forum.lan.md

[Snow]

Как Вы смотрите на подключения нелегалов от легально подключенного компьютера ? Технологии разные и все их знают. Прошу просто высказать свое мнение и кто как с этим борется. Есть ли вообще смысл с этим боротся ?

[Шинкевич Владимир]

смысл есть. Файрволл, допускающий только введенные тобою ip + mac. Также на серваке стоит прога, фиксирующая появление новых связок ip + mac. Если появляется новый - то технологии разные Описывать, я думаю, не стоит.

[SKY]

Если используется NAT, прямых признаков левых подключений через кого-то не будет и бороться с этим почти невозможно. Надо просто сделать такие условия, чтобы юзеру было выгоднее напрямую подключиться чем через кого-то. ИМХО.

[Andrew Noga]

смысл есть. Файрволл, допускающий только введенные тобою ip + mac.

а vpn используешь ?

[Igoras]

Я сперва себе думал поставить.... а потом прикинул... тут попробуй объясни как настроить сеть некоторым.. а если еще ВПН-подключение настраивать.... в конечном счете это не спасет, если кто-то организует раздачу моего же инета на несколько человек... поэтому стараемся все же брать ценами... с другой стороны может все же понимают, что чем меньше денег соберем тем меньше канал сможем взять....

[Andrew Noga]

Я сперва себе думал поставить.... а потом прикинул... тут попробуй объясни как настроить сеть некоторым.. а если еще ВПН-подключение настраивать.... в конечном счете это не спасет, если кто-то организует раздачу моего же инета на несколько человек... поэтому стараемся все же брать ценами... с другой стороны может все же понимают, что чем меньше денег соберем тем меньше канал сможем взять....

суть то не в этом кстати
а в том что vpn спасает от подделки mac/ip

[Igoras]

суть то не в этом кстати
а в том что vpn спасает от подделки mac/ip

для этого и думал его поставить, чтобы была нормальная авторизация...

[Гость]

впн все равно не спасет от нелегалов, так что отсается только ценами и качеством услуг брать народ

[Шинкевич Владимир]

пока без. но в любой момент могу включить

[Snow]

Вот и я о том же. Переворошил кучу вариантов и так и не пришел к какому то мнению. Скорее действительно делать нормальную цену и закрывать на них глаза. Все равно на любой яд найдут противоядие. Но ладно бы через прокси, их не видно. Другое дело что при подключении через свитч от легального пользователя они (нелегалы) постоянно тусуются в сети, ставя любой IP. Интернета они не имеют, т.к. IP закрыт, но народ в сети нервничает видя несанкционированного новичка.

[Igoras]

Все свободные ИПы можно привязать к каким-то несуществующим МАКам... хоть какая-то защита.....

[Snow]

Да я уже думал об этом, но как быть с проксей? Их даже вычислить сложно. Причем думаем поднять канал, но им это только наруку. Из-за этого и тормозим процесс. Помоему ВПН в данном случае также непоможет. Как же быть?

[Igoras]

А никак ты это не вычислишь особенно если это НАТ... прокси - еще можно порты посканить.... вариант еще такой - смотреть статистику траффика... и если кто-то вдруг начал сильно много кушать, резать его до более-менее нормальных значений шейпером....

[Snow]

Вижу у всех эта проблема и решения ни у кого нет. Значит будем давать такой канал чтоб делить его было нерентабельно. Кстати, для читающих пользователей сетей, из-за таких кадров будем иметь медленный но оооооооооооооооооооочень дешевый интернет. Всем спасибо.
Если есть другие мнения сетевиков, высказывайтесь !

[SKY]

Самый лучший вариант борьбы с перераздатчиками, это ввод оплаты за траффик, дешево и сердито. Никто тогда точно ниче перераздавать не будет. Остается только подобрать оптимальное соотношение цена/траффик и все. Все будут довольны, кроме заядлых качальщиков.
Но и для них можно будет найти оптимальное решение, допустим сделать услугу download on demand, в китайке вроде такая услуга есть
Так что не все так плохо, господа

[Igoras]

А потом иди доказывай что ты не верблюд и твой биллинг считает ровно... и что он действительно сидел там-то там-то, а не ты это ему накрутил лишних 50 мб... тоже были такие идеи.... тогда бы и внешний инет днем брали у МТС с оплатой по траффику...

[RDS]

Самый лучший вариант борьбы с перераздатчиками, это ввод оплаты за траффик, дешево и сердито. Никто тогда точно ниче перераздавать не будет...

Не факт. Например несколько человек скидываются и платят за трафик одному. В результате за пользование ресурсов сети платит только один, а не трое! Что и процветает в той же китайке с ее 5-ю Еврами в месяц за пользование сетью.

Мы сделали проще. Если кто из пользователей загружает из интернета что-то более чем 500К (любая даже самая громоздкая страничка в это влезет), то ему сервер автоматически режет скорость доступа на уровне 4К. Этим мы не даем качальщикам захватывать на себя весь канал и ограничиваем трафик для желающих его перепродать. Тоже самое происходит с теми, кто открывает по десять окон в броузере. Ночью все ограничения сервер снимает. При этом мы не запрещаем перепродавать трафик налево (направо) или пользоваться "своим" интернетом.

[Igoras]

У вас это все организованно скорее всего только для HTTP и может быть еще FTP - через squid... а как быть с остальными протоколами?? или вообще с p2p, у которого и порта-то постоянного нет... не знаешь что резать

[Andrew Noga]

У вас это все организованно скорее всего только для HTTP и может быть еще FTP - через squid... а как быть с остальными протоколами?? или вообще с p2p, у которого и порта-то постоянного нет... не знаешь что резать

например для freebsd
man ipfw

limit {src-addr | src-port | dst-addr | dst-port} N
The firewall will only allow N connections with the same set of
parameters as specified in the rule. One or more of source and
destination addresses and ports can be specified.

[Igoras]

Скорее всего ты просто не совсем понял что я имею в виду..... было бы неплохо по ВСЕМ протоколам что-то маленькое отдавать с большой скоростью, а большое с маленькой, тем более днем...

man ipfw я в свое время изучил хорошо... у меня сейчас на нем динамический шейпинг работает, причем отдельно для Молдовы, отдельно для внешнего мира, с дополнительным ограничением скорости на пользователя... все равно ведь не поставлю я если у меня их 50, каждому 1/50 от общего канала.. стоит там 64 кбита например... а это уже можно на двоих делить

[SKY]

Самый лучший вариант борьбы с перераздатчиками, это ввод оплаты за траффик, дешево и сердито. Никто тогда точно ниче перераздавать не будет...

Не факт. Например несколько человек скидываются и платят за трафик одному. В результате за пользование ресурсов сети платит только один, а не трое! Что и процветает в той же китайке с ее 5-ю Еврами в месяц за пользование сетью.

пусть скидываются и дают денги кому хотят, это их право, но админ свою копейку за этот трафик будет иметь, то есть пусть 3 юзера скинулись и взяли допустим 1 гиг за 15 уе, заплатили каждый по 5 уе, им вроде бы легче, ведь они меньше платят, но амину пофиг, он свои 15 уе получил за гиг, надо просто правельно подобрать стоимость трафика, чтобы не было убытков.
А в китайке нет полностью оплаты за трафик, у них 5 уе это доступ по Молдове неограниченно, даже не 5 а 4, но это не важно. Там где есть учет трафика, перераздача не выгодна в принципе.
Ограничение скорости при скачке больших файлов, тоже хорошая идея, но она нужна только там где анлим. Это мое мнение =)
А насчет "кривости биллинга", это не страшно, главное чтобы он действительно правильно считал. Пусть юзера проверяют, если не верят, это их право. Да они в начале скорее всего и будут это делать. Я сам в начале проверял не обманывают ли меня. Потом я на это забил . При текущих размерах дисков и мощности компов можно юзеру хоть побайтно расписать где и что он делал. Так что все легко решается если все хорошенько продумать и хорошо это реализовать.

[Шинкевич Владимир]

В моей проксе есть почти все выше перечисленное. Ограничение скорости по миру, по Молдове, каждому юзеру можно проставить. Все запросы через прокси (касается только мира) записываются - и в любое время можно предоставить клиенту список всего, где он сидел.
Насчет ограничения по другим протоколам - не знаю, но думаю да. Потому что в логах есть строчки с разнобразными портами и строчка "128 kbps / 100%"

[Snow]

Я в принципе не о том спрашивал, через проксю ясно что вычислить их не возможно, и боротся с этим в принципе бесполезно. Другое дело что делать с подключением через свитч? Закрепление по маку не помогает, т.к. к серверу они не обращяются. Они внутри тусуются и качают общие ресурсы. Мак их просканировал но что с ним делать?

[Andrew Noga]

Я в принципе не о том спрашивал, через проксю ясно что вычислить их не возможно, и боротся с этим в принципе бесполезно. Другое дело что делать с подключением через свитч? Закрепление по маку не помогает, т.к. к серверу они не обращяются. Они внутри тусуются и качают общие ресурсы. Мак их просканировал но что с ним делать?

как не помогает ?
ты привязываешь определенные маки к порту, остальные запрещаешь

[Гость]

Для этого надо умный свитч по умным ценам, чтобы на нем списки доступа иметь... В случае тупых свитчей ситуация усложняется. В принципе можно бороться с этим путем внедрения в сеть ложного ARP сервера. Чтобы он слушал бродкаст и, засекая запросы от левых МАС адресов, флудил им что-то нереальное. Хотя это метод от дураков, но жизнь нелегалам испортить может...