na XI626 je o dost lepsie pouzit HostAP (http://hostap.epitest.fi) a kartam ne2k-pci je lepsie sa vyhnut, vacsinou nevedia bus master pci a mavaju konflikty s inymi pci kartami, to radsej rtl8139, ale aj to nie je velka vyhra, najspolahlivejsie su 3com/intel hlavne pri vacsom mnozstve kariet
a slack bez X&co a gcc s perl/apache/bind... pod 100 mega no problem
na maly disk(napr ide flash) je vhodne pouzit >=2.4.22 a zmensit velkost reiserfs journalu
HostAP je pekna prasarna. Pokud clovek nepotrebuje
AP, tak jsou pry mnohem rozumnejsi wlan-ng ovladace, az najdu trochu casu, chci je vyzkouset (zatim je to jen jedna pani povidala, berte s rezervou).
rtl8139 sice neni zadna extra sitovka, ale kdyz clovek vezme v uvahu, ze bude akorat routovat 802.11b (coz je teoreticky 11Mbit, prakticky o dost min), tak je uplne jedno, co tam da.
Vyhoda realtecu je neprekonatelna cena a velmi odladene a stabilni drivery (i kdyz HW sam neni zadny zazrak). O 3com HW se vyjadrovat nebudu, ale drivery maji v linuxu dost problemy (jak Beckerovy, tak ty, co sem tam 3com vypustil).
Intel je dost drahy. Zelezo celkem slusne, ale (ostatne jak uz je u Intelu zvykem) to chce vyssi revize (napr. u jedne serverove 100Mbit sitovky s revizi 05 nefungovalo 802.1q apod.). Kod driveru e100 je psany celkem necitelnym zpusobem, e1000 jsem zatim radsi nezkoumal.
K tomu reiseru. Nevidim jediny duvod, proc davat na slaby router neco jineho, nez ext2. Proti vypadku je snadne se pojistit tim, ze po nabootovani se / premountuje ro a rw se necha jen /var (pro logy apod.). Pripadne pokud me logy nezajimaji, tak se rw oblasti muzou realizovat ramdiskem nebo nove formatovanou partition pri kazdem bootu.
Ohledne fs a montovani: zlata slova.
Zejmena v pripade flash medii, at uz jde o CF,
IDE flash disk nebo DiskOnChip/MTD, je tu jeden
zasadni duvod, proc mountovat flashku 'ro'
- flashka totiz opakovanymi zapisy trpi, rozhodne
vic nez tocivy harddisk. Kvuli pouhemu logovani
muze odejit treba uz za dva roky.
Takze se da bud namontovat flashka jako read-only
root a ramdisk na /var (bude jeste potreba par
symlinku), nebo se da udelat root na ramdisku
a flashku primontovat treba na /usr (plus par
symlinku), logovat staci na konzoli, nebo se da
udelat remote logging po siti, nebo se daji logy
v ramdisku rotovat...
Muj jednoduchy firewallek ma v tuhle chvili
12 MB, ale jsou tam rozezranosti jako vim-minimal,
tar+gzip+bzip2, sshd a dalsi zbytecne binarky
(tcpdump, iptraf, agetty...) Da se to stlacit
pomerne bez problemu na nejakych 6 MB. Hodne
orezany system se pak ale neda aktualizovat na dalku
a kvuli kazde reinstalaci se musi pripojovat CDcko.
Tenhle system je staveny od nuly ze soucastek,
ktere jsou zkopirovane z RH8.0 (plus novejsi
vanilla jadro). Nepouziva tedy miniaturni shell
a libc, zname z jednodisketovych distribuci - takze
v systemu chodi v zasade jakakoli aplikace
zkopirovana z "velkeho" linuxu, shell je pomerne
pritulny atd.
Intel je dost drahy? v pondeli jsem koupil 3 kousky eepro rev 08 (GD82559) po stovce :-)
co se tyce problemu s vlan na Intelech, nekde jsem cetl, ze potiz je v driverech a ne v zeleze ... co se zeleza tyce, uz dva roky uspesne pouzivam eepro rev 05 (alias Compaq NC3121) a byla to jedina karta, ktera mi bez problemu chodila proti 100 Mbps uplinku jakyhosi prapodivnyho prehistorickyho 10 Mbps hubu - 3c905B chodila na 10 Mbps a jine se nespojily vubec ...
vsetky intely nepodporuju vlan, az od nejakej rev. vyssie to ide. btw problem s vlan na inteloch je vecou drivera eepro100 v kernely, jeden malinky patch a bezi to. btw e100 driver od intelu problem nema. bezim 802.1q oproti catalystu 2950 (9 vlanov) a pohoda uplna, bezna prevadzka je okolo 3000 az 5000 pps (24 hod/7dni v tyzdni) a chodi to uz par mesiacov bez problemu.
> Za 100 to je opravu dobry kup. Jeste jsou?
u nas uz nejsou, nicmene myslimze staci obejit par kramu zabyvajicich se repasema a da se domluvit...
treba cdrom bych secondhand asi nekupoval, ale sitovku jsem zatim nekoupil novou ani jednu a zadna jeste neselhala (asi z 25 co jsem kdy bral do ruznych stroju a pro kamarady; naopak jeden znamy uz reklamoval fungl novy realtek - vim, neni to dostatecny statisticky vzorek, ale ...)
Hardware: staci cokoliv, co ma PCI - klidne i nejaka lepsi 486ka. U Pentii je dobre trochu podtaktovat a snizit napeti, pak procesor uchladi pasivak (treba nejaky chladic na Athlony bez vetraku).
Harddisk: pokud se nemusi archivovat logy, nejlepsi je se mu vyhnout. Flash je super, ale drahy. Pokud je >32MB, je IMHO nejlepsi reseni natahnout pri startu do pameti z CD-ROM ramdisk s cramfs {2.4+, compressed ramdisk fs)- je read-only a prakticky nemodifikovatelny. /var namontovat na tmpsf (2.4+, jako ramdisk, ale lepsi - zije v cachich a bufferech jadra a zere jen tolik pameti, kolik je na nem dat) s paramerem -o noexec a /tmp jako symlink do /var/tmp. Kdyz logy moc narostou, odeslat je mailem a smazat.
Binarky - existuje perfekni programek jmenem busybox, co nahradi kolem tri set binarek - sice s omezenou funkcnosti, ale to staci.
Moduly - pokud mozno se jim jde vyhnout, zerou vic pameti, musi byt veci jako modprobe (coz busybox umi). Bohuzel je to pro nektery hw nutnost.
Administrace: telnet je jen pro blazny a naivky. Bud ssh nebo administrace prez web. Ta je IMHO betpecnejsi, protoze pak tu vubec nemusi byt veci pro "lidi" jako getty, login nebo hesla, protoze to demoni nepotrebuji. Navic busybox umi i jednoduchy www server - na sledovani a jednoduche veci typu vypis logy, ukay silu signalu a AP v dosahu, restartuj se nebo vypni se to uplne staci a je to pohodlnejsi. Samozdrejmne je lepsi aby www server bezel jako obyc. uzilatel na vysokem portu a la 8000 nebo 8080 a pokud to nechcete ridit zvenku, tak mu povolit jen vnitrni rozhrani. Navic - pokud se nikdo nemusi prihlasovat, muzou byt v /etc/password jen hvezdicky - zkuste pak lamat hesla :-).
No a pri bootu se z CD-ROM zavede read-only ramdisk a CD-ROM se vypne (hdparm -y /dev/hda) a pak se toci jen vetrak ve zdroji (doporucuju trochu snizit napetiú).
Bezpecnost: Utok na takovyto router by byl velmi narocny - utocnik by musel napadnout nejakou bezici sluzbu, protoze prihlaseni klasickym zpusobem nelze (proc taky?) a pokud tam pobezi www server se statickymi strankamy a cgi-skripty, co neberou parametry, a navic jen jako nobody (veci co potrebjou bezet jako root, muzou mit jednoduchy wrapper co nebere paramatery, neco typu exec("reboot")), bude to opravdu velmi tezke.
Kdyby nedejboze se nekdo do serveru dostal, tak:
a) muze zapisovat jen do /var, ale nemuze od tu nic spustit (jak? - modifikovany mount, co neumi -o remount), muze zpoustet z /, ale nemuze tam nic zmenit (cramfs), a i kdyby, je to jen ramdisk
b) pokud se vyhazi nepotrebne veci, bude tezke ziskat privilegia roota
c) a i kdyz je ziska, nemuze udelat serveru zadnou skodu, nanejvis ho schodit nebo vypnout, protoze nema zadne non-volatile medium, na ktere muze zapsat nebo ho smazat
Muze leda skodit pocitacu za routerem, ale s NAT bez presmerovani portu na to muze pouzit jen nastroje z routeru, a pokud tam nic nebude (ani ping co umi flood) a nepujde presmerovat porty (mala uprava v ipchains nebo iptables to zaridi), nebude mit jak.
Jedine vazne hrozby jsou vnejsi DoS utoky a diry v jadre.
A pokud si na to vyrobite slusivou pixlicku a misto z CD-ROM se to natahne s flashdisku (USB - nove desky to umi, IDE - umi vsechny), ale musi to byt flashdisk co ma prepinavc read-only (nebo mala uprava jadra), no tak mate super wifi router i s administraci.
Mno, neni to spatna myslenka mit takovy minimalisticky router, ale zase ja treba kdyz jsem rozchodil svuj router tak jsem na nem zridil rovnou i web, ftp archiv s fotkami z digifotaku, skripty na sledovani terminu zkousek na MFF, prodluzovani vypujcek v knihovne a dalsi veci .... a to lze na read-only filesystemu jen tezko.(precejen je to pro domaci pouziti a zridit na tohle kvuli vyssi bezpecnosti dalsi masinu je drahe a mit zas furt zaply svuj "normalni" comp .... je neprakticke a hlucne)
Nehlede na to, ze zacatecnik by pri delani tehle distribuce na CD neco vypalit zapomnel, pokud by vybec neco takoveho vytvoril, takze napad je to dobry, ale spis tak pro pokrocilejsi uzivatele .... je pravda, ze kdyz se to udela hodne dobre, tak je uroven bezpecnosti u neceho takovyho vyssi nez u normalni instalace (aneb ani remote root exploit jeste nemusi znamenat totalni katastrofu, kdyz ten comp nepujde vzdalene prakticky ovladat). Zacatecnikum bych to ale nedoporucoval