RouterOS 中 RAW 表的基本规则配置一例

RouterOS6.36rc21 开始支持 raw——

*) firewall - added pre-connection tracking filter - "raw"  table, that allow to protect connection-tracking from unnecessary traffic;

料想其与 iptables 的该特性优势一致(可提升性能),
于是尝试将以前写在主表的部分规则移到了 raw 表:

/ip firewall raw
add chain=prerouting action=drop packet-size=1492-65535 log=no protocol=icmp comment="Drop oversized unfragmented packets"
add chain=prerouting action=drop in-interface=all-ppp icmp-options=8:0 log=no protocol=icmp comment="Drop pings from WAN"
add cchain=prerouting action=drop in-interface=all-ppp dst-port=53 log=no protocol=tcp comment="Drop tcp DNS queries from WAN"
add chain=prerouting action=drop in-interface=all-ppp icmp-options=8:0 log=no protocol=icmp comment="Drop udp DNS queries from WAN"
add chain=prerouting action=drop tcp-flags=fin,syn log=no protocol=tcp comment="SYN-FIN attack protection"
add chain=prerouting action=drop tcp-flags=syn,rst log=no protocol=tcp comment="SYN-RST attack protection"
add chain=prerouting action=drop tcp-flags=fin,psh,urg,!syn,!rst,!ack log=no protocol=tcp comment="X-Mas attack protection"
add chain=prerouting action=drop tcp-flags=fin,!syn,!rst,!psh,!ack,!urg log=no protocol=tcp comment="NMAP FIN attack protection"
add chain=prerouting action=drop tcp-flags=fin,syn,rst,ack,urg,!psh log=no protocol=tcp comment="NMAP Push attack protection"
add chain=prerouting action=drop tcp-flags=fin,psh,urg,!syn,!rst,!ack log=no protocol=tcp comment="NMAP FIN/PSH/URG attack protection"
add chain=prerouting action=drop tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg log=no protocol=tcp comment="NULLflags attack protection"
add chain=prerouting action=drop tcp-flags=fin,syn,rst,psh,ack,urg log=no protocol=tcp comment="ALLflags attack protection"

将“树莓派”作为网关配合 ROS 实现国外流量加速

前言

为了提升 OSMC 的使用体验而购买了 Raspberry Pi 2 Model B
于是淘汰了一台 v1Model B 下来(下称 RPi )。
看着 egdeLSS 的 Pro 套餐配额每月剩一大半着实心疼,
决定用 RPi 架个家庭网关给 PS4 和 AppleTV 加加速

RPi 上的配置

我的 RPi 安装 Raspbian Jeesie Lite
其它系统大同小异。

配置 egdeLSS

先去 egdeLSS 官网下载适配 RPi 的 Cli 转换器(下称 SE )并给予执行权限,
执行时会报错 No such file or directory
疑是依赖未解决。
尝试找出依赖:

head -1 SE | cat -A
...
/lib/ld-linux.so.3
...

看来缺少 /lib/ld-linux.so.3
尝试解决

ln -s /lib/ld-linux-armhf.so.3 /lib/ld-linux.so.3

再次执行不再报错。

配置文件示例可见官网,
细节调整可参考 yxorPAH 的文档。
其关键的配置项如下:

- 阅读剩余部分 -

在 NginX 上为证书配置 OCSP Stapling

前言

 QuChao.com 的 Stapled OCSP Response

去年末“赶时髦”申请了 Let's Encrypt(下称 LE )的免费证书,
遗憾的是还不支持泛域名 ECC 证书(后者已被支持,中间证书则尚未提供),
不过一切都在进行之中。
有兴趣者请密切关注其论坛。

其中间证书虽已让被广泛支持的 IdenTrust 根证书 交叉签发,
然而它仍旧只是个刚“出道”的 CA ,
不少服务器和本地程序还未信任其证书,
一些朋友可能与我一样在配置 ssl_stapling_file 时遇到一些困难,
于是我将这部分配置过程从笔记里摘出来与大家分享、探讨。

关于 OCSP Stapling 的资料很多,
自己也还在学习之中,
这里仅给出一些链接:
简单地说它是一种的优化手段——
将原本需要客户端实时发起的 OCSP 请求转嫁给服务端;
利用 NginX 的 ssl_stapling_file 指令更可将业已缓存的查询结果直接返回,
使得缓存的更新时间更可加控。

环境

我使用的环境如下:

其中 NginX 版本最为关键,
它从 1.3.7+ 开始支持该特性。

  • CentOS/7.2.x
  • NginX/1.9.x
  • OpenSSL/1.0.1e

启用 OCSP Stapling

我们假定你已从 LE 申请到了证书,
并能正常提供服务。

- 阅读剩余部分 -

RouterOS 中设置 PCC 多线负载均衡

前言

ROS 中配置完 PCC 后的 PPPoE 流量

目前公司有近百台设备,
申请两条电信 100M 光纤,
之前几个月一直分成两个网络在使用,
除了偶尔某条线过于繁忙之外也没什么不便。

最近我搭了内网的研发测试环境,
势必要将设备统一到同个办公内网。
索性买了一台与家里型号相同的 RB850Gx2
准备除了合并网络之外顺便做多线负载均衡。

介绍

ROS 官网介绍了多种 LB 方案
用得较多的分 PCC (Per Connection Classifier) 和 Nth 两种;
我理解二者的区别主要在于:前者基于 IP 而后者基于连接,
因此后者从流量角度来说更为均衡,而前者稳定性更佳;
办公网当然是稳定压倒一切。

配置

官网教程通常选用固定 IP 做示例,
咱们动态 IP 用户需要稍作调整 (参考此文),
记录如下——

- 阅读剩余部分 -

“树莓派”上 OSMC 安装及配置过程

安装

OSMC 的前身是 Raspbmc
有关 Raspbmc 、OpenELECXBian 的多方面对比可参看此文

下载镜像

我使用的 Raspberry Pi Model B (下简称 RPi ),请根据手中设备选择镜像并调整相关步骤。

OSMC 官网 下载适配 Raspberry Pi 1 (ARM11 平台) 的 DiskImage 文件。

将镜像写入 SD 卡

官方建议尽量使用 Class 10 的 SD 卡。

确认 SD 卡的分区名:

$ df -h
Filesystem      Size   Used  Avail Capacity  iused  ifree %iused  Mounted on
/dev/disk1     111Gi  108Gi  2.9Gi    98% 28397796 760858   97%   /
devfs          186Ki  186Ki    0Bi   100%      644      0  100%   /dev
map -hosts       0Bi    0Bi    0Bi   100%        0      0  100%   /net
map auto_home    0Bi    0Bi    0Bi   100%        0      0  100%   /home
/dev/disk2s1    69Mi   37Mi   32Mi    55%        0      0  100%   /Volumes/UNTITLED

- 阅读剩余部分 -