我们(我和我本人一起工作的技术)生活在偏远的北部城镇,那里的互联网访问有些奢侈,带宽非常有限。在这里,超额收费从每月几百美元到几千美元不等。我本人仅通过自己在家中的常规互联网使用就承担每月的定期费用(允许10G的价格为60CAD!)
作为我工作的一部分,我发现自己参与了几家对此感到满意的酒店。我知道我可以提出一些解决该问题的方法,但是我对系统管理还比较陌生,我不希望自己的梦想克服现实。
因此,我将这些想法传递给您,他们的经验比我多得多,希望您能分享一些想法和疑虑。
该系统必须具有成本效益,是的,这里的收费很高,但是对技术的信任是我见过的最低的。
- 必须能够帮助客户减少使用量(鱿鱼)
- 允许有限数量(吞吐量和总使用量)的免费Internet,因为这通常是特许经营政策。
- 允许用户跟踪其带宽使用情况
- 允许(可选)更高的速度和/或使用,需要额外付费。可以在结帐时在前台获得这笔费用,并且不需要使用PayPal或信用卡。
- 不幸的是,某些特许经营具有荒谬的政策,要求使用
第三方远程服务来验证网络中的访客身份。这意味着WPA已用完,也意味着我在使用Internet之前不进行身份验证,这将是他们的工作。但是,如果酒店没有此政策,我确实要求ABILITY对Internet访问执行身份验证。我仍将必须跟踪带宽(默认情况下使用来宾帐户),并提供相同的限制,但是就来宾而言,来宾通常需要完整的“无限”访问权限,而不是吞吐量。 - 为没有隔离,没有办公室和访客网络隔离的酒店提供防火墙功能(其中一些人在访客网络上运行他们的办公室,没有加密,只有一个简单的TOS即可使用!)
- 阻止来宾与其他来宾建立连接,但是要提供一种方法来允许这种情况发生。IE浏览器 每个来宾都连接到一个页面并允许另一个来宾,例如,这写了一个iptables规则(使用python-netfilter),并允许两个房间玩游戏。
我对如何实现这一点的想法。一个体面的盒子(我们现在称其为路由器),带有很多ram和3个NIC:
- 互联网
- 办公室
- 来宾(AP +室内以太网)
路由器防火墙规则
- 访客只能与路由器通信,通过路由器将其路由到需要去的地方,包括Internet服务。
- 如果没有现有的解决方案,则可以使用Office将Office桥接到Internet,否则,它仅适用于可通过网络访问的Web(webmin + python-webmin?)界面。
路由器软件:
- OpenVZ为我不真正信任的一些服务提供虚拟化。Squid,FreeRADIUS和Apache。访客可以直接访问的唯一服务是Apache。
- Apache具有mod_wsgi和django,因为我可以使用django快速编写并且我的需求很低。它也可能具有FreeRADIUS mod,但是对此似乎有些警告。
- 防火墙规则是使用iptables在路由器上处理的。
- Webmin(或定制的django应用)可以对员工可能需要访问的任何功能提供抽象控制。
- Python,如果您还没有猜到它是我最喜欢的语言,那么我几乎会用它。
最后,这是否完成了,这是一个过于庞大的项目,不值得一个人承担吗,和/或是否缺少一些我可以让自己的生活更轻松的工具?
作为记录,我对Python相当满意,但是对许多其他语言不是很熟悉(我可以通过PHP苦苦挣扎,这是一个表面问题)。我也是Linux的狂热用户,对配置文件和命令行很满意。
感谢您的宝贵时间,我期待着您的回复。
编辑:我很抱歉,如果这不是某些人所期望的问答,那么我只是在寻找想法,并确保我不尝试做已完成的事情。我现在正在寻找pfSense作为我所需的可能起点。