GoldenLine
Zaloguj się

konto usunięte

Temat: Niby prosta siec domowa.

Hej

Zastany obraz wyglada tak: Jest sobie siec - teoretycznie 12 abonentow, ale kompow naliczylem ze 17. Lacze z netem to dsl 4mbit. Router to obecnie asus wl-500gp na openwrt. Switch niezarzadzalny.

Prosty setup, ale problemy spore.

- brak kontroli, kazdy moze wpiac sobie switcha, routerek i juz z jednego kompa robi sie kilka.
- dowcipasy z netcutem
- ogolne problemy ze sciagaczami

Zamierzam to wszystko przeprojektowac, ale tak, aby miec pelna kontrole nad tym bajzlem.

- glownie chodzi o to, aby kazdy nowy klient ktory sie podepnie nie mial dostepu do neta dopoki ja mu na to nie pozwole i to niezaleznie, czy dostapnie adres z dhcp czy ustawi recznie
- nawet jak ktos ma w domu 3 kompy, to powinien miec przepustowosc "ilosc abonentow"/4mbit
- wyeliminowanie problemu "netcuta", czyli arp poisoningu w celu odciecia innych od sieci
- przydalyby sie pewnie jakies statystyki utylizacji lacza per abonent

Zastanawiam sie wiec jakich rozwiazan nalezy uzyc, aby powyzsze problemy rozwiazac. Nie chce wymyslac kola na nowa, wiec zapytuje Was. Zapewne macie jakies sprawdzone patenty. Bylbym wdzieczny za koncepcje.
Link do wypowiedziLink

konto usunięte

Temat: Niby prosta siec domowa.

Po długich bojach z blisko 1000 abonentów, zabawą z DHCP/MAC/ARP itp. skończyłem na sztywnej tabeli ARP+IMQ/HTB-HFSC/LAYER7. Wszystko chodzi na jednym serwerze fizycznym.
Z autoryzacji PPoE zrezygnowałem w zasadzie z 2 powodów - raz że podobne rozwiązanie zżerało 3 razy tyle fizycznych zasobów, dwa że do 'przypominania' haseł musiałbym otworzyć helpdesk 24/7.
Link do wypowiedziLink

konto usunięte

Temat: Niby prosta siec domowa.

Myślę, że Twoje założenia powinno spełnić oprogramowanie Tomato do tego routera. Uważam, że posiada ono najwięcej opcji spośród alternatywnych softów do routerów.

Przed NetCutowcami uchronisz się tworząc statyczne wpisy w tablicy ARP - oprogramowanie na routerze powinno na to pozwolić.

Tomato posiada również rozbudowaną funkcję QoS.

Niestety, posiadam bardzo niewielkie doświadczenie z Tomato, na swoim Linksysie WRT54GL używam DD-WRT, które w zupełności mi wystarcza.

Pozdrawiam.Mateusz Wesołowski edytował(a) ten post dnia 14.04.10 o godzinie 21:39
Link do wypowiedziLink

konto usunięte

Temat: Niby prosta siec domowa.

Marcin Bojko:
Po długich bojach z blisko 1000 abonentów, zabawą z DHCP/MAC/ARP itp. skończyłem na sztywnej tabeli ARP+IMQ/HTB-HFSC/LAYER7.

Ale jezeli statyczna tabela arp jest tylko na gatewayu, to to nie zabezpieczy Cie przed dowcipnisiami bawiacymi sie netcutem. Tutaj potrzebne jest inne rozwiazanie.

Netcut zatruwa arp table userow i to u nich powinny byc statyczne wpisy. A tego bez ingerencji w ich system nie da sie chyba zrobic.Marcin S. edytował(a) ten post dnia 14.04.10 o godzinie 21:40
Link do wypowiedziLink

konto usunięte

Temat: Niby prosta siec domowa.

Marcin S.:
Marcin Bojko:
Po długich bojach z blisko 1000 abonentów, zabawą z DHCP/MAC/ARP itp. skończyłem na sztywnej tabeli ARP+IMQ/HTB-HFSC/LAYER7.

Ale jezeli statyczna tabela arp jest tylko na gatewayu, to to nie zabezpieczy Cie przed dowcipnisiami bawiacymi sie netcutem. Tutaj potrzebne jest inne rozwiazanie.
Yhy, ostrzeżenie i następnie odcięcie od sieci.
Nie twierdzę że mam panaceum na 100% problemów, twierdzę że udało mi się je zlikwidować do 1%.
U mnie jest nieco inaczej dlatego że ludzie łączą się w grupy na akcesach (mikrotik) także tu mam jeszcze element kontroli.
Nie mam dozwolonej komunikacji pomiędzy klientami, stąd mniej problemów.
Link do wypowiedziLink

konto usunięte

Temat: Niby prosta siec domowa.

Marcin S.:
- glownie chodzi o to, aby kazdy nowy klient ktory sie podepnie nie mial dostepu do neta dopoki ja mu na to nie pozwole i to niezaleznie, czy dostapnie adres z dhcp czy ustawi recznie

Ja cos takiego zrobilem sobie na squid'zie :)
Link do wypowiedziLink

konto usunięte

Temat: Niby prosta siec domowa.

Zbigniew G.:
Marcin S.:
- glownie chodzi o to, aby kazdy nowy klient ktory sie podepnie nie mial dostepu do neta dopoki ja mu na to nie pozwole i to niezaleznie, czy dostapnie adres z dhcp czy ustawi recznie

Ja cos takiego zrobilem sobie na squid'zie :)

A troche wiecej detali na temat twojego konkretnego rozwiazania?
Link do wypowiedziLink

konto usunięte

Temat: Niby prosta siec domowa.



# acl'ki

acl all src 0.0.0.0/0.0.0.0

acl manager proto cache_object

acl localhost src 127.0.0.1/255.255.255.255

acl to_localhost dst 127.0.0.0/8

acl zg src 10.10.1.10

acl zg2 src 10.10.1.11

acl SSL_ports port 25 143 443 465 563 587 993 995

acl Safe_ports port 21 111 143 80 442 465 563 587 70 210 280 488 591 777 993 2082 1025-65535

acl CONNECT method CONNECT

acl MCONN maxconn 30



# Dostep

http_access allow localhost

http_access allow manager localhost

http_access deny manager

http_access deny to_localhost

http_access deny MCONN zg zg2

http_access allow zg

http_access allow zg2

http_access deny CONNECT !SSL_ports

http_access deny !Safe_ports

http_access deny all


Masz tutaj kawalek, mojego configa do squida jak widac tylko z hostow 10.10.1.10 oraz 10.10.1.11 bedzie dostep do sieci.
Mozna sobie jeszcze dodac do tego autoryzacje po hasle i tylko ci co znaja je beda mieli dostep do sieci.Zbigniew G. edytował(a) ten post dnia 15.04.10 o godzinie 08:36
Link do wypowiedziLink
Jarosław Rafa

Jarosław Rafa senior software
engineer, Motorola
Solutions Systems
Polska

Temat: Niby prosta siec domowa.

Juz po raz kolejny widze tutaj propozycje uzycia squida jako metody kontroli dostepu do sieci.
Czy to oznacza, ze wy w swoich sieciach nie udostepniacie userom innych uslug poza WWW?
To to nie jest dostep do sieci, tylko dostep do WWW... Ja jako abonent nigdy nie kupilbym uslugi ktora nie pozwala mi sie polaczyc dowolnym protokolem z dowolnym portem dowolnego hosta - w koncu na tym polega dostep do Internetu, nie na mozliwosci poogladania sobie stron...
Link do wypowiedziLink

konto usunięte

Temat: Niby prosta siec domowa.

Zastanawiam sie wiec jakich rozwiazan nalezy uzyc, aby powyzsze problemy rozwiazac. Nie chce wymyslac kola na nowa, wiec zapytuje Was. Zapewne macie jakies sprawdzone patenty. Bylbym wdzieczny za koncepcje.

Moze cos takiego:

- wszystkie hosty musza miec wpis w DHCP (mac, lub mac+ip)
- z tego wyciagasz liste autoryzowanych hostow i na bramce ustawiasz firewall tak by akceptowal jedynie ich pakiety, lub
- ustawiasz proksy, akceptujace polaczenia wylacznie z autoryzowanych hostow, jednoczesnie przekierowujac reszte do jakiejs info-strony
- problemow z ARP mozesz sie pozbyc wycinajac bezposrednia komunikacje miedzy klientami + statyczne wpisy na bramce

Da sie to dosc latwo zautomatyzowac.
Link do wypowiedziLink
Jarosław Rafa

Jarosław Rafa senior software
engineer, Motorola
Solutions Systems
Polska

Temat: Niby prosta siec domowa.

Łukasz S.:

- problemow z ARP mozesz sie pozbyc wycinajac bezposrednia komunikacje miedzy klientami + statyczne wpisy na bramce

Jak chcesz wyciac bezposrednia komunikacje miedzy klientami na switchu (zwlaszcza niezarzadzalnym)?
Chyba ze chodzi ci o cos w rodzaju - kazdy klient dostaje adres IP z osobnej podsieci z maska 30 bitow, czyli de facto ma polaczenie punkt-punkt z bramka, ktora ma tyle adresow IP ile klientow?
Ale to dalej nie zabezpiecza przed polaczeniami protokolami ktore nie opieraja sie na IP (np. IPX-em, ktory przynajmniej w starszych wersjach Windowsow byl wbudowany i np. udostepnianie plikow w otoczeniu sieciowym mozna bylo spokojnie robic po IPX-ie - nie wiem jak jest obecnie...)
Link do wypowiedziLink

konto usunięte

Temat: Niby prosta siec domowa.

Chyba ze chodzi ci o cos w rodzaju - kazdy klient dostaje adres IP z osobnej podsieci z maska 30 bitow, czyli de facto ma polaczenie punkt-punkt z bramka, ktora ma tyle adresow IP ile klientow?

Dokladnie.
Ewentualnie jeszcze kazdy klient ma swoj oddzielny, izolowany VLAN - ale tego sie na niezarzadzalnym switchu zrobic nie da.
Ale to dalej nie zabezpiecza przed polaczeniami protokolami ktore nie opieraja sie na IP (np. IPX-em, ktory przynajmniej w starszych wersjach Windowsow byl wbudowany i np. udostepnianie plikow w otoczeniu sieciowym mozna bylo spokojnie robic po IPX-ie - nie wiem jak jest obecnie...)

No to jest jakis problem, ale autorowi chodzi chyba bardziej o ruch poza siec niz w ramach sieci i wyciecie zabaw z ARP wewnatrz (BTW: IPX nie ma w Viscie/7).
Link do wypowiedziLink

konto usunięte

Temat: Niby prosta siec domowa.

Jarosław Rafa:
Juz po raz kolejny widze tutaj propozycje uzycia squida jako metody kontroli dostepu do sieci.
Czy to oznacza, ze wy w swoich sieciach nie udostepniacie userom innych uslug poza WWW?
To to nie jest dostep do sieci, tylko dostep do WWW... Ja jako abonent nigdy nie kupilbym uslugi ktora nie pozwala mi sie polaczyc dowolnym protokolem z dowolnym portem dowolnego hosta - w koncu na tym polega dostep do Internetu, nie na mozliwosci poogladania sobie stron...

POPIERAM :)

generalnie problem sprowadza sie do tego z jak zatwardzialymi cwaniakami ma sie do czynienia :P znam kilka jak nie kilkanascie roznych psikusow jakie robia roznej masci ISP (ograniczenia MAC, przyciecie TTL do 1, wyciecie portow/ protokolow P2P, serwery proxy, itd) ale wiekszosc jest do obejscia w prosty sposob. zabawa w kotka i myszke moze trwac dlugo tylko ze w pewnym momencie malo ktory klient bedzie chcial sie zgodzic na taki "dostep do internetu".
pozostalbym przy niezbednych podstawach nieutrudniajacych zycia userom (to co sie da na *wrt zrobic, albo postawic dodatkowy serwerek) + ostrzezenia i wypowiedzenia umowy dla tych ktorzy sie nie chca stosowac do regulaminu i przyjetych norm.Sławomir B. edytował(a) ten post dnia 22.04.10 o godzinie 00:02
Link do wypowiedziLink
Przemysław G.

Przemysław G. Trener biznesu,
trener IT

Temat: Niby prosta siec domowa.

Cześć.

Jeżeli o serwerek chodzi to polecam gotowe skrypty baroo (inet.one.pl)
Dają one duże możliwości i są łatwe w użyciu.

Pozdrawiam
Przemek
Link do wypowiedziLink
Marek Maćkowiak

Marek Maćkowiak informatyk, PW Autos
Sp. z o.o.

Temat: Niby prosta siec domowa.

Ja zrobiłbym to za pomocą pfauth z pf. Myślę że z tym się da to zrobić całkiem przyzwoicie, jedyne co to że trzeba męczyć się z przypominaniem haseł userom.
Link do wypowiedziLink
Przemysław G.

Przemysław G. Trener biznesu,
trener IT

Temat: Niby prosta siec domowa.

Pomysł mi się podoba.
Jednak z doświadczenia wiem, ze z userami bywa jak z dziećmi. Zapominają haseł gdy to jest dla mnie najmniej wygodne.
Ale przy małej liczbie osób to pewnie da się wytrzymać :-)

Pozdr.
pg
Link do wypowiedziLink
Krzysztof Kania

Krzysztof Kania Inżynier systemowy
Cisco (CCNA R&S,
Voice, Security)

Temat: Niby prosta siec domowa.

Przyłącze się do wypowiedzi kolegów i jako klient, nie administrator, powiem tak. Mnie interesuje jak najszersza "rura", zero utrudnień, niska cena. Wszelkie ograniczenia, restrykcje, etc. byłyby tylko przyczynkiem do tego by zacząć kombinować a ostatecznie i tak szukać innego ISP. Bo taka już ludzka natura. Więc zamiast kombinować i traktować swoich klientów jak "wrogów" i inwestować w "mury i kraty" po prostu pomyśl jak zwiększyć transfer i w miarę sprawiedliwie podzielić to pasmo.

Krzysztof
Link do wypowiedziLink
Jarosław Rafa

Jarosław Rafa senior software
engineer, Motorola
Solutions Systems
Polska

Temat: Niby prosta siec domowa.

Krzysztof Kania:
Więc zamiast kombinować i traktować swoich klientów jak "wrogów" i inwestować w "mury i kraty" po prostu pomyśl jak zwiększyć transfer i w miarę sprawiedliwie podzielić to pasmo.

Właśnie - sprawiedliwie podzielić.
Są takie rodzaje użytkowników, którzy są w stanie zapchac każde pasmo. Jednym z dobrych przykładów sa studenci w akademikach. W akademiku, w ktorym robilem siec, mimo bardzo szerokiej "rury" studenci sciagajacy masowo filmy itp. z p2p oraz serwisow typu rapidshare itp. potrafili totalnie zapychac siec co powodowalo skargi ze strony innych studentow, ktorzy nie mogli zwyczajnie korzystac ze swojej poczty czy ogladac stron WWW.
Dodatkowo - nie wiadomo po co, bo pierwotnie w sieci nie bylo zadnych restrykcji dot. adresow MAC itp. - pewna grupa uzytkownikow bawila sie notorycznie w podmienianie MAC-ow, adresow IP, ARP spoofingi itd. dezorganizujac prace innym.
W efekcie trzeba bylo wprowadzic restrykcje zarowno na poziomie warstwy 2 (adresy MAC na sztywno przypisane do portow na switchu) jak i na poziomie warstw wyzszych - aczkolwiek tu glownie zalatwialismy to wlasnie "sprawiedliwym dzieleniem" - priorytetami i kolejkowaniem. Najwyzszy priorytet dostaly standardowe uslugi typu DNS, poczta, WWW itp., cala reszta (w tym w szczegolnosci wysokie porty) maja obnizony priorytet i limit na maksymalne pasmo. Niestety to nie do konca rozwiazalo problem poniewaz userzy zaczeli zapuszczac np. klienty torrenta dzialajace na niskich portach, na poziomie "zwyklego" firewalla nieodroznialne od "standardowych" uslug.

I tu ciekawostka dla Ciebie, jako ze tak mocno promujesz produkty Cisco na tej grupie - router Cisco, ktory byl w tym akademiku, nie sprawdzil sie - po prostu byl to na tyle slaby router (1841 - ale taki wlasnie model doradzila im firma bedaca ponoc autoryzowanym sprzedawca sprzetu Cisco, majac dane na temat liczby uzytkownikow i przewidywanego natezenia ruchu) ze wlaczenie NBAR - aby poradzic sobie z klientami p2p dzialajacymi na niestandardowych portach - przeciazalo router i powodowalo jego ciagle crashe.
Kolega zrealizowal caly system kolejkowania, analizowania ruchu, blokowania itp. na jakims starym pececie z Linuksem i dziala to w tej chwili duzo sprawniej i bez awarii - no i kosztowalo to duzo mniej od tego Cisco... ;) To tylko taka dygresja.
Link do wypowiedziLink
Krzysztof Kania

Krzysztof Kania Inżynier systemowy
Cisco (CCNA R&S,
Voice, Security)

Temat: Niby prosta siec domowa.

Jarosław Rafa:
Właśnie - sprawiedliwie podzielić.

Napisałem "w miarę sprawiedliwie" czyli w ramach dostępnych rozwiązań i środków.
I tu ciekawostka dla Ciebie, jako ze tak mocno promujesz produkty Cisco na tej grupie

Może ja o czymś nie wiem ale żeby aż tak bardzo promował? Po prostu sobie rozmawiamy.
router Cisco, ktory byl w tym akademiku, nie sprawdzil sie
- po prostu byl to na tyle slaby router (1841 - ale taki wlasnie model doradzila im firma bedaca ponoc
autoryzowanym sprzedawca sprzetu Cisco

Bo to jest małe urządzenie. Zgodnie z zaleceniami Cisco do obsługi góra 50 użytkowników (oczywiście nie ma jakichś blokad per liczba użytkowników ale mniej więcej tak jest pozycjonowane) i o wydajności w czystym routingu jeśli mnie pamięć nie myli około 38 Mbps. Ale to wina sprzedawcy że źle dobral rozwiązanie a nie wina Cisco.

Krzysztof
Link do wypowiedziLink

konto usunięte

Temat: Niby prosta siec domowa.

Krzysztof Kania:
Więc zamiast kombinować i traktować swoich klientów jak "wrogów" i inwestować w "mury i kraty" po prostu pomyśl jak zwiększyć transfer i w miarę sprawiedliwie podzielić to pasmo.

Ja wlasnie w tej chwili nie kombinuje i nie traktuje czlonkow sieci jak wrogow. I efekty sa takie jakie sa.

Koledzy zdaje sie napisali juz wszystko. Niezaleznie jak dobre bedzie lacze, zawsze zostanie zapchane, a jego parametry nie spowoduja, ze jeden czy drugi uzyszkodnik przestanie przeszkadzac innym bawiac sie np. netcutem.

Pytanie wiec "po chlopsku" brzmialo: jak w ramach dostepnych srodkow spowodowac, aby kazdy uzytkownik sieci mial takie same prawa i nie przeszkadzal innym.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Domowa sieć do nauki




Wyślij zaproszenie do
Anuluj