Freebsd 9.3 и CloudTV

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
wien
мл. сержант
Сообщения: 148
Зарегистрирован: 2014-06-26 18:38:44
Откуда: DafaultCity
Контактная информация:

Freebsd 9.3 и CloudTV

Непрочитанное сообщение wien » 2015-09-29 22:55:51

Привет всем здравым!

Существует проблема с просмотром youtube на телевизоре под управлением системы CloudTV (аналог SmartTV, много их развелось). А именно: видео тормозит, часто останавливается и буферизируется (кажется, средств диагностики нет). Сам телик подключен по Wi-Fi, точка доступа D-link G700AP стоит в двух метрах, воткнута в шлюз FreeBSD:

Код: Выделить всё

FreeBSD eng102.gateway 9.3-RELEASE-p8 FreeBSD 9.3-RELEASE-p8 #0: Wed Feb 18 00:32:59 MSK 2015     root@eng102.gateway:/usr/obj/usr/src/sys/ROUTER5.0  i386
На шлюзе стоит ipfw+kernel nat+squid.
Хочу отметить, что за шлюзом так же 2 ноутбука, на них проблем нет. Вопрос в том, какими средствами диагностики в FreeBSD на шлюзе можно убедиться, что затык все-таки в телике?
внутренняя сеть 10.0.0.0, внешний ип заменил в выводе команды ipfw list на external.IP

Код: Выделить всё

00100 check-state
00110 allow ip from any to any via lo0
00120 deny ip from any to 127.0.0.0/8
00130 deny ip from 127.0.0.0/8 to any
00140 deny ip from any to 10.0.0.0/8 in via ng0
00150 deny ip from any to 172.16.0.0/12 in via ng0
00160 deny ip from any to 192.168.0.0/16 in via ng0
00170 deny ip from any to 0.0.0.0/8 in via ng0
00180 deny ip from any to 169.254.0.0/16 in via ng0
00190 deny ip from any to 240.0.0.0/4 in via ng0
00200 deny icmp from any to any frag
00210 deny log logamount 100 icmp from any to 255.255.255.255 in via ng0
00220 deny log logamount 100 icmp from any to 255.255.255.255 out via ng0
00230 fwd 127.0.0.1,3128 tcp from 10.0.0.0/24 to any dst-port 80 via ng0
00240 nat 1 ip from 10.0.0.0/24 to any out via ng0
00250 nat 1 ip from any to external.IP in via ng0
00260 deny ip from 10.0.0.0/8 to any out via ng0
00270 deny ip from 172.16.0.0/12 to any out via ng0
00280 deny ip from 192.168.0.0/16 to any out via ng0
00290 deny ip from 0.0.0.0/8 to any out via ng0
00300 deny ip from 169.254.0.0/16 to any out via ng0
00310 deny ip from 224.0.0.0/4 to any out via ng0
00320 deny ip from 240.0.0.0/4 to any out via ng0
00330 allow tcp from any to any established
00340 allow ip from external.IP to any out xmit ng0
00350 allow udp from any 53 to any via ng0
00360 allow udp from any to any dst-port 53 via ng0
00370 allow udp from any to any dst-port 123 via ng0
00380 allow ip from any to me dst-port 49152-65535 via ng0 keep-state
00381 allow ip from me to any dst-port 49152-65535 via ng0 keep-state
00382 allow tcp from any to me dst-port 21 in via ng0 setup keep-state
00383 allow tcp from me 20,21 to any out via ng0 keep-state
00400 allow icmp from any to any icmptypes 0,8,11
00410 allow tcp from any to external.IP dst-port 80 via ng0
00420 allow tcp from any to external.IP dst-port 2200 via ng0
00430 allow udp from any to external.IP dst-port 27015 via ng0 limit src-addr 30
00440 allow udp from any to external.IP dst-port 27910 via ng0 limit src-addr 30
00450 allow gre from any to any via re0
00460 allow tcp from any to any via re0
00470 allow udp from any to any via re0
00480 allow icmp from any to any via re0
00490 allow tcp from any to me dst-port 1723 in via ng0
00500 allow tcp from me 1723 to any out via ng0
00510 allow gre from me to any out via ng0
00520 allow gre from any to me in via ng0
00540 allow tcp from any to 10.0.39.20,10.0.39.21,10.0.39.22
00550 allow tcp from 10.0.39.20,10.0.39.21,10.0.39.22 to any
00560 allow udp from any to 10.0.39.20,10.0.39.21,10.0.39.22
00570 allow udp from 10.0.39.20,10.0.39.21,10.0.39.22 to any
00580 fwd 127.0.0.1,3128 tcp from 10.0.39.20,10.0.39.21,10.0.39.22 to any dst-port 80 via ng0
00590 allow tcp from 10.0.30.4,10.0.30.5 to 10.0.30.4,10.0.30.5
00600 allow udp from 10.0.30.4,10.0.30.5 to 10.0.30.4,10.0.30.5
00610 deny log logamount 100 ip from any to any
65535 deny ip from any to any
Привожу конфиг фаервола, возможно внем изъян, если кто что увидит - пишите:

Код: Выделить всё

#!/bin/sh

# v.01.00.00    13.03.2014      First working version of firewall
# v.01.10.00    28.06.2014      Version of firewall with hotspot support
# v.01.11.00    29.06.2014      Added "table 0" for previleged users
# v.01.12.00    30.06.2014      Added rule for blocking dos attack
# v.01.13.00    04.07.2014      Deny Netbion on the LanOut, deny ident
# v.01.14.00    23.06.2015      Added RDP access to notebook + client vpn
# v.01.14.01    12.08.2015      Added group client and rules 590, 600
# v.01.14.02    09.09.2015      Deleted rules for RDP access, have to use VPN instead.
#                               RDP rule No 442 still available in /etc/firewall.ht8
#                               firewall script file

# для начала вводим переменные - для нашего же удобства, чтобы не
# вводить по сотне раз одно и то же, а потом искать почему не работает,
# и в итоге выяснять, что ошибся IP адресом в одном из правил

FwCMD="/sbin/ipfw -q"   # собственно где лежит бинарник ipfw
LanOut="ng0"            # внешний интерфейс
LanIn="re0"             # внутренний интерфейс
IpOut=`ifconfig ng0 | awk '$1=="inet"{print $2}'`  # внешний IP адрес машины
IpIn="10.0.0.1"         # внутренний IP машины
NetMask="24"            # маска внутренней сети
NetIn="10.0.0.0"        # Внутренняя сеть
trusted="10.0.39.20,10.0.39.21,10.0.39.22"      # довереные клиенты сети
bavr="10.0.30.4,10.0.30.5" #отдельная группа лиц

# Сбрасываем все правила:
${FwCMD} -f -q flush

# Сбрасываем содержимое таблиц
${FwCMD} -f table 0 flush

# В эту таблицу будем добавляем превилигированных пользователей.
${FwCMD} table 0 add 10.0.0.3
${FwCMD} table 0 add 10.0.0.4
${FwCMD} table 0 add 10.0.0.5
${FwCMD} table 0 add 10.0.0.6
${FwCMD} table 0 add 10.0.0.7
${FwCMD} table 0 add 10.0.0.10
${FwCMD} table 0 add 10.0.0.100

# Проверяем - соответствует ли пакет динамическим правилам:
${FwCMD} add 100 check-state

# Разрешаем весь траффик по внутреннему интерфейсу (петле)
# Вообще я во многих местах читал что без него может ничё не заработать вообще
# и прочие страшилки. Работает - почта, апач, .... А вот squid - не работает :)
# так что без него и правда - никуда.
${FwCMD} add 110 allow ip from any to any via lo0
# рубим попытки lo0 куда-то лезть и откуда-то лезть на lo0 (вот честно - ни
# одного пакета по этим правилам не зарубилось за всё время... Может в этом
# моё счастье? :))
${FwCMD} add 120 deny ip from any to 127.0.0.0/8
${FwCMD} add 130 deny ip from 127.0.0.0/8 to any


# Вводим запреты:
# режем частные сети на внешнем интерфейсе - по легенде он у нас
# смотрит в интернет, а значит пакетам этим браться неоткуда на нём.
# рубим частные сeти
${FwCMD} add 140 deny ip from any to 10.0.0.0/8 in via ${LanOut}
${FwCMD} add 150 deny ip from any to 172.16.0.0/12 in via ${LanOut}
${FwCMD} add 160 deny ip from any to 192.168.0.0/16 in via ${LanOut}
${FwCMD} add 170 deny ip from any to 0.0.0.0/8 in via ${LanOut}
# рубим автоконфигуреную частную сеть
${FwCMD} add 180 deny ip from any to 169.254.0.0/16 in via ${LanOut}
# рубаем мультикастовые рассылки
${FwCMD} add 190 deny ip from any to 240.0.0.0/4 in via ${LanOut}
# рубим фрагментированные icmp
${FwCMD} add 200 deny icmp from any to any frag
# рубим широковещательные icmp на внешнем интерфейсе
${FwCMD} add 210 deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add 220 deny log icmp from any to 255.255.255.255 out via ${LanOut}

# а тут собственно файрволл и начался:

# отправляем всех на squid (в данном случае - прокси прозрачный)
${FwCMD} add 230 fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}

# пропускаем траффик через трансляцию сетевых адресов (NAT); reset - смена IP адреса
# после его обновления, deny_in - предписывает запрет пропускать через nat входящие пакеты для которых нет
# совпадения во внутренней таблице активных соединений, или же нет совпадения с другими правил демаскировки
${FwCMD} nat 1 config log if ${LanOut} reset same_ports
${FwCMD} add 240 nat 1 ip from ${NetIn}/${NetMask} to any out via ${LanOut}
${FwCMD} add 250 nat 1 ip from any to ${IpOut} in via ${LanOut}

# рубим траффик к частным сетям через внешний интерфейс
# заметтьте - эти правила отличаются от тех что были выше!
${FwCMD} add 260 deny ip from 10.0.0.0/8 to any out via ${LanOut}
${FwCMD} add 270 deny ip from 172.16.0.0/12 to any out via ${LanOut}
${FwCMD} add 280 deny ip from 192.168.0.0/16 to any out via ${LanOut}
${FwCMD} add 290 deny ip from 0.0.0.0/8 to any out via ${LanOut}
# рубим автоконфигуреную частную сеть
${FwCMD} add 300 deny ip from 169.254.0.0/16 to any out via ${LanOut}
# рубаем мультикастовые рассылки
${FwCMD} add 310 deny ip from 224.0.0.0/4 to any out via ${LanOut}
# рубаем мультикастовые рассылки
${FwCMD} add 320 deny ip from 240.0.0.0/4 to any out via ${LanOut}

# разрешаем все установленные соединения (если они установились -
# значит по каким-то правилам они проходили.)
${FwCMD} add 330 allow tcp from any to any established
# разрешаем весь исходящий траффик (серверу-то в инет можно? :))
${FwCMD} add 340 allow ip from ${IpOut} to any out xmit ${LanOut}
# разрешаем DNS снаружи (нам же надо узнавать IP по именам машин?)
${FwCMD} add 350 allow udp from any 53 to any via ${LanOut}
# разрешаем DNS входящий снаружи - если на этой машине работает named
# и держит какую-то зону. В остальных случаях - не нужно
${FwCMD} add 360 allow udp from any to any 53 via ${LanOut}
# разрешаем UDP (для синхронизации времени - 123 порт)
${FwCMD} add 370 allow udp from any to any 123 via ${LanOut}
# разрешаем ftp снаружи (оба правила - для пасивного режима)
# для узнавания портранджа по которому будет работать, лезем в
#/usr/home/lissyara/>sysctl net.inet.ip.portrange.first
# net.inet.ip.portrange.first: 49152
# /usr/home/lissyara/>sysctl net.inet.ip.portrange.last
# net.inet.ip.portrange.last: 65535
# CHANGED!!!!!
${FwCMD} add 380 allow ip from any to me 49152-65535 via ${LanOut} keep-state
${FwCMD} add 381 allow ip from me to any 49152-65535 via ${LanOut} keep-state
#${FwCMD} add 380 allow tcp from any to ${IpOut} 21 via ${LanOut}
${FwCMD} add 382 allow tcp from any to me 21 in via ${LanOut} setup keep-state
${FwCMD} add 383 allow tcp from me 20,21 to any out via ${LanOut} keep-state
#Можно изгалиться примерно так, если есть желание, но я предпочитаю руками
#${FwCMD} add allow tcp from any to ${IpOut} \
#`sysctl net.inet.ip.portrange.first | awk '{print $2}'`-\
#`sysctl net.inet.ip.portrange.last | awk '{print $2}'` via ${LanOut}
# CHANGED!!!!!
#${FwCMD} add 390 allow tcp from any to me 10000-65535 in via ${LanOut} setup keep-state
#${FwCMD} add 390 allow tcp from any to ${IpOut} 10000-65535 via ${LanOut}
# разрешаем некоторые типы ICMP траффика - эхо-запрос,
# эхо-ответ и время жизни пакета истекло
${FwCMD} add 400 allow icmp from any to any icmptypes 0,8,11
# открываем снаружи 80 порт - если у нас есть WWW сервер на машине
${FwCMD} add 410 allow tcp from any to ${IpOut} 80 via ${LanOut}
# открываем снаружи 2200 порт - если надо будет ходить на машину по ssh
${FwCMD} add 420 allow tcp from any to ${IpOut} 2200 via ${LanOut}
# открываем снаружи 27015 порт для CS сервера
${FwCMD} add 430 allow udp from any to ${IpOut} 27015 via ${LanOut} limit src-addr 30
# открываем снаружи 27910 порт для Quake2 сервера
${FwCMD} add 440 allow udp from any to ${IpOut} 27910 via ${LanOut} limit src-addr 30

# разрешаю VPN изнутри локалки
${FwCMD} add 450 allow gre from any to any via ${LanIn}
# разрешаем весь tcp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add 460 allow tcp from any to any via ${LanIn}
# разрешаем весь udp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add 470 allow udp from any to any via ${LanIn}
# разрешаем весь icmp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add 480 allow icmp from any to any via ${LanIn}

# VPN - разрешаем слушать запросы на порту 1723
${FwCMD} add 490 allow tcp from any to me 1723 in via ${LanOut}
${FwCMD} add 500 allow tcp from me 1723 to any out via ${LanOut}

# VPN - разрешаем хождение gre траффика на интерфейсе
${FwCMD} add 510 allow gre from me to any out via ${LanOut}
${FwCMD} add 520 allow gre from any to me in via ${LanOut}
#${FwCMD} add 530 fwd 127.0.0.1,3128 tcp from ${trusted} to any 80 via ${LanOut}
${FwCMD} add 540 allow tcp from any to ${trusted}
${FwCMD} add 550 allow tcp from ${trusted} to any
${FwCMD} add 560 allow udp from any to ${trusted}
${FwCMD} add 570 allow udp from ${trusted} to any
${FwCMD} add 580 fwd 127.0.0.1,3128 tcp from ${trusted} to any 80 via ${LanOut}

# Bavr
${FwCMD} add 590 allow tcp from ${bavr} to ${bavr}
${FwCMD} add 600 allow udp from ${bavr} to ${bavr}

#${FwCMD} add 530 allow tcp from ${trusted} to ${trusted}
#${FwCMD} add 540 allow udp from ${trusted} to ${trusted}

# запрещаем всё и всем. Если тип файрволла не open то это правило добавится
# автоматически, но всё-же ну его. Лучше сам. Надёжней.
${FwCMD} add 610 deny log all from any to any
Буду рад, если кто поделиться опытом в вопросе дружбы всяких смарт тв с интернетом. Сталкивался кто с подобными проблемами? Если да - как решали?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
kharkov_max
капитан
Сообщения: 1810
Зарегистрирован: 2008-10-03 14:56:40

Freebsd 9.3 и CloudTV

Непрочитанное сообщение kharkov_max » 2015-09-30 8:12:37

wifi b/g/n ?
телевизор b/g/n ?
ноуты через wifi или по шнурку?
если wifi то в каком режиме подключаются b/g/n?
есть ли возможность телик подключить по кабелю?
порошивка последняя ? нет ли багов в ней? читали?

snorlov
подполковник
Сообщения: 3832
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Freebsd 9.3 и CloudTV

Непрочитанное сообщение snorlov » 2015-09-30 9:56:01

Выкиньте G700AP, дерьмовая точка и крайне не производительная, все ее прошивки пробовал... При трех клиентах и шифровании wpa-psk2(aes) ложилась только так, а снимешь шифрование и все хоккей...

Аватара пользователя
wien
мл. сержант
Сообщения: 148
Зарегистрирован: 2014-06-26 18:38:44
Откуда: DafaultCity
Контактная информация:

Freebsd 9.3 и CloudTV

Непрочитанное сообщение wien » 2015-09-30 13:17:41

kharkov_max писал(а):wifi b/g/n ?
D-LINK G700AP поддерживает b/g режимы и настроена в Mix mode
kharkov_max писал(а):телевизор b/g/n ?
К сожалению ни на официальном сайте, ни в настройках не удалось найти такую информацию, цепляется и ладно.
kharkov_max писал(а):ноуты через wifi или по шнурку?
через wifi
kharkov_max писал(а):если wifi то в каком режиме подключаются b/g/n?
ноутбуки в g, коммуникатор в b, но его редко юзаю
kharkov_max писал(а):есть ли возможность телик подключить по кабелю?
есть, и подключал минут на 10, разницы особой не заметил, вернулся обратно на вайфай
kharkov_max писал(а):порошивка последняя ? нет ли багов в ней? читали?
Обычно, когда новое ПО найдено - телевизор об этом сообщает и обновляется. Судя по отзывам на тематических форумах народ пишет, что у данной модели смарт тв "для галочки", весьма убогий и глючный, но о тормозах видео сообщения не попадались. Конкретно по данной версии ПО ничего сказать не могу, вечером доберусь домой и гляну.

2 snorlov: для чистоты эксперимента я все остальные wifi устройства выключал, когда тестировал, разницы не заметил. Точка мне тоже показалась странной, например после прошивки на wive и настроенном шифровании - все устройства цеплялись, кроме айфона, чем это вызвано до сих пор загадка, копался несколько часов, пробовал ставить wive помладше релизом - в итоге откатился на последнюю версию заводской прошивки. У меня нагрузки особой на нее и нет, в инете серфить пойдет. Под торренты не использую.

Аватара пользователя
kharkov_max
капитан
Сообщения: 1810
Зарегистрирован: 2008-10-03 14:56:40

Freebsd 9.3 и CloudTV

Непрочитанное сообщение kharkov_max » 2015-09-30 13:37:27

wien писал(а): kharkov_max писал(а):
есть ли возможность телик подключить по кабелю?


есть, и подключал минут на 10, разницы особой не заметил, вернулся обратно на вайфай
Мучайте на кабеле, для начала....
Если по витой паре тоже плохо работает, то нужно смотреть что может телевизор, может ему нужно прошивку обновить, софт какой нить и т.д.

Да, тут же наверное еще играет роль разрешение изоборажения.
Явно у Вас оно на телевизоре больше чем на ноуте.

Методом исключения найдите слабое звено и мучайте его ...

Аватара пользователя
wien
мл. сержант
Сообщения: 148
Зарегистрирован: 2014-06-26 18:38:44
Откуда: DafaultCity
Контактная информация:

Freebsd 9.3 и CloudTV

Непрочитанное сообщение wien » 2015-09-30 14:05:55

Хорошо, ближайший вечер проведу опутавшись витухой))
Благодарю всех неравнодушных!

guest
проходил мимо

Freebsd 9.3 и CloudTV

Непрочитанное сообщение guest » 2015-09-30 14:48:57

wien писал(а):Привет всем здравым!

Существует проблема с просмотром youtube на телевизоре под управлением системы CloudTV (аналог SmartTV, много их развелось). А именно: видео тормозит, часто останавливается и буферизируется (кажется, средств диагностики нет).
прям все-все ролики на youtube тормозят?

если не все, смотрите какие: кодеки, контейнеры...

ширина канала с провайдером какая?

Аватара пользователя
wien
мл. сержант
Сообщения: 148
Зарегистрирован: 2014-06-26 18:38:44
Откуда: DafaultCity
Контактная информация:

Freebsd 9.3 и CloudTV

Непрочитанное сообщение wien » 2015-09-30 16:03:12

guest писал(а):прям все-все ролики на youtube тормозят?
Почти все, причем степень "заторможенности" одного и того же ролика в разный момент может быть разной, специально проверял.
guest писал(а):если не все, смотрите какие: кодеки, контейнеры...
Средствами телевизора это установить нельзя.
guest писал(а):ширина канала с провайдером какая?
официально 10 мбит/с, по результатам замера туда и обратно в районе 15 мбит/с, тип подключения: домовая сеть Ethernet, PPPoE

guest
проходил мимо

Freebsd 9.3 и CloudTV

Непрочитанное сообщение guest » 2015-09-30 18:46:42

wien писал(а):
guest писал(а):прям все-все ролики на youtube тормозят?
Почти все, причем степень "заторможенности" одного и того же ролика в разный момент может быть разной, специально проверял.
вот Вам один вопрос: скорость заторможенности разная.
guest писал(а):если не все, смотрите какие: кодеки, контейнеры...
Средствами телевизора это установить нельзя.
а notebook/pc у Вас отсутствуют чтобы посмотреть что из себя представляет данный ролик? :)
Это Вам второй вопрос.
guest писал(а):ширина канала с провайдером какая?
официально 10 мбит/с, по результатам замера туда и обратно в районе 15 мбит/с, тип подключения: домовая сеть Ethernet, PPPoE
10Mbit для определенных роликов, особенно HD - это мало.

ps. Ну и разбираться лучше при UTP подключении, как только найдете ответы на верхние вопросы,
локализуете проблему, если решите, шнурок замените на вифи.

Аватара пользователя
wien
мл. сержант
Сообщения: 148
Зарегистрирован: 2014-06-26 18:38:44
Откуда: DafaultCity
Контактная информация:

Freebsd 9.3 и CloudTV

Непрочитанное сообщение wien » 2015-11-11 9:50:16

На проблему забил на некоторое время, небыло возможности заниматься, сейчас ТВ подключен по кабелю, возможно было какое-то обновление, не могу знать точно, поскольку не только я пользуюсь ТВ, но примерно уже недели 2 все работает прекрасно, никакие ролики не тормозят. Благодарю всех неравнодушных!