Freesco, NND, CDN, EOS :: Wyświetl temat - konfiguracja nnd dla lacza do hotspot . blokada wielu portow

: [/] [] ()

    # Wszystkie polaczenia z innych interfejsow niz interfejs do internetu pozwalamy 
    $i -A INPUT -i ! $EXTIF  -j ACCEPT
    $i -A FORWARD -i ! $EXTIF -j ACCEPT

GeSHi © Codebox Plus

: [/] [] ()

#blokada p2p
$i -A INPUT -i eth1 m ipp2p --ipp2p -j DROP
$i -A FORWARD -i eth1 m ipp2p --ipp2p -j DROP
#dostep do proxy
$i -A INPUT -i eth1 -p tcp --dport 8080 -j ACCEPT
#dostep do stron https
$i -A FORWARD -i eth1 -p tcp --dport 443 -j ACCEPT
#dostep do dnsa
$i -A INPUT -i eth1 -p tcp --dport 53 -j ACCEPT
$i -A INPUT -i eth1 -p udp --dport 53 -j ACCEPT
#dostep do poczty
$i -A FORWARD -i eth1 -p tcp -m multiport --dport 25,110,465,995 -j ACCEPT
#dostep do gg
$i -A FORWARD -i eth1 -p tcp --dport 8074 -j ACCEPT
#dostep do skype
$i -A FORWARD -m layer7 --l7proto skypeout -j ACCEPT
$i -A FORWARD -m layer7 --l7proto skypetoskype -j ACCEPT
#transparentne proxy
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 8080

Autor:	nicek [ środa, 21 marca 2007, 21:21 ]
Tytuł:	konfiguracja nnd dla lacza do hotspot . blokada wielu portow
witam ostatnio tylko czytalem posty na forum, ale nadszedl w koncu dzien ze nie znalazlem odpowiedzi i postanowilem zalozyc nowy temat jestem szczesliwym posiadaczem starego NND ktore od kilku lat nie mialo ani jednego problemu i postanowilem przetestowac nowe na oddzielnym serwerze, ale do rzeczy: cel: konfiguracja serwera na ktorym bedzie: proxy, udostepnione jedynie porty od stron www poczty, tlenu, gg, skype, zablokowane wszystkie inne pozwalajace np na dzialanie p2p. (problem widze w p2p ktore smigac moze po 80 porcie) dodatkowo planuje wlaczenie dhcp na apekach a na serwerze ustalenie przynajmniej 700 adresow ip z dostepem do internetu z zakresu tego dhcp pytanie: po przeczytaniu odpowiedniej dawki postow z forum doszedlem do wniosku ze chyba wystarczy jak zainstaluje nowe nnd, proxy i jakis pakiet do blokowania i tu moje pytanie czy aby na pewno jest to tak proste? chyba ze jest jakies inne rozwiazanie aby udostepnic hotspota ktory bedzie odporny na zbedne przeciazenia i da troche radosci tym ktorzy nie maja mozliwosci na placenie abonamentu pozdrawiam i dziekuje za kazda odpowiedz .. nicek

Autor:	-MW- [ środa, 21 marca 2007, 23:39 ]
Tytuł:
eee chyba nie jest to takie proste, zwsze sie znajda testerzy

Autor:	Maciek [ czwartek, 22 marca 2007, 00:28 ]
Tytuł:	Re: konfiguracja nnd dla lacza do hotspot . blokada wielu po
nicek pisze: przynajmniej 700 adresow ip z dostepem do internetu z zakresu tego dhcp oczywiście zdajesz sobie sprawę z tego, że dla 700 użytkowników zapewnienie średniej przepustowości modemowej wymaga 20 magabitów łącza, no biorąco pod uwagę statystykę to da się to zrobić na 10 (tak aby miec pewność, że to będzie działać). Średnio biorąc to będziesz potrzebował przynajmniej 50 dobrych AP? No i serwer z dhcp dającym koło 700 adresów IP, a także manager pasma dla tychże będzie wymagał komputera z górnej półki. Nie jestem sprzętowcem, ale sądzę, że zaczniesz szukać sprzętu powyżej 10 tysięcy. Zdaje się, że zamierzasz puścić z torbami wszystkich providerów udostępniając net każdemu chętnemu, tylko w takim układzie ten pierwszy segment sieci ci nie będzie potrzebny, nikt nie zapłaci za kulawy net, mogąc mieć kulawy net za darmo. Cytuj: pytanie: po przeczytaniu odpowiedniej dawki postow z forum doszedlem do wniosku ze chyba wystarczy jak zainstaluje nowe nnd, proxy i jakis pakiet do blokowania i tu moje pytanie czy aby na pewno jest to tak proste? chyba ze jest jakies inne rozwiazanie aby udostepnic hotspota ktory bedzie odporny na zbedne przeciazenia i da troche radosci tym ktorzy nie maja mozliwosci na placenie abonamentu A ja postanowiłem wybudować Empire State Building na plaży w Ustce z piasku i wody

Autor:	-MW- [ czwartek, 22 marca 2007, 00:57 ]
Tytuł:
Cytuj: wymaga 20 magabitów łącza nie przesadzajmy! łącza sa juz coraz tańsze. nask proponuje 10Mb/s symetryk w umowie na 36miesiecy juz od 2500zł!!!! szok.

Autor:	nicek [ czwartek, 22 marca 2007, 09:32 ]
Tytuł:
do maciek: mozna to zrobic na nie wielkim laczu, 700 osob przewiduje jako gorna granice w najwiekszym nasileniu. udostepniajac jednynie dostep do tego co pisalem z ograniczeniem predkosci pobierania nie sadze aby potrzebne bylo do tego duze lacze, podobnie jesli chodzi o inne sieci nie sadze aby wszyscy nagle przesiedli sie na hotspota. sporo "dzieci" nie zrezygnuje z cs, filmow muzyki itp na rzecz jedynie dzialajacych komunikatorow i www, ktore zato wystarcza dla osob ktore chca miec dostep do wiedzy zawartej w www. jesli chodzi o sprzet ktory mialby zamienic nnd to nie wymaga to takiej kasy, jesli nnd sie nie sprawdzi to wystarczy kupic MT i zainstalowac w wersji hotspot koszt to nie 10k tylko 650zl jesli chodzi o testerow to i owszem zawsze na poczatku jest ich sporo nie wiedzialem czy ktos zacznie to analizowac, bo ktos zalozyl juz podobny temat i byl bez odzewu wiec podam moze kilka nastepnych szczegolow: jak narazie nnd zauwazylem ze z powodzeniem radzi sobie z liczba 200 userow w trudniejszej konfiguracji. ja planuje uruchomic poczatkowo 4 apeki z dhcp z roznymi klasami ip. jesli dodam do tego 2 serwerki dzialajace na dwoch laczach w roznych klasach ip to czemu ma to nie dzialac? skoro dziala w innych sieciach z szalejacymi p2p bardzo polubilem NND i na nim chce postawic hotspota pomimo tego ze mam mozliwosc podzialu tego na innej platformie mam nadzieje ze to mi sie uda. maciek nie zanizaj mozliwosci NND bo nie raz udowodniles ze wiele potrafi, nie jeden twoj i kilku innych tu zasluzonych osob post rozwiazal moj problem Cytuj: A ja postanowiłem wybudować Empire State Building na plaży w Ustce z piasku i wody dlaczego nie ..... na nie jednej plazy sa zawody w dziedzinie rzezby piaskowej i nie raz budowane byly wiezowce tyle ze w odpowiedniej skali

Freesco, NND, CDN, EOS http://forum.freesco.pl/

konfiguracja nnd dla lacza do hotspot . blokada wielu portow http://forum.freesco.pl/viewtopic.php?f=24&t=15033	Strona 1 z 2

Autor:	tasiorek [ czwartek, 22 marca 2007, 10:39 ]
Tytuł:
Jak ja nie lubie kastracji internetu, nawet jesli ma byc darmowy W standardowym firewallu zamien: : [/] [] () # Wszystkie polaczenia z innych interfejsow niz interfejs do internetu pozwalamy $i -A INPUT -i ! $EXTIF -j ACCEPT $i -A FORWARD -i ! $EXTIF -j ACCEPT GeSHi © Codebox Plus na: : [/] [] () #blokada p2p $i -A INPUT -i eth1 m ipp2p --ipp2p -j DROP $i -A FORWARD -i eth1 m ipp2p --ipp2p -j DROP #dostep do proxy $i -A INPUT -i eth1 -p tcp --dport 8080 -j ACCEPT #dostep do stron https $i -A FORWARD -i eth1 -p tcp --dport 443 -j ACCEPT #dostep do dnsa $i -A INPUT -i eth1 -p tcp --dport 53 -j ACCEPT $i -A INPUT -i eth1 -p udp --dport 53 -j ACCEPT #dostep do poczty $i -A FORWARD -i eth1 -p tcp -m multiport --dport 25,110,465,995 -j ACCEPT #dostep do gg $i -A FORWARD -i eth1 -p tcp --dport 8074 -j ACCEPT #dostep do skype $i -A FORWARD -m layer7 --l7proto skypeout -j ACCEPT $i -A FORWARD -m layer7 --l7proto skypetoskype -j ACCEPT #transparentne proxy iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 8080 GeSHi © Codebox Plus Doinstaluj squida w trybie transparent na porcie 8080 i dnsmasq i powinno dzialac. Nie wiem na jakim porcie dziala tlen i szczerze mowiac nie chce mi sie szukac. Zeby go odblokowac znajdz gdzies ta informacje i dodaj regule analogiczna do gg. Mozesz tez dodac blokowanie p2p za pomoca l7. Jako dns przypisuj ludziom adres swojego serwera. PS. Macku nie niszczmy takiej pieknej idei w zalazku. Sama padnie po pewnym czasie Jednyny znany mi darmowy internet jaki dziala na wieksza skale to Resman w Rzeszowie. Tylko, ze Resman jest finansowany przez urzad miasta z pomoca unii i o dziwo praktycznie nie stanowi konkurencji dla komercyjnego neta (przynajmniej ja nie zauwazylem masowego odplywu uzytkownikow).

Autor:	zciech [ czwartek, 22 marca 2007, 12:29 ]
Tytuł:
Wielkość to żaden problem skoro działa dla 10 to będzie i działać dla 1000, wystarczy szybsza maszyna lub kilka maszyn i odpowiednio wiecej wszystkiego. co do szybkości lącza to przy założeniu braku p2p i "masowych ściągaczy" i sprawnym szybkim proxy 5-10 mbit powinno wystarczyć. Skoro ktoś planuje coś takiego uruchomić to na pewno na tym zarobi. Moźe nie na tym ale w ostatecznym rozrachunku wyjdzie na swoje. Piasek i wodę mogę Ci dostarczać po kosztach

Autor:	nicek [ czwartek, 22 marca 2007, 12:32 ]
Tytuł:
wielkie dzieki na dniach zabieram sie za testowanie.... jesli chodzi o finansowanie to wlasnie u mnie urzad to sponsoruje, praktycznie pokrycie kosztow lacza i obsluga robie to by spelnic pewne marzenie jeszcze raz dziekuje za pomoc. w zasadzie to chcialem sie dowiedziec czy sie da a tu jak na tacy gotowe rozwiazanie. ps tlen napewno dodam bo mam dodane porty w starym serwerze i go bardziej lubie od gg

Autor:	nicek [ niedziela, 25 marca 2007, 11:29 ]
Tytuł:
cos pieknego te nowe nnd, pierwsze moje spotkanie z nowym z przed chyba roku nie bylo tak mile jak teraz widze ze sporo osob odwalilo naprawde kawal dobrej roboty. jak narazie kazdy element ktory dokladam do serwera az za latwo sie instaluje, wystarcza forum i dokladnosc. jesli sie nie myle to zostala mi ostatnia rzecz mianowicie podzial lacza, widze ze nadal tak jak i wczesniej nie wiadomo co lepsze htb czy nice do zastosowan w zwyklej sieci, ale moze wiadomo co lepiej sie sprawdzi w przypadku okrojonego hotspota z transparentnym proxy. ja u siebie na starym nn mam htb i nie nazekam ale dobrze pamietam ze htb mialo problem powyzej okreslonej liczby userow a u mnie ich moze byc niemalo i tu pojawia sie moje pytanie czy htb to wystarczajacy wybor? (nie pytam sie czy dobry bo wiele postow madrze odpowiada poprostu sprawdz) po pelnej instalacji umieszcze tu dokladny opis moze sie komus przyda i w 2 godziny tez postawi calkiem fajnego hotspota

Autor:	zciech [ niedziela, 25 marca 2007, 12:09 ]
Tytuł:
Zasadnicza róznica miedzy "statycznym" htb a programami costam_shaper lezy w sposobie zakładania klas. Statyczne htb zakłada wszystkie klasy przy starcie z określonymi rate i ceil. Programy shaperowe natomiast co kilka sekund na podstawie aktualnych przeplywów i zaszytej w nich "polityki" transferowej tworzą, kasują i zmieniaja klasy i transfery (rate ceil), ale w ostatecznym rozrachunku to zaszyty w jądrze program obslugi htb decyduje o przesyle. I teraz im mniejsze jest wykorzystanie "pojemnosci userowej" tym sprawniejszy jest shaper w stosunku do statycznego htb. "pojemnosc userowa" to stosunek hostów przesylajacych do wszystkich możliwych. Mówiąc sprawnieszy mam namyśli mniejsze zużycie zasobów. W twoim przypadku statyczne htb musi założyć 700 klas i calą prace pozostawić jajku serwera natomiast shaper zaloźy tylko tyle klas ile hostów jest aktywnych ale za to co kilka sekund bedzie musialo przeliczać te klasy. Reasumując jakby sie nie odwrócić to du.. z tyłu.

Autor:	nicek [ niedziela, 25 marca 2007, 13:00 ]
Tytuł:
hmmm to w takim razie zdecyduje sie raczej na htb w sumie to 700 userow jeden serwer nie bedzie obslugiwac bo bedzie ich kilka i na jeden serwer przypadnie okolo 200. mysle ze metoda rownego komunistycznego podzialu sie sprawdzi jak serwer przetrwa kilka miesiecy bede wiedzial czy warto cos zmieniac. twoje htb zciechu u mnie dziala idealnie i jemu pozostane wierny tyle ze na nowym nnd. bede musial zapewne je troche okroic bo nie bede mial ani p2p ani porotow gier aktywnych w sieci nie mowiac juz o tym ze cala dobe 7 dni w tyg bedzie tak samo dzielic predkosc, bo cel mam jeden w podziale lacza priorytet na www i gorne ograniczenie predkosci pobierania plikow w takim razie instaluje testuje i pozniej sie pochwale.

Autor:	nicek [ poniedziałek, 7 maja 2007, 01:59 ]
Tytuł:
jak narazie wszystko smiga jak nalezy z malymi wyjatkami. zastanawiam sie czy mozna nie instalowac w moim przypadku layer7 ? skoro mam stala blokade przez cala dobe i czy dobrze poprawilem : Cytuj: #blokada p2p $i -A INPUT -i eth1 m ipp2p --ipp2p -j DROP $i -A FORWARD -i eth1 m ipp2p --ipp2p -j DROP na #blokada p2p $i -A INPUT -i eth1 -m ipp2p --ipp2p -j DROP $i -A FORWARD -i eth1 -m ipp2p --ipp2p -j DROP w sumie po tej zmianie zainstalowalem kilka p2p do testow ktore nie polaczyly sie z serwerami jesli serwer przezyje miesiac opisze dokladnie co i jak instalowac mysle ze moze dla wielu osob sie to przydac.

Autor:	marask [ poniedziałek, 7 maja 2007, 14:35 ]
Tytuł:
layer7 lepiej wykrywa niż ipp2p więc ja bym instalował. idea godna pochwały

Autor:	nicek [ poniedziałek, 7 maja 2007, 16:13 ]
Tytuł:
hmmm .. ale czy nie lepiej zablokowac wszystkie porty a potem otworzyc tylko kilka wybranych i nie zajmowac sie wykrywaniem?(siec ma miec jedynie kilka stalych uslug) musze powiedziec ze te dotychczasowe rozwiazane sprawdza sie ciekawie, userow w sieci tyle co zwykle a na switchach ruch 100 razy mniejszy niema to jak dobre przyciecie ruchu, siec wylacznie z www, gg, tlenem i poczta to sam miod dla admina i pomyslec ze wystarczylo wywalic reszte. teraz zostalo tylko zabezpieczyc siec przed konfliktem ip user <-> serwer (zauwazylem ze dosc aktywny temat na forum). ale ja jednak chyba zdecyduje sie na sprzetowe rozwiazanie problemu przy uzyciu switcha zarzadzalnego.

Autor:	marask [ niedziela, 13 maja 2007, 12:28 ]
Tytuł:
ambitny użytkownik - w dzisiejszych czasach rzadko to się zdarza Jak statystyki to polecam rrdtool. Akurat wyzwanie a Skype potrafi śmigać na wszystkim co dostępne - również po porcie 80 więc nic dziwnego, że działa

Autor:	BOyA [ środa, 13 czerwca 2007, 16:25 ]
Tytuł:
firewall o ktorym tutaj mowa to ktora wersja ?

Strona 1 z 2	Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/

Autor:	nicek [ piątek, 11 maja 2007, 09:11 ]
Tytuł:
musze was pochwalic i pogratulowac nowego nnd, jest super. szkoda tylko ze niema tego czegos co mialo stare NN, czyli dreszczyku emocji przy instalacji . nowe jest fajne ale drugi serwer z sentymentu zostawie na starym. ale do rzeczy, wyglada na to ze jak narazie wiekszosc spraw dziala jak nalezy bo sporo ludzi nazeka na blokady , ciekawi mnie tylko np fakt ze nie instalowalem layer7 i mam zaplotkowana linijke od skype a i tak dziala jak nalezy (w sumie to dobrze, ciekawe tylko czemu) htb chyba jednak lepiej mi pasuje od nice jesli chodzi o ograniczanie pasma, ale zato do nice jest latwe rozwiazanie statystyk takich jakich ja potrzebuje. zostalo w sumie tylko to z wiekszych spraw, jak sie z tym uporam bedzie super, bo potrzebuje statow tylko na sam eth0 i eth1, poki co sprawdzam to iptrafem. jak mi sie nie uda to poprosze o pomoc. ide walczyc sam bo instalacja w nowym jest "latwo nudna" i potrzebuje troche atrakcji

Autor:	nicek [ niedziela, 13 maja 2007, 12:54 ]
Tytuł:
hehe.. ambitny to ladne okreslenie... musze powiedziec ze sie odzwyczailem od siedzenia przy serwerze do 3 nad ranem ale powoli wracam do tego systemu zycia po dzisiejszej nocy dodalem sporo kolejnych blokad i teraz dopiero mozna mowic o kastracji internetu w iptraf az milo popatrzec jak wszystko jest przyciete dla tych co staraja sie zapchac siec. mam coraz wieksza pewnosc ze nnd jest wspanialym rozwiazaniem na hotspota. zastanawiam sie kiedy przedobrze i cos skonce .. chyba wykonam kopie wedlug jednego z opisow. mam nadzieje ze na dniach umecze cos w rodzaju okrojonej tablicy ogloszen... tak aby kazdy kto sie podepnie wiedzial do czego sie podpial i na jakich zasadach. nawet nie wiecie ile osob dzieki wam ma darmowy dostep do sieci. sa tacy co sie nie ciesza ale ich jest duzo mniej

Autor:	orion [ poniedziałek, 14 maja 2007, 20:49 ]
Tytuł:
nicek pisze: nawet nie wiecie ile osob dzieki wam ma darmowy dostep do sieci. sa tacy co sie nie ciesza ale ich jest duzo mniej Heh, jeszcze się taki nie urodził co by wszystkim dogodził. Apropos twojego hotspota - w jakiej miejscowości to działa ?! Może to koło mnie a ja nic nie wiem

Autor:	nicek [ poniedziałek, 14 maja 2007, 21:09 ]
Tytuł:
sokolka