LINUX.ORG.RU
ФорумAdmin

Хочу дома расшарить откртую WiFi сесть


1

1

Собираюсь купить новый роутер, а старый открыть для свободного пользования. Но открытая сеть должна: а) быть ограничена по скорости б) выкидывать наглых пользователей (которые постоянно сидят)

Чем это лучше сделать. В «сервер» на стареньком селероне могу засунуть отдельную платку, через которую могу подключить этот роутер.

чем это делать? Я программист. а не админ.

Перемещено tazhate из development

★★★★

Последнее исправление: namezys (всего исправлений: 1)

б) выкидывать наглых пользователей (которые постоянно сидят)

Непонятно зачем такое. Типа надо на пять минуток, как в туалет, забежать и сразу выходить?

wbrer ★★★
()
Ответ на: комментарий от wbrer

Ну если человек сутки сидит и занимает весь выделенный канал - то вообще банить надо.

Чтоб на улице гуляли люди, проходили рядом и тд

namezys ★★★★
() автор топика
Ответ на: комментарий от namezys

Поставить прокси с кнопкой «подключить интернет» на главной странице, записывать время нажатия кнопки и отключать после таймаута.

Конкретных решений не знаю, но накодить вроде можно.

vurdalak ★★★★★
()
Ответ на: комментарий от vurdalak

проблема еще чтоб пнуть wifi точку

namezys ★★★★
() автор топика
Ответ на: комментарий от namezys

Ну если человек сутки сидит и занимает весь выделенный канал - то вообще банить надо.

Он будет просто менять по таймауту все, чем ты можешь его идентифицировать как «одного человека».

Deleted
()

Ограничивать по скорости - tc. Он тяжелый для осознавания, но есть облегчающие жизнь скрипты. Кейворды для гугла: linux traffic shaping.

Выкидывать наглых пользователей - это сложнее. Как их идентифицировать? По mac-адресу:количеству скачанных байт? mac-и же легко меняются. Есть разные captive portals, но это получится не совсем «открытая сеть»

Deleted
()
Ответ на: комментарий от Deleted

вполне хватит выкидывать, а при заходе выдавать страничку с надписью - вы бнаглели. Поэтому нажмите кнпку и подключитесь

namezys ★★★★
() автор топика

Я использую платку в «стареньком» Phenom x4, в котором крутятся hostapd + dnsmasq. Старенький Celeron, уверен, справится.

У меня сеть закрытая, но это вопрос конфигурации.

anonymous
()

squid прозрачный запили.

Eddy_Em ☆☆☆☆☆
()
Ответ на: комментарий от namezys

Заходе куда? При попытке открыть какой-то ресурс браузером? Ну, вот captive portals приблизительно так и работают. Перенаправляют определенных (неаутентифицированных, например) пользователей к себе и что-то им сообщают.

Но эти порталы рассчитаны на то что пользователям нельзя доверять и надо предъявить логин/пароль. Может есть какие-то с урезанным в этом месте функционалом, не видел.

То есть вариантов немного: или нарезать всем одинаковые полосы (ну, можно доверенным лицам полосу пошире) или как-то заставлять пользователей аутентифицироваться и уже после этого что-то с ними делать. Я бы выбрал первый вариант - и проще, и карме лучше

Deleted
()
Ответ на: комментарий от sdio

Я делал кучу открытых точек доступа за просто так, резал все, кроме 80 и 443. Вся фильтрация и логи шли через сквид, чтобы отмазаться, если что случится.

tazhate ★★★★★
()

Не надо выкидывать юзверей, пусть сидят.
Кури сквид.

tazhate ★★★★★
()
Ответ на: комментарий от sdio

Стоп, а в чём смысл халявной точки доступа без снифера? Предпочтительно с принудительным https>http редиректом для известных сайтов.

x3al ★★★★★
()
Ответ на: комментарий от Deleted

Мне не охото что-то блокировать. Но и как-то не хочется, чтоб люди пользовались для скачки чего либо, так как выделю я на это всего несколько мбит.

namezys ★★★★
() автор топика
Ответ на: комментарий от mv

Я хочу отдать кусочек своей свободы. Логично, что я отдам только часть.

namezys ★★★★
() автор топика

не городи огород, чтобы поиграть в бога пару дней, пока не надоест, а бери рутер с поддержкой гостевой сети и не отвлекай меня больше по пустякам

zolden ★★★★★
()
Ответ на: комментарий от namezys

у меня гостевые сети умел делать на заводской прошивке даже грошовый dir320 туеву хучу лет назад, так что не придумывай

zolden ★★★★★
()
Ответ на: комментарий от zolden

у меня роутер в режиме бриджа работает ASUS wl500 вроде зовется

namezys ★★★★
() автор топика

В своё время думал над этим, хотя в реальности не сделал. Есть такой генератор правил для iptables, называется fiaif. Легко настраивается, умеет шейпить трафик, по умолчанию имеет 3 зоны: internal, external, и этакую среднюю (demilitarized zone). То есть, можно сделать, чтобы из int было видно ext и dmz, а из dmz только ext. Эти зоны можно развесить по разным интерфейсам, есть шейпер трафика. Можно фильтровать порты.

Я считаю, это то, что ты ищешь.

UFO-man
()
Ответ на: комментарий от anonymous

Я использую платку

И что? Зачем сюда-то влез? Сообщить всем, что ты есть и у тебя «платка в „стареньком“ Phenom x4»?

Какие нонче анонимусы дебильные пошли.

To TC: squid

athost ★★★★★
()
Последнее исправление: athost (всего исправлений: 2)

Искренне не понимаю, зачем советуют сквид. То есть им можно шейпить, но это довольно странный способ использования. А, ну можно логи смотреть, но что в этом интересного?

Если вам хочется поделиться каким-то количеством интернета - делитесь. Шейпинг довольно гибко настраивается, можно отдать случайным пользователям каую-то небольшую полосу, пусть они между собой ее делят пропорционально.

Применять репрессии к пользователям которые «постоянно сидят» сложно, это легко обходится, как уже написали, да и нужно ли?

Deleted
()
Ответ на: комментарий от Deleted

Мне кажется, что постоянно будут сидеть те, кто не умеют обходить это

namezys ★★★★
() автор топика

Обязательно иметь учет всех «гостей», всех посещаемых ими сайтов и прочих TCP-соединений.

Deleted
()
Ответ на: комментарий от ololoid

А captive portal из pfsense умеет то что ТС нужно? Это же какой-то не очень традиционный способ раздавать интернет открытой точкой?

2 namezys :

Подозреваю, что так вообще никто не умеет, но если уж так сильно хочется и есть на это время, можно, гм, напрограммировать.

Непонятно, издеваетесь ли вы над нами или не хотите гуглить, но на всякий случай напишу что приблизительно для этого нужно: hostapd для того чтоб собственно сделать точку доступа, tc (набор правил для шейпинга), iptables и какой-то скрипт для издевательств над пользователями.

В этом скрипте можно парсить что-то типа выхлопа iw (по крону, например). Если показалось что пользователь засиделся, то нужно iptables-ом заблокировать (или снизить скорость) весь трафик этого пользователя кроме запросов на 80 и 443 порт. Их перенаправлять к себе на веб-сервер, там показывать предупреждение и кнопку разблокировки. По кнопке возвращать правила iptables для этого пользователя в исходное состояние

Deleted
()

Кстати, подозреваю, что для наказания невиновных можно использовать fail2ban, так как это, по сути, парсилка логов и запускалка программ в случае, если в логах слишком много определенных строчек.

UFO-man
()

по дефолту редирект всех протоколов на страничку с вводом капчи и правилами пользования -> по ip получаем с ap mac и ложим в таблицу c таймстампом времени прохождения проверки капчей -> снимаем для этого мака редирект -> с дискретностью N минут проверяем открытые сессии и вновь ставим редирект на нашу страничку -> ????? -> PROFIT!!!11

exception13 ★★★★★
()
Ответ на: комментарий от namezys

Да ладно?

namezys (22.10.2012 20:38:56)

когда с твоего канала похачат кого нить или например вальнут добротное ЦП то попробуй потом органам докажи что ты не верблюд.

алсо позаботься о полной изоляции этой твоей открытой сети от домашней.

exception13 ★★★★★
()
Ответ на: комментарий от exception13

Ну изоляция понятна. Могу вообще отдельный ip для нее сделать.

namezys ★★★★
() автор топика
Ответ на: комментарий от Deleted

Там можно просто прозрачный прокси включить и ограничить общую скорость. Ну и максимальную допустимую скорость для отдельного клиента задать.

ololoid ★★★★
()
Ответ на: комментарий от namezys

Когда я работал по этой части, оветы на подобные запросы правоохранительных органов были вполне рутинной частью моей работы. В этих запросах иногда было много конкретики - имя, фамилия, суть уголовного дела и т.д. Так что послушайте моего совета :)

Deleted
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.