- à quoi sert le module conntrack? A tenir une table des connections tcp qui passent par le routeur, certes, mais pourquoi?
Pas que TCP,
toutes.
EdgeOS c'est un Linux, donc le firewall c'est iptables. iptables utilise le module conntrack pour tracker les connexions "établies" (pour UDP aussi, même si établi n'a pas vraiment de sens). Sans module conntrack, impossible de matcher un paquet sur son état (new, established, related ou invalid)...
conntrack inspecte également de manière proactive certains protocoles connus (FTP par exemple), afin d'autoriser les connexions annexes, comme le Canal DATA de FTP, qui sont donc marquées "related" puisque liées au canal de commande.
- pourquoi default-route-distance à 210?
Aucune idée, c'est la valeur par défaut dans EdgeOS.
- pourquoi enlever les prio (egress-qos)? Dans quel scénarios, des paquets CoS>0 peuvent apparaître?
On n'enlève pas de prio. La valeur par défaut est "0:0 1:0 2:0 3:0 4:0 5:0 6:0 7:0". Sur le VLAN 832, on se contente donc de mettre la CoS 6 pour le SKB 6 (pour DHCP).
"egress-qos", ce n'est pas un mapping entre une hypothétique priorité entrante et une priorité sortante. C'est un mapping entre une priorité interne au noyau (skb) et une CoS 802.1p. Pour les paquets routés, cette priorité interne est déterminée à partir du champ IP_TOS de l'entête IP. Pour les paquets générés par le routeur, cette priorité interne est déterminée par le processus générant les paquets (setsockopt SO_PRIORITY).
Le risque de mettre "0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7", c'est que certains paquets provenant du LAN avec une TOS particulière (le truc le plus probable c'est le VOIP SIP) se retrouvent dans une SKB différente de 0 (on ne peut rien y faire la table IP_TOS -> SKB est codée en dur dans le noyau), et du coup aient une CoS différente de 0 et se retrouvent dans des files particulières chez Orange et donc aient leur latence/débit altérés, voir ne soient pas routés du tout...
- pourquoi hwnat disable?
Parce que mon fichier de configuration est pour un EdgeRouter sur architecture Cavium (ERL, etc...), pas MediaTek (ER-X).
https://help.ubnt.com/hc/en-us/articles/115006567467-EdgeRouter-Hardware-Offloading - est ce que le dhclient3 patché ne sert que pour mettre la CoS à 6 ou aussi pour la RFC3442 ou d'autres choses? où puis-je trouver le patch (ou les sources)?
Uniquement CoS.
https://lafibre.info/remplacer-livebox/en-cours-remplacer-sa-livebox-par-un-routeur-ubiquiti-edgemax/?action=dlattach;attach=33988 - le script rfc3442-classless-routes à l'air d'ajouter des routes statiques, à quoi servent t-elles?
Il faut demander à Orange
. Ces routes sont dans la réponse DHCP sur le VLAN 838.
Quoi qu'il est soit elle sont (étaient ? un autre fil semble dire que tout marche sans maintenant) nécessaires au bon fonctionnement de l'ensemble des services TV (Replay, VOD...).