Tags: router | Tomato

Tomato

oprogramowanie bazujące na kodzie HyperWRT pracujące pod kontrolą systemu Linux, przeznaczone do routerów firmy Linksys, Buffalo AirStation oraz niektórych modeli firmy Asus. Napisany i rozwijany jest przez Jonathan'a Zaratea. Większość kodu źródłowego oprogramowania Tomato znajduje się pod licencją GNU GPL. Najbardziej godną zauważenia cechą tego oprogramowania jest jego interfejs web'owy, który zawiera kilka rodzajów wykresów użycia pasma, zaawansowane funkcje QoS oraz ograniczania dostępu, podnoszenia limitów połączeń dla P2P. Wspiera technologię szybkiego przesyłu danych z prędkością 125Mbp/s (nazywaną przez Linksys - SpeedBooster).

Możliwości Tomato - ważniejsze cechy i trochę teorii

WAN/Internet dostępne opcje:

• DHCP - (ang. Dynamic Host Configuration Protocol - protokół dynamicznego konfigurowania węzłów) - protokół komunikacyjny umożliwiający komputerom uzyskanie od serwera danych konfiguracyjnych, np. adresu IP hosta, adresu IP bramy sieciowej, adresu serwera DNS, maski podsieci.


• PPPoE - (Point-to-Point Protocol over Ethernet)jest protokołem połączeniowym używanym w technologii ADSL. Protokół ten stosuje enkapsulację ramek PPP w ramki Ethernetu.


• Static - stałe dane konfiguracyjne podane przez ISP: adresu IP hosta, adresu IP bramy sieciowej, adresu serwera DNS, maski podsieci


• PPTP - (Point to Point Tunneling Protocol)to protokół komunikacyjny umożliwiający tworzenie wirtualnych sieci prywatnych wykorzystujących technologię tunelowania. Polega to na zdalnym dołączaniu się do stacji roboczych lub sieci (głównie opartych na systemie operacyjnym Windows) za pośrednictwem Internetu i tworzeniu wirtualnego połączenia z lokalną siecią (np. firmową). Ma zapewnić jednocześnie zachowanie bezpieczeństwa przy zdalnym przesyłaniu danych. Inicjalizacja połączenia wykonywana jest na port 1723.


• L2TP - (ang. Layer Two Tunneling Protocol, dekapsułkowanie danych tunelowanych za pomocą IPsec) protokół umożliwia szyfrowanie ruchu IP, IPX oraz NetBEUI i przekazywanie go poprzez dowolne medium transmisyjne, obsługujące dostarczanie datagramów w połączeniu punkt-punkt, np. IP, X.25, Frame Relay czy ATM.


• Disabled - możliwość wyłączenia portu WAN i użycie jako portu LAN

Wireless Mode dostępne opcje:

• Wireless Client - klient sieci


• AP (Access Point) - punkt dostępowy


• AP (Access Point) + WDS (Wireless Distribution System) - tryb ten pozwala na jednoczesną pracę urządzenia jako repeater i punkt dostępowy. W trybie tym muszą pracować wszystkie urządzenia obsługujące daną sieć.

• Wreless Ethernet Bridge - tryb do łączenia dwóch lub więcej segmentów sieci (LAN lub części sieci LAN), które są fizycznie i logicznie (przez protokół) rozdzielone.

• WDS (Wireless Distribution System) - tryb, w którym nadrzędny punkt dostępowy przekazuje pakiety do klientów WDS, które rozsyłają do podrzędnych punktów dostępowych. Istnieje ograniczenie do ok. 6 punktów podrzędnych. WDS to inaczej funkcja bezprzewodowego mostu. Jeśli punkt dostępowy lub bezprzewodowy router posiadają funkcję WDS, to możliwe jest wtedy bezprzewodowe łączenie tych urządzeń - drugi punkt dostępowy otrzymuje sygnał od pierwszego, wzmacnia go i rozsyła dalej w granicach swojego zasięgu.

Wireless Security dostępne opcje:

• Disabled
• WEP
• WPA Personal
• WPA Enterprise
• WPA2 Personal
• WPA2 Enterprise
• WPA/WPA2 Personal
• WPA/WPA2 Enterprise
• Radius

WINS

Windows Internet Name Service - usługa stworzona przez firmę Microsoft, umożliwiającą tłumaczenie nazw komputerów na adresy internetowe.

Użytkownik korzystający z usługi WINS może odwoływać się do komputerów w sposób bardziej intuicyjny pisząc po prostu jego nazwę np.: SEKRETARIAT. Nazwa ta zostaje następnie zamieniona na adres IP tego komputera. Komputery w sieci porozumiewają się właśnie za pomocą tych adresów. WINS zawiera bazę danych, która odwzorowuje adresy IP na nazwy NetBIOS danego komputera i odwrotnie. Usługa WINS może działać sama lub we współpracy z serwerem DNS. Usługa przeznaczona jest dla małych sieci, składających się z kilkunastu komputerów. Korzystanie w takim wypadku z usług DNS oraz Active Directory nie jest konieczne. Usługa WINS jest zbudowana na architekturze klient-serwer. Serwer WINS, który obsługuje zapytania i rejestruje nazwy, oraz klienta (NetBios i TCP/IP), które tworzy zapytania związane z rozpoznawaniem nazw.

Usługa WINS może być także udostępniana przez serwer Samba.

Ipv6

Internet Protocol version 6 – protokół komunikacyjny, będący następcą protokołu IPv4, do którego opracowania przyczynił się w głównej mierze problem małej, kończącej się ilości adresów IPv4. Podstawowymi zadaniami nowej wersji protokołu było zwiększenie długości adresu z 32-bitów do 128-bitów, uproszczenie nagłówka protokołu oraz zapewnienie jego elastyczności poprzez wprowadzenie rozszerzeń a także wprowadzenie wsparcia dla klas usług. Protokół jest znany także jako IP Next Generation oraz IPng[1]. Głównymi dokumentami opisującymi protokół są RFC2460 oraz RFC4291.

DDNS

Dynamic Domain Name System - Dynamic DNS lub DDNS jest mechanizm aktualizacji nazwy hosta DNS o aktualny adres IP tak, aby po wpisaniu w URL np. nazwa_host.dyndns.org, zawsze nawiązywać połączenie, niezależnie od tego, czy znamy aktualny adres IP.

Usługa DDNS świadczona jest przez wiele serwisów i w podstawowej wersji jest usługą darmową, a urządzenia, które współpracują z DDNS zwykle maja wpisane na stałe kilka adresów popularnych serwisów.

Usługa DDNS pomoże nam uruchomić serwer www, a za pośrednictwem VPN zarządzać komputerami, mieć dostęp do plików, drukarek, kamer.

Static DHCP

Static Dynamic Host Configuration Protocol – protokół komunikacyjny umożliwiający komputerom uzyskanie od serwera danych konfiguracyjnych - adresu IP hosta, adresu IP bramy sieciowej, adresu serwera DNS, maski podsieci.

W sieci opartej na protokole TCP/IP każdy komputer ma co najmniej jeden adres IP i jedną maskę podsieci; dzięki temu może się komunikować z innymi urządzeniami w sieci. Static DHCP umożliwia przypisanie konretnych ustawień narzucanych poszczególnym klientom

Wireless Filter

Filtr adresów MAC urządzeń bezprzewodowych - wyświetla stan filtra adresów MAC urządzeń bezprzewodowych w sieci: Enabled (Włączony) lub Disabled (Wyłączony).

DMZ

Demilitarized zone - strefa zdemilitaryzowana bądź ograniczonego zaufania – jest to wydzielany na zaporze sieciowej (ang. firewall) obszar sieci komputerowej nie należący ani do sieci wewnętrznej (tj. tej chronionej przez zaporę), ani do sieci zewnętrznej (tej przed zaporą; na ogół jest to Internet). W strefie zdemilitaryzowanej umieszczane są serwery "zwiększonego ryzyka włamania", przede wszystkim serwery świadczące usługi użytkownikom sieci zewnętrznej, którym ze względów bezpieczeństwa nie umożliwia się dostępu do sieci wewnętrznej (najczęściej są to serwery WWW i FTP). W strefie zdemilitaryzowanej umieszczane są także te serwery usług świadczonych użytkownikom sieci wewnętrznej, które muszą kontaktować się z obszarem sieci zewnętrznej (serwery DNS, proxy, poczty i inne), oraz serwery monitorujące i reagujące na próby włamań IDS.

W przypadku włamania na serwer znajdujący się w strefie DMZ intruz nadal nie ma możliwości dostania się do chronionego obszaru sieci wewnętrznej.

Triggered

Umożliwia zautomatyzowanie przekierowania portów, w których ruch wychodzący z określonych portów powoduje, że ruch przychodzący do określonych portów przychodzących będzie dynamicznie przekazane do hosta inicjującego. Dzięki temu komputery za NAT-routerem w sieci lokalnej nie muszą mieć stałego adresu IP. Zaletą tego rozwiązania jest, że w przypadku gdy porty nie są wykorzystywane są zamknięte. Z jednego portu w tym samym czasie może korzystać tylko jeden komputer.

QoS

Quality of Service – mechanizm umożliwiający gwarantowanie wymaganej szerokości pasma transmisyjnego na potrzeby wybranego zastosowania.

Access Restriction

ograniczenie dostępu - blokowanie dostęp do internetu, bądź wybranych usług/portów.

USB and NAS:

• USB Support
• FTP Server
• File Sharing
• Media Server

VPN Tunneling

Virtual Private Network, Wirtualna Sieć Prywatna można opisać jako tunel, przez który płynie ruch w ramach sieci prywatnej pomiędzy klientami końcowymi za pośrednictwem publicznej sieci (takiej jak Internet) w taki sposób, że węzły tej sieci są przezroczyste dla przesyłanych w ten sposób pakietów. Taki kanał może opcjonalnie kompresować lub szyfrować w celu zapewnienia lepszej jakości lub większego poziomu bezpieczeństwa przesyłanych danych.

Określenie "Wirtualna" oznacza, że sieć ta istnieje jedynie jako struktura logiczna działająca w rzeczywistości w ramach sieci publicznej, w odróżnieniu od sieci prywatnej, która powstaje na bazie specjalnie dzierżawionych w tym celu łącz. Pomimo takiego mechanizmu działania stacje końcowe mogą korzystać z VPN dokładnie tak jak gdyby istniało pomiędzy nimi fizyczne łącze prywatne. Rozwiązania oparte na VPN powinny być stosowane np. w sieciach korporacyjnych firm, których zdalni użytkownicy dosyć często pracują ze swoich domów na niezabezpieczonych łączach. Wirtualne Sieci Prywatne charakteryzują się dość dużą efektywnością, nawet na słabych łączach (dzięki kompresji danych) oraz wysokim poziomem bezpieczeństwa (ze względu na szyfrowanie).

• Server
• Client

CIFS Client

udostępnienie dysku lokalnego komputera na potrzeby routera np do gromadzenia statystyk pobranych i wysłanych danych.

Linki zewnętrzne: