Назад | Перейти на главную страницу

Как мне настроить шлюз для ограничения интернет-трафика в общежитии колледжа?

Хорошо, как и все ИТ-отделы колледжей, мы боролись со злоупотреблением P2P и пытаемся выяснить, как эффективно снизить его влияние на нашу сетевую инфраструктуру ...

И затем мы узнаем СЕГОДНЯ, что мы сдаем в аренду помещения в двух НАШИХ общежитиях студентам университета, расположенного через дорогу. (Всего 100 студентов, по 50 в каждом рассматриваемом здании.)

Наш бюджет: Бесплатно. (У нас есть несколько настольных компьютеров Pentium 3 и 4 для использования.)

Мы обязаны обеспечивать поддержку HTTP-трафика только для разъема RJ-45 в комнате общежития. Никаких соображений по поводу VOIP, ничего. Каждое здание находится в отдельной VLAN.

Возможно ли теоретически использовать что-то вроде pfSense, работающего на блоке класса PIII или Pentium IV с двумя сетевыми адаптерами, для ограничения HTTP-трафика / формирования пакетов и т. Д.? Это не навсегда - они сдают общежития только на один семестр - но я никогда раньше не делал этого, и я ищу какие-либо рекомендации, которые может предложить сообщество.

(Я думаю, по одной коробке на каждое здание, которое сдается в аренду ...)

РЕДАКТИРОВАТЬ: Внешнее подключение к Интернету в целом: 12 Мбит. Все общежития находятся на подмножестве IP-адресов, которые находятся в отдельной «полосе», которая не может превышать 30% от общего числа.

Речь идет о множестве переменных. В том числе, но не ограничиваются:

  • Пропускная способность в Мбит / с.
    Это очевидно.

  • Пропускная способность в PPS.
    Это менее очевидно и часто более важно, чем предыдущий пункт. Большое количество маленьких пакетов будет сильнее загружать маршрутизатор / межсетевой экран, чем меньшее количество больших пакетов. Это связано с тем, что каждый пакет вызывает системное прерывание и должен оцениваться индивидуально на предмет межсетевого экрана, маршрутизации или более глубокой фильтрации.

  • Качество сетевых адаптеров и шины PCI.
    Покупайте лучшее, что вы можете. Хорошая сетевая карта будет выполнять максимально возможную внутреннюю обработку без нарушения работы системы. В то время как дешевая сетевая карта будет подталкивать обработку обратно к процессору, создавая нагрузку на систему и замедляя процесс. В то время как

  • Количество досмотра и обработки трафика.
    Чем больше у вас правил брандмауэра, тем дольше потребуется оценка. Вы можете выполнять некоторые умные вещи, такие как прозрачное проксирование и кеширование, но это приведет к дополнительным накладным расходам.

Однако я бы сказал, что то, чего вы пытаетесь достичь, вполне возможно. Если вы можете оторваться от графического интерфейса Pfsense, я полностью рекомендую установить OpenBSD на машинах. Делать то, что вы хотите, довольно просто, и вы откроете много возможностей.

Возможно, вы захотите настроить машины как прозрачные мосты. Это позволит вам вставить их прямо в текущую настройку. Вы можете использовать это в качестве первого теста, чтобы увидеть, справляются ли они со своей задачей - бросьте их как простые старые мосты без фильтрации и посмотрите, справятся ли они. Если по какой-то причине вы обнаружите, что это не так, вы можете вытащить их с относительно небольшими проблемами.

Тогда следующим шагом будет введение фильтрация с PF. затем ограничение скорости с помощью ALTQ. Тогда я бы предложил бросить NET-SNMP (с участием PF MIB) и пакет мониторинга вроде Кактусы следить за использованием и производительностью.

Ах, но чтобы разрешить просмотр веб-страниц, я уверен, что студентам понравится использование DNS для разрешения URL-адресов своих веб-сайтов. Тогда им, конечно же, понадобится поддержка HTTPS, чтобы они могли безопасно входить в свой учебный сайт или банк. Ох уж .... скользкая дорожка у вас тут дружище! Но тут ничего не поделаешь?

В зависимости от того, как настроена сеть, вы можете либо сделать каждый ящик маршрутизатором шлюза для каждого общежития, либо для повышения производительности (если вы можете) просто настроить каждый ящик как прозрачный межсетевой экран и позволить вашему (я предполагаю) лучше уже установленный роутер сделаем роутинг. Конечно, все это зависит от того, как устроена сеть. Без дополнительной информации я не могу дать много советов.

Я бы рекомендовал openbsd и pf, особенно учитывая старое оборудование, которое вы будете развертывать. Тем не менее, если вы недостаточно технически подготовлены, чтобы настроить это самостоятельно, есть такие дистрибутивы, как pfsense, вам просто придется иметь дело с небольшой медлительностью в веб-интерфейсе.

Вы можете использовать untangle: http://www.untangle.com/ это открытый исходный код, бесплатный и предоставляет функции, которые вам кажутся необходимыми, и многое другое.

Что касается блокировки, я бы был осторожен в общежитиях колледжей и проверял правила, чтобы убедиться, что вы можете это сделать, прежде чем что-либо внедрять.

Почему бы не использовать брандмауэр на компакт-диске вроде Часовой или Redwall? Затем разрешите только исходящие соединения с портом 80 (или как хотите). Эти решения обычно довольно просты в использовании с веб-интерфейсом.

SmoothWall

вариант, который подойдет. Это один из самых старых пользовательских дистрибутивов Linux для брандмауэра.