtu pero no es posible que desee considerar la posibilidad de desactivar net.ipv4.tcp_sack. |
| |
If your ISP gives you some sort of traffic quota you may want to add some quotas to your firewall configuration. You may fully understand the consequences of streaming on your ISP quota but maybe the rest of the family may not: giving them a quota might save you a fit when you need to do an urgent job that requires internet connection. There a re various ways you could go about putting quotas on specific clients on your LAN just keep in mind a few things: | Si su ISP le da algún tipo de cuota de tráfico, es posible que desee agregar algunas cuotas a la configuración de su firewall. Es posible que entienda completamente las consecuencias de la transmisión en su cuota de ISP, pero tal vez el resto de la familia no lo haga: darles una cuota podría ahorrarle un ajuste cuando necesite hacer un trabajo urgente que requiera conexión a Internet. Hay varias maneras en las que podría establecer cuotas en clientes específicos en su LAN, solo tenga en cuenta algunas cosas: |
* rules with quotas stop matching once quota is exceeded | |
* flushing your tables will reset all quota counters | |
* quota counters do not reset themselves whenever your ISP resets your internet quota | |
| |
Here's an example of how you could go about putting a quota on the FORWARD chain to stop a client using more then 300Mb daily: | * las reglas con cuotas dejan de coincidir una vez que se excede la cuota |
| * el lavado de sus tablas reiniciará todos los contadores de cuotas |
| * los contadores de cuota no se reinician cuando su ISP restablece su cuota de Internet |
| |
| Este es un ejemplo de cómo podría poner una cuota en la cadena FORWARD para detener a un cliente que usa más de 300Mb diarios: |
| |
-A FORWARD -p all -m conntrack --ctstate ESTABLISHED,RELATED ! -d 192.168.0.200 -j ACCEPT -m comment --comment "allow related traffic but not for 192.168.0.200 that has a quota" | -A FORWARD -p all -m conntrack --ctstate ESTABLISHED,RELATED ! -d 192.168.0.200 -j ACCEPT -m comment --comment "allow related traffic but not for 192.168.0.200 that has a quota" |
-A FORWARD -s 192.168.0.200 -d 192.168.0.0/24 -j ACCEPT -m quota --quota 314572800 -m comment --comment "allow LAN traffic anyway for 192.168.0.200" | -A FORWARD -s 192.168.0.200 -d 192.168.0.0/24 -j ACCEPT -m quota --quota 314572800 -m comment --comment "allow LAN traffic anyway for 192.168.0.200" |
| |
Or you could use a user-defined chain to group all your quoted traffic into a single quota like this: | O puede usar una cadena definida por el usuario para agrupar todo su cuota de tráfico en una sola cuota como esta: |
| |
-A FORWARD -d 192.168.1.0/24 -m conntrack --ctstate RELATED,ESTABLISHED -m comment --comment "allow quota related traff. to quoted LAN" -j QUOTA | -A FORWARD -d 192.168.1.0/24 -m conntrack --ctstate RELATED,ESTABLISHED -m comment --comment "allow quota related traff. to quoted LAN" -j QUOTA |
-A QUOTA -m comment --comment "when quota is exceeded start rejecting" -j REJECT --reject-with icmp-port-unreachable | -A QUOTA -m comment --comment "when quota is exceeded start rejecting" -j REJECT --reject-with icmp-port-unreachable |
| |
Along with this you need to flush the iptables counters every day (or every how often you wnat the quota counters to reset) with something like this | Junto con esto, debe vaciar los contadores de iptables todos los días (o cada vez que quiera reiniciar los contadores de cuotas) con algo como esto |
iptables -Z | iptables -Z |
I generally do this with an AT job because AT has less adverse effects then CRON on readonly systems. | |
Here's one possible way of making an AT job re schedule itself every day at 00:30: | Generalmente hago esto con un trabajo de AT porque AT tiene menos efectos adversos que CRON en sistemas de solo lectura. |
| Aquí hay una manera posible de hacer que un trabajo de AT se programe todos los días a las 00:30: |
# cat /usr/local/bin/flush_iptables_counters | # cat /usr/local/bin/flush_iptables_counters |
/usr/sbin/iptables -Z | /usr/sbin/iptables -Z |
/usr/bin/at -f /usr/local/bin/flush_iptables_counters "0030 tomorrow" | /usr/bin/at -f /usr/local/bin/flush_iptables_counters "0030 tomorrow" |
# | # |
Just run it once and it should then re schedule itself. On a readonly system you will need to have atjobs directory on tmpfs and run it the first time from rc.local. | |
| |
| Simplemente ejecútelo una vez y luego debería volver a programarse. En un sistema de solo lectura, deberá tener el directorio atjobs en tmpfs y ejecutarlo la primera vez desde rc.local. |
| |
| |
===== 4.5 PPP ===== | ===== 4.5 PPP ===== |
Tectonically you're not going to need this on a pure access point (AP) but it's common that the AP also acts as router for your internet access, in this case you will need to configure your PPP link from your AP. | Tectónicamente, no va a necesitar esto en un punto de acceso puro (AP), pero es común que el AP también actúe como enrutador para su acceso a Internet, en este caso necesitará configurar su enlace PPP desde su AP. |
Depending on how your ISP provides your internet access you might or might not have an external modem which may or may not understand pppoe protocol. Nowadays it seems to have become less common to have internal *DSL modem wile external modems have become more popular. Most of them use pppoe protocol. Technically there's not much difference between configuring an internal modem with just the use of pppd on an external modem that uses pppoe, the former will require an extra package (rp-pppoe) and just a few extra options in the configuration file. I'll show how to configure with the use of pppoe, if that's not your case just strip off a few options. | Dependiendo de la forma en que su ISP le brinde acceso a Internet, puede tener o no un módem externo que puede o no entender el protocolo pppoe. Hoy en día parece que se ha vuelto menos común tener módem *DSL interno mientras que los módems externos se han vuelto más populares. La mayoría de ellos utilizan el protocolo pppoe. Técnicamente, no hay mucha diferencia entre configurar un módem interno con solo el uso de pppd en un módem externo que usa pppoe, el primero requerirá un paquete adicional (rp-pppoe) y solo algunas opciones adicionales en el archivo de configuración. Mostraré cómo configurar con el uso de pppoe, si ese no es su caso, solo elimine algunas opciones. |
| |
If you have installed both ppp and rp-pppoe you will find a that most of the configuration has already been done with most commonly usefull options in /etc/ppp, still there is a limited amount of work that needs to be done and I also advise to detour from the use of pppoe-start to initiate the connection to stick to something that remains the same regardless of whether you're using pppoe or not. To do this I configure a peer for my ISP and add in there a few options instructing pppd to use pppoe plugin. | Si ha instalado tanto ppp como rp-pppoe, encontrará que la mayoría de la configuración ya se ha realizado con las opciones más comunes en /etc/ppp, aún hay una cantidad limitada de trabajo que debe hacerse y también se aconseja desviarse del uso de pppoe-start para iniciar la conexión para mantener algo que permanece igual, independientemente de si está utilizando pppoe o no. Para hacer esto, configuro un igual para mi ISP y agrego algunas opciones que le indican a pppd que use el complemento pppoe. |
| |
To do this you need to create a file in /etc/ppp/peers, call it something that will make it obvious to you what the peer will connect to: for instance if your ISM is called "Telco" you might want to create a file called something like /etc/ppp/peers/telco and here's what needs to go in there typically: | Para hacer esto, necesita crear un archivo en /etc/ppp/peers, llámelo como algo que le haga evidente a qué se conectará el peer: por ejemplo, si su ISM se llama "Telco", es posible que desee crear un archivo llamado algo así como /etc/ppp/peers/telco y esto es lo que debe incluir normalmente: |
| |
plugin rp-pppoe.so | plugin rp-pppoe.so |
updetach | updetach |
| |
If your ISM charges you based on time rather than band usage you might want to uncomment the idle and demand options so that the PPP connection will not stay alive when it's not actually in use. | Si su ISM le cobra por tiempo en lugar del uso de la banda, es posible que desee descomentar las opciones de inactividad y demanda para que la conexión PPP no permanezca activa cuando no esté en uso. |
Pot as much as you can here in the peer and as little as possible in the /etc/ppp/options file so that you can possibly have one or more backup peres that are functional without editing any configuration. | Haga lo mejor que pueda aquí en el par y tan poco como sea posible en el archivo /etc/ppp/options, de modo que posiblemente pueda tener una o más tareas de copia de seguridad que funcionen sin editar ninguna configuración. |
If these options do not work for you I suggest you read the /usr/doc/rp-pppoe-3.11/HOW-TO-CONNECT documentation and use pppoe-setup for a guided configuration, fire up the connection with pppoe-start and take not of the options used, then edit accordingly your peer and revert back to using pppd call <peer>. | Si estas opciones no funcionan para usted, le sugiero que lea la documentación /usr/doc/rp-pppoe-3.11/HOW-TO-CONNECT y use pppoe-setup para una configuración guiada, inicie la conexión con pppoe-start y tome No es una de las opciones utilizadas, luego edite en consecuencia a su par y vuelva a usar pppd call <peer>. |
| |
We're not done yet we need to edit pap-secrets or chap-secrets so that pppd can complete authentication. Which file needs to be addressed may depend on your isp but if you put the same content in both then you should be ok whatever your ISP requires. | Aún no hemos terminado. Necesitamos editar pap-secrets o chap-secrets para que pppd pueda completar la autenticación. El archivo que deba abordarse puede depender de su ISP, pero si coloca el mismo contenido en ambos, debería estar bien, independientemente de lo que requiera su ISP. |
| |
| |
# Secrets for authentication using PAP | # Secrets for authentication using PAP |
# client server secret IP addresses | # client server secret IP addresses |
"username your ISM gave you" * "password your ISM gave you" | "username your ISM gave you" * "password your ISM gave you" |
| |
You can now fire up your internet connection with | Ahora puede activar su conexión a Internet con |
pppd call telco | pppd call telco |
| |