Запретить NAT

SvS · March 30, 2009

Вот думаем тут над этим вопросом и мнения разделились. Интересно, а что народ думает - возможно ли вообще?

Цель - запретить абоненту установку роутеров и (по возможности) прокси-серверов. Подчёркиваю - именно запретить (а не отследить) технически (а не административно). Т.е если включаешь комп - все прекрасно работает без ограничений, меняешь на роутер - видишь фигу по полной программе. Сеть с фиксированной серой адресацией, авторизация по MAC на главном маршрутизаторе, VLAN на абонента. Кол-во коннектов резать не хочется (да и не панацея это, только западло качальщикам), тарифы - анлимы 2-9 мбит/с + огромная локалка без ограничений.

Где-то тут (или не тут?) видел тему, где пров в кач-ве такого решения даёт абоненту пакеты с TTL=1 - насколько это легко обойти? Какие еще есть варианты?

P.S Просьба воздержаться от обсуждения морально-этического и правового аспекта этого желания - вопрос чисто технический, остальное утрясём сами. Мы не запрещаем NAT в своей сети (и сами же продаём роутеры), но очень хотим запретить его в некотрых домах (это будет оговорено в Договоре). Ибо, как показывает практика - в случае невозможности осуществить задуманное эти общаги лучше вообще не подключать - себе дороже получается (есть печальный опыт)

Monstreek · March 30, 2009

Ну любым линуксовым маршрутизатором и иптаблесом поменяют пользователи ттл на побольше и дальше будет все работать. От прокси не поможет, как как трафик и так программы назначения достигнет.

Да и пользователям неудобно будет подключатся по несколько раз, если дома несколько компьютеров, какие нибудь медиа приставки и так далее, если есть конкурент уйдут к нему и не будут заморачиватся с тем что писал выше.

Edited March 30, 2009 by Monstreek

bdmalex · March 30, 2009

IMHO, запрет роутера для пользователя -> это собственная могила провайдера( ну естественно за исключением случаев монополизма...)...

littlesavage · March 30, 2009

Использовать какую-нибудь аутентификацию, которую роутеры еще толком не умеют.

Напирмер, 802.1x, или l2tp с EAP-TLS

TTL=1 обходится. Как и, впрочем, все остальное.

Telesis · March 30, 2009

гы, а если у меня дома 2компа и 1бук..

t0ly · March 30, 2009

гы, а если у меня дома 2компа и 1бук..

3 акка с разными ip с общим счётом

st_re · March 30, 2009

Вот думаем тут над этим вопросом и мнения разделились. Интересно, а что народ думает - возможно ли вообще?

А нужно ?

т.е. мне с ноутбуком в туалет приспичит, теперь за собой еще и провод тянуть ? И пользоваться интернетом я могу и в комнате и на кухне. Мне по кавртире провода в стенку вделывать или так, по полу раcкидать? ну стоит у меня там нат на точке доступа. но я то пользую 1 (один) компьютер. Что я делаю не так?

sdy_moscow · March 30, 2009

может лучше боротся с теми кто реально - шарит доступ...

ну не может человек 20 часов кряду открывать по 2-3 страницы в минуту....

отслеживать активностиь на 80-м порту например, собирать статистику а потом отключать абонента.

После этого он задумается что ему дороже - шарить интернет на весь дом или доступ в инет.

З.Ы. мы с этим перестали бороться - качество услуги решает всё! В итоге мелкие сеточки сами по себе разваливаются.

Edited March 30, 2009 by sdy_moscow

mousus · March 30, 2009

и что же за печальный опыт с общагами?

имхо чем заморачиваться на такую ерунду, лучше качество сервиса повышать, вы не первый кого такая бредовая идея посещает ---- это уже такая болезнь, вот у юзера дома если есть ноут, сотовый с вайфаем, его рабочий комп и комп ребёнка, да еще и сонька пс3, которая тоже в инет лазить умеет, и что вы дожны этому юзеру сказать? а? выкинь роутер, заключи с нами 10 договоров на каждую железку, вот тебе 10 проводов в квартиру...

боюсь если у этого юзера с баблом и здравым смысло всё в порядке и силушкой бог не обидел, то можно зубов потом не досчитаться, юзери разные бывают...

Edited March 30, 2009 by mousus

t0ly · March 30, 2009

было время когда 50баксовых роутеров небыло и компания в котороя я работала легко за 0.5уе в месяц давала клиенту +1 адресс и ниукого с этим никогда небыло проблем, даже компьютерный клуб был в сетке с 16-ю адрессами.

mousus · March 30, 2009

ага, а сейчас отдельные товарищи не то что за 0.5уе еще один адрес, а элементарно статический ипешник за 100 рэ в месяц толкают, про выделение сетки даже на 4 адреса я вообще молчу, но что то подсказывает что честь наших провов в побеге за длинным рублём на голову заболели

Edited March 30, 2009 by mousus

ugluck · March 30, 2009

если клиент шарит доступ, то с суб-клиентами имеет гемор самостоятельно, что на руку провайдеру. обсуждалось тут лет несколько назад. тогда мнения разделились. мое ИМХО - прову выгоднее иметь 50 жырных клиентов чем 500 мелких.

terrible · March 30, 2009

а мы всячески способствуем абонентам ставить роутеры, выкладываем мануалы, консультируем, сами закумаем, тестируем, составляем списки рекомендованных моделей и прошивок, и т.п.

абонент доволен, а когда он доволен - он платит деньги, причём сам осознаёт, что не зря

шаринг рубится через ACL

несколько IP адресов на учётку не вешаем, а вот несколько учеток на IP - милое дело )

SvS · March 30, 2009

Я же просил воздержаться от демагогии по поводу нужности или ненужности этого! Мы тоже не вчера родились.

А про "повышения кач-ва сервиса", "сортир с нотбуком", медиаприставки, кучу ноутбуков и пр. и пр. скажу сказу и всем (кто невнимательно прочитал первый пост) - это ОБЩАГА. Для тех, кто не понял - О Б Щ А Г А. Или местные демагоги не в курсе, чем она отличается от обычной квартиры? Там нет медиаприставок, 3-х ноутов + 1 комп у каждого и сортиров, где можно зависнуть с буком. Зато там есть всякие умники, которые не хотят ни за что платить, но все очень хотят пользовать. И даже 400р за 4 мбит/с норовят поделить на десятерых, что осуществить в условиях общаги много проще, чем в приличном доме, где живут приличные люди. Мы не ограничиваем NAT в своей сети, но в этих общагах очень хочется.

Там сейчас нет никого из провов (кроме ADSL от местных телефонистов) и никого не будет, ибо никто не хочет влазить в это (конкуренты обошли эти дома). И мы не полезем, если не найдём решения. Ибо вбить несколько десятков тыр на подключение дома, подключить бесплатно 3-5 абонентов на анлимы и иметь 1500-2000 р в месяц за трафик как с хорошего бизнес-центра + кучу срани в виде вирусов и прочего нам как-то не хочется.

и что же за печальный опыт с общагами?

Подключаешь абонента. Проходит месяц - начинает гадить в сеть (явно видно по tcpdump) - отключаешь. Он звонит - объясняшь что и как. Он клянётся и божится, что у него всё хорошо. Приходит к нему техник - включаем - все хорошо. Как уходишь - всё начинается по кругу... А десяток витух, входящий к нему в команату и коммутатор под кроватью - это их своя отдельная сеть для игры в КС с друзьями и к нам она отношения не имеет! В общем, обрезали мы эту общагу совсем и оборудование сняли - на з/п ходоков больше уходило, чем абонплата с них... А в КС можно и без инета поиграть ;)

И хватит об этом, плиз. Нечего сказать по теме - лучше "промолчи - за умного сойдёщь" (q)

sirmax · March 30, 2009

SvS

сделайте там ОДНО включение, и разговаривайте ТОЛЬКО со старшим их сети. И предложите ему бизнес=цены. Пусть коммендант строит своих.

Собствено, технического решения проблемы не существует.

woddy · March 30, 2009

имхо безлимиты с порогом трафика. "при превышении 40гб в месяц, компания имеет право зарезать до 64к".

смотрим превышение раз в день. если есть превышение и число сессий на login.icq.com больше 2 (+еще есть ряд критериев) - то режем до 64к. иначе считаем что это обычный пользователь.

mousus · March 30, 2009

sirmax, +1

не надо пытаться решать организационно-административные вопросы програмными методами

Monstreek · March 30, 2009

woddy Как только не извратят название безлимитный интернет. Под этим словом многие провайдеры пытаются скрыть хитрые не безлимитные тарифы с различными ограничениями. тфу-тфу, хорошо что в моем городе провайдеры не опустились до такого.

ksm · March 30, 2009

NAT запретить трудно...

А насчет общаг - есть такой положительный опыт:

там вводятся спецтарифы, которые:

а) дешевле, чем для обычных физиков

б) предлагаются только невысокие скорости

По факту получается что, кто хочет - все равно шарит, но из-за низких скоростей это некомфортно, но тем не менее кол-во подключений получалось выше, чем в обычном жилом доме с аналогичным кол-вом проживающих.

Edited March 30, 2009 by ksm

SvS · March 31, 2009

имхо безлимиты с порогом трафика. "при превышении 40гб в месяц, компания имеет право зарезать до 64к".
смотрим превышение раз в день. если есть превышение и число сессий на login.icq.com больше 2 (+еще есть ряд критериев) - то режем до 64к. иначе считаем что это обычный пользователь.

Да, мы тоже примерно к тому и склоняемся. Всё-таки жаль, что технологии настолько несовершенны для реализации всех хотелок :(

А про критерии - может, обсудим? Я слышал про некотрые, но там, как правило, много тупой рутинной работы :( Как бы это автоматизировать - т.е один раз настроил и потом просто сообщения получать о выявлении очередного "коммерсанта"...

там вводятся спецтарифы, которые:
а) дешевле, чем для обычных физиков

б) предлагаются только невысокие скорости

а) Куда еще дешевле-то?! Самим что ли им платить за подключение и обслживание?

б) А смысл им тогда? Даже мегабит уже есть резон шарить на 3-5 чел., а скорости типа 128-256 уже никому неинтересны сегодня вообще

woddy · March 31, 2009

А про критерии - может, обсудим? Я слышал про некотрые, но там, как правило, много тупой рутинной работы :( Как бы это автоматизировать - т.е один раз настроил и потом просто сообщения получать о выявлении очередного "коммерсанта"...

надо ли автоматизировать? берем популярные ресурсы

1) аська

2) вконтакт

3) торрентс.ру

4) внутресетевой п2п

5) внутресетевой форум

6) популярные региональные сайты

7) онлайн радио

смотрим посещаемость каждого из них (число уникальных пользователей одновременно). для этого как правило нужен анализ трафика а 7 уровне. ваша сеть это позволит? если смотреть только тех кто превысил "условные 40гб" то можно и вручную следить.

так же как показывает опыт в подобных "локалках" заводятся вирусы чаще обычного и автоматика их блочит (спам по 25 порту). по звонку "мамой клянусь, вылечился" - разблокировка. вскоре автоматика блокирует обратно. а лечиться они могут долго ;) в результате те кому нужен стабильный инет - переползают сами.

еще вариант - следить по TTL. (обходится легко, но если не блочить за это автоматически, а "по совокупности критериев", большинство не догадаются)

gfsergey · March 31, 2009

SvS не буду оригинальничать.

Отследить и написать правила на фаервол в принципе не проблема, но подход к реализации в принципе не верный, вы пытаетесь бороться с самопальными лан-ами, а не проще предложить вам сами услугу общаковского лан + запрет альтернативных сетестроителей при содействии коменданта общаги.

Делаете нормальную СКС по 2-4 rj-45 на комнату, и берите по 100р. в мес. за дырку + сопутствующие услуги.

mikevlz · March 31, 2009

имхо безлимиты с порогом трафика. "при превышении 40гб в месяц, компания имеет право зарезать до 64к".
смотрим превышение раз в день. если есть превышение и число сессий на login.icq.com больше 2 (+еще есть ряд критериев) - то режем до 64к. иначе считаем что это обычный пользователь.

Да, мы тоже примерно к тому и склоняемся. Всё-таки жаль, что технологии настолько несовершенны для реализации всех хотелок :(

А про критерии - может, обсудим? Я слышал про некотрые, но там, как правило, много тупой рутинной работы :( Как бы это автоматизировать - т.е один раз настроил и потом просто сообщения получать о выявлении очередного "коммерсанта"...

там вводятся спецтарифы, которые:
а) дешевле, чем для обычных физиков

б) предлагаются только невысокие скорости

а) Куда еще дешевле-то?! Самим что ли им платить за подключение и обслживание?
б) А смысл им тогда? Даже мегабит уже есть резон шарить на 3-5 чел., а скорости типа 128-256 уже никому неинтересны сегодня вообще

Там других нет? Вот и ставьте дешевый 256к. Одному хватит со скрипом, на троих уже невозможно. либо просто не идите.

Вас в принципе могут понудить заключить договор. Точнее попытаться в судебном порядке, тогда доставайте грязные носки и отмахивайтесь ими, доказывая отсутствие технической возможности.

UglyAdmin · March 31, 2009

Делаете нормальную СКС по 2-4 rj-45 на комнату, и берите по 100р. в мес. за дырку + сопутствующие услуги.

Не, не поможет.

У нас политеховская общага снаружи вся оплетена витухой в несколько слоёв "из окна в окно". Полное впечатление что сеть полносвязная, дважды-трижды резервированная... Даже фотка в "ужастикаж" пролетала. :)

aelfwine · March 31, 2009

В студенчество жил в общаге, где в сети было порядка 200 компьютеров и не было интернета. Позже интернет появился, причем по существующей сети, но он не был безлимитным - трафик был довольно дешевый, но всё таки это была оплата по трафику. И это всех устраивало - провайдер не заморачивался с подключением каждого абонента, никто не расшаривал ибо оплата по трафику, а фильмы и так в сети были в достатке. Одно но - сеть была построена на энтузиазме (лапша-паутина по балконам), но потом приведена в нормальный вид за счет ВУЗа (кабель-каналы, розетки в комнате) и оплата труда наших местных админов мне не известна (и была ли она вообще)

Sign In

Запретить NAT

Recommended Posts

SvS

Monstreek

bdmalex

littlesavage

Telesis

t0ly

st_re

sdy_moscow

mousus

t0ly

mousus

ugluck

terrible

SvS

sirmax

woddy

mousus

Monstreek

ksm

SvS

woddy

gfsergey

mikevlz

UglyAdmin

aelfwine

Join the conversation