Samba read xiaomi что это – ОБЗОР: Xiaomi Router 3 — двухдиапазонный Wi-Fi-роутер за 29 долларов — ПКРЕГИОН компьютерный магазин в Екатеринбурге недорогой техники каталог и цены с доставкой

Содержание

ОБЗОР: Xiaomi Router 3 — двухдиапазонный Wi-Fi-роутер за 29 долларов

Практически все современные устройства оснащаются поддержкой Wi-Fi в диапазоне 5 ГГц. Выше скорость, меньше помех. Пора переходить на этот стандарт и нашим читателям, ведь благодаря Xiaomi это можно сделать за смешные деньги. В качестве бонуса — возможность создать собственный домашний медиасервер без трат всего в два клика.

Мы привыкли, что вещи бывают либо дешёвыми, либо качественными. Гаджеты от Xiaomi часто ломают стереотипы, предлагая современные функции, высокое качество сборки и низкую стоимость одновременно.

Не стала исключением и линейка домашних роутеров компании. Сегодня в неё входит бюджетный Youth, практичный Router 3 и несколько вариантов NAS (сервер для скачивания, хранения и раздачи контента по домашней сети), младшая модель которого постепенно перестаёт продаваться.

Xiaomi Router 3 — лучший вариант для дома, ведь других двухдиапазонных роутеров за 29 долларов вы просто не найдёте.

Внешний вид

Дизайнерам Xiaomi иногда удаётся создавать поистине шедевры. Router 3 — один из них. Матово-белый, лаконичный и стильный.

У роутера отсутствуют монтажные отверстия и кронштейны, из-за чего разместить маршрутизатор на стене не получится. Не помогут и многочисленные отверстия для вентиляции — стандартные крепления в них поставить не удастся. Но это не является недостатком, потому что Xiaomi Router 3 подходит к любому интерьеру или даже к его отсутствию.

Кстати, радиаторов тоже нет — охлаждение пассивное. Значительного нагрева не наблюдается.

Использованные решения привели к снижению массы, абсолютной тишине при эксплуатации и возможности установки роутера в любых интерьерах. Сложно найти такое помещение, в котором не найдётся места Xiaomi Router 3.

Все разъёмы расположены на задней панели: 2 порта LAN (до 100 Мбит/с) для подключения сетевого кабеля, WAN для проводного подключения устройств к роутеру, порт USB 2.0, разъём для питания и спрятанная кнопка сброса.

Для оповещения пользователя о режимах работы служит стандартная лампочка на входе LAN и яркий индикатор на передней панели устройства.

Характеристики

Основой маршрутизатора стал одноядерный процессор MediaTek MT7620A с частотой 580 МГц. Объём оперативной памяти — 128 МБ. Столько же отведено для хранения прошивки и настроек.

Роутер относится к классу AC1200 и выдаёт скорость до 1 200 Мбит/с. Это достигается путём разделения канала на две отдельных сети Wi-Fi: на частоте 2,4 (со скоростью до 300 Мбит/с) и 5 ГГц (со скоростью до 867 Мбит/с). Для каждого частотного диапазона используется собственная пара независимых внешних антенн. Реализован протокол MIMO 2×2. С его помощью достигается повышенная скорость передачи и более быстрый обмен данными между устройствами, подключёнными к сети.

Все сетевые порты рассчитаны на скорость 100 Мбит/с. Но использовать Wi-Fi на частоте 5 ГГц с Xiaomi Router 3 на полной скорости можно только внутри беспроводной сети.

Программное обеспечение

Во многом популярность Xiaomi обусловлена единой экосистемой, в которую инженеры компании включают всё большее число устройств, которые подключаются к единому приложению для управления умным домом MiHome. Xiaomi Router 3 не стал исключением.

Если других устройств компании в доме нет, можно воспользоваться отдельным приложением MiWiFi Router для настройки и управления всеми роутерами Xiaomi.

Единственный недостаток — отсутствие русификации. Все настройки доступны только на английском языке. Русифицированную версию можно установить, скачав apk-файл с одного из тематических ресурсов. Но это не самое страшное: в веб-версии интерфейса используется китайский язык. В этом случае поможет либо переводчик, либо перепрошивка.

Интерфейс приложения MiWiFi Router содержит четыре вкладки.

В первой вкладке можно найти список всех устройств, которые когда-либо были подключены к маршрутизатору. Можно также узнать информацию о трафике, текущем потреблении, увидеть IP- и МАС-адреса, отключить доступ к интернету, заблокировать устройство или настроить для него пропускную способность канала. Здесь же происходит настройка других сетевых устройств компании.

Вторая вкладка необходима для доступа к подключённым накопителям.

На третьей вкладке осуществляется доступ к возможностям встроенного клиента загрузки. Поддерживаются торрент-файлы. Последняя вкладка содержит все прочие настройки.

Можно изменить логин и пароль для подключения к Wi-Fi и маршрутизатору, обновить прошивку, выключить световую индикацию или настроить гостевую сеть. Тут же настраивается расписание работы Wi-Fi и плановая перезагрузка.

В приложении есть и более продвинутые функции. Так, пункт «Оптимизация Wi-Fi» (Wi-Fi Optimization) запускает анализ окружающей обстановки и подбирает оптимальные настройки. Присутствует встроенный менеджер задач (Task Manager), который позволяет настроить параметры загрузок и раздач.

В пункте «Управление пропускной способностью» (Manage Bandwidth) можно настроить пропускную способность сети для роутера и каждого из подключаемых устройств. Есть возможность настроить собственное облако для фотографий со всех подключаемых мобильных устройств.

Есть ещё встроенный клиент Samba, позволяющий превратить маршрутизатор в домашний медиасервер.

В веб-интерфейс управления устройством можно попасть, открыв в браузере сайт miwifi.com или перейдя по адресу 192.168.31.1. Здесь можно настроить VPN, DHCP, port-forwarding, режимы работы (роутер, повторитель, мост). Использование сторонней прошивки может расширить функциональность устройства.

Цена: Бесплатно

Тестирование

Тестирование проводилось в стандартной двухкомнатной квартире. Роутер был установлен у входа. В дополнение был приобретён усилитель сигнала Xiaomi Mi WiFi Amplifier.

Качество покрытия оказалось выше всяких похвал. Для демонстрации работы было проведено небольшое измерение. На рисунке представлен план квартиры, на скриншотах — уровень сигнала в точках 1, 2, 3, 4 в соответствии с порядковым номером. Сеть с подписью plus — усиленный с помощью Xiaomi Mi WiFi Amplifier сигнал.

Роутер превосходно раздаёт интернет не только на 55 квадратных метрах квартиры. Зона покрытия распространяется и на парковку, и на лестничную площадку. Хватает даже соседям.

На представленных выше скриншотах показаны уровни сигналов сетей в диапазоне 2,4 ГГц.

В данном случае показаны уровни сигналов сетей в диапазоне 5 ГГц.

В сети Wi-Fi скорость немного меньше, но даже текущий тариф позволяет передавать всю возможную скорость соединения. При проводном подключении роутер «выжимает» положенные 100 Мбит/с.

К сожалению, из-за 100-мегабитного LAN возможности роутера в диапазоне 5 ГГц ограничены — он просто не способен предложить большей скорости интернета. Однако можно построить домашнюю сеть, связывая устройства между собой.

Кроме того, Xiaomi ограничила возможности USB-порта. К нему можно подключать накопители, но не принтеры или 3G-модемы. Встроенного в официальный клиент принт-сервера тоже нет.

Зато есть возможность настроить автоматическое создание резервных копий фотографий со смартфона, а также воспользоваться встроенным клиентом загрузки.

Дополнительные возможности: Mi WiFi Amplifier

При необходимости расширить зону покрытия можно с помощью фирменного усилителя сигнала Mi WiFi Amplifier.

Внешне устройство напоминает обычный 3G-модем в белом матовом пластике. Нижняя часть оснащена шарниром для более удобного монтажа. Mi WiFi Amplifier — ещё более лаконичный гаджет, чем Router 3: на нём есть только статусный диод и утопленная клавиша сброса.

Для подключения достаточно установить Amplifier в USB-разъём роутера и дождаться, пока загорится синий сигнал светодиода. После усилитель сигнала устанавливается в любой USB-порт с питанием.

Зона покрытия увеличивается почти в два раза. В полную силу показать это невозможно из-за небольшой площади квартиры, но графики уровня сигнала достаточно убедительно всё демонстрируют.

Устройство способно транслировать сигнал только на частоте 2,4 ГГц и, по официальным данным, работает исключительно с роутерами Xiaomi. При определённой доле удачи и правильной версии приложения Mi WiFi Amplifier удаётся подключать к маршрутизаторам других брендов с помощью фирменного приложения Mi Home.

Почему стоит выбрать Xiaomi Router 3?

Поддержка двухдиапазонного Wi-Fi 2,4/5 ГГц.
Поддержка MIMO.
Возможность подключения внешнего накопителя.
Удобная настройка при помощи приложения для iOS и Android.
Возможность создания домашней сети.
Самый дешёвый роутер в своём классе. Цена — 29 долларов.
Удобное (и дешёвое — всего 8 долларов) расширение зоны покрытия с помощью Mi WiFi Amplifier.

lifehacker.ru

Обзор Xiaomi R1D: мощный роутер и домашний сервер в одном устройстве

Многие недостатки Xiaomi Router 3 объясняются наличием в каталоге компании более продвинутых моделей R-серии, способных заменить роутер, NAS и DLNA-сервер.

Наиболее актуальным из них для российского покупателя стал Xiaomi R1D. Это первая попытка китайских инженеров создать копию Apple AirPort.

Сегодня Xiaomi R1D стоит дешевле конкурентов (всего 105 долларов). Если учитывать, что встроенный в устройство 2,5-дюймовый накопитель на 1 ТБ стоит 50 долларов, аналогов найти практически невозможно.

Внешний вид и комплект поставки

Xiaomi R1D обладает непривычным дизайном в стилистике научно-фантастических фильмов: чёрный матовый корпус с небольшим индикатором украшает плоская глянцевая панель с логотипом Mi. Блок питания и патч-корд придётся спрятать. Они самые обычные и портят внешний вид устройства.

Привычных антенн у этой модели нет. Они, как и метка NFC, спрятаны под верхней крышкой. На верхней части корпуса расположена вентиляционная решётка, под которой находится кулер. В нижней части передней панели установлен многоцветный светодиод статуса.

Роутер можно устанавливать только вертикально. Настенные крепления отсутствуют.

На задней панели расположены порт USB 2.0, два порта LAN и порт WAN, кнопка сброса и разъём блока питания.

На дне роутера расположена ещё одна вентиляционная решётка и четыре съёмные резиновые ножки. Под ними находятся четыре винта, выкрутив которые можно снять нижнюю часть. За этой крышкой находится 2,5-дюймовый жёсткий диск с SATA-разъёмом.

Технические особенности

Xiaomi R1D основан на достаточно популярном и производительном двухъядерном ARM-чипе Broadcom BCM4709 с частотой 1 ГГц. Объём оперативной памяти составляет 256 МБ, встроенной — 16 МБ.

Роутер Xiaomi R1D получил два независимых радиоблока. Один работает по протоколам 802.11b/g/n в диапазоне 2,4 ГГц со скоростью передачи 300 Мбит/с. Второй обеспечивает соединение по стандартам 802.11a/n/ac в диапазоне 5 ГГц со скоростью до 867 Мбит/с. Поддерживается стандарт MIMO 2×2 — для каждого из диапазонов связи (2,4 ГГц и 5 ГГц) используется своя пара антенн. Все проводные порты поддерживают скорость до 1 Гбит/с.

Жёсткий диск Samsung на 1 ТБ подключается с помощью дополнительного SATA-контроллера, установленного в порт PCI Express. Этим объясняется отсутствие порта USB 3.0. На жёстком диске хранится прошивка, поскольку для её размещения 16 МБ встроенной памяти недостаточно. Поэтому роутер не стоит выключать из розетки.

Работа устройства

Реальная скорость передачи данных (без использования встроенного хранилища) по результатам независимых тестов отличается от паспортной на 5–15%, что укладывается в допустимую погрешность.

Роутер справляется со всеми возложенными на него задачами. Нам удалось одновременно:

обмениваться файлами через BitTorrent на предельной скорости провайдера;
воспроизводить фильм в формате 4K с использованием DLNA;
загружать фотографии с четырёх смартфонов на другое DLNA-устройство.

С большинством домашних задач роутер справляется. А вот для офисного использования его будет недостаточно: в большинстве регионов России скорость ограничивается провайдером. Так как порт WAN всего один, а переназначение LAN для этой цели невозможно, без отдельной высокоскоростной линии быстрого соединения при большом количестве подключённых устройств достигнуть не получится.

Второе ограничение — встроенный жёсткий диск. Он обеспечивает скорость записи порядка 60 МБ/с и чтения на уровне 30–40 МБ/с.

Однако при активном использовании маршрутизатора в роли домашнего медиахранилища либо одновременном сохранении резервных копий с нескольких устройств лучше заменить диск на SSD. Так, при установке тестового экземпляра KingDian S120 удалось достичь скорости записи около 200 МБ/c. Кроме того, жёсткий диск прилично нагревается: до 40 градусов без прямой загрузки и до 58 градусов при просмотре заранее загруженных фильмов.

Официальные прошивка и клиент от Xiaomi ограничивают скорость передачи по Wi-Fi на встроенный накопитель роутера до 10–15 МБ/с.

Подобные ограничения компания ввела для простой и стабильной работы роутера без предварительной настройки. Распределение ресурсов позволяет равномерно использовать канал всем подключённым устройствам. Для получения большей скорости необходимо использовать Samba- или FTP-подключение или стороннюю прошивку.

Прошивка

Прошивка Xiaomi R1D основана на проекте OpenWRT. Кроме двух версий официальной прошивки (стабильной и девелоперской с дополнительными функциями), есть множество кастомных.

Стабильная прошивка — стандартная функциональность, отсутствует поддержка принтеров, МФУ и сотовых модемов 3G/LTE.
Девелоперская прошивка — возможность установки русского языка, реализация мультикаст-соединений (необходимы для просмотра каналов некоторых IP-провайдеров), возможность более подробной настройки SSH, возможность получения root-доступа.
Tomato-ARM — тонкая подстройка всех программных и аппаратных функций роутера вплоть до числа оборотов системы охлаждения и реализации веб-сервера с доступом по https.
DD-WRT — лаконичная система с роутеров D-Link, возможна установка на внутреннюю память (размер меньше 16 МБ).

Все прошивки позволяют реализовать доступ к файлам по Wi-Fi и SSH, организовать DLNA-медиабиблиотеку и сервис автономной загрузки файлов по протоколам torrent и e2k и прямым http-ссылкам. Последняя функция реализуется через клиент для операционных систем Windows и OS X.

Из дополнительных функций стоит упомянуть возможность организации сервера AirPlay и Time Machine с полной поддержкой экосистемы Apple.

Управление через веб-интерфейс

Работа с роутером и его настройка возможны тремя способами: через стартовую страницу по IP-адресу 192.168.31.1, по адресу miwifi.com или с помощью приложения. Интерфейс исключительно на английском или китайском, требуется дополнительная русификация.

Роутер сам определяет сеть, подхватывает IP-адрес и устанавливает нужные параметры. В первом окне вы вводите имя и пароль для доступа по PPPoE или ставите галочку, что этого не требуется. Во втором окне указываете пароль, который будет использован для беспроводных сетей и доступа к самому роутеру.

На главной странице выводится информация об устройстве, включая версию прошивки, объём жёсткого диска, графическое отображение текущего обмена трафиком и нагрузки на процессор, распределение загруженных данных по клиентам.

Для создания резервных копий настроек в облаке, установки дополнительных пакетов и управления умными домашними устройствами от Xiaomi потребуется Mi-аккаунт.

Протоколы L2TP и PPTP настраиваются во вкладке VPN. Для стабильной связи необходима смена прошивки на стороннюю.

Из наиболее полезных функций стоит упомянуть возможность автоматического проброса портов с помощью протокола UPnP и функцию контроля и управления трафиком для устройств и отдельных приложений.

Также есть встроенная утилита, которая сообщает данные о текущей загрузке, заполненности и состоянии жёсткого диска.

Управление через мобильное приложение

Поскольку Xiaomi R1D входит в состав умного дома в качестве главного управляющего устройства, с ним можно работать с помощью фирменного приложения Mi Home. Оно самостоятельно опознает роутер и скачает дополнительное приложение Mi Router.

Цена: Бесплатно

Раньше приложение было исключительно на китайском языке, однако сейчас в нём появился английский перевод. Функциональность приложения не отличается от веб-версии, однако оно более удобно.

Кроме того, доступ к встроенному диску из веб-версии осуществляется при помощи сторонних диспетчеров файлов и протокола DLNA. А в приложении есть встроенный файловый клиент, позволяющий проводить любые операции с жёстким диском.

Безоговорочный лидер среди бюджетных NAS

За 105 долларов Xiaomi R1D может заменить массу сервисов и отдельных устройств:

Роутер.
NAS — домашний файловый сервер ёмкостью 1 ТБ.
Сервер AirPlay.
Сервер Time Machine или диск для резервных копий.
Телеприставку (потребуется сторонняя прошивка).
Центральное устройство умного дома Xiaomi.
Центр автоматизации с функцией быстрого подключения через NFC.

У Xiaomi R1D достаточно большое русскоязычное коммьюнити. Это позволяет найти любые инструкции по настройке в свободном доступе и обойти существующие программные ограничения официальной прошивки.

Серьёзный недостаток устройства — устаревший порт USB 2.0 с низкой скоростью передачи данных. Кроме того, одного порта WAN и двух портов LAN может быть недостаточно.

С другой стороны, для домашних целей возможностей устройства хватает. Замена потребуется не раньше, чем через 4–5 лет, после широкомасштабного внедрения более современных стандартов Wi-Fi. А до тех пор Xiaomi R1D может стать отличным домашним роутером.

lifehacker.ru

Обзор роутера Xiaomi Mi WiFi Router 3A / Kvazis House / iXBT Live

Здравствуйте друзья

В этом обзоре я расскажу про вай фай роутер xiaomi mi WiFi роутер 3A.

Вступление

Купить недорогой дополнительный роутер я решил для того, чтобы разделить камеры видеонаблюдения со всеми остальными устройствами. Так как количество wi-fi клиентов в моей домашней сети исчисляется несколькими десятками, то это не могло не оказать влияние на работу IP камер, для которых важно качество сети для онлайн видео. Выбирать долго не пришлось, и я приобрёл недорогой роутер от компании Xiaomi — модель Mi WiFi Router 3A.

Где купить ?

GEARBEST

Aliexpress

Технические характеристики

Процессор — MediaTek MT7628A
Объем оперативной памяти — 64 МБ

Стандарт WI-FI — 802.11b/g/n/ac
Максимальная скорость соединения — 1167 Мбит/с, 2.4GHz ( 300Mbps ) + 5GHz ( 867Mbps ).
WAN-порт — 1x 10/100 Ethernet
LAN-порт — 2x 10/100 Ethernet

Антенны — внешние 4

Внешний осмотр

Поставляется устройство в белой коробке, чёрно-белая полиграфия, характерная для устройств входящих в экосистему Xiaomi, разбавленна несколькими оранжевыми элементами — логотипом компании и некоторыми надписями.

На задней стороне — традиционное написание возможности и характеристика роутера. Вся информация на китайском языке.

Внутри — оранжевая картонная вставка из плотного картона, в которой лежит роутер.

Габариты

Длина роутера чуть больше 19 см

Ширина около 10 см

Длина антенн 17 см

Комплект поставки

На передней части роутера, посередине, находится один единственный светодиод — при первом включении он загорается оранжевым светом, в настроенном состоянии — он горит голубым цветом. Этот индикатор может отключаться из приложения.

На задней части роутера находятся четыре несъемные антенны, кнопка для сброса, LAN и Wan порты, а также разъем питания.

Нижняя часть роутера перфорирована, для охлаждения.

Комплектный блок питания оснащен двойной плоской вилкой, для использования в евророзетке — необходимо будет переходник

Блок питания рассчитан на включение сеть от 100 до 240 вольт, на выходе отдает 12 вольт до 0,6 ампер.

Приложение

В своем обзоре я не буду касаться веб интерфейса роутера, который полностью на китайском языке. Для настройки и работы он совершенно не нужен — все действия можно делать через приложение про которое я и расскажу.

Для управления роутером используется приложение Mi WiFi я использовал официальную версию из Play Маркета. После установки приложения, оно сканирует доступные wi-fi и обнаруживает начальную сеть в созданную роутером при включении. После чего роутер можно подключить в приложение.

После подключения имеется возможность импортировать настройки от старого miwifi у вас такой был либо настроить подключение заново Если вы подключили Wan порт то приложение сразу обнаруживает подключение к интернету

После этого остаётся задать название WiFi сети и пароль, роутер создаст две сети 2,4 и 5 GHz, после этого можно войти в приложение используя свой Mi аккаунт.

Приложение имеет четыре основных окна — в первом окне отображается перечень подключенных устройств, второе окно особенного интереса не представляет, это ссылка на онлайн магазин как и в приложении mihome. Третья вкладка — это плагины для настройки работы роутера, и четвертая вкладка — настройки.

Роутер также обнаруживается приложением Mi Home. Для управления им — скачивается плагин, который является по сути урезанной версией приложения Mi WiFi. По-умолчанию плагин на китайском языке, однако с сайта 4pda можно взять локализованную версию. Из полезного — в плагине имеется функция улучшения качества wi-fi сети, путём подборки наименее загруженного канала.

По мере подключения устройств к сети роутера, они будут появляться в в общем перечне на первой вкладке. Нажав на строку любого из устройств в списке, можно попасть в его настройки, где можно задать тип устройства, для корректного отображения аватарки в списке, заблокировать доступ в Интернет полностью либо согласно установленным правилам. Устройства, входящие в экосистему Xiaomi, автоматически корректно распознаются и отображаются в виде иконок.

В качестве тестирования скорости я провел два замера, подключившись к своей основной wi-fi роутера ASUS RT — AC66U B1.

Сразу после этого я переключился на сеть 5 GHz роутера Xiaomi 3A — он подключен своим Wan портом к одному из LAN портов Asus, и провел два аналогичных замера. Какой либо заметной разницы в скорости передачи данных — я не обнаружил.

Подробнее рассмотрим возможности приложения.

На вкладке Plugin имеются опции для проверки обновления прошивки роутера, получения данных по еженедельной статистике, настройка гостевых сетей wi-fi.

Затем следует настройки Firewall, улучшение качества wi-fi сети путем подбора оптимального канала, а также правила распределения трафика для каждого отдельного устройства.

Последними опциями — идут таймеры отключения wi-fi в заданное время, возможность перезагрузки роутера по таймеру, а также добавление дополнительных администраторов — можно предоставить доступ на управление роутеру другим MI аккаунтам.

На вкладке настроек, в меню оборудование и система, содержатся опции по управлению светодиодным индикатором, обновление прошивки, изменения пароля администратора, настройки временной зоны, сброс на заводские установки и информация о текущей версии системы.

На вкладке настроек сети имеются опции по настройке получения IP адреса — динамический или вручную, настройка VPN — поддерживается протокол pptp и автоматическая оптимизация сети.

На страничке каждого устройства отображается его название, тип подключения — LAN либо wi-fi, с указанием типа сети 2.4 или 5 Ghz, ширина канала на загрузку и скачивание, количество потребленного трафика. Здесь вы можете выбрать бренд, тип и модель устройства, а также указать его название. Также имеется возможность добавления устройства в blocklist, включение онлайн уведомления по появлению либо отключению устройства от сети, настройка Samba, если устройство его поддерживает, а также, при активированном плагине QoS, вы можете указать параметры ширины канала для каждого отдельного устройства.

Здесь же вы можете настроить правила доступа к интернет — в режиме чёрный список разрешено всё кроме указанных адресов, а в режиме белый список — запрещено всё кроме указанных. В меню блокировки — вы можете полностью блокировать доступ в Интернет для устройства, либо создать план по времени — когда доступ в Интернет будет отключаться.

По своему опыту использования роутера — могу сказать, что после того, как я перевел все камеры в отдельную wi-fi сеть — они стали работать заметно лучше, так как в этой сети не было большого количества устройств создающих помехи. Кроме камер — в ней находится несколько редко используемых устройств, который я подключил скорее просто ради теста и в любой момент могу вернуть в основную wi-fi сеть. В настройка хранилища IP камер — отображается данный роутер в меню «Сохранение видео на внешний источник». В ближайших планах — протестировать какой-нибудь самба сервер или nas — получится или нет сохранять видео со всех камер в одном месте.

Вывод

За свою цену — это весьма удачной роутер. Настройка чрезвычайно простая — необходимости настраивать его через китайский веб интерфейс — нет. За всё это время, я ни разу не сделал ни одной настройки в нём. Роутер работает стабильно, управляется легко — приложение, по аналогии с MiHome, имеет облачный доступ и вы можете зайти в него из любой точки мира где есть интернет.

Видеоверсия обзора:

На этом всё, спасибо за внимание.

www.ixbt.com

Обзор роутера Xiaomi Mi Wi-Fi Router 3 – лучший среди равных

За последний год производители «наклепали» огромное количество самых различных Wi-Fi роутеров с поддержкой стандарта ac, однако большинство новинок стоит непомерно больших денег. Конечно, за качество, ну или стабильный Wi-Fi, нужно платить, но в случае с роутером Xiaomi Mi Wi-Fi Router 3 все совсем по-другому. Это средство для раздачи Интернета окружающим устройствам стоит всего $25, что делает его одним из самых дешевых роутер с нативной поддержкой стандарта Wi-Fi 802.11ac.

Xiaomi Mi Wi-Fi Router 3 доступен для покупки в двух версиях – международной и китайской. Отличия между ними крайне просты – надписи и прошивка на соответствующем языке, а также штекер вилки, заточенный под Европу или Китая. Можно поставить цель и купить международную версию, но найти ее в России крайне сложно, да и стоить она будет немного больше.

В нашем случае Wi-Fi роутер был приобретен в китайской модификации, поэтому все надписи на коробке имеют соответствующий язык. Кроме того, выбрать английский язык в админ-панели не представляется возможным, поэтому следует воспользоваться приложением Mi Wi-Fi или просто перепрошить роутер на международную прошивку. К счастью, делается это очень легко и просто.

Технические характеристики Xiaomi Mi Wi-Fi Router 3
Стандартны	IEEE 802.11 a/b/g/n/ac (2,4 ГГц + 5 ГГц)
Оперативная память	128 МБ
Встроенная память	128 МБ
Максимальная скорость	802.11ac: до 867 Мбит/с, 802.11n: до 300 Мбит/с, 802.11g: до 54 Мбит/с
Интерфейсы	3 порта Ethernet, 1 порт USB 2.0
Питание	Блок питания 12V (1А)
Антенны	4 × внешние несъёмные (2,4 ГГц 5 dBi, 5 ГГц 6 dBi)
Габариты и вес	195 × 131 × 24 мм (без антенн), 220 грамм

Роутер Xiaomi Mi Wi-Fi Router 3 поставляется в упаковке белого цвета, которая имеет достаточно большие габариты, но невероятно маленький вес. Может даже показаться, что внутри коробки ничего нет. На задней крышке имеются десятки надписи, среди которых можно найти и понятную информацию – пропускную способность, объем оперативной памяти, скорость LAN-портов и т.д.

Прямо под роутером, внутри коробки, имеется блок питания с китайской вилкой. Он выдает ток силой 12V или 1A. По идее, если раздобывать нужный переходник, то Xiaomi Mi Wi-Fi Router 3 будет работать даже от портативной аккумуляторной батареи. Это может быть актуально в тех случаях, когда электрическая сеть нестабильна и может время от времени пропадать. А так, если запитать роутер от Power Bank, а в USB 2.0 разъем вставить 3G/4G модем (только прошивка от Padavan), то получится автономное устройство для раздачи Интернета.

Внутри упаковки расположен сам Xiaomi Mi Wi-Fi Router 3, обернутый в матовую полиэтиленовую пленку. Все четыре антенны уже пристегнуты к роутеру, поэтому коробка имеет такие большие габариты. Соответственно, открепить антенны невозможно, зато они легко крутятся и поворачиваются во все стороны, тем самым позволяя «направить» Wi-Fi в нужном направлении.

Третьим предметом, который можно обнаружить в коробке, является очень краткая инструкция по использованию роутера полностью на китайском языке. Больше в упаковке ничего нет.

Весь корпус роутера выполнен из матового пластика, однако логотип MI на лицевой части имеется глянцевую перфорацию, что выделяет его под определёнными углами. Скажем честно, роутер невероятно легкий, поэтому он ощущается «игрушечным». Хорошо это или плохо каждый должен решить сам.

На тыльной стороне Xiaomi Mi Wi-Fi Router 3 имеются специальные отверстия в корпусе, через которые он охлаждается. Одним из главных разочарованием в этом роутера для нас стало отсутствие специального крепления на стену. Теперь придется искать на просторах Интернета подставку, если она вообще существует, либо найти плоскую поверхность и поставить роутера туда.

На переднем торце имеется один единственный LED-индикатор, способный светиться красным, синим и зеленым цветами. Он показывает текущее состояние роутера и позволяет оперативно оповещать владельца обо всех неисправностях и проблемах. Светит он очень слабо и «мягко», однако индикатор можно легко отключить в настройках через веб-панель или приложение для iOS и Android.

На заднем торце расположены два разъема LAN со скоростью до 100 Мбит/с и один WAN-порт (голубой), в который втыкается кабель с Интернетом. Кроме того, здесь можно обнаружить один порт USB 2.0, предназначенный для подключения накопителей. Слева от него имеется небольшое отверстие, в котором скрыта кнопка сброса.

Длина роутера Xiaomi Mi Wi-Fi Router 3 сопоставима с высотой iPhone SE, а ширина составляет приблизительно полтора «яблочных» 4-дюймовый смартфона. Иными словами, это очень компактный роутер, который легко поместится на шкаф, стол или любое другое место с плоской поверхностью.

Роутер Wi-Fi от Xiaomi сразу после подключения к электрической сети включается и через 1-2 минуты запускаются две сети: 2,4 ГГц и 5 ГГц. Достаточно подключиться к любой из них, а затем перейти по адресу 192.168.31.1 в веб-браузере. Если все сделано правильно, то появится страница быстрой настройки, которую следует пройти, используя переводчик с китайского языка в Google Chrome.

Затем, при желании и необходимости, можно установить на Xiaomi Mi Wi-Fi Router 3 международную прошивку, которая имеет английский язык. Делать это или нет – личный выбор каждого, но мы это сделали, поскольку это никак не должно сказаться на стабильности и скорости передачи данных, а удобство настройки при этом повысится.

При подключении к сети 5G все устройства с поддержкой Wi-Fi 802.11ac выдают 100 на 100 Мбит/с. На практике это означает предел в 12,5 МБ/с загрузки файлов из сети Интернет. Это хорошая скорость, которой более чем достаточно для просмотра даже прямой трансляции в разрешении 4K.

В нашем случае роутер Xiaomi Mi Wi-Fi Router 3 приобретался в качестве недорогого усилителя сигнала для продвинутого ASUS RT-AC87U. Роутер от Xiaomi легко настраивается в режим повторителя на официальной прошивке и становится устройством, расширяющим уже существующую зону Wi-Fi. К слову, за 4 дня постоянной беспрерывной работы, роутер ни разу не завис и с ним ничего не случилось, поэтому можно говорить о его полной и абсолютной стабильности.

Что касается «дальности», то здесь у Xiaomi Mi Wi-Fi Router 3 все очень хорошо. Для сравнения, роутер ASUS RT-AC87U, который стоит около $160, обладает схожей дальностью. Сеть 5G при прямой видимости добивает до 10-12 метров, но стоит появиться на пути бетонным или толстым деревянным перекрытиям, как уже в соседней комнате сигнал Wi-Fi скачет между 1 и 2 делениями. В случае с 2,4 ГГц все немного лучше, но здесь нет ничего удивительного.

Сеть 5 ГГц предназначена для достижения максимальной пропускной способности внутри сети на небольших дистанциях, а стандартные 2,4 ГГц является чем-то вроде универсального решения, обеспечивающего стабильный доступ к сети Интернет на расстояние до 25 метров.

Кому подойдет роутер Xiaomi Mi Wi-Fi Router 3

Даже при всех своих недостатках, которых достаточно мало, роутер Xiaomi Mi Wi-Fi Router 3 является самым производительным и надежным в классе сверхбюджетных моделей. Да, самым главным ограничением этой модели является отсутствие поддержки WAN и LAN со скоростью 1000 Мбит/с.

Тем не менее, этот роутер однозначно является очень актуальным. Для 90% людей его скорости будет более чем достаточно, поскольку даже далеко не во всех крупных городах России и других стран есть скоростной доступ к сети Интернет на скорости 100 Мбит/с. Если хочется купить хороший роутер со стабильной прошивкой и стильным внешним видом, то эта модель станет отличным выбором.

Еще один очень интересный способ использования одного или нескольких роутеров Xiaomi Mi Wi-Fi Router 3 – расширение уже существующей сети Wi-Fi. Так, объединив все роутеры последовательно при помощи Ethernet-кабеля, можно добиться многократного увеличения области покрытия. Низкая стоимость роутера способствует его размещению через каждые 10-15 метров.

За те деньги, которые Xiaomi просит за Mi Wi-Fi Router 3, это самый дешевый и надежный роутер, способный работать со стандартом Wi-Fi 802.11ac. Если поставить на него отечественную прошивку от Padavan, то его функционал и возможности станут еще богаче, а интерфейс будет локализован на русский язык. Рекомендуем к покупке!

Купить Xiaomi Mi Wi-Fi Router 3 по очень низкой цене можно здесь.

До 22 декабря включительно у всех желающих есть возможность совершенно бесплатно получить спортивный браслет Xiaomi Mi Band 4, потратив на это всего 1 минуту своего личного времени.

Присоединяйтесь к нам в Twitter, Facebook, ВКонтакте, YouTube, Google+ и RSS чтобы быть в курсе последних новостей из мира технологий будущего.

akket.com

Установка и настройка Samba сервера и клиентов

Samba — это приложение сетевого протокола SMB, используемого для подключения принтеров, службы директорий в доменных сетях и создания мультиплатформенных общих ресурсов. В данном руководстве мы рассмотрим установку и настройку Samba-сервера, который позволит создавать различные сетевые хранилища и общие ресурсы.

Установка Samba

Samba легко устанавливается из менеджера пакетов, но перед установкой нового пакета нужно выполнить обновление. Воспользуйтесь следующими командами (здесь и далее приводятся примеры для Ubuntu 16.04):

$sudo apt-get update (обновление)
$sudo apt-get install samba (запуск и установка сервера Samba)

Служба NetBios для Samba (nmbd) в наших примерах не требуется, поэтому в целях безопасности вы легко можете отключить ее командами:

$sudo systemctl stop nmbd.service
$sudo systemctl disable nmbd.service

Установка глобальных опций Samba

Параметры конфигурации Samba хранятся в файле /etc/samba/smb.conf. В нем есть два раздела, global и shares. В разделе global прописаны параметры самого сервера (имя сервера, его тип, интерфейсы и другие сетевые настройки), а в разделе shares — параметры ресурсов. Вместо редактирования файла создадим новый. Предварительно сохранив оригинал:

$sudo mv /etc/samba/smb.conf /etc/samba/smb.conf.orig
$sudo vi /etc/samba/smb.conf

Внесем в наш новый файл /etc/samba/smb.conf следующий код

[global]
       server string = samba_server
       server role = standalone server
       interfaces = lo ваш_сетевой_интерфейс
       bind interfaces only = yes
       disable netbios = yes
       smb ports = 445
       log file = /var/log/samba/smb.log
       max log size = 10000

Рассмотрим значение этих параметров.

server string: информация, передаваемая во время подключения. Можно использовать любое имя для идентификации сервера. Далее будут рассмотрены названия для ресурсов Samba.
server role: тип создаваемого Samba-сервера. В данном примере используется выделенный сервер (standalone). Другие типы — член домена и контроллер домена.
interfaces: сетевые интерфейсы, к которым привязан сервер. Здесь указан “lo”, loopback-интерфейс. Кроме него нужно указать внешний интерфейс, обычно это eth0.
bind onterface only: гарантирует, что сервер Samba будет привязан только к тем интерфейсам, которые указаны в строке interfaces, и будет игнорировать пакеты с других интерфейсов.
disable netbios: отключает на сервере все функции NetBios, чтобы немного облегчить процесс разрешения имени сервера и разгрузить трафик.
smb ports: номер порта, на котором будет работать сервер. По умолчанию Samba использует порт 445.
log file: имя и месторасположение файла лога Samba.
max log size: максимальный размер файла лога. Рекомендуется указывать его настолько большим, насколько позволяют ресурсы стстемы. Если размер будет превышен, будет создан новый файл, а предыдущий файл будет перемещен в дубликат с расширением .old. При повторном превышении первый файл с расширением .old будет удалён. Данный параметр помогает предотвратить заполнение диска.
Если нужны более подробные логи, можно воспользоваться командой:

log level = 3 passdb:5 auth:5

Уровень лога 3 означает, что сохраняется более детальная информация, чем при стандартном ведении лога. Стандартный уровень — 1, максимальный — 5. Здесь он установлен для параметров passdb и auth, чтобы получать более подробную информацию об аутентификации пользователей. После определения параметров ведения лога сохраните и закройте файл. При необходимости файл smb.conf нужно протестировать на синтаксические ошибки при помощи утилиты Samba testparm:

$testparm

Будет выведен следующий результат:

После нажатия на клавишу Enter будут выведены глобальные параметры:

Если в результате выводится “Load services files OK”, значит, в файле нет ошибок и сервер можно запускать.

Теперь нужно настроить конфигурацию ресурсов. Ресурс состоит из двух элементов, пользователя и директории, которые необходимо создать для обеспечения возможности подключения и тестирования.

Создание пользователей Samba

В данном разделе мы создадим профили пользователей, которые смогут осуществлять доступ к серверу. Им потребуется доступ как пользователям Samba и как пользователям системы, чтобы при входе в систему они проходили аутентификацию на сервере Samba и могли осуществлять чтение и запись в файловой системе.

Помимо обычных пользователей нужно создать администратора, у которого будет возможность доступа к персональным ресурсам и их администрирования. Также администратор будет владеть общими ресурсами, доступ к которым разрешен всем.

Для каждого пользователя нужно создать домашнюю директорию. Вместо использования стандартной директории /home/user лучше создать пероснальную директорию в /samba/ для разделения данных и более удобного резервного копирования. Сначала создадим группу sambashare, директорию для хранения данных samba и назначим ее владельцем группу sambashare

$ groupadd sambashare
$sudo mkdir /samba/
$sudo chown :sambashare /samba/

Затем нужно создать директорию пользователя (в примере мы рассмотрим создание пользователя ivan, для нескольких пользователей создание будет аналогичным): Добавим системного пользователя:

$sudo adduser --home /samba/ivan --no-create-home --shell /usr/sbin/nologin --ingroup sambashare ivan

В команде используются параметры:
—home: месторасположение домашней директории пользователя.
—no-create-home: указывает команде adduser не создавать домашнюю директорию, чтобы не заполнять ее ненужными файлами конфигурации.
—shell: определяет, какая оболочка будет использоваться при входе через SSH. В данном примере SSH не используется, поэтому значение /usr/sbin/nologin отключает вход через SSH.
—ingroup sambashare: внесение пользователя в группу sambashare, чтобы обеспечить ему возможность чтения и записи для своего ресурса и общих ресурсов.

Более подробно про создание пользователей и групп можно прочитать в этой статье

После запуска команды потребуется создать пароль.

Теперь нужно установить владельца и права доступа к директории:

$sudo chown ivan:sambashare /samba/ivan/
$sudo chmod 2770 /samba/ivan/

Права доступа 2770 означают, что новые файлы или директории, созданные в /samba/david/, будут наследовать группу владельцев от родительской директории, а не от группы пользователей, которая их создала. Например, если администратор создаст новую директорию в ресурсе пользователя ivan, то ivan будет иметь к ней доступ на чтение и запись.

Далее командой smbpasswd необходимо добавить пользователя на сервере Samba (флаг -a) и активировать его (флаг -e):

$sudo smbpasswd -a ivan

Вам потребуется ввести пароль для доступа к ресурсу samba, он может отличаться от системного пароля.

Активируем пользователя

$sudo smbpasswd -e ivan

Другие пользователи создаются аналогичным образом. Для создания пользователя admin нужно выполнить следующие команды, его домашней директорией будет everyone:

$sudo mkdir /samba/everyone
$sudo adduser --home /samba/everyone --no-create-home --shell /usr/sbin/nologin --ingroup sambashare admin
$sudo chown admin:sambashare /samba/everyone/
$sudo chmod 2770 /samba/everyone/
$sudo smbpasswd -a admin
$sudo smbpasswd -e admin

Для удобства можно также создать группу администраторов, это позволит не прописывать права доступа ко всем ресурсам при изменении администратора, а один раз прописать их для группы и в дальнейшем добавлять и удалять администраторов одной командой:

$sudo groupadd admins
$sudo usermod -G admins admin

Настройка системы завершена, теперь нужно настроить ресурсы.

Настройка общих ресурсов Samba

У каждого ресурса есть свой раздел в файле конфигурации /etc/samba/smb.conf. Разделы ресурсов расположены после глобальных параметров и имеют следующий вид

[имя_ресурса]
        path =
        browseable =
        read only =
        force create mode =
        force directory mode =
        valid users =

share_name — имя ресурса, используемое при доступе.
path — полный путь к ресурсу в файловой системе.
browsable — опоеделяет видимость ресурса для других пользователей, но не дает им прав доступа.
read only — определяет возможность доступа на запись для пользователей, указанных в параметре valid users.
force create mode — задает указанные права доступа к любому файлу, создаваемому в ресурсе.
force directory mode — задает указанные права доступа к любой директории, создаваемой в ресурсе
valid users — список пользователей, имеющих доступ к ресурсу. Здесь можно указывать имена или группы, перед группами нужно указывать символ @, например, @admins.

Для настройки конфигурации ресурса нужно в любом текстовом редакторе добавить в файл конфигурации блоки следующего вида для каждого пользователя:

[ivan]
        path = /samba/ivan
        browseable = no
        read only = no
        force create mode = 0660
        force directory mode = 2770
        valid users = ivan @admins

Для ресурса everyone блок будет выглядеть следующим образом:

[everyone]
        path = /samba/everyone
        browseable = yes
        read only = no
        force create mode = 0660
        force directory mode = 2770
        valid users = @sambashare @admins

Все пользователи будут иметь доступ на чтение и запись, так как были добавлены в группу sambashare при создании. Теперь нужно протестировать параметры

$testparm

Если все настроено корректно, результат будет следующим:

После проверки конфигурации запустим сервер и добавим его в автозагрузку командой systemctl:

$sudo systemctl start smbd.service
$sudo systemctl enable smbd.service

Сервер работает и готов принимать пользователей.

Настройка клиентов Samba

Для доступа к ресурсам из командной строки в Linux используется утилита smbclient. В большинстве дистрибутивов она не установлена по умолчанию, если нет то нужно воспользоваться менеджером пакетов:

$sudo apt-get install smbclient

В некоторых дистрибутивах может потребоваться создать файл /etc/samba/smb.conf, так как при его отсутствии будет выводиться сообщение об ошибке. Для доступа к ресурсу нужно выполнить следующую команду:

$smbclient //имя_или_адрес_сервера/ресурс -U пользователь

Например, для доступа к ресурсу ivan на сервере samba.example.com нужно ввести:

$smbclient //samba.example.com/ivan -U ivan

Далее потребуется ввести пароль, после чего появится интерфейс командной строки, похожий на интерфейс FTP:

Например, можно создать директорию:

smb: \> mkdir test
smb: \> ls

Доступ из командной строки используется в основном для тестирования, на практике доступ чаще всего осуществляется из графических оболочек, например, KDE. Возможен также доступ из других платформ (Windows, MacOS).

Например для доступа с windows наберите в строке поиска \\samba.example.com\ivan. И введите логин пароль

После чего вы сможете получить доступ к сетевым ресурсам.

Заключение

При помощи Samba мы создали мультиплатформенные сетевые ресурсы и протестировали доступ к ним. Ресурсы Samba очень распространены и могут использоваться различными приложениями. Например, VLC Player может проигрывать музыку и видео из ваших ресурсов Samba, а утилита резервного копирования BackupPC — записывать туда резервные копии.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

itproffi.ru

Ещё немного про телефоны Xiaomi и борьбу с ними. Updated / Habr

Честно признаться, у меня не было планов писать и публиковать эту статью, но, после того, как за два месяца увидел в ближнем кругу коллег 5 штук свежеприобретённых телефонов от Xiaomi, и недавнюю статью на Geektimes, рекламирующую управление умным домом от Xiaomi, ко мне пришла совесть и, ~~сцуко~~, потребовала поделиться знанием с остальными.

Для начала небольшая вводная часть для тех кто не в теме. Есть такая компания Xiaomi, которая делает неплохие по начинке телефоны и заливает в них кастомизированный Android. Бизнес модель, как недавно официально было заявлено — «По сути мы раздаём наши смартфоны, не зарабатывая на этом денег. Нас больше заботят долгосрочные источники дохода. Мы могли бы продать 10 миллиардов смартфонов и не заработать на них ни цента». Источник раз и два.

Заглянув в сентябрьскую статью на Security lab и ещё вот в эту жалобу, у меня лично возникло ощущение, что телефон Xiaomi это что-то типа поводка на котором владельца водит Большой брат (утрирую, конечно же).

Это и стало основным мотивом проведения исследования поведения телефона Xiaomi redmi 3S
с прошивкой MIUI Global 8.1 Стабильная 8.1.1.0 (MALMIDI)

Исследование подопытного кролика и обнаружение проблемы
Беру новенький телефон из коробки. Включаю его и прохожу через мастера начальной настройки, предварительно включив запись трафика на Wi-Fi роутере. Ровно через две секунды, после того как телефон подключился к точке доступа, началось скачивание файла размером около 8Мбайт с одного из серверов Xiaomi. Это был обычный zip архив, внутри которого лежала куча всего и, в том числе, файл AnalyticsCore.apk, упомянутый в статье на SecurityLab.

Дальше — больше. В общей сложности, за всё время наблюдения, я насчитал чуть меньше восьми десятков имён серверов в разных доменах. Сразу оговорюсь, что в этом числе нет серверов Google и Facebook, приложения которых также предустановлены. Просто потому что я их считал отдельно. С ними тоже всё «весело».

Большая часть коннектов к серверам Xiaomi шла через HTTPS, поэтому разобраться в деталях ЧТО именно передаётся напрямую возможности не было. Отключение всевозможных логинов, синхронизаций и т.п. к исчезновению этого трафика не привело.

Дополнительно смущало то, что большей частью запросы были небольшими (объём принятого переданного трафика TCP сессий не превышал 1-2Кб), но, т.к. наши сотовые операторы округляют объём трафика вверх (Например, Tele2 до 150Кб), то, при неудачном совпадении, можно «накачать» таким образом существенные объёмы трафика, а в роуминге неожиданно попасть на деньги.

Тех, кого сей факт не смущает могут дальше не читать, т.к. дальше будет описание конкретики изоляции трафика от приложений, вшитых в заводскую прошивку.

Предварительные условия

Первое что необходимо — это рутовать телефон. Как это делается в случае Xiaomi я здесь описывать не буду, отсылаю желающих пройти этот путь к полной версии этой статьи (ссылка в конце).
Второе — это влить в телефон прошивку через кабель и стереть ВСЕ пользовательские данные.
Третье — телефон НЕ ДОЛЖЕН иметь доступа в интернет после залива свежей прошивки.
Update. До момента установки нижеописываемых ограничений, разумеется.

Disclamier. Все дальнейшие манипуляции над телефоном Вы делаете на свой страх и риск.
Ответственность за любой результат лежит на том, кто именно делал описываемые ниже действия.

Небольшая техническая вводная часть

Серверы, к которым обращается телефон, в большинстве своём расположены в облаке Amazon, поэтому обращения к ним происходит по именам, которые ресолвятся через round-robin DNS в разные IP адреса из разных подсетей /16. Блокировать их все по подсетям смысла особого нет — так можно половину интернета отфильтровать, что не есть хорошо. Блокировать по именам — хорошо, но не факт, что имена хостов из L3 доменов не генерируются динамически. Идеально было бы прибить все приложения, которые обращаются к серверам Xiaomi, но, как показала практика, глубина их интеграции в Android такова, что после удаления некоторых из них телефон может просто отказаться загружаться.

Далее. К внешним серверам обращается не один процесс, а многие, при этом задачу усложняет наличие в Android UID sharing, когда под одним UID могут генерировать сетевой трафик разные процессы (приложения). Более того, один из полезных процессов (отвечающий за GPS) надо выпускать во внешний мир, чтобы скачивать небольшие обновления, но при этом он сидел под тем же UID, что и восемь штук процессов, рвущихся к серверам Xiaomi.

Также надо упомянуть про ограниченность инструментария, доступного для решения вышеописанных задач, т.к. большая часть приложений имеющих в названии firewall доступных на Play Market работают через т.н. VPN, т.е. от сливов информации до запуска приложения они не защищают.

Большая часть того, что будет рассказано дальше для профессиональных разработчиков Android есть банальная истина, но всем остальным это позволит понять почему фильтрация построена именно таким образом.

В отличие от обычного Linux, где есть файлы конфигурации и стартовые скрипты, лежащие в /etc, в Android всё сделано несколько иначе. Общее управление сетью осуществляет Connection Manager, который дёргает системный демон netd, который, в свою очередь, вызывает iptables с определёнными параметрами командной строки. Соответственно, вызывать IPtables из скрипта начальной загрузки (init и прочих) особого смысла нет — netd при старте всё равно вызовет iptables, очистит правила и зальёт свои.

Единственный выход оставленный Google — писать необходимые команды конфигурации iptables в скрипте /system/bin/oem-iptables-init.sh. Путь к этому скрипту и его имя жёстко прописаны внутри исходного кода демона netd.

Для фильтрации статических имён хостов можно редактировать файл /etc/hosts, но при этом надо помнить про их количество и возможность их динамической генерации.
Дальше будет рассказ как это всё делалось.

Удаление и заморозка (если нет уверенности) ненужных программ

При помощи бесплатной версии Titanium Backup можно посмотреть соответствие между именем программы, показываемое в системе (Play Market), её кодовым именем (com.google.vending) и, при необходимости, удалить то, что явно не нужно.

Недостаток бесплатной версии — не умеет делать заморозку программ, посему заморозку делаем через ADB shell при помощи package manager. Пример:

root@land:/ # pm disable com.miui.analytics
pm disable com.miui.analytics
Package com.miui.analytics new state: disabled
root@land:/ # pm disable com.miui.systemAdSolution
pm disable com.miui.systemAdSolution
Package com.miui.systemAdSolution new state: disabled
root@land:/ # reboot
reboot

Фильтрация сетевых запросов

Disclamier 2.В данной статье описано КАК можно фильтровать «левую» сетевую активность телефона. Что конкретно фильтровать — каждый волен решать сам.

Как это можно делать.

1. Cамое простое — заполнение файла /etc/hosts записями имён серверов c IP адресом 127.0.0.1. Мой набор серверов лежит на Google Drive в папке Files.
Недостаток варианта — невозможность блокировки неизвестных и динамически генерируемых имён хостов и доменов L3/L4.

Update. Несколько раз обнаруживал странное поведение Netfilter/IPtables. После загрузки телефона в таблице действующих правил оказывались не все правила, перечисленные в скрипте. Если перезагрузить телефон ещё раз — все правила оказывались на месте. ~~Прям шайтан-машина, а не телефон.~~
В документации нашёл описание параметра —wait, который вроде бы должен решать эту проблему. Но, для гарантированного решения проблемы, сделал ещё вызов IPtables из скрипта не напрямую, а через несложную функцию, которая проверяет код завершения и, при необходимости, повторно выполняет команду с небольшой задержкой, опять же проверяя результат.

2. пишем команды фильтрация отправки пакетов на подсети /16 и /24 стандартными правилами Netfilter/IPtables в файл oem-iptables-init.sh. Здесь их не описываю, желающие напишут их сами, либо найдут в полной версии статьи.
Update. Недостаток варианта — большая часть серверов расположена в облаке Amazon и имеет переменные (round-robin DNS) IP адреса. Для гарантированной их фильтрации придётся закрыть не один десяток подсетей /16, что не есть хорошо. Можно ненароком забанить и полезные сайты. Но для статичных хостов (если их немного) это решение вполне подходит.

3. Фильтруем DNS запросы к ненужным нам доменам. Это несколько сложнее, поэтому опишу подробнее.

Updated.В составе IPtables, штатно идущем в Android есть модули расширения функционала, которыми мы дальше и воспользуемся. Помня, что DNS запросы отправляет система (UID 0) пишем правило:

$IPTABLES -A oem_out --protocol udp --dport 53 -m owner --uid-owner 0 -m string --algo bm --hex-string '|04|miui|03|com|00|' -m comment --comment "Deny UID 0 DNS queries for miui.com domain" -j DROP
#
$IPTABLES -A oem_out --protocol udp --dport 53 -m owner --uid-owner 0 -j ACCEPT

Updated. Первая строчка отфильтрует все UDP пакеты, отправленные системой (UID 0) на 53 UDP порт любого IP адреса и содержащие в себе байты 046d69756903636f6d00 (запросы к DNS серверу содержащие в себе .miui.com). IPtables самостоятельно преобразуют строчку |04|miui|03|com|00| в чисто шестнадцатиричый вид 046d69756903636f6d00.
Наличие шестнадцатиричной цифры на первой позиции для параметра —hex-string — обязательно, иначе IPtables не примет команду. Точки-разделители в доменном имени при формировании DNS запроса преобразуются в шестнадцатиричные цифры, означающие количество байт до следующего разделителя. Поэтому последний байт равен нулю (00h).

Вторая строчка пропустит все остальные DNS запросы. Комментарии я указал для удобства, чтобы команда iptables -L -v показывала результаты блокировок нагляднее.

4. Для работы Assited GPS необходимо дать возможность доступа к серверам QualComm процессу с UID 1000. Здесь всё сложнее, т.к. простая фильтрация пакетов по содержимому, как в случае DNS серверов, не сработает — начальные пакеты установления TCP соединения c флагами SYN, ACK ещё НЕ содержат в себе имя хоста, которое обязательно присутствует в HTTP запросе, а пакеты идущие после заголовка HTTP запроса уже могут не содержать в себе имя хоста. В результате фильтр пропустит из всей TCP сессии только часть пакетов, что равносильно её запрету или обрыву.
Поэтому рисуем вот такой костыль для фильтрации запросов седьмого уровня средствами 3-4 уровня:

# разрешаем инициировать установление TCP соединений на 80 порт всем процессам работающим под UID 1000.
$IPTABLES -A oem_out -m owner --uid-owner 1000 --protocol tcp --dport 80 -m conntrack --ctstate NEW -j ACCEPT
#проверяем наличие слова xtrapath в пакетах TCP соединений установленных  на 80 порт процессами с UID 1000  и помечаем эти соединения шестнадцатиричным числом 5555.
$IPTABLES -A oem_out -m owner --uid-owner 1000 --protocol tcp --dport 80 -m conntrack --ctstate ESTABLISHED -m string --algo bm --string 'xtrapath' -j CONNMARK --set-xmark 0x5555
# убиваем пакеты всех установленных процессами с UID 1000 TCP соединений не имеющих нашей пометки число 5555
$IPTABLES -A oem_out -m owner --uid-owner 1000 --protocol tcp --dport 80 -m conntrack --ctstate ESTABLISHED -m connmark ! --mark 0x5555 -j DROP

5. Фильтруем доступ в интернет по приложениям (у меня Google Chrome имел UID 10060). Разрешаем выход в интернет Google Chrome и запрещаем всем остальным приложениям.

$IPTABLES -A oem_out -m owner --uid-owner 10060 -m comment --comment "Permit Google Chrome internet access" -j ACCEPT
#
# Block all other processes
#
$IPTABLES -A oem_out -m owner --uid-owner 0-9999 -m comment --comment "Block all other system processes internet access" -j DROP
$IPTABLES -A oem_out -m owner --uid-owner 10000-99999 -m comment --comment "Block all other user processes internet access" -j DROP

Слабым местом этого способа фильтрации является его опора на наличие отметки UID на каждом конкретном пакете при прохождении его через Netfilter/IPtables. Обнаружилось это по непонятным TCP соединениям к серверам Google, пакеты которых не содержали UID. Исследование показало, что эти пакеты инициированы процессом Google Captive portal login. Я решил эту проблему обходным путём — просто выключив эти запросы командами в ADB shell:

root@land:/ # settings put global captive_portal_detection_enabled 0
root@land:/ # reboot

Радует, что (судя по накопленной статистике за несколько суток перехвата Wi-Fi трафика), никаких иных системных процессов отсылающих пакеты без UID в исследовавшемся телефоне нет.

Update. Дальнейшее наблюдение показало как я ошибался. Такие «тихие» процессы есть, но часть из них невинно общается друг с другом через адрес 127.0.0.1, что ненаказуемо.
Всё остальное надо банить.
Поэтому, для их правильной фильтрации, надо добавить в самое начало скрипта ещё две строчки:

$IPTABLES -A oem_out --protocol all --source 127.0.0.0/8 --destination 127.0.0.0/8 -m comment --comment "Accept internal traffic" --jump ACCEPT
$IPTABLES -A oem_out --protocol all -m owner ! --uid-owner 0-99999 -m comment --comment "Drop any traffic which does not have UID." --jump DROP

Update. Уже после опубликования статьи для меня окончательно стало ясно, что UID приложений, задаваемый системой при установке приложения, при обновлении и/или переустановке приложений может непредсказуемым образомменяться. Следовательно, доступ в интернет для приложения тоже отвалится и надо будет переписывать правило Netfilter/IPtables заново.
Для решения этой проблемы набросал небольшой кусок скрипта, который читает из хвоста файла наименования приложений, проверяет их наличие в системной базе приложений, и, при наличии, берёт оттуда же UID приложения и динамически (в процессе работы скрипта) формирует правило Netfilter/IPtables.
Строго говоря — чтение параметров из тела скрипта — это тоже костыль. Но меня оправдывает то, что на момент работы скрипта, подмонтировать файловую систему доступную снаружи при обычной работе телефона — невозможно. В папке /dev нет соответствующих файлов устройств. Допускаю, что это может быть особенность прошивки конкретного телефона.
Текст специально сделал максимально подробным, для лучшего понимания.

# Permit intenet access for the packages listed at the end of this file. White list mode. 
#
SU=`/system/bin/which su`
# changing reading file behavior (read whole file with \r\n into variable)
IFS=""
# reading first and second fields of every line of the system packages database into variable PACKAGESDB. 
# Escalating privileges via su because of filesystem packages database file access limitations.
PACKAGESDB=`$SU -c "/system/bin/cut -d' ' -f 1,2 /data/system/packages.list"`
#
# Reading last lines of current script form the end till "exit 0" line
# Filtering empty lines, lines started with # and all symbols after # (comments) in every line.
# 
# 's/#.*//' - remove all in every line after #
# '/^#/d' - remove lines staring with #
# '/./!d' - remove empty lines
# '/exit 0/,$ d' - remove all lines starting line with "exit 0"
# 's/ //g' - remove spaces from line
#
/system/bin/tac $0 | /system/bin/sed -e '/^#/d' -e 's/#.*//' -e '/exit 0/,$ d' -e '/./!d' -e 's/ //g'| while read line;
do
# Just in case 8-)
OUR_PACKAGE_NAME=$line
# Strict checking for existence of our package name in the system packages database. Checking first field.
PACKAGE_NAME_IN_DB=`echo $PACKAGESDB | /system/bin/cut -f 1 -d' ' | /system/bin/grep -Fx "$line"`
if
# Checking grep utility exit code. "0" means pattern found
test "$?" == "0"
then
#
# Looking for package UID in database. Checking second field. VERY important space after $line!!!
#
PACKAGE_UID=`echo $PACKAGESDB |  /system/bin/grep "$line " | /system/bin/cut -f 2 -d' '`
else
# All other exit codes return us to the beginning of the cycle.
# echo "Package $OUR_PACKAGE_NAME not found"
$IPTABLES -A $CHAIN -m comment --comment "Package name $OUR_PACKAGE_NAME not found. Check package name." --jump LOG
continue
fi
#
# Set the package right for Internet access
# 
$IPTABLES -A $CHAIN -m owner --uid-owner $PACKAGE_UID -m comment --comment "Permit $OUR_PACKAGE_NAME Internet access" -j ACCEPT
#
done
######
... skipped...
####
exit 0
#### 
####### Do NOT edit before this line #########
# Please add package names and comments after this line for granting them internet access.
#####
# Google Play Store and its companion processes
# 
com.google.android.gms # Google Services Framework Internet access
com.android.vending # Google Play Market internet access
com.android.providers.downloads # Download manager service internet access
#
# Other Google apps
com.google.android.youtube # Youtube application internet access
com.google.android.apps.maps # Google Maps application internet access
com.google.android.googlequicksearchbox # Google Assistant internet access
#
#
com.android.chrome # Google Chrome browser internet access

После переустановки/обновления приложения нужно всего лишь перезагрузить телефон.

6. Для целей мониторинга работы правил Netfilter/IPtables можно добавить ещё вот такую строчку:

$IPTABLES -A oem_out --source 10.1.30.42 --protocol tcp --jump LOG --log-prefix "IPtables log:" --log-uid

Параметр IP адрес отправителя (—source 10.1.30.42) можно опустить, но в этом случае лог будет завален записями сетевой активности процессов, завёрнутых на адрес 127.0.0.1 файлом hosts. Лог можно читать через команду dmesg (dmesg | grep IPtables) в ADB Shell.

Версию статьи, которая писалась как полная инструкция по решению этой проблемы с Xioami Redmi 3S я выложил на Google Drive. Сюда её выкладывать не рискнул именно из-за объёма.

P.S. Я не разработчик Android-приложений, просто жизнь заставила два месяца поразбираться с сабжевым телефоном. Посему, господа профи, если я где ошибаюсь — поправляйте. Буду признателен.

P.P.S. В качестве средства перехвата использовался Zyxel Keenetic Extra. У него есть возможность перехватывать Wi-Fi трафик и сливать его на флэшку для последующего анализа.

habr.com