好的,像所有大学 IT 部门一样,我们一直在与 P2P 滥用作斗争,并试图找出如何有效减轻它对我们网络基础设施的影响......
然后我们今天发现,我们正在向街对面一所大学的学生出租我们两个宿舍的空间。(总共 100 名学生,每栋楼有 50 名学生。)
我们的预算:免费。(我们有一些 Pentium 3 和 4 台式机可供使用。)
我们只负责为宿舍 RJ-45 插孔提供 HTTP 流量支持。没有 VOIP 考虑,什么都没有。每个建筑物都在不同的 VLAN 上。
从理论上讲,使用 pfSense 之类的东西在具有 2 个 NIC 的 PIII 或 Pentium IV 级机器上运行来限制 HTTP 流量/数据包整形/等是否可行?这不是永久性的事情——他们只租用一个学期的宿舍——但以前从未这样做过,我正在寻找这里的社区可以提供的任何指导。
(我在想每栋正在出租的建筑物一个盒子......)
编辑:外部连接到整个互联网:12 兆位。所有宿舍都在一个单独的“通道”中的 IP 子集上,不能超过总数的 30%。
啊,但是为了允许浏览网页,我相信学生们会喜欢使用 DNS 来解析他们的网站 URL。然后他们当然会需要 HTTPS 支持,这样他们就可以安全地登录到他们的课件网站或银行。哦,那么……我的朋友,你这里有一个滑坡!但是没有什么可做的吗?
根据网络的设置方式,您可以让每个盒子成为每个宿舍的网关路由器,或者为了性能(如果可以)将每个盒子设置为透明桥接防火墙并让您的(我假设)最好已经安装路由器做路由。当然,这一切都取决于网络的布局方式。如果没有其他信息,我无法提供很多建议。
我推荐 openbsd 和 pf,尤其是考虑到您将要部署的旧硬件。也就是说,如果您在技术上没有足够的头脑来自行设置它,那么有像 pfsense 这样的发行版,您只需要处理 Web 界面中的一些缓慢问题。
有很多变数有问题。包括但不仅限于:
以 Mbps 为单位的吞吐量。
这是显而易见的。
PPS 中的吞吐量。
这一点不那么明显,而且通常比上述项目更重要。与少量大数据包相比,大量小数据包对路由器/防火墙的压力更大。这是因为每个数据包都会产生系统中断,并且必须单独评估防火墙、路由或更深层过滤。
NIC 和 PCI 总线的质量。
买最好的。一个好的 NIC 将在不破坏系统的情况下执行尽可能多的板载处理。而廉价的 NIC 会将处理推回 CPU 上,从而增加系统负载并减慢处理速度。然而
流量检查和处理数量。
您拥有的防火墙规则越多,评估所需的时间就越长。您可以执行一些聪明的事情,例如透明代理和缓存,但这会带来一些额外的开销。
不过,我想说的是,你想要实现的目标是完全可能的。如果您可以摆脱 Pfsense 的 GUI,那么我完全建议您在机器上安装OpenBSD 。做你想做的事很简单,你会释放很多力量。
您可能希望将机器配置为透明网桥。这将使您能够将它们直接插入当前的设置中。您可以将此用作第一个测试,以查看它们是否能够胜任工作 - 将它们作为没有过滤的普通旧桥放入,看看它们是否能应付。如果由于某种原因你发现它们没有,那么你可以在相当少的干扰下将它们拉出来。
然后下一步是使用 PF 引入过滤。然后使用 ALTQ 进行速率限制。然后,我建议使用NET-SNMP(带有PF MIB)和像Cacti这样的监控包来关注利用率和性能。
为什么不在像Sentry或redwall这样的 cd 上使用防火墙?然后只允许到端口 80(或任何你想要的)的传出连接。这些解决方案通常非常易于使用,带有 Web 界面。
您可以使用 untangle:http ://www.untangle.com/ 它是开源的、免费的,并提供您似乎需要的功能等等。
至于阻止事情,我会在大学宿舍小心,并检查法规以确保您可以在实施任何事情之前做到这一点。
平滑墙
是一个很好的选择。它是用于防火墙的较旧的自定义 Linux 发行版之一。