服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 在为小型会议或会议提供非常有限的开放式WiFi时要过滤什么?
Intereting Posts
PHP /邮件发送邮件到错误的邮件服务器 更新nginx状态码 从日志文件中读取什么后果? 如何使wirehark过滤POST请求只? Smart Array P400驱动器故障 为什么10GbE卡无法与Windows 2012R2协商10Gbit? SCP不完全传输文件 在多个Azure虚拟机上连续部署 瘦客户机作为独立的Linux服务器? 运行Linux的多插槽CPU主板 如何触发Jinja模板中的自定义错误? 如果我使用NoSQL技术,获得托pipe服务提供商 启动服务时BackupExec错误 Php5-fpm如果有很多访问者会崩溃 无法ping通路由器的ip

在为小型会议或会议提供非常有限的开放式WiFi时要过滤什么?

执行摘要

基本的问题是:如果你有一个非常有限的带宽WiFi提供互联网,只需一两天的小型会议,你如何设置路由器上的filter,以避免一个或两个用户垄断所有可用的带宽?

对于没有时间阅读下面详细信息的人们,我不在寻找任何这些答案:

  • 保护路由器,只让less数可信任的人使用它
  • 告诉每个人closures未使用的服务,一般都是自我监控
  • 使用嗅探器监控stream量,并根据需要添加filter

我知道所有这一切。 没有一个是合适的,原因很明显。

另外注意:这里已经有一个关于在大型(500人以上)会议上提供足够WiFi的问题 。 这个问题涉及less于200人的小型会议,通常不到使用WiFi的一半。 可以用一台家庭或小型办公室路由器处理的东西。

背景

我曾经使用3G / 4G路由器设备为小型会议提供WiFi,取得了一些成功。 我小的意思是单间会议或会议的顺序barcamp或Skepticamp或用户组会议。 这些会议有时会有技术参与者,但不是专有的。 通常不到一半到三分之一的与会者实际上会使用WiFi。 我所说的最大会议尺寸是100到200人。

我通常使用Cradlepoint MBR-1000,但也有很多其他设备 ,特别是3G和/或4G厂商如Verizon,Sprint和Clear提供的一体机。 这些设备需要3G或4G互联网连接,并使用WiFi将其分配给多个用户。

以这种方式提供networking访问的一个关键方面是3G / 4G上的有限带宽。 即使像Cradlepoint这样可以对多个无线电进行负载平衡的东西,你也只能达到几兆的下载速度,也许上传速度只有几兆比特。 这是最好的情况。 通常它比较慢。

在这些会议的大多数情况下,目标是允许人们访问电子邮件,networking,社交媒体,聊天服务等服务。 这样,他们就可以实时发布博客或直播推特,也可以在网上聊天,或者在会议进行时与其他人保持联系(与会者和非与会者)。 我想将路由器提供的服务限制在满足这些需求的服务上。

问题

特别是我注意到了一些情况,特定用户最终会滥用路由器上的大部分带宽,损害所有人的利益。 这些沸腾成两个领域:

  • 故意使用 。 大家在看YouTubevideo,将播客下载到他们的iPod上,或者在会议室里使用带宽去做那些真正不适合的事情,在那里你应该关注发言人和/或互动。

    在一次会议上,我们通过UStream直播(通过一个单独的,专用的连接),我注意到有几个人在房间里有UStream页面,所以他们可以与会议聊天互动 – 显然不知道他们浪费带宽stream回到他们面前发生的事情。

  • 无意使用 。 有各种各样的软件实用程序将在后台广泛使用带宽,人们往往已经安装在他们的笔记本电脑和智能手机,可能没有意识到。

    例子:

  • 点对点下载程序,如在后台运行的Bittorrent

  • 自动软件更新服务。 这些都是军团,因为每个主要的软件供应商都有自己的,所以可以很容易地让微软,苹果,Mozilla,Adobe,Google和其他所有试图在后台下载更新。

  • 安全软件,下载新的签名,如防病毒,反恶意软件等

  • 备份软件和其他在后台“同步”到云服务的软件。

对于这些非networking,非电子邮件types的服务吸引了多lessnetworking带宽的一些数字, 看看这个最近的有线文章 。 显然networking,电子邮件和聊天都在不到现在的互联网stream量的四分之一。 如果那篇文章中的数字是正确的,通过过滤所有其他的东西,我应该能够提高WiFi的有用性四倍。

现在,在某些情况下,我已经能够使用路由器上的安全性来控制访问权限,将其限制在一小群人(通常是会议的组织者)中。 但是这并不总是合适的。 在即将举行的会议上,我想运行WiFi而没有安全性,任何人都可以使用它,因为在会议地点发生的事情,我在城镇的4G覆盖率特别好。 在最近的一次testing中,我在会场上下了10兆比特。

上面提到的“告诉人们自我检查”的解决scheme是不合适的,因为(a)很大程度上是非技术性的观众,以及(b)上述大部分用法的无意的性质。

“根据需要运行嗅探器和filter”解决scheme是没有用的,因为这些会议通常只持续几天,通常只有一天,并且有一个非常小的志愿者工作人员。 我没有一个人专门负责networking监控,当我们完全调整规则时,会议就结束了。

我得到了什么

首先,我想我会使用OpenDNS的域过滤规则来过滤整个类的网站。 一些video和点对点的网站可以用这个去掉。 (是的,我知道在技术上通过DNS进行过滤会使服务无法访问 – 请记住,这些用户主要是非技术用户参加为期2天的会议,这已经足够了)。 我想我会在OpenDNS的用户界面中select这些选项:

OpenDNS筛选器复选框

我想我可能也会阻止DNS(端口53)以外的其他任何路由器本身,所以人们不能绕过我的DNSconfiguration。 一个聪明的用户可以解决这个问题,因为我不打算在防火墙上放置很多精心devise的filter,但是我不在乎太多。 因为这些会议不会持续很长时间,所以可能不值得麻烦。

这应该覆盖大量的非networkingstream量,即对等和video,如果有线文章是正确的。 如果您认为OpenDNS方法存在严重的局限性,请告知。

我需要的

请注意,OpenDNS专注于某些情况下的“令人反感”的事物。 video,音乐,广播和点对点都被覆盖了。 我仍然需要覆盖一些完全合理的事情,我们只是想阻止,因为他们不需要在会议上。 其中大部分是在后台上传或下载合法内容的工具。

具体来说,我想知道端口号或DNS名称进行过滤,以有效地禁用以下服务:

  • 微软自动更新
  • 苹果自动更新
  • Adobe自动更新
  • Google自动更新
  • 其他主要的软件更新服务
  • 主要病毒/恶意软件/安全签名更新
  • 主要后台备份服务
  • 在后台运行的其他服务可能会占用大量的带宽

我也想要其他的build议,你可能会适用。

对不起,如此冗长,但是我发现在这种性质的问题上非常非常清楚,我已经有了OpenDNS的一半解决scheme。

对于初学者来说,要特别注意您想要允许的stream量types。 有一个默认的拒绝规则,然后允许端口像80,443,993,587,143,110,995,465,25(我个人不想打开这个,但如果你不这样做,你可能会收到很多的投诉) 。 还允许UDP连接到OpenDNS服务器上的端口53。

这会给你一个很好的开始。 它会杀死大部分带宽协议。 它也会阻塞很多的VPN连接(不是SSL VPN),这应该有助于防止人们绕过你的安全。

如果你有防火墙阻止文件types,你应该也可以阻止exe文件,bin,com,蝙蝠,avi,mpeg,mp3,mpg,zip,bz2,gz,tgz,dll,rar,tar和其他一些其他的我要离开了

除此之外,你目前的限制可能足够体面。 您可以将更新添加到列表中。 就个人而言,我不会阻止A / V更新。 如果您真的想要,可以阻止他们的整个域(* .symantec.com,* .mcafee.com,* .trendmicro.com等)。 Microsoft更新URL位于http://technet.microsoft.com/zh-CN/library/bb693717.aspx

使用OpenDNS不会阻止山洪。

它只会阻止他们在线寻找新的种子并将其添加到队列中的能力。

如果他们中途完成了5个种子的攻击,然后通过WiFi连接到局域网,那么所有的种子将恢复并获得所有可用的带宽。 仔细阅读OpenDNS网站指出这一点。 如果你考虑DNS的工作方式,这是有道理的。

阻止现有的种子是困难的。 你最聪明的做法是把收音机里的最大连接数限制在60-100。 iTunes和Torrent开放数千人。

首先,任何一个wifi路由器实际上只有60个左右的连接,所以“less于200人使用wifi”(99个用户)的最坏情况可能仍然需要至less一个路由器。

其次,你应该考虑stream量整形…理想情况下,你想给每一个IP在内部保证相同的最小带宽,让他们争取额外的……这样没有人会被拒之门外,但任何人仍然可以爆满容量。

我build议你看看你的路由器是否可以使用像DD-WRT这样的定制固件。 有了它,你可以使用QOS ,这将是你真正想要的。