好吧,就像所有大学的IT部门一样,我们一直在与P2P滥用做斗争,并试图找出如何有效地减轻它对我们networking基础设施的影响….
然后我们发现今天我们在两个宿舍租给了对面的大学的学生的空间。 (共有100名学生,每个build筑物有50名)
我们的预算:免费。 (我们有几个Pentium 3和4台式机可供使用。)
我们只有义务为宿舍房间的RJ-45插孔提供HTTPstream量支持。 没有VOIP考虑,什么都没有。 每个build筑物都在不同的VLAN上。
从理论上讲,使用像pfSense这样的运行在具有2个NIC的PIII或Pentium IV级盒子上的东西来限制HTTPstream量/数据包整形/等是可行的吗? 这不是一个永久的事情 – 他们只租一个学期的宿舍 – 但从来没有这样做过,我正在寻找这里的社区可以提供的任何指导。
(我正在考虑每个正在租用的build筑物的一个箱子…)
编辑:外部连接到互联网在大:12mbits。 所有宿舍都位于一个单独的“通道”中,不能超过总数的30%。
啊,但要允许网页浏览,我相信学生会喜欢使用DNS来解决他们的网站url。 那么他们当然需要HTTPS支持,所以他们可以安全地login到他们的课件网站或银行。 哦,那么……你在这里的滑坡我的朋友! 但是那里有什么可以做的呢?
根据networking设置的不同,你可以让每个盒子成为每个宿舍的网关路由器,或者为了性能(如果可以的话)将每个盒子设置成一个透明的桥接防火墙,让你(我假设)更好的已经安装的路由器做路由。 当然,这一切都取决于networking布局的方式。 没有额外的信息,我不能提供很多build议。
我build议openbsd和pf,特别是考虑到你将要部署的旧硬件。 也就是说,如果你的技术上不够专业,可以自己设置一些发行版,比如pfsense,那么你只需要在网页界面中处理一点点的低迷。
有很多变数是有问题的。 包括但不仅限于:
吞吐量(Mbps)
这是显而易见的。
吞吐量在PPS。
这是不明显的,往往比上述项目更重要。 大量的小数据包会使路由器/防火墙比大数据包的数量less。 这是因为每个数据包都会产生一个系统中断,并且必须单独进行评估,以便防火墙,路由或更深入的过滤。
网卡和PCI总线的质量。
买最好的,你可以。 一个好的网卡将尽可能地在板上执行处理,而不会扰乱系统。 廉价的网卡会将处理重新推回到CPU上,造成系统负载并降低处理速度。 而
交通检查和处理的数量。
更多的防火墙规则,你将有更长的评估。 你可以执行一些聪明的事情,如透明代理和caching,但这会带来一些额外的开销。
尽pipe如此,我想说,你试图达到的是完全可能的。 如果你能从Pfsense的graphics界面中解脱出来,那么我完全推荐在机器上安装OpenBSD 。 做你想做的事很简单,你会释放出很多力量。
您可能需要将机器configuration为透明网桥 。 这将使您能够使用当前的设置直接插入它们。 你可以使用这个作为第一个testing,看看他们是否能够胜任这项工作 – 把他们放在没有过滤的普通旧桥上,看他们是否应对。 如果由于某种原因,你发现他们不这样做,那么你可以把它们拉出来,而且不会中断。
那么下一步就是引入PF过滤 。 然后用ALTQ进行速率限制 。 然后我会build议抛出NET-SNMP (带有PF MIB )和一个像Cacti一样的监视软件包来关注利用率和性能。
为什么不在像Sentry或者redwall这样的cd上使用防火墙? 然后只允许传出连接到端口80(或任何你想要的)。 这些解决scheme通常非常易于使用,具有Web界面。
你可以使用untangle: http : //www.untangle.com/它是开源的,免费的,并提供你需要的function和更多。
至于阻塞的事情,我会在大学宿舍小心,并检查规则,以确保你可以在执行任何事情之前做到这一点。
SmoothWall的
是一个很好的select。 它是用于防火墙的较老的定制Linux发行版之一。