服务器 Gind.cn
  1. 服务器 Gind.cn
  3. SOHO – 节stream问题用户的stream量
Intereting Posts
如何使基于Solaris 10的NFS服务器从远程OpenLDAP服务器获取用户名数据? Cron工作:没有这样的文件或目录 暂停和关机有什么区别? 对Active Directory的ldapsearchauthentication失败+search参数错误 如何将输出从mytop写入文件 限制Hyper-V主机上的guest虚拟机数量 Windows Server上的IPv6 6to4 在用户注销时如何处理不间断睡眠中的进程? 如何“解决”无响应的权威skynet.be DNS Apache不会停止/正常启动 在OpenStack的CentOS客户端的以太网帧中添加了Ghost“vlan 0”标签 .bash_profile没有被读取 %post kickstart期间可以运行system-config-network吗? 安装Google跟踪,apache级别 同步服务器设置

SOHO – 节stream问题用户的stream量

我在一个小办公室pipe理networking(软件开发是我的“真正的工作”),并且有几个用户通过运行bittorrent来打败我们的互联网连接。 在上传端(20Mbps)的几乎瘫痪效果和潜在的责任之间,我想尽可能地closures它。

一些问题或build议的快速细节:

我明白,BT客户端可以configuration为使用其他端口,所以只是阻止标准的BT端口范围是弱点。

我不敢相信我是第一个给这只猫上皮的人。 或者也许只有IT部门。 大的设备预算可以皮肤这只猫?

谢谢你的帮助!

你是对的,这确实是一个社会问题,需要pipe理层解决。 如果某些人对networking造成影响,导致其他networking出现问题,那么就需要对他们进行处理,并说明如果这些networking继续存在,后果将会如何。 重新编程他们的网卡上的MAC地址? 如果他们没有合法的需要这样做,那么你可以考虑locking你的无线路由器和networking交换机,只接受来自某些MAC地址的连接。 如果他们改变了,他们就不能上网,而在边界路由器上突然出现MAC地址过滤/限制的可能性。

也可以使用非标准端口的stream量整形来减less除标准http,ftp,smtp等之外的所有端口的可用带宽量。降低非标准应用的可用带宽使得它们不太理想。

在边界路由器/防火墙的另一个选项是只允许某些出站stream量的端口,限于标准端口。 考虑到您的环境,这可能也可能不实际。

按照此处所述在 DD-WRT上启用QoS。 使所有非端口80/22/25 / IMAP / POPstream量限制在一些非常小的带宽,并使这些端口限制在合理的2Mb / s左右。

然后阅读BOFH ,了解如何对违规用户做些什么。

如果一个小办公室告诉员工停止使用不当或者面对纪律处分,那么在一个小型办公室里花钱或者花在交通塑造上似乎是荒谬的……除非有一些你没有提到的特殊情况。

我相信你的办公室的经理会想知道为什么他们的员工有时间来安装bittorent,改变他们的mac地址等公司的时间…

如果你采取技术手段,而忽视社会方面的话,那么坏人就会尝试混淆技巧来避免这些限制。 如果你会实施一些标记和形成BitTorrentstream量的东西,他们将开始使用encryption等。

如果你只去社交,开始对坏人大喊大叫,你就会成为他们的敌人。 特别是如果这不是你的主要工作。 他们可能会认为你限制他们讨好老板。 和那些讨厌你的人一起每天工作都很难过。

几乎没有暴力的非常有效的方法是监视networking使用情况。 设置类似mrtg的东西,并将networking使用图表公开提供给办公室的任何人。 所以只要有人抱怨互联网速度慢,就把他送到那里看看谁在浪费带宽。

这样你就不必单独对抗带宽生猪。 你甚至不需要打架,好的用户会吃坏的。

如果你没有权力把他们打倒在地,而那些做的人也不愿意的话,那么你几乎是不走运的。 是的,有技术方法来解决这个问题。 看来您的问题用户中至less有一些可能足够精明,可以避免您尝试的任何技术解决scheme。 更糟糕的是,对于那种你现在已经暗中validation过的人来说,只要他们避免了你设置的障碍,就可以这样做(因为没有pipe理层的回应)。

你应该看看M0n0wall和pfSense 。

我相信pfSense的stream量整形function更好,这是我build议的。

不幸的是,文档非常稀less,但是如果稍微尝试一下,就不难理解了。
只需运行向导,并从它将创build的规则中学习。 另外,请查看“ stream量调整指南” 。

虽然这不会解决你的社会问题,也不是解决执行规则的最终scheme,但我相信这是一个好的中间立场。
您可以允许他们使用带宽,同时确保所有其他更重要的内容不受影响。

你有没有考虑像Squid这样的networking代理? 这可能是一个select。 我知道大男孩可以在包级别过滤。

解决这个问题的另一种方法是对每个工作站/笔记本电脑进行周期扫描,直到安装完毕。 你看到一个BitTorrent客户端,你标记用户。 您可以通过在以下位置查询registry来编写简单的脚本:

HKLM \ SOFTWARE \微软\的Windows \ CurrentVersion \卸载\

locking这些机器 – 删除pipe理员权限。 他们像被宠坏的孩子一样行事,你唯一能做的就是这样对待他们。

它不适合复杂的用户,但我曾经通过在c:\ Windows \ system32 \ etc \ hosts中input一个虚拟条目来阻止某个站点的某些用户

像Cisco 871w这样的SOHO路由器能够进行深度包检测。 您将能够在不影响其他stream量的情况下拒绝所有端口上的P2P。

即时通讯,RDP等也是如此……有些即时通讯客户端可以configuration为通过端口80(HTTP),而您不太可能阻止。 但是Cisco 871w这样的路由器实际上在OSI模型的更高级别上运行,并且可以检测到端口80上的stream量是否是HTTP或其他协议。

技术解决scheme的原因在于,通常是这样做的pipe理types。
这与安全问题是一样的,那些最敏感的数据是那些不打扰密码的,从雅虎发送机密邮件login未encryption的机场WiFi,丢失笔记本电脑。
既然你不能执行规则 – 他们制定规则 – 唯一的解决scheme是他们不知道的。