Wifi роутер – вирішення проблеми з перезавантаженнями

Типова ситуація: купили WiFi роутер, правильно налаштували його, але раз чи два на місяць пристрій перезавантажується. На перший погляд здається, що «винне» в цьому погана якість обладнання, або підвищене навантаження на нього. Але, навіть примусово знизивши число з’єднань і знизивши швидкість трафіку, вирішити проблему не вдається.

Насправді, причиною перезавантажень може бути наявність паразитного трафіку, що надходить на роутер з мережі провайдера. Як з цим боротися, розглянуто далі.

Протидіємо паразитного трафіку самі

Отже, причину проблем ми визначили – це наявність IP-пакетів, що надходять з «внешки» на роутер, але до того ж абсолютно не потрібних користувачеві. Іноді такий трафік організують спеціально (подібні атаки носять назву DDOS). Спеціально чи випадково на WAN-порт направляють паразитні пакети, нам знати не обов’язково. Краще зрозуміти, як від них позбутися.

Схема циркуляції IP-пакетів

Боремося проти DDOS, OpenWRT

Найбільш розвинений набір опцій, які сприяють відстеження паразитного трафіку, передбачений в прошивках OpenWRT. Дещо можна задіяти з графічного web-інтерфейсу, але всі існуючі налаштування доступні через конфігураційні файли, і ніяк не інакше. Якщо Ви не знайомі з тим, як змінювати параметри в файлах – не біда, можна спробувати правильно налаштувати фаєрвол. Для чого в розділі інтерфейсу «Network» передбачена вкладка «Firewall» -> «General Settings»:

Основні параметри Фаєрвол OpenWRT

Встановіть дві галочки, розташовані в блоці «General Settings» зверху, і збережіть налаштування (Save).

Всі параметри Фаєрвол записані файлі «etc / config / firewall». Якщо в цьому файлі виконати пошук і заміну слова «REJECT» на слово «DROP», ми отримаємо ідеальний роутер, що не пропускає в «локалку» нічого зайвого. Є ще більш радикальний спосіб позбавити себе від паразитного трафіку. У файлі /etc/sysctl.conf потрібно поміняти чотири наступні параметри:

  1. Параметр «net.netfilter.nf_conntrack_max» повинен отримати значення 4096
  2. У підгрупі net.netfilter знайдіть ще одну настройку, «nf_conntrack_udp_timeout_stream», і встановіть значення 180
  3. Параметр «nf_conntrack_udp_timeout» в цій же підгрупі повинен стати рівним 60
  4. «Nf_conntrack_tcp_timeout_established» встановіть в значення 600.

Останній з перерахованих рад слід застосовувати, тільки якщо зміна налаштувань брандмауера не вирішило проблему повністю.

Значення параметрів, які наведені вище, суперечать вимогам RFC 5382. І все ж, таку пораду сам по собі з’явитися не міг – його дія перевірено на практиці, і н у одного десятка користувачів. Загалом, фінальний вибір залишаємо за Вами.

Web-інтерфейс D-Link, протидія DDOS

У роутерах D-Link всі функції, що сприяють блокуванню паразитного трафіку, налаштовуються на вкладці «Advanced» -> «Firewall Settings»:

Вкладка параметрів Фаєрвол роутера

Задіявши функцію під назвою «SPI», Ви змусите роутер відстежувати, чи відповідає трафік, що передається протягом сеансу зв’язку, використовуваному цільовим протоколу. Протокол може бути таким: HTTP, FTP, і так далі. Навряд чи варто пояснювати, чому на роутері, оснащеному повільним процесором, функцію SPI потрібно задіяти далеко не завжди.

У блоці «NAT Endpoint Filtering» доступні наступні опції:

  • «Endpoint Independent» – вхідний трафік, що йде на порт N одній з локальних машин, не повинен перериватися більше, ніж на 5 хвилин. Після 5-тімінутной «паузи» порт N блокується (стає недоступний).
  • «Address Restricted» – нехай додаток підключається до зовнішнього сервера, використовуючи певний порт (N). Мова йде про порт самого додатка, а не сервера. Додаток встановлено на певній локальній машині (X), так ось, будь-які вхідні пакети з цільовим портом N будуть відправлені на хост X, і ні на який інший. Подібне обмеження виглядає суттєвим, але це – не проблема для тих, хто зможе правильно налаштувати програми, встановлені на кожному з локальних хостів.
  • «Port and Address Restricted» – припустимо, з однією з локальних машин із зовнішньої мережі було встановлено з’єднання, що використовує порт N. Тоді, будь-які запити з інших зовнішніх IP, що приходять на порт N цього ж локального хоста, будуть блокуватися. Дана опція несумісна з більшістю сучасних ігрових сервісів (хочете грати – не використовуйте її).

В інтерфейсі D-Link зазначені опції задіюються окремо для протоколу TCP і для UDP. За замовчуванням, як не дивно, для TCP вибрано «Port and Address Restricted», ось чому мережеві ігри можуть втрачати з’єднання.

Продовжуємо розглядати вкладку «Firewall Settings». Галочка «anti-spoof checking» передбачена для того, щоб захистити користувача від атак певного виду. Тут мова йде про спеціально організованих атаках, в яких імітується з’єднання з сервером. За замовчуванням цей захист відключена, що й зрозуміло: «спуфинг» може використовуватися лише в професійно організованих DDOS-атаки. Вибір зробіть самі.

Ссылка на основную публикацию