Управляющее резюме
Основной вопрос: если у вас очень ограниченная пропускная способность Wi-Fi, чтобы обеспечить Интернет для небольшой встречи, состоящей всего в день или два, как вы устанавливаете фильтры на маршрутизаторе, чтобы один или два пользователя не монополизировали всю доступную пропускную способность?
Для людей, у которых нет времени, чтобы прочитать подробности ниже, я НЕ ищу ни одного из этих ответов:
- Защищайте маршрутизатор и позволяйте использовать его только нескольким доверенным лицам.
- Скажите всем, чтобы отключить неиспользуемые услуги и, как правило, сами полицейские
- Отслеживайте трафик с помощью сниффера и добавляйте фильтры по мере необходимости
Я в курсе всего этого. Ни один из них не подходит по причинам, которые станут понятны.
ТАКЖЕ ПРИМЕЧАНИЕ: Здесь уже есть вопрос, касающийся обеспечения адекватного Wi-Fi на больших (> 500 участников) конференциях . Этот вопрос касается МАЛЕНЬКИХ собраний менее 200 человек, обычно менее половины, использующих WiFi. Что-то, что может быть обработано с одним домашним или небольшим офисным маршрутизатором.
Фон
В прошлом я использовал устройство маршрутизатора 3G / 4G для обеспечения WiFi небольшим совещаниям с некоторым успехом. Под малым я подразумеваю конференции в одном зале или собрания по заказу barcamp или Skepticamp или собрания группы пользователей. На этих встречах иногда присутствуют технические участники, но не исключительно. Обычно менее половины трети участников будут использовать WiFi. Максимальный размер собрания, о котором я говорю, - от 100 до 200 человек.
Обычно я использую Cradlepoint MBR-1000, но существует много других устройств , особенно устройства «все в одном», поставляемые такими поставщиками 3G и / или 4G, как Verizon, Sprint и Clear. Эти устройства подключены к Интернету 3G или 4G и разветвляются на несколько пользователей с помощью WiFi.
Одним из ключевых аспектов предоставления сетевого доступа таким способом является ограниченная пропускная способность, доступная через 3G / 4G. Даже с чем-то вроде Cradlepoint, который может балансировать нагрузку на несколько радиостанций, вы достигнете лишь скорости загрузки в несколько мегабит и, возможно, скорости загрузки в мегабит или около того. Это лучший вариант развития событий. Часто это значительно медленнее.
Цель в большинстве таких ситуаций - предоставить людям доступ к таким службам, как электронная почта, Интернет, социальные сети, чат и т. Д. Это делается для того, чтобы они могли вести блог в режиме реального времени или в Твиттере, или просто общаться в чате или иным образом оставаться на связи (как с посетителями, так и с не посетителями) во время встречи. Я хотел бы ограничить услуги, предоставляемые маршрутизатором, только теми службами, которые отвечают этим потребностям.
Проблемы
В частности, я заметил несколько сценариев, когда отдельные пользователи в конечном итоге злоупотребляют большей частью пропускной способности маршрутизатора в ущерб всем. Они сводятся к двум областям:
Преднамеренное использование . Люди смотрят видео на YouTube, загружают подкасты на свой iPod и используют пропускную способность для вещей, которые действительно не подходят для комнаты собраний, где вы должны уделять внимание говорящему и / или взаимодействовать.
На одном собрании, которое мы транслировали в прямом эфире (через отдельное выделенное соединение) через UStream, я заметил несколько человек в комнате, у которых была открыта страница UStream, чтобы они могли взаимодействовать с чатом собрания - очевидно, не замечая, что они тратили трафик пропускной способности. заднее видео о том, что происходило прямо перед ними.Непреднамеренное использование . Существует множество программных утилит, которые будут широко использовать пропускную способность в фоновом режиме, которые люди часто устанавливают на свои ноутбуки и смартфоны, возможно, даже не подозревая об этом.
Примеры:Одноранговые программы загрузки, такие как Bittorrent, которые работают в фоновом режиме
Услуги автоматического обновления программного обеспечения. Это легион, поскольку у каждого крупного поставщика программного обеспечения есть свои собственные, поэтому можно легко иметь Microsoft, Apple, Mozilla, Adobe, Google и других, которые пытаются загружать обновления в фоновом режиме.
Программное обеспечение для обеспечения безопасности, которое загружает новые сигнатуры, такие как антивирус, антивирус и т. Д.
Программное обеспечение для резервного копирования и другое программное обеспечение, которое «синхронизируется» в фоновом режиме с облачными сервисами.
Некоторые цифры о том, какая пропускная способность сети поглощается этими не-сетевыми службами, не относящимися к электронной почте, можно найти в этой недавней статье Wired . По всей видимости, в настоящее время интернет, электронная почта и чат составляют менее четверти интернет-трафика. Если числа в этой статье правильные, отфильтровав все остальные вещи, я смогу увеличить полезность WiFi в четыре раза.
Теперь в некоторых ситуациях я смог контролировать доступ с помощью безопасности на маршрутизаторе, чтобы ограничить его очень небольшой группой людей (обычно организаторами собрания). Но это не всегда уместно. На предстоящем собрании я хотел бы запустить WiFi без защиты и позволить кому-либо использовать его, потому что это происходит в месте встречи, покрытие 4G в моем городе особенно превосходно. В недавнем тесте я получил 10 мегабит на месте встречи.
Упомянутое в верхней части решение «сказать людям, чтобы они сами следили за собой» не подходит из-за (а) значительной нетехнической аудитории и (б) непреднамеренного характера большей части использования, как описано выше.
Решение «запускать анализатор и фильтровать по мере необходимости» бесполезно, поскольку такие встречи обычно длятся всего несколько дней, часто всего один день, и имеют очень небольшой штат добровольцев. У меня нет человека, который мог бы посвятить себя мониторингу сети, и к тому времени, когда мы полностью настроим правила, встреча закончится.
Что я получил
Во-первых, я решил использовать правила фильтрации доменов OpenDNS для фильтрации целых классов сайтов. С его помощью можно удалить несколько видео и одноранговых сайтов. (Да, я знаю, что техническая фильтрация через DNS оставляет службы доступными - помните, что это в основном нетехнические пользователи, посещающие двухдневное собрание. Этого достаточно). Я подумал, что начну с этих выборов в интерфейсе OpenDNS:
Я полагаю, что я, вероятно, также заблокирую DNS (порт 53) на что-либо, кроме самого маршрутизатора, так что люди не смогут обойти мою конфигурацию DNS. Опытный пользователь может обойти это, потому что я не собираюсь устанавливать много сложных фильтров на брандмауэре, но мне все равно. Поскольку эти встречи не длятся очень долго, вероятно, они не будут стоить хлопот.
Это должно охватывать большую часть не-веб-трафика, то есть однорангового и видео, если эта статья Wired верна. Пожалуйста, сообщите, если вы думаете, что существуют серьезные ограничения для подхода OpenDNS.
Что мне нужно
Обратите внимание, что OpenDNS фокусируется на вещах, которые «нежелательны» в том или ином контексте. Видео, музыка, радио и пиринговая связь - все это покрыто. Мне все еще нужно охватить ряд совершенно разумных вещей, которые мы просто хотим заблокировать, потому что они не нужны на собрании. Большинство из них - утилиты, которые загружают или загружают легальные вещи в фоновом режиме.
В частности, я хотел бы знать номера портов или DNS-имена для фильтрации, чтобы эффективно отключить следующие службы:
- Автоматические обновления Microsoft
- Автоматические обновления Apple
- Автоматические обновления Adobe
- Автоматические обновления Google
- Другие основные службы обновления программного обеспечения
- Основные обновления сигнатур вирусов, вредоносных программ и безопасности
- Основные фоновые службы резервного копирования
- Другие сервисы, которые работают в фоновом режиме и могут потреблять много трафика
Я также хотел бы получить любые другие предложения, которые у вас могут быть применимы.
Извините, что так многословен, но я нахожу, что это помогает быть очень, очень ясным по вопросам такого рода, и у меня уже есть половина решения с вещью OpenDNS.
Ответы:
Для начала, будьте очень точны в отношении типа трафика, который вы хотите разрешить. Имейте правило запрета по умолчанию, затем разрешите порты, такие как 80, 443, 993, 587, 143, 110, 995, 465, 25 (я лично не хотел бы открывать это, но вы, вероятно, получите кучу жалоб, если вы этого не сделаете) , Также разрешите UDP-соединения с портом 53 на серверах OpenDNS.
Это даст вам отличное начало. Это убьет большую часть протоколов контроля пропускной способности. Он также заблокирует множество VPN-подключений (но не ssl vpns), что должно помешать людям обойти вашу безопасность.
Если у вас есть брандмауэр, способный блокировать типы файлов, вам, вероятно, следует также заблокировать exe, bin, com, bat, avi, mpeg, mp3, mpg, zip, bz2, gz, tgz, dll, rar, tar и, возможно, кучу других. Я ухожу.
Помимо этого, ваши нынешние ограничения, вероятно, достаточно приличны. Вы можете добавить обновления в список. Лично я бы не стал блокировать обновления аудио / видео. Если вы действительно хотите, вы можете заблокировать все их домены (* .symantec.com, * .mcafee.com, * .trendmicro.com и т. Д.). URL-адреса обновлений Microsoft доступны по адресу http://technet.microsoft.com/en-us/library/bb693717.aspx.
источник
Использование OpenDNS не будет блокировать торренты.
Это только заблокирует их способность находить новые торренты онлайн и добавлять их в свою очередь.
Если они войдут с 5 торрентами на полпути, а затем подключатся к локальной сети через WiFi, то все торренты возобновят работу и займут всю доступную пропускную способность. Внимательное прочтение сайта OpenDNS указывает на это. И если вы думаете о том, как работает DNS, это имеет смысл.
Блокировать существующие торренты сложно. Ваш самый разумный шаг - ограничить максимальное количество подключений до 60-100 на пользователя, прямо в радио. iTunes и Torrent открывают тысячи.
источник
Во-первых, любой Wi-Fi-роутер действительно хорош только для примерно 60 соединений, поэтому в худшем случае, когда «менее 200 человек и менее половины используют Wi-Fi» (99 пользователей), все равно может потребоваться как минимум еще один маршрутизатор.
Во-вторых, вы должны обратить внимание на формирование трафика ... в идеале вы хотите, чтобы каждый IP-адрес был внутри одинаково гарантированной минимальной пропускной способности, и чтобы они боролись за дополнительную ... таким образом, никто не будет закрыт, но кто-то может все же взорваться вместимость.
источник
Я бы посоветовал вам посмотреть, могут ли ваши маршрутизаторы использовать специальную прошивку, например, DD-WRT . С его помощью вы можете использовать QOS , который будет действительно то, что вы ищете.
источник