Вот интересная проблема / сценарий, который может понравиться некоторым системным администраторам:
Владелец многоквартирного дома раздает своим арендаторам бесплатный доступ в Интернет. Обычно у него есть T1, идущий к дому, и в каждой квартире есть вилка CAT5 в стене. Доступ в Интернет "бесплатный" (включен в арендную плату или что-то еще) для арендаторов.
Проблема в том, что несколько арендаторов загружают нелегальные фильмы / музыку через BitTorrent. В результате MPAA и RIAA рассылают владельцу интернет-соединения (т. Е. Владельцу квартиры) «противные сообщения» относительно незаконных загрузок.
Владелец квартиры заблокировал списки торрент-сайтов, а также несколько расширений файлов на уровне маршрутизатора, но проблема не устранена.
Я хотел бы знать, есть ли у кого-нибудь разумное / недорогое решение этой проблемы? QoS, по-видимому, работает только до определенного момента, потому что bittorrent может использовать практически любой порт, который он хочет. Проверка пакетов не работает для зашифрованных соединений и т. Д.
Владелец квартиры сказал, что был бы счастлив, если бы он мог просто видеть трафик загрузки / выгрузки (т.е. потенциальных нарушителей) отдельных квартир.
Любые идеи?
ОБНОВЛЕНИЕ: меня не интересует обсуждение юридических / юридических / социальных вопросов, а не столько реальных технических решений (какими бы они ни были). Я прошу вас проголосовать за ТЕХНИЧЕСКИЕ обсуждения, а не за юридические / социальные. Спасибо!
ОТВЕТ: Выбрал ответ Джастина Скотта как правильный ответ из-за его предложения использовать управляемые коммутаторы и MRTG. Хотя было бы лучше заблокировать bittorrent или хотя бы сделать его ЧРЕЗВЫЧАЙНО сложным, MRTG и управляемый переключатель позволят нам легко идентифицировать нарушителя (ов).
Разрешил ли он своим интернет-провайдером передавать T1 в субаренду другим? Если это так, то он фактически является обычным оператором связи (например, телефонной компанией) и не несет ответственности за использование услуги. Как только он начинает принимать меры по предотвращению определенного движения, он берет на себя ответственность. Я бы связался с адвокатом, прежде чем что-либо делать.
Если его интернет-провайдер не разрешит ему сдавать их T1 в субаренду, я бы даже не стал вмешиваться. «Ты сам по себе, приятель».
Если у каждой квартиры есть собственный порт на управляемом коммутаторе где-то в здании, увидеть уровни их трафика будет довольно просто с помощью чего-то вроде MRTG.
Однако это больше похоже на юридический, чем на технический вопрос. IANAL, но, пытаясь контролировать соединение, владелец, по сути, отказывается от какого-либо статуса «общего оператора связи», который у него мог быть (если он вообще имелся). Если бы я был в таком положении, каждая квартира получила бы статический IP-адрес для выхода в Интернет. Если придет MPAA / RIAA, я бы вежливо направил их арендатору, которому «принадлежит» рассматриваемый IP-адрес.
Лучшее социальное решение, которое я видел, - это передать письмо арендаторам и после трех уведомлений прекратить их интернет-обслуживание. В большинстве комплексов, в которых я работал, есть такая политика, и она хорошо работает. После первой или второй буквы вы увидите, что их использование полосы пропускания значительно снизится.
В противном случае я бы об этом не беспокоился. Он не будет отключать соединение для получения массовых писем или писем «мы видели, как вы загрузили это». Шансы на то, что дело дойдет до суда, очень малы. Лично, если бы у меня был T1 (или что-то более быстрое ...), я бы попросил блок IP-адресов и дал каждой квартире свой публичный IP-адрес, тогда было бы тривиально отследить, кто что сделал, и переложить вину.
Все здесь уже говорили о проблемах с законностью такого рода установки, так что я больше не буду бить эту мертвую лошадь.
Если вам нужен хороший бесплатный инструмент для мониторинга интернет-трафика, вы можете попробовать ИПАУДИТ так как это даст вам довольно хорошую информацию об использовании трафика вашего хоста. У меня есть сообщение по следующему вопросу (ИПАУДИТ это решение для мониторинга трафика на базе Linux): https://serverfault.com/questions/8267/monitor-internet-bandwidth
Вы также можете найти хорошие ответы в этом вопросе: Мониторинг сетевого трафика
Я собираюсь быть очень негативным по этому поводу ... Попытка бороться с Bit Torrent техническим способом приведет к множеству головных болей из-за почти нулевой эффективности. Bit Torrent может быть инкапсулирован в SSL на порт 443, что ничем не отличается от просмотра веб-сайта HTTPS.
Единственное решение - поговорить с людьми и заставить их притормозить или просто остановиться ...
Я бы посмотрел на график статистики использования полосы пропускания. Поскольку он использует проводное распределение, использование счетчиков SNMP (при условии, что коммутаторы распределения поддерживают) - отличный способ получить статистику (при условии, что арендаторы не отправляют трафик никуда, кроме Интернета, т. Е. Не в одноранговой сети в локальной сети). ) об использовании полосы пропускания. MRTG, Cacti и т. Д. - ваши друзья для этого.
Если арендаторы используют одноранговую сеть, ему нужно будет выполнить профилирование трафика на выходе в Интернет. Вы можете сделать это дешево с установкой Linux iptables и некоторыми правилами ведения журнала.
Владельцу, вероятно, лучше всего поговорить об этом с адвокатом (хотя это будет стоить денег). Было бы неплохо, если бы он удостоверился, что не станет жертвой судебного разбирательства.
Он должен быть очень осторожен со своим юридическим статусом, как упоминалось в других сообщениях. Поговорите с юристом.
Есть несколько технических средств, чтобы справиться с этим. Но я боюсь, что попытка чего-нибудь только загонит его глубже. Юрист может развернуть свою попытку технического контроля в нескольких направлениях.
Ни одно доброе дело не остается безнаказанным.
(Или он мог просто установить peerguardian в качестве службы шлюза)
Единственный разумный способ обеспечить целостность сети - по умолчанию ограничить весь доступ, кроме разрешенного вами. Все остальные методы, если вы все еще настаиваете на полном управлении сетью, просто играют в догонялки с новейшими (и самыми старыми, хорошо известными) протоколами, используемыми для отправки данных из a в b и наоборот.
Но если вас интересуют гарантии занятости и много административной работы, дерзайте.
Кстати, вы не сказали, из какой страны вы приехали, юрисдикция по этой теме сильно различается во всем мире, но я предполагаю, что это США, поскольку вы говорите о трубе T1.
Что-то, что, по-видимому, неплохо работает в штатах, - это ответ с некоторым юридическим жаргоном, в котором говорится, что они могут выбрать одно из объяснений:
Всегда заканчивайте письмо дружеским приветствием и возможностью продолжить обсуждение вопроса, указав свой тариф на консультационные услуги.
Я улучшу лучший ответ.
Вам следует купить устройство Smoothwall Firewall (или IPCop, MonoWall, LEAF или pfSense), потому что Smoothwall использует MRTG. Smoothwall предоставит вам всевозможные дополнительные функции.
Вы можете купить дешевый брандмауэр с двумя сетевыми картами всего за несколько сотен долларов.
или сделайте ее самостоятельно, используя материнскую плату mini-ITX с двумя сетевыми картами, такую как EPIA-M700 (257 долларов США), EPIA LT или EPIA PE.
Я бы сказал, чтобы установить адрес соединения / разъединения / пакета UDP и ведение журнала DHCP на маршрутизаторе и включить номер порта маршрутизатора в журналы. Идея здесь в том, что письмо RIAA должно включать дату / время / IP-адрес нарушения. Отсюда вы можете узнать, какой порт маршрутизатора (и, следовательно, какая квартира) совершил нарушение, и переслать письмо. Эти журналы будут большими, но, поскольку они не включают содержимое пакетов, они не должны быть СЛИШКОМ большими. А если арендодатель использует NAT, входящий UDP-трафик должен быть очень небольшим.
Это позволяет арендодателю доказать (насколько он может), какая сторона несет ответственность, и передать им все хлопоты надлежащим образом. В любом судебном процессе домовладелец должен иметь возможность успешно отказаться от чего угодно, кроме ответа на некоторые повестки в суд для журналов.