俠諾 QNO 防火牆設置建議

buybuyhouse
個人積分：160分
文章編號：68284278

160分

樓主

2018-04-25 20:10

請教各位大大，我有一台QNO svm8641，目前設置提供宿舍 20 間房間使用。
每間房間有配一台安博盒子，每個盒子為固定IP配 (上傳/下載) 1K/15M，上網配 25/35。
宿舍沒架站，只配一台監視器，分 1M/1M
其實我也不太懂 SYN/UDP 這些，所以就是QNO出廠預設值，有改過 UDP 區域網路那部分，
單一來源IP改為 500 packets/sec，導致好幾台安博掛掉。
因為常常網路也當掉，不能連，所以懷疑是不是被攻擊，日誌裡也只是顯示 [DOS] 這樣的訊息，但不能確定是否因為 [DOS] 而掛掉。

主要是防火牆的設置，配置如下，請問這樣會太寬鬆嗎 ? 感謝

俠諾 QNO 防火牆設置建議

2018-04-25 20:10 發佈

文章關鍵字防火牆設置建議

chiouss

chiouss
個人積分：118分
文章編號：68288608

118分

2樓

2018-04-26 8:27

buybuyhouse wrote:
單一來源IP改為 500 packets/sec，導致好幾台安博掛掉。

太小，500 pkt/sec 對於 IPTV 這種設備根本不夠用，馬上被 block...
我住的地方房東這個值是設定在 5000，但我們這邊沒有用 IPTV，所以不代表這個值 OK

omniplay

omniplay
個人積分：182分
文章編號：68349433

182分

3樓

2018-04-30 21:40

Sessions 才30000，跑20個人用，規格太低了吧?!
一個人開5000，6個人就能搞掛了
或許 x86 Router +L2/L3 Switch(VLAN+IGMP，Session+Throught) + Proxy Server(通透式) 會比較好點?
這種規格比不上x86 Linux防火牆(VPN+QoS+Proxy)

buybuyhouse

buybuyhouse
個人積分：160分
文章編號：68367217

160分

樓主

2018-05-02 9:29

omniplay wrote:
Sessions 才30000，跑20個人用，規格太低了吧?!

請教大大， session 30000 是哪裡的設定，我是半調子。
應該要多少比較OK，謝謝喔。

doomday

doomday
個人積分：498分
文章編號：68373240

498分

5樓

2018-05-02 16:12

buybuyhouse wrote:
請教大大， session...(恕刪)

這是是指SVM8641本身的硬體效能最多就是30,000個網路連線sessions, 無法更改. 這效能算是低階入門級, 如果某人多開一些線上影音或BT下載, 一個人就能吃光30,000個sessions, 其他人就沒得玩了. 20人用的防火牆至少要用硬體效能100,000 ~ 300,000個sessions等級的防火牆才堪用.

buybuyhouse

buybuyhouse
個人積分：160分
文章編號：68373355

160分

樓主

2018-05-02 16:18

doomday wrote:
一個人就能吃光30,000個sessions

了解喔，是像下面這個設定嗎? 那請問大大，應該設定多少較合適，有在用電視盒跟上網，感謝。

omniplay

omniplay
個人積分：182分
文章編號：68378291

182分

7樓

2018-05-02 22:10

這台明擺著規格早就PhaseOut嚕!!!連官網English Support List都看不到!!!
-不支援IGMP Snooping===>就代表不支援IPTV，根本就不適用你的環境!!!!!
搞宿網的會不開多媒體串流(Multicast)?
-玩中國 Stream遊戲的必開Twitter(Streaming Serivce)
-PPS、網路電視.....(P2P Streaming)
-IPTV：宿網內的安博盒子

講白點，不支援 IGMP Snooping的韌體，就別想LAN區網內有IPTV 能跑得多順!
只要有一個人開啟，就會開起廣播風暴 Broadcast Storm，全部的埠都會被224.x.x.x 廣播影響
不相信? 納自己架一個Streaming Server來試試不就知道嚕!

它的最終韌體Firmware版本是2016年版!(一年多前)，可檢查版本上官網下載
韌體下載請開燈
【Firmware最終版本】

SVM8641繁體中文手冊

2手市場這台倒挺多的，別告訴我你是買2手的!要不是的話趕快換手
它的賣點是需要保證線路被援雙WAN的環境
但是通常firmware超過一年不更新的代表早晚會被攻破，真的可以換了!

#頻寬瓶頸：這台只有5埠，代表你下面還有Switch Hub，那台SwitchHub也可能是瓶頸之一，背板頻寬是關鍵!
#既然會配製一台Mirro 作 Monitor，拓樸規劃看Logs處理
#寬裕的Session數：4096/人，4096x20=81920
稍卡2048x20=40960...................絕對超過原廠Session數
30000/21=1428 session數/人 (還有一台mirror,20+1=21，這個數據應該會設到天怒人怨!!! )

#FW就是拿來檔的不然要幹嘛?
通用所有Router 的Firewall Rule(無開Service者必加)：
Source：Wan　　--->　Dest：Lan 必殺Block埠
-Port22~1024
-Port 3389 (MS RDP遠端遙控)

#QoS 下載須限速或是WAN大頻寬500Mbps↑
500/20=25

Made In Taiwan? 　I Don't think so.................
別再當中國網路大軍的僵屍Botnet跳板!!!!!

chiouss

chiouss
個人積分：118分
文章編號：68379484

118分

8樓

2018-05-02 23:40

omniplay wrote:
講白點，不支援 IGMP Snooping的韌體，就別想LAN區網內有IPTV 能跑得多順!
只要有一個人開啟，就會開起廣播風暴 Broadcast Storm，全部的埠都會被224.x.x.x 廣播影響
不相信? 納自己架一個Streaming Server來試試不就知道嚕!(恕刪)

這台是 4WAN 1LAN 的 router/gateway，你就算有 IGMP snooping 你要 snooping 給誰？

如果你有 switch，然後你又要 IGMP snooping，那你應該要買有 IGMP snooping 的 switch 才對。如果你真的想要買那種很多 port 的 router 省下買 switch 的錢，那真的該不該選這台。幫不了你

omniplay

omniplay
個人積分：182分
文章編號：68380849

182分

9樓

2018-05-03 4:17

chiouss wrote:
這台是 4WAN 1LAN...(恕刪)

本來不是粉確定有多少WAN(只知道至少2WAN)，畢竟你有開箱過，現在知道了

別忘了所有終端Node節點的Default Gateway是這台QNO-SVM8641!
IGMP 想當然爾是放上層處理，
當然中間放一顆24埠-L2/L3 & 網管功能能處理 Multicast 是最好!
但要是它不是呢(若只是一顆 L2 HUB)?
有網管的L2/L3 是要加$$的......
另外別忘了這宿網環境就是接了一堆安博TV盒，可能不跑 Multcast?
我想你想說的是Multicast只能跑區網，但是它的FW內建可讓 Multicast 的封包Relay通過!
Relay就能跨Routing了?!

違法安博盒子？NCC廢止審驗證明

那個DoS攻擊有可能是設定的問題，詳見官方公告詳見官方公告
Dos內的UDP不能打勾???
(挺奇怪的設定: 之前全球最大SourceCode網站-GitHub就是被中國UDP Bot殭屍大軍打到搖搖欲墜!)

這台最大的賣點就是VPN通道，不過雖然號稱有3DES，但支援規格MD5+SDA1，2017年已經被Google攻破，所以也算規格葛屁了

沒拓墣接線圖，敝人上面說的都當鬼扯蛋就好!因為還牽涉到安博盒子的設定
接線上層提供合法IP還是非法IP? 有粉大的差異
樓主最好把網路拓墣接線配置IP圖畫出來，讓版上高手可以提供意見。

chiouss

chiouss
個人積分：118分
文章編號：68381162

118分

10樓

2018-05-03 7:14

omniplay wrote:
本來不是粉確定有多...(恕刪)

從你說的每個問題都似是而非來看，你也只是知道規格但是不知道實際用途...
IGMP snooping 和 IGMP routing 是兩碼事，想要討論 IGMP 怎麼跨 NAT 你先研究好他再來吧謝謝指教

這台機器真的很久了，而且講了一堆沒有的功能真的也不會因此蹦出來，但不會因為這些本來就沒有的東西讓他原本的功能都變成爛的、不能用。