Como devo configurar um gateway para restringir o tráfego da Internet em um dormitório da faculdade?

Navegue suas respostas
1

OK, como todos os departamentos de TI da faculdade, estamos lutando contra o abuso de P2P e tentando descobrir como mitigar efetivamente o impacto em nossa infraestrutura de rede ...

E então descobrimos HOJE que estamos alugando espaço em dois dos nossos dormitórios para estudantes de uma universidade localizada do outro lado da rua. (100 alunos no total, 50 em cada prédio em questão.)

Nosso orçamento: gratuito. (Temos alguns desktops Pentium 3 e 4 disponíveis para uso.)

Somos obrigados a fornecer suporte de tráfego HTTP para o conector RJ-45 do dormitório. Nenhuma consideração de VOIP, nada. Cada prédio está em uma VLAN distinta.

É possível, em teoria, usar algo como o pfSense em uma caixa PIII ou Pentium IV com 2 NICs para restringir o tráfego HTTP / modelagem de pacotes / etc? Isso não é uma coisa permanente - eles estão apenas alugando dormitórios por um semestre - mas nunca tendo feito isso antes, estou procurando por qualquer orientação que a comunidade aqui possa oferecer.

(Estou pensando em uma caixa por prédio que está sendo alugada ...)

EDITAR: Conexão externa à internet em geral: 12mbits. Todos os dormitórios estão em um subconjunto de IPs que estão em uma 'faixa' separada que não pode exceder 30% do total.

    
por Bill B 11.08.2009 / 23:02

5 respostas

2

Ah, mas para permitir a navegação na web, tenho certeza de que os alunos aproveitarão o uso do DNS para resolver os URLs de seus sites. Então, eles vão querer o suporte HTTPS, claro, para que eles possam fazer logins seguros em seu site ou banco de material didático. Oh então .... uma ladeira escorregadia você tem aqui meu amigo! Mas não há nada a ser feito sobre isso?

Dependendo de como a rede está configurada, você pode ter cada caixa como o roteador de gateway para cada dormitório ou, para melhorar o desempenho (se possível), configurar cada caixa como um firewall de ponte transparente e permitir que você ( Eu assumo) melhor roteador já instalado fazer o roteamento. Claro, tudo isso depende da maneira como a rede é projetada. Sem informações adicionais, não há muitos conselhos que eu possa dar.

Eu recomendo o openbsd e o pf, especialmente considerando o hardware mais antigo que você estará implantando. Dito isso, se você não é tecnicamente capaz de configurar isso sozinho, existem distros como o pfsense, você terá que lidar com um pouco de lentidão na interface da web.

    
por 11.08.2009 / 23:28
2

Existem muitas variáveis em questão. Incluindo, mas não limitado a:

  • Taxa de transferência em Mbps.
    Isso é óbvio.

  • Taxa de transferência no PPS.
    Isso é menos óbvio e muitas vezes mais importante que o item acima. Uma grande quantidade de pequenos pacotes sobrecarregará um roteador / firewall mais do que uma quantidade menor de pacotes grandes. Isso ocorre porque cada pacote produz uma interrupção do sistema e deve ser avaliado individualmente para firewall, roteamento ou filtragem mais profunda.

  • Qualidade de NICs e barramento PCI.
    Compre o melhor que puder. Uma boa placa de rede executará o máximo possível de processamento onboard sem afetar o sistema. Considerando que um NIC barato irá empurrar o processamento de volta para o processador, criando a carga do sistema e retardando o processo. Considerando que

  • Quantidade de inspeção e processamento de tráfego.
    Quanto mais regras de firewall você tiver, maior será a avaliação. Você pode executar algumas coisas inteligentes, como proxy transparente e cache, mas isso trará algumas sobrecargas extras.

Sem o punho, eu diria que o que você está tentando alcançar é perfeitamente possível. Se você puder se afastar da interface gráfica do Pfsense, então eu recomendaria totalmente a instalação do OpenBSD nas máquinas. É bem simples fazer o que você quer e você vai destravar muita energia.

Você provavelmente desejará configurar as máquinas como pontes transparentes . Isso permitirá que você os encaixe diretamente em sua configuração atual. Você poderia usar isso como o primeiro teste para ver se eles estão prontos para o trabalho - deixá-los como pontes antigas sem filtragem e ver se eles lidam com isso. Se, por alguma razão, você descobrir que isso não acontece, você poderá retirá-los com uma interrupção razoavelmente pequena.

Em seguida, o próximo passo seria introduzir filtragem com PF . Então taxa limite com ALTQ . Eu sugeriria então jogar NET-SNMP (com PF MIBs ) e um pacote de monitoramento como Cactos para manter um olho na utilização e no desempenho.

    
por 11.08.2009 / 23:40
0

Por que não usar um firewall em um CD como Sentry ou redwall ? Em seguida, permita apenas as conexões de saída para a porta 80 (ou o que você quiser). Estas soluções são geralmente fáceis de usar, com uma interface web.

    
por 11.08.2009 / 23:16
0

Você pode usar o untangle: link é de código aberto, gratuito e fornece os recursos que você parece precisar e muito mais.

No que diz respeito ao bloqueio das coisas, eu tomaria cuidado nos dormitórios da faculdade e verificaria a regulamentação para garantir que você possa fazer isso antes de implementar qualquer coisa.

    
por 11.08.2009 / 23:23
0

SmoothWall

é uma opção que funcionaria bem. É uma das distribuições de linux personalizadas mais antigas para firewall.

    
por 11.08.2009 / 23:24

Tags

Cisco Switch Manager Como ler dados da célula no excel e enviar para o prompt de comando [closed]