Re: packet shaper
Jens Benecke schrieb:
> Unser Firewall läuft momentan mit iptables inkl. transparentem Proxy
Huahua - das böse Wort: transparenter Proxy. Ich will gar nicht auf den
technischen Aspekt raus, das wäre für mich schon Gegenargument genug.
Dazu findest Du sicherlich ausreichend Pro/Contra im Netz.
Für mich ist es einfach eine Stilfrage. Ich finde es unangemessen die
Nutzer zu gängeln oder gar im Unklaren zu lassen. Wenn die Betriebs-
vorgaben einen Proxy erfordern, dann nutze ich auch die Funktion des
Redirects, allerdings nur um die Nutzer auf einen extra Intranet vhost
zu leiten, der als ErrorDocument die index.html ausliefert, die
erklärt, warum man einen Proxy benutzen muss, wie man dies einstellt,
usw. Guter DAU Mechanismus: die Leute wollen einfach in's Web und
bekommen erst mal die Betriebsbedingungen und Anleitungen auf den
Schirm.
> Unser momentaner Gateway (P-Pro 200 - der Vorgänger war ein 486DX-33
> :) hat IIRC momentan drei Netzwerkkarten. Er filtert mit iptables und
> macht Accounting (via net-acct und ein paar Perl-Skripten und einer
Hehe, ich kenne Leute, die meinen ein Gateway sollte möglichst
schwachbrüstig sein, um potentiellen Hackern kein zu leistungsfähiges
System zu bieten...
Ich habe da leider keine greifbaren Werte, aber jetzt noch ein paar
witzige Ideen, wie den Nutzern ein Webinterface an die Hand geben, mit
dem Sie Firewall-Regeln für ihre feste IP am Gateway definieren können.
Und fleissig conntrack verwenden, mtrg oder ähnliche CPU-Killer und es
wird sicher eng mit einem P200.
Die Methode eine alte Kiste für's Gate zu verwenden ist sehr
verbreitet. Ich unterstütze das, wenn der Gedanke dahinter steht, dass
ein bereits benutztes System, dass so schon einige Monate sauber lief
mit einem geringeren Ausfallrisiko behaftet ist, wie eine neues frisch
aus dem Karton. Ansonsten versuche ich das gleiche zu verwenden, wie
für Web- oder andere Dienste auch. Vereinfacht die Austauschbarkeit und
heutzutage kann in einigen Szenarios auch ein Gateway eine anständige
CPU-Power benötigen.
> über SSH getunnelten MySQL-Verbindung zum Hauptserver). Momentan geht
> da pro Monat ca 200-300GB Traffic drüber.
Ordentlicher Wert. Bei einer 2Mbit im Grunde schon Vollsättigung, wenn
sich das in den üblichen Gausschen Schwankungen über den Tag verteilt.
Hansenet freut sich sicher schon ;-)
> Server und das Gateway. An der anderen Seite des Gateways hängt eine
> Cisco (2500?), und daran hängt der SDSL-Splitter zur TUHH.
Wenn die Cisco eine eigene IP hat und sich von einem Client, der eine
IP im gleichen Netz hat, nicht direkt (sondern nur über das Gate)
ansprechen lässt, sollte alles im grünen Bereich sein. Na ja, dann
könnt Ihr ja Eurer RZ verblüffen, dass man mittlerweile für den Router
einer 2Mbit keine -zig tausend Taler ausgeben muss, sondern meistens
ein kleines harmloses Kästchen kostenlos gestellt bekommt. Sieht man
trotzdem noch häufig, teure Ciscos als reines Leitungsabschlussgerät
mit einem belanglosen statischen Routing - Hauptsache Markenlabel.
> Ich will den Leuten, die meinen es zu brauchen, eine Möglichkeit
> geben, ihren Traffic-Wahn auszuleben - und die, die es nicht
> interessiert, weil sie sowieso nur 10MB im Monat für drei EMails und
> etwas rumgesurfe brauchen, nicht weiter stören.
Absolut eine gute Idee, primär mal nur private IPs per DHCP zu
verteilen. Da können die User nicht viel falsch machen. Dabei wird am
Gate MASQUERADE in Richtung Hansenet und für bestimmte Dienste oder
Ziel-IP im Uninetz SNAT über die Uni-Linie gemacht. Nutzer, die
sich besser auskennen und die Vorteile einer festen IP haben möchten,
könnten sich diese dann gezielt holen. Sei's manuell oder über ein
selbstgebasteltes Webinterface.
--
rainer@ellinger.de
--
Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-request@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an listmaster@lists.debian.org (engl)
Reply to: