[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: packet shaper

Jens Benecke schrieb:
> Unser Firewall läuft momentan mit iptables inkl. transparentem Proxy

Huahua - das böse Wort: transparenter Proxy. Ich will gar nicht auf den 
technischen Aspekt raus, das wäre für mich schon Gegenargument genug. 
Dazu findest Du sicherlich ausreichend Pro/Contra im Netz.

Für mich ist es einfach eine Stilfrage. Ich finde es unangemessen die 
Nutzer zu gängeln oder gar im Unklaren zu lassen. Wenn die Betriebs-
vorgaben einen Proxy erfordern, dann nutze ich auch die Funktion des 
Redirects, allerdings nur um die Nutzer auf einen extra Intranet vhost 
zu leiten, der als ErrorDocument die index.html ausliefert, die 
erklärt, warum man einen Proxy benutzen muss, wie man dies einstellt, 
usw. Guter DAU Mechanismus: die Leute wollen einfach in's Web und 
bekommen erst mal die Betriebsbedingungen und Anleitungen auf den 
Schirm. 

> Unser momentaner Gateway (P-Pro 200 - der Vorgänger war ein 486DX-33
> :) hat IIRC momentan drei Netzwerkkarten. Er filtert mit iptables und
> macht Accounting (via net-acct und ein paar Perl-Skripten und einer

Hehe, ich kenne Leute, die meinen ein Gateway sollte möglichst 
schwachbrüstig sein, um potentiellen Hackern kein zu leistungsfähiges 
System zu bieten...

Ich habe da leider keine greifbaren Werte, aber jetzt noch ein paar 
witzige Ideen, wie den Nutzern ein Webinterface an die Hand geben, mit 
dem Sie Firewall-Regeln für ihre feste IP am Gateway definieren können. 
Und fleissig conntrack verwenden, mtrg oder ähnliche CPU-Killer und es 
wird sicher eng mit einem P200.

Die Methode eine alte Kiste für's Gate zu verwenden ist sehr 
verbreitet. Ich unterstütze das, wenn der Gedanke dahinter steht, dass 
ein bereits benutztes System, dass so schon einige Monate sauber lief 
mit einem geringeren Ausfallrisiko behaftet ist, wie eine neues frisch 
aus dem Karton. Ansonsten versuche ich das gleiche zu verwenden, wie 
für Web- oder andere Dienste auch. Vereinfacht die Austauschbarkeit und 
heutzutage kann in einigen Szenarios auch ein Gateway eine anständige 
CPU-Power benötigen.

> über SSH getunnelten MySQL-Verbindung zum Hauptserver). Momentan geht
> da pro Monat ca 200-300GB Traffic drüber.

Ordentlicher Wert. Bei einer 2Mbit im Grunde schon Vollsättigung, wenn 
sich das in den üblichen Gausschen Schwankungen über den Tag verteilt. 
Hansenet freut sich sicher schon ;-)

> Server und das Gateway. An der anderen Seite des Gateways hängt eine
> Cisco (2500?), und daran hängt der SDSL-Splitter zur TUHH.

Wenn die Cisco eine eigene IP hat und sich von einem Client, der eine 
IP im gleichen Netz hat, nicht direkt (sondern nur über das Gate) 
ansprechen lässt, sollte alles im grünen Bereich sein. Na ja, dann 
könnt Ihr ja Eurer RZ verblüffen, dass man mittlerweile für den Router 
einer 2Mbit keine -zig tausend Taler ausgeben muss, sondern meistens 
ein kleines harmloses Kästchen kostenlos gestellt bekommt. Sieht man 
trotzdem noch häufig, teure Ciscos als reines Leitungsabschlussgerät 
mit einem belanglosen statischen Routing - Hauptsache Markenlabel.

> Ich will den Leuten, die meinen es zu brauchen, eine Möglichkeit
> geben, ihren Traffic-Wahn auszuleben - und die, die es nicht
> interessiert, weil sie sowieso nur 10MB im Monat für drei EMails und
> etwas rumgesurfe brauchen, nicht weiter stören.

Absolut eine gute Idee, primär mal nur private IPs per DHCP zu 
verteilen. Da können die User nicht viel falsch machen. Dabei wird am 
Gate MASQUERADE in Richtung Hansenet und für bestimmte Dienste oder 
Ziel-IP im Uninetz SNAT über die Uni-Linie gemacht. Nutzer, die 
sich besser auskennen und die Vorteile einer festen IP haben möchten, 
könnten sich diese dann gezielt holen. Sei's manuell oder über ein 
selbstgebasteltes Webinterface. 

-- 
rainer@ellinger.de


--
Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-request@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an listmaster@lists.debian.org (engl)
Reply to: