当为小型会议提供非常有限的开放WiFi时,该怎么过滤?


11

执行摘要

基本问题是:如果您的WiFi带宽非常有限,只能为一两天的小型会议提供Internet,那么如何在路由器上设置过滤器,以避免一个或两个用户垄断所有可用带宽?

对于没有时间阅读以下详细信息的人们,我不会寻找以下任何答案:

  • 保护路由器,只允许一些信任的人使用它
  • 告诉每个人关闭未使用的服务,并通常自行治安
  • 使用嗅探器监控流量并根据需要添加过滤器

我知道所有这些。出于显而易见的原因,没有一种是合适的。

还请注意:这里已经有一个有关在大型(> 500名与会者)会议上提供足够的WiFi的问题。这个问题涉及少于200人的小型会议,通常少于使用WiFi的会议的一半。可以用一个家庭或小型办公室路由器处理的东西。

背景

过去,我曾使用3G / 4G路由器设备为小型会议提供WiFi,但取得了一些成功。狭义上,我指的是单室会议或按营地怀疑论者或用户小组会议的顺序召开的会议。这些会议有时在那儿有技术与会者,但不是唯一。通常,不到一半到三分之一的参与者会实际使用WiFi。我要说的最大会议规模是100到200人。

我通常使用Cradlepoint MBR-1000,但还有许多其他设备,尤其是3G和/或4G供应商提供的多合一设备,例如Verizon,Sprint和Clear。这些设备采用3G或4G Internet连接,并使用WiFi将其扇形散布到多个用户。

以这种方式提供网络访问的一个关键方面是3G / 4G上可用的带宽有限。即使使用Cradlepoint之类的东西可以平衡多个无线电的负载,您也只能实现几兆位的下载速度,也许只有几兆位的上传速度。那是最好的情况。通常,它要慢得多。

在大多数此类会议情况下的目标是允许人们访问诸如电子邮件,Web,社交媒体,聊天服务等服务。这样,他们就可以在会议进行过程中实时博客或实时发布会议记录,或者只是在线聊天或以其他方式保持联系(与会人员和非与会人员)。我想将路由器提供的服务限制为只能满足那些需求的服务。

问题

特别是,我注意到了几种情况,特定用户最终滥用路由器上的大部分带宽,从而损害了所有人。这些内容分为两个方面:

  • 有意使用。人们观看YouTube视频,将播客下载到他们的iPod,或者使用带宽来处理会议室中确实不合适的事情,在会议室中您应该注意发言人和/或进行交互。

    在一次我们通过UStream实时流式传输(通过单独的专用连接)的会议上,我注意到会议室中的几个人都打开了UStream页面,以便他们可以与会议聊天进行交互-显然他们是在浪费带宽流在他们面前发生的事情的后部视频。

  • 意外使用。有各种各样的软件实用程序会在后台广泛使用带宽,而人们经常可能在没有意识到的情况下将其安装在笔记本电脑和智能手机上。

    例子:

  • 对等下载程序,例如在后台运行的Bittorrent

  • 自动软件更新服务。这些都是大军,因为每个主要的软件供应商都有各自的公司,因此,Microsoft,Apple,Mozilla,Adobe,Google和其他公司都可以轻松地尝试在后台下载更新。

  • 下载新特征的安全软件,例如防病毒,反恶意软件等。

  • 备份软件和其他在后台“同步”到云服务的软件。

有关这些非Web,非电子邮件类型的服务占用了多少网络带宽的一些数字,请查看最近的Wired文章。显然,现在,网络,电子邮件和聊天加起来不到Internet流量的四分之一。如果该文章中的数字正确,那么通过过滤掉所有其他内容,我应该能够将WiFi的实用性提高四倍。

现在,在某些情况下,我已经能够使用路由器上的安全性来控制访问,以将其限制为一小群人(通常是会议的组织者)。但这并不总是合适的。在即将举行的会议上,我想在没有安全保护的情况下运行WiFi,并让任何人使用它,因为它发生在会议地点,我镇的4G覆盖范围特别出色。在最近的一次测试中,我在会议现场发现了10兆位的数据。

上面提到的“告诉人们自己治安”的解决方案是不合适的,因为(a)很大程度上是非技术受众,并且(b)如上所述许多用法的无意性质。

“根据需要运行嗅探器和筛选器”解决方案没有用,因为这些会议通常只持续几天,通常只有一天,并且只有很少的志愿者。我没有人专心致力于网络监控,到我们完全调整规则的时候,会议将结束。

我得到了什么

首先,我认为我将使用OpenDNS的域过滤规则来过滤出整个网站类别。使用此工具可以清除许多视频和对等站点。(是的,我知道通过DNS进行过滤在技术上使服务可以访问-请记住,这些人基本上都是参加2天会议的非技术用户。就足够了)。我以为我将从OpenDNS用户界面中的以下选择开始:

OpenDNS过滤器复选框

我认为我可能还会将DNS(端口53)阻止到路由器本身以外的任何其他位置,以使人们无法绕过我的DNS配置。精明的用户可以解决这个问题,因为我不会在防火墙上放置很多复杂的过滤器,但是我不太在意。由于这些会议不会持续很长时间,因此可能不值得为此烦恼。

如果该《连线》文章正确,则这应涵盖大部分非网络流量,即对等和视频。如果您认为OpenDNS方法存在严重限制,请告知。

我需要的

请注意,OpenDNS专注于在某些情况下或某些情况下“令人反感”的事物。视频,音乐,广播和点对点均已覆盖。我仍然需要讨论一些我们只想阻止的完全合理的事情,因为在会议中不需要它们。其中大多数是在后台上传或下载合法内容的实用程序。

具体来说,我想知道要过滤的端口号或DNS名称,以有效地禁用以下服务:

  • Microsoft自动更新
  • 苹果自动更新
  • Adobe自动更新
  • Google自动更新
  • 其他主要软件更新服务
  • 重大病毒/恶意软件/安全签名更新
  • 主要的后台备份服务
  • 其他在后台运行的服务会占用大量带宽

我也希望您提出其他建议。

抱歉,这么冗长,但是我发现在这种性质的问题上非常非常清楚非常有帮助,而且我已经对OpenDNS有了一半的解决方案。


+1(非常详细且详尽的问题)
Prix​​ 2010年

OpenDNS可以很好地阻止那些占用带宽的媒体站点;但是,您可能面临的问题是,任何最终用户都可以手动编辑其DNS设置。也就是说,除非您有一台支持IPTables命令的路由器(任何支持DD-WRT的路由器),否则可以“强制”它们使用指定的DNS设置。
emtunc

Answers:


3

对于初学者,请非常详细地说明您要允许的流量类型。使用默认的拒绝规则,然后允许使用80、443、993、587、143、110、995、465、25之类的端口(我个人不希望打开此端口,但如果不这样做,则可能会收到大量投诉) 。还允许UDP连接到OpenDNS服务器上的端口53。

这将为您提供一个良好的开端。它会杀死大多数带宽占用协议。它还会阻止许多VPN连接(尽管不是ssl vpns),这应该有助于防止人们绕过您的安全性。

如果您有能够阻止文件类型的防火墙,则可能还应该阻止exe,bin,com,bat,avi,mpeg,mp3,mpg,zip,bz2,gz,tgz,dll,rar,tar和许多其他文件我要出去了

除此之外,您当前的限制可能还不错。您可以将更新添加到列表中。就个人而言,我不会阻止A / V更新。如果确实需要,则可以阻止其整个域(* .symantec.com,*。mcafee.com,*。trendmicro.com等)。Microsoft更新URL可从http://technet.microsoft.com/zh-cn/library/bb693717.aspx获得。


2

使用OpenDNS不会阻止种子。

这只会阻止他们在线查找新种子并将其添加到队列中的能力。

如果他们在完成一半洪流的情况下走进来,然后通过WiFi连接到局域网,那么所有洪流将恢复并占用所有可用带宽。仔细阅读OpenDNS网站可以指出这一点。而且,如果您考虑DNS的工作原理,这很有道理。

阻止现有的种子文件非常困难。您最明智的做法是在收音机中将每个用户的最大连接数限制为60-100。iTunes和Torrent可以打开数千个。


1

首先,任何一个wifi路由器实际上仅能连接约60个左右,因此最糟糕的情况是“少于200人,使用wifi的人少于一半”(99个用户)可能仍至少需要一个路由器。

其次,您应该研究流量整形...理想情况下,您要为内部的每个IP提供相同的保证最小带宽,并让它们争夺额外的带宽...这样就不会有人拒之门外,但任何人仍然可以爆满容量。


0

我建议您看看您的路由器是否可以使用DD-WRT之类的自定义固件。有了它,您可以使用真正想要的QOS

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.