* Uofficiel Black/White liste V3
|
Denne tråd er over 6 måneder gammel
Er du sikker på, at du har noget relevant at tilføje?
Administration af internet delt af 70 personerAf Maxi Supporter Dulius | 16-08-2006 14:54 | 2257 visninger | 17 svar, hop til seneste
Hej.
På en kostskole som jeg er tilknyttet til er der ikke rigtig nogen ansvarlig for internetforbindelsen (hvilket selvfølgelig er for dårligt, men sådan noget er der åbenbart ikke ressourcer til, og det er ikke noget vi behøver at diskutere i den her tråd! :P). Derfor har jeg påtaget mig tjansen at få det til at køre nogenlunde stabilt - ikke fordi jeg OVERHOVEDET er nogen netværksguru, men jeg er dog den på stedet der ved mest om tingene.
Situationen er den, at vi har en 8mbit linje hos TDC. Denne linjer bliver delt ud til et sted mellem 50 og 70 elever (linjen burde kunne trække det - der er jo nok sjældent mere end 20 der bruger nettet på samme tid). Linjen er ikke beskyttet af noget eller blokeret af nogen firewall eller lign. - der er 100% hul igennem fra alle elevers computere til nettet. Som jeg ser det, medfører dette to problemer: for det første kan folk bruge P2P-programmer og sidde og hente film og musik osv. Jeg tror en HEL del af båndbredden bliver blokeret grundet disse aktiviteter, og det kan således nogen gange være næsten umuligt bare at logge på sin mail eller logge ind på skolens intranet, fordi nettet er så overbelastet. En anden ting er, at der højst sandsynligt også kommer masser af spyware og virus osv. ind, da vi ingen beskyttelse har mod dette, og det således er op til den enkelte elev at beskytte sin egen computer - og det er jo ikke alle der har lige meget forstand på skidtet. Dette kan vel også tage en del båndbredde, hvis 50 computere er inficeret med skidt?
Derudover er der jo lige kommet nye elever her i denne uge, og de har garanteret slæbt en masse skidt med hjemmefra som ligger på deres computere, og derfor inficerer hele vores netværk indefra - hvilket det vel også ville gøre selvom vi havde beskyttelse ud af til.
Derfor skal jeg nu finde en løsning, og det skal gå hurtigt! Min første plan var at sætte en linux-server op der kunne prioritere båndbredden på applikationsbasis, og fordele båndbredden så alle har adgang til internettet, uden lag. Denne løsning er vel også idéel, men jeg må nok tilstå at jeg ikke er helt hård til linux. Jeg ville nok godt kunne få en server op og køre, men det ville kræve en MASSE dokumentations-læsning osv. fra min side, og ville tage utrolig meget af min tid - tid som jeg ikke råder over lige i øjeblikket. Derudover er det heller ikke sikkert at den løsning jeg ville få strikket sammen var optimal - siden det nu ville være første gang jeg arbejdede med et sådant projekt.
Derfor vil jeg høre om der er andre mulige løsninger? Kan man få en avanceret router, som kan sørge for at fordele båndbredden ligeligt ud til alle brugere? Så ikke én elev sidder og stjæler hele båndbredden. Dette ville jo nok være den vigtigste funktion, da det vel ville gøre, at én computer ikke kan ødelægge det hele for de andre. Kan man få en router der kan blokere på applikationsbasis, og dermed udelukke diverse P2P-programmer, og som kan prioritere på applikations-basis, så man f.eks. altid ville have nok båndbredde hvis man sad og gamede? Det vil jo nok ikke virke bare at lukke porte, så man ikke kan downloade - de programmer har det vist med at finde nye portet, hvis der er lukket for dem de plejer at bruge.
Hvis man kunne få noget udstyr, der kunne alt det, som jeg ellers ville skulle have lavet på en linux-server, så ville det jo være perfekt! Vi råder ikke over uanede ressourcer, så udstyr til f.eks. 50k ville ikke være realistisk - men nogle tusinde kroner kan nok godt findes frem. Men jeg ved ikke lige hvad sådan noget udstyr koster, og hvilket man skal have - det er jo også derfor jeg skriver her og spørger om hjælp :-)
Folkens, gør mig klogere, giv gerne bud på hvilket udstyr der evt. kunne bruges (eller om der ikke findes noget udstyr som kan det jeg ønsker) - skal jeg virkelig i gang med serveren, eller skal der sættes en mand på sagen (som jo nok også ville blive rimelig omkostningsfuldt).
Håber på nogle gode svar - vi står midt i et rimelig alvorligt dilemma. For nettet kører HELT skidt lige nu, og det er 1.g'ernes første uge, så de skal jo meget gerne have adgang til skolens intranet osv., som de får undervisning i her i introduktions-fasen!
Mvh. Julius --
Hvis du ikke har den store linux forstand, kan du sagtens banke en windows baseret server op til at administrere forbindelsen - dette burde kunne gøres til en billig penge, da den ikke behøver at skulle kunne noget vildt. Ift. administration af ind og udgående trafik kan du finde nogle gode software løsninger som ikke nødvendigvis koster det hvide ud af øjnene og som også understøtter p2p klient styring.
Jeg kan i skrivende stund ikke lige huske nogle navne, men kan prøve at slå det efter i mit lille kartotek og så vende tilbage. -- "Errare humanum est" - det gælder også slåfejl!! tror ikke det er sådan lige at sætte op på linux, men det er det samme med windows.
eneste jeg lige kan komme i tanke om, er en ISA server, alle sammen routes igennem den server, den kan administrere alt der går igennem, og begrænse porte, bredbånd, tidsskemaer osv (f.eks. kun 10% af båndbreden kan bruges til et eller andet imellem kl 08-15, derefter gælder der andre regler osv)
men det er heller ikke sådan lige at sætte op, uden man kender lidt til det -- http://ctprofiles.net[...]
http://www.cybermafia.dk[...] Jeg har en ZyWall siddende derhjemme, den styrer 3 lejligheder, som hver har købe en router. ZyWall'en styrer så på routernes WAN Ip.
Det som jeg har bemærket er at, uploaden der sværest (dyrest) at styre, og som regel den der er mindst af. Hvis der er massivt pres på uploaden... lagger det i online spil. -- Vi fødes grædende, lever klagende og dør skuffede. 8mbit er altså ikke meget til 50-70 elever, ligemeget hvad.
1. opgrader til tdc 20mbit(koster næsten det samme).
2. forbyg p2p, luk af via en evt router for ip'er der henter warez.
3. hvis muligt, sæt en unix-server op som router. -- http://www.zettabyte.dk[...] - Pyro's Corner
why do birds . . . #0 -> Det kræver lidt at sætte det op på linux, men når det virker, kører det rigtig godt, desuden er det meget let at lave nye regler for trafikstyring (både hqb og cqb)
Nå, vi skulle tale andre løsninger.
Det er svært at finde en router der lever op til alt det i kan, og desuden vil en router nok komme til kort hvad angår cpU7ram kraft, med det antal brugere du renger med at bruge.
Umiddelbart skal du vil at købe/køre noget windows server system, men dette må andre vejlede dig i - jeg er linux fortaler!
#1 & #2 ->
Har du/i set hvad en licens til windows 2003 koster, og hverefter hvad en ISA server koster?
Det er ikke indbegrebet af billig, tværdimod. -- Gentoo linux - behøver jeg sige andet? Hvad nu hvis du holdt det simpelt. Jeg tror det der tager jeres båndbredde er dem som suger helt vildt, p2p osv... Så vidt jeg ved, tror, så køre de programmer ofte på specifikke porte.
Så - køb en firewall - som lige kan klare små 20mbit båndbredde, og luk for ALLE porte, undtagen port 80, 21 og 23. Er det ikke dem man bruger til uskyldige ting. Forhør dig lige hvilke ting der skal åbnes for, fordi er selv ikke administrator eller lign. så det er bare et bud.
Jeg tror dog at en router/firewall som har båndbredde styring er vist dyr...
Jewle -- Selvlicenseret numurolog - tilbyde bedre navn for kun 5.000 kr* som kan give et lykkeligere liv. * = ingen garantier gives.
Jeg har stor erfaring med din situation.
har selv startet net op på Birkerød kostskole og det var også elendigt.
Ligeså i vores bolig blok jeg flyttede hen i, Du har 2 mulighedder.
1. Enten at købe en traffic shaper til ca 25.000 og afsætte ca 2-4000 kr om året hvis der skal vedligeholdelse til. Vi fik Tele-punkt søborg til at stå for vores.
2. At finde en standard pc der er 100 % driftsikker med raid og backup osv. Eksempelvis bare et image af den så du kan restore rimelig hurtigt. Der findes et Linux os der er sat op i forvejen til det her.
Prøv eventuelt at søge efter min tråd. Linux guru søges mod betaling mener jeg emnet var.
Ad mig blot på msn eller skriv en email så skal jeg bistå dig så godt jeg evener.
har en Cisco catalyst 1700 jeg kan konfigurere og sætte op for jer?
Den burde kunne levere den omtalte cpu kraft samt lukke ALT ned untagen hvad der tillades Specifikt. Dvs Port 80 til at starte med!
Mvh peter kirk
-- LS -55 c° | Asus P5WD2 | [email protected] Ghz | 2 x 1 GB PC5400 CL4 G.Skill | Inno3D 7900 GT 450@690 Mhz core 1,[email protected] Ghz Mem | Antec Truecontrol 550W |
------VMODS UDFØRES------ #7 ved nu ikke hvor uskyldig port 21 er :)
men port 80 burde være nok, dog kan de fleste p2p programmer idag konfigureres til andre porte, men uden NAT er download hastigheden ofte meget lav. -- http://www.zettabyte.dk[...] - Pyro's Corner
why do birds . . . #3 Hvad er det for en firewall??? Tænker lidt på model navn/nr. -- Kom ind og spil CS på bundholdet's server: 81.7.177.22:27018 eller tjek vores hjemmeside på www.bundholdet.dk[...] Spørgsmålet er om du stadig vil have åbent for p2p programmer og sådan noget. Hvis du vil det skal der rimelig drastiske metoder til. Jeg står selv for Internetadgang til omkring 100, hvor jeg har åbnet for alt. Den eneste måde det kan gøres på uden at trafikken drukner i p2p er at implementere en god QoS og traffik kontrol (shaper) hvilket kan være lidt tricky. Jeg bruger selv, selvfølgelig :), p2pshaper. Det kan dog godt være lidt træls at sætte op. Der findes dog idag ting som bandwidth arbitrator http://www.bandwidtharbitrator.com[...] som afaik. skulle gøre det rimeligt godt, jeg er bare ikke så godt inde i den.
Den lette måde er at få sat en firewall op på en PC som router (smoothwall hører jeg er god), og så som #7 siger, lukke for alt undtagen det der er lovligt. Det være sig port 80 og venner. -- Gæstebruger, opret dit eget login og få din egen signatur. Jeg synes lige jeg vil give mit input med her.
Når man tænker på den udvikling der sker inden for p2p, så der det en tabt kamp når det gælder at forhindre det med tekniske midler. De fleste aplikationer kan køre på en port man selv definerer (også port 80), så at blokere for porte er fuldstændig ligegyldigt. Desuden er nogle aplikationer også begyndt at benytte kryptering, så du kan snart ikke engang opdage p2p pakkerne med noget sniffer værktøj.
Den rigtige vej at gå, må være at opstille nogle retningslinjer, for hvad der er tilladt på netværket, og hvad der ikke er. Bryder man reglerne, må det koste en eller anden form for karantæne, som evt. kan fordobles for hver gang, man bryder reglerne. Det er nemmere at opdage "forbrydere" når der ikke er restriktioner på netværket, for så gør møgungerne ikke så meget ud af at skjule sin aktivitet med kryptering eller lignende :)
-- Moral er godt - Dobbeltmoral er dobbelt så godt ;)
Som tilføjelse til #11 vil jeg lige nævne, at man selvfølgelig kan begrænse problemet, ved at spærre og lukke af for dit og for dat, men det er kun en midlertidig løsning på problemet, som sætter en stopper for den uvidende del af brugergruppen, som ikke har den store tekniske indsigt. Men der vil altid være nogle, som bare VIL igennem, og som ved hvad det går ud på. Når det så rygtes, hvordan man kommer uden om de opsatte foranstaltninger, så kører ræset igen :)
-- Moral er godt - Dobbeltmoral er dobbelt så godt ;)
Hvis du vælger at lukke ned for alle porte udover 80, 443, 20, 21 (og x antal andre) har du lavet et halvhjertet forsøg på at lukke ned for trafikken.
Dette er efter min mening IKKE løsningen.
Som så mange andre jeg er stor fortaler for en linux box med shorewall (smoothwall). udover QoS (cqb og hqb) support er der lavet filtre til netop det du eftersøger l7filter og p2pip.
Desuden giver det mulighed for også at lægge en squid proxy server på. Det vil yderligere hjælpe til en besparelse på båndbredden.
Jegt bruger selv overstående konfiguration på arbejde, og når vi holder LAN.
Desuden giver en linux box dig mulighed for at logge alt trafik, hvilket er en meget god ting, såfremt nogen skulle lave noget ulovligt på nettet (og bare vent til folketinget får gennemført deres nye anti-terror lov - det bliver et LOG'nings helvende!).
#11 -> uanset om dine data er krypteret eller ej, vil de jo stadig kunne styres via QoS, medmindre du benytter dig at MAC/IP spoofing, hviket jeg ikke tror der er så mange på kostskolen der ved noget om -- Gentoo linux - behøver jeg sige andet? #13
Enig.... i det hele... også din signatur :)
-- Moral er godt - Dobbeltmoral er dobbelt så godt ;)
#13 terror lov om logning gælder kun ved over 74 eller 84 mennesker mener jeg :)
Det nu nok skal fokusere MEGET på er vedligeholdelse.
Vedkommende har som sagt ikke tid, viden eller kvalifikationer til at lave det selv.
Og jeg ved af erfaring at skolen ikke ønsker et produkt hvor vedligeholdelse er umulig.
Så nu hvor der er kommet så mange gode forslag på bordet skulle vi måske prøve at komme ind på noget mere konkret?
Måske et firma der kan lave det?
-- LS -55 c° | Asus P5WD2 | [email protected] Ghz | 2 x 1 GB PC5400 CL4 G.Skill | Inno3D 7900 GT 450@690 Mhz core 1,[email protected] Ghz Mem | Antec Truecontrol 550W |
------VMODS UDFØRES------ Hej og tusind tak for alle de mange gode svar!
Jeg har lige været lidt ophængt de sidste par dage, så har først haft tid til at svare nu.
#1 Hvis jeg selv skal sætte en server op, så tror jeg at jeg holder mig til Linux. Medmindre windows-systemet er meget billigt, og fungerer ligeså godt (eller næsten), som en linux ville gøre? Du må meget gerne komme med nogle navne/links, så kan jeg da lige kigge på det :-)
#2 Har lige kigget på det ISA-server, og det koster op omkring et par tusinde $ .. Det gør sådan noget selvfølgelig, men hvis der findes billigere og ligeså gode løsninger, så hælder jeg til dem! Men tak for dit bud - uanset hvad vil jeg i hvert fald lige prøve at undersøge det nærmere.
#3 Jep, jeg er også helt overbevist om at det er uploaden den er rigtig gal med! Så det skal der gøres noget ved.
#4 Tak for dit hint ang. 20Mbit - det er hermed bestilt! :-) Det med at sætte en server op som router og forebygge P2P er jo netop hvad denne tråd handler om!
#5 Ja, jeg ved at en linux løsning ville være optimal. Det er bare lige det med at få den sat op! Jeg har rodet lidt med det, og kom da også et stykke af vejen. Men så kom jeg i tidsnød og kom fra det igen. Men jeg må jo hellere give det et go mere, hurtigst muligt! For det lyder til, at det ville være klart den bedste - og billigste - løsning!
#6 Det med bare at lukke af for porte har vi prøvet. Det virker da også, men.. Vi har ikke lyst til bare at lukke af for nettet - hvis man vil spille skal der være mulighed for det, og hvis man vil bruge programmer der kører på underlige porte (bare helst ikke P2P-programmer :P), så skal der også være plads til det! Jeg ville være meget ked af bare at lukke af for nærmest hele nettet. Jeg er stor fortaler for at gøre det så frit som muligt - så længe vi bare kan få det til at køre alligevel!
#7 Det lyder spændende - godt med en der kender min situation :-) Det traffic shaper udstyr lyder ikke helt billigt - kunne godt være man lige skulle vente lidt med det! Hvad hedder det linux der i forvejen er sat op? Jeg kan desværre ikke finde din tråd - når jeg søger på "linux guru" kommer der ikke noget interessant frem :( Tak for dit forslag med routeren, men som du kan se i mit svar til #6, så er løsningen med bare at lukke af ikke lige det jeg søger! Det kunne nemt tænkes jeg adder dig på MSN når jeg kommer i knibe ;-)
#10 Lige præcis P2P-programmer vil jeg gerne have lukket for - både bittorrent og alt det andet. Jeg ved godt det kan bruges til lovlige formål, men det bliver det ikke her på stedet! Men det er ikke så vigtigt om der bliver lukket helt af for det eller ej - så længe det bare ikke kan stjæle hele forbindelsen fra alle andre, så man ikke engang kan sidde og surfe på nettet eller checke mail! Den løsning du omtaler, er også det jeg har været i gang med at kigge på. Men jeg er som sagt ikke den helt vilde linux guru - men til sidst, efter utallige forsøg, ville jeg nu nok kunne få det til at fungere! Dokumentation er jo heldigvis opfundet :-) Hvor lang tid tager det ca. for en linux-kyndig som dig at sætte en sådan løsning op? Jeg tænker på om man evt. kan betale sig fra det, hvis nogen er frisk på opgaven - og ikke skal bruge flere hundreder timer på det (men det kan jeg nu næppe forestille mig at man skal hvis man ved hvad man laver - i modsætning til mig).
#11 Retningslinjer dur ikke - dem har vi allerede i forvejen, men det afholder ikke folk fra at lade være. Vi kan jo ikke sige hvem det er.. Og selvom vi kunne se hvilke IP'er det drejede sig om, så ville det vel ikke afsløre deres navn, eller hvilket værelse de boede på. Og hvis man bannede IP'en, så ville de jo bare få en ny. Ellers skulle man banne MAC-adressen hvis det kan lade sig gøre - det ville også være en løsning som jeg ville være frisk på! Men kostskolens ledelse er vist ikke helt enige, de vil meget nødigt lukke nogen af nettet (selvom de bruger det til formål der ødelægger det for de andre). Så jeg tror ikke den løsning bliver aktuel - selvom der måske nok godt kunne være noget fornuft i det!
#12 Som jeg nu allerede har nævnt et par gange, så har jeg heller ikke i sinde at spærre noget. Bare nedprioritere det, hvis det er muligt!
#13 Vi er enige om ikke at lukke ned for hele skidtet :-) Jeg har også haft gang i l7filter osv., men lige så snart jeg skal til at kompilere ting ind i kernen og patche den og hvad ved jeg, så kommer jeg lidt til kort :s Jeg kender som sagt kun linux på brugerniveau, så når jeg bevæger mig ud i sådan noget, så plejer det altid at gå galt - på trods af mit gåpåmod. Synes bare aldrig maskinen opfører sig som den burde ifølge de guides jeg følger :D Og når reaktionerne på de ting jeg gør først begynder at afvige fra hvad den burde gøre ifølge guiden, eller hvis noget der står i guiden ikke virker, så er jeg pludselig helt blank. For jeg har ikke linux-evner til selv at opsøge og rette problemet.
#15 Umulig vedligeholdelse ville ikke være så godt nej, men jeg er nu stadig brændt ret varm på den linux-løsning. Så må vi finde ud af hvordan den skal vedligeholdes bagefter. Det ville selvfølgelig være optimalt at tilkoble et firma til opgaven, men det er begrænset hvor mange ressourcer der er til IT på stedet - det er vel ikke det offentlige for ingenting! Så ved ikke om det ville være muligt rent økonomisk.. Men hvis en privatperson har lyst til at tjene nogle penge på at opsætte sådan en server, til overskuelige penge, så er I mere end velkomne til at kontakte mig!
Håber jeg har fået svaret på det hele nu - der var jo en del at besvare :-)
Endnu engang, tak for alle de gode svar - det er guld værd når man står i sådan en presset situation!
Mvh. Julius -- http://www.juliusmadsen.com[...]
MSN: julius_madsen (snabelb) hotmail.com Det du skal bruge er noget der kan scanne al trafik på typen, og ikke på porten. Grunden er nemlig som det også bliver nævnt tidligere i tråden at de fleste P2P programmer efterhånden kan konfigureres til at køre på en i programmet manuelt specificeret port (som ikke nødvendigvis behøver at være standard porten). Hvis du derimod filtrerer på typen af trafik vil f.eks. P2P trafik der kører på port 80 også blive sorteret fra fordi det har en anden data-signatur end normal HTTP trafik som skal køre på port 80 :)
Jeg kender ikke ret mange produkter der kan det, men hvis man vil have noget hardware der kan det skal man kigge på SonicWALL's produkter. -- ...
Grundet øget spam aktivitet fra gæstebrugere, er det desværre ikke længere muligt, at oprette svar som gæst.
Hvis du ønsker at deltage i debatten, skal du oprette en brugerprofil.
Opret bruger | Login
|
Du skal være logget ind for at tilmelde dig nyhedsbrev.
Hvilken udbyder har du til internet? 425 personer har stemt - Mit energiselskab (Ewii f.eks) 12%
|
|
|