ограничение соединений



  • Здравствуйте

    подскажите как правильно ограничить количество сессий, соединений для определенных IP (что бы пользователи не открывали много вкладок в браузере).

    экспериментировал с  rules - Advanced Options- Maximum number of established connections per host, Maximum new connections / per second(s)

    в Source - network + ip или алиас
    Maximum number of established connections per host ставил 10-40
    но не работает или инет вообще отрубается, какие значения ставить?

    спасибо.



  • @randreevich:

    что бы пользователи не открывали много вкладок в браузере

    Серьезно? Только бить линейкой по пальцам… Но Вас быстро возненавидят!

    http://ru.wikipedia.org/wiki/TCP (особенно обратить внимание на Состояния сеанса TCP)



  • основная задача = обрубить халявчиков в офисе за НАТ. Кроме административных мер.
    как использовать TTL? Где его менять для определенного лан/влан? pf 2.1



  • @randreevich:

    Где его менять для определенного лан/влан? pf 2.1

    http://forum.pfsense.org/index.php/topic,65150.msg354380.html#msg354380



  • @randreevich:

    основная задача = обрубить халявчиков в офисе за НАТ. Кроме административных мер.
    как использовать TTL? Где его менять для определенного лан/влан? pf 2.1

    Только анализом пакетов и отрубанием рук.
    По другому - никак.
    ttl можно самому задавать как душе угодно.



  • или комплексом мер:
    -прозрачный прокси (если нужен именно нат без прокси) с драконовскими правилами для халявщиков (скорость маленькая\ограничение размера файла и тд)
    -закрытие части портов - к примеру почти всех удп портов - их торренты любят…
    -ограниение скорости на бОльшую часть портов
    и тд.
    все зависит от ситуации



  • @alexandrnew:

    или комплексом мер:
    -прозрачный прокси (если нужен именно нат без прокси) с драконовскими правилами для халявщиков (скорость маленькая\ограничение размера файла и тд)
    -закрытие части портов - к примеру почти всех удп портов - их торренты любят…
    -ограниение скорости на бОльшую часть портов
    и тд.
    все зависит от ситуации

    скорость почти не ограничивал, порты закрыты, но пришлось открыть на некоторые игры и диапазон фтп.

    больше наверное подходит ТТЛ (как один из вариантов), не каждый додумается или знает как вручную увеличить. Хочется что бы пакеты умирали именно на первом компе или роутере.

    рубить руки и головы можно (нет желания устраивать разборки и др.), но хочу именно техническими средствами.
    жаль коммутаторы не видят маки за нат - это наверное все решило бы.

    еще вопрос: как указать ттл именно на определенном интерфейсе, а не all?



  • @alexandrnew:

    или комплексом мер:

    Не помогут, не верите? Проверьте.

    @randreevich:

    больше наверное подходит ТТЛ (как один из вариантов), не каждый додумается или знает как вручную увеличить. Хочется что бы пакеты умирали именно на первом компе или роутере.
    но хочу именно техническими средствами. жаль коммутаторы не видят маки за нат - это наверное все решило бы.

    еще вопрос: как указать ттл именно на определенном интерфейсе, а не all?

    Додумаются, вы слишком не до оцениваете пользователей.
    К тому же вопрос гуглиться с 1 раза.



  • @Rezor666:

    Не помогут, не верите? Проверьте.

    Проверено и не раз - перечисленное - это основное, что делается…
    как правило список- может быть раза в три больше.  Опыт позволяет.
    Холивар на тему устраивать не хочу. Все смотрится по ситуации.



  • @alexandrnew:

    @Rezor666:

    Не помогут, не верите? Проверьте.

    Проверено и не раз - перечисленное - это основное, что делается…
    как правило список- может быть раза в три больше.  Опыт позволяет.
    Холивар на тему устраивать не хочу. Все смотрится по ситуации.

    Ну что за детский сад?
    Хоть бы одно обоснование привели.

    Начнем с того что задача стоит ограничения количества соединений за NAT.
    Тут всего 2 варианта:
    1- ttl, но он крайне не эффективен
    2- анализ пакетов, например на Sequence Number (но это тяжко)

    А вот что предлагаете Вы:
    Порезать все и запретить все и этим самым усложнить жизнь себе и людям.
    И стоит отметить что если под машинами за NATом имеется ввиду виртуальные машины то тут еще можно их перекрыть с помощью SRP.
    Если же компьютер не в домене или используется роутер то вообще никак.



  • Ставьте нормально задачу- запретить открывать много вкладок- это не задача.
    Я могу открыть на 3г. -20 вкладок с текстами или 5 с графикой. Попробуйте на gprs оркрыть 30 вкладок..
    А как раз игры с ттл - создадут проблем больше.
    Вариантов решений - может быть много. Надо больше подробностей



  • @alexandrnew:

    Ставьте нормально задачу- запретить открывать много вкладок- это не задача.
    Я могу открыть на 3г. -20 вкладок с текстами или 5 с графикой. Попробуйте на gprs оркрыть 30 вкладок..
    А как раз игры с ттл - создадут проблем больше.
    Вариантов решений - может быть много. Надо больше подробностей

    Повторюсь = задача зарубить компы за НАТ, т.е. сотруднику раздается прозрачный интернет, он ставит вторую сетевуху и погнали…....
    "запретить открывать много вкладок" - предполагалось как одно из решений.
    Компьютеры не в домене, открыты порты для некоторых игр, фтп. Какие еще подробности? Предоставлю все.

    Давайте варианты, с сеткой могу делать все - полный доступ.



  • @alexandrnew:

    Ставьте нормально задачу- запретить открывать много вкладок- это не задача.
    Я могу открыть на 3г. -20 вкладок с текстами или 5 с графикой. Попробуйте на gprs оркрыть 30 вкладок..
    А как раз игры с ттл - создадут проблем больше.
    Вариантов решений - может быть много. Надо больше подробностей

    А в таком случае вариант всего 1 и я уже замучился его повторять.
    Берите wireshark и анализируйте пакеты.



  • @randreevich:

    задача зарубить компы за НАТ, т.е. сотруднику раздается прозрачный интернет, он ставит вторую сетевуху и погнали…....

    Что подразумевается под "зарубить компы за НАТ" ?
    Зачем сотруднику ставить "вторую сетевуху"?

    Достаточно достаточно одного правила в файерволе, а точнее отсутствие каких-либо правил и ни один комп не увидит инета даже с 10-ю сетевухами, только если не подключится к инету альтернативным способом. Кароче говоря firewall, squid (proxy), squidguard, limeter, shaper вам в помощь, а TTL оставьте в покое…



  • Повторюсь = задача зарубить компы за НАТ, т.е. сотруднику раздается прозрачный интернет, он ставит вторую сетевуху и погнали…....

    Ничего себе у вас права у пол-ей?!

    Оклеиваем корпус со всех сторон, отключаем ЮСБ физически и\или политиками на компьютере (чтобы свисток-сетевую не воткнули), отбираем права.



  • impulse,  werter, Вам лишь бы выделиться в теме?
    Я думаю что если бы Ваши варианты были возможны, автор давно бы их использовал.
    А судя по его постам он просто не имеет сам на это прав и соответственно ищет пути решения данной проблемы, не затрагивая при этом самих пользователей сети.
    Такое кстати встречается у некоторых мелких провайдеров, по этому не исключено что он таковым и является.



  • Ув. Rezor666

    О каком "выделение" идет речь , если у человека в конторе (где он одмин, не ?) пользователь имеет такие права ? На всех местах работы , где работаю\работал я,
    это решалось оч . быстро - как минимум (и это в корне правильно, я считаю) урезанием прав . Как максимум, если попадались особо "умные" - докладной начальству.
    После этого - снимало как рукой  8)

    Если кто-то оставляет\раздает права Администратора на локальных машинах - это проблема администратора.



  • Ув. werter
    Где Вы вообще видели хоть слово что это организация?
    Я вот не видел.
    Конечно, если это компания то можно придумать тысячу способов как запретить юзерам хозяйничать.



  • @Rezor666:

    Где Вы вообще видели хоть слово что это организация?
    Я вот не видел.

    @randreevich:

    основная задача = обрубить халявчиков в офисе за НАТ.

    @randreevich:

    т.е. сотруднику раздается прозрачный интернет, он ставит вторую сетевуху и погнали…



  • @Rezor666:

    Ув. werter
    Где Вы вообще видели хоть слово что это организация?
    Я вот не видел.

    Повторюсь = задача зарубить компы за НАТ, т.е. сотруднику раздается прозрачный интернет, он ставит вторую сетевуху и погнали…....
    "запретить открывать много вкладок" - предполагалось как одно из решений.
    Компьютеры не в домене, открыты порты для некоторых игр, фтп. Какие еще подробности? Предоставлю все.

    Так читайте внимательнее, что пишет ТС.
    Сотрудник - это точно не домашний работник, не?  Далее, Вы часто пользователям разрешаете он-лайн игры на работе? А тем более - установку нового оборудования\комплектующих самостоятельно? Я - ни разу и всегда настаиваю на подробном перечне что и кому можно, а главное - нужно. Игры, вконтактики, одноглазники - сразу нет.

    И такая политика не подводила ни разу. А вот обратное положение вещей и к чему это приводит - примеров даже из моей практики полно.



  • Вы правы.
    Приношу извинения за невнимательность.
    В таком случае скорее всего автор является администратором не только своей сети, но и других организаций, по крайней мере отвечает за работоспособность их сети.
    В противном случае я полностью солидарен с остальными ответами в теме.
    Насчет разрешения всего и вся, полностью зависит от администратора и от компании.
    Не вижу смысла нечего запрещать если начальству это не нужно.



  • Господа, ну и балаган Вы устроили.
    да, организация конечно специфическая, начальству это не нужно, а может и нужно, офис, провайдер  и тд. и т.п. бл* - какая разница?
    Вопрос стоял КАК и КАКИМ СПОСОБОМ?….. Эт понятно = завести всех в домен, лишить прав, опломбировать системники, отрубить руки по самую шею, лишить кого то премии, уволить и др. Важно найти техническое решение, если его нет, то закончим.
    В других местах (офисах) эт конечно решается "легким движением руки".
    ДА, у них можно играть в игры, но не всем.
    :))))))

    коллеги, давайте по существу.
    Для начала все таки попробую ограничить кол-во тсп.

    Спасибо всем, кто проникся.


Log in to reply