Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Informazioni Zeroshell

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
stestaz



Registrato: 31/03/08 15:59
Messaggi: 4

MessaggioInviato: Lun Mar 31, 2008 4:03 pm    Oggetto: Informazioni Zeroshell Rispondi citando

Ciao a tutti son venuto a conoscenza di questo progetto e volevo quindi avere un po di informazioni;
Vorrei innanzitutto sapere fino a quante connessioni simultanee questo software possa sopportare in quanto vorrei testarlo su una rete di medie dimensioni (con un centinaio di postazioni connesse)
Vorrei inoltre sapere se è possibile effettuare il nat 1 a 1 e per finire vorrei sapere se questo software da la possibilita di effettuare un blocco dei servizi p2p di file sharing

Grazie mille

Falzaresi Stefano
Top
Profilo Invia messaggio privato MSN
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Lun Mar 31, 2008 9:11 pm    Oggetto: Rispondi citando

Riguardo al numero di connessioni simultanee non so darti una stima. Comunque leggiti il post http://www.zeroshell.net/forum/viewtopic.php?p=2156
da cui riporto:
Citazione:

Uso Zeroshell da ormai 9 mesi in produzione presso il nostro Spazio Congressi -- www.cittadellascienza.it ---

Il massimo carico l'ho avuto in occasione della plone conference 2007

400 utenti in wifi con captive dns e dhcp su 50 Mbit ponte radio unina.

in 4 giorni hanno fatto 4GB di LOG !!!!

Non ha mai dato nessun segno di cedimento ed il gradimento è stato unanime.

All'epoca zeroshell era istallato su PC olidata PIII con 512 ram e 40 GB hd pata.

Ora è Virtuale su Server Fujitsu con vmware ESX 3.5

Una bomba !!!!


Comunque, sempre nel forum, potrai trovare anche esperienze meno entusiasmanti.

Per bloccare le connessioni peer to peer puoi tentare di usare i filtri L7 del firewall. Tali filtri individuano i protocolli a livello applicativo, ovvero guardando al contenuto dei pacchetti e non semplicemente alle porte tcp/udp del livello di trasporto. Tali filtri non sono comunque infallibili e si dimostrano invece molto piu' efficaci se utilizzati per classificare il traffico con il QoS. In tal caso, potrai assegnare al P2P una banda talmente bassa da scoraggiarne l'utilizzo.

Cosa intendi per NAT 1 a 1?
Ciao
Fulvio
Top
Profilo Invia messaggio privato
stestaz



Registrato: 31/03/08 15:59
Messaggi: 4

MessaggioInviato: Mar Apr 01, 2008 1:49 pm    Oggetto: Rispondi citando

Grazie mille per la risposta...
Allora ti espongo punto per punto tutto ciò di cui necessiterei facendoti un punto della situazione che andrei a gestire:

Tramite vari ponti radio in 5 Ghz fornisco connettività ad una serie di utenti (intorno ai 100/200) ed ognuno degli utenti ha un suo indirizzo ip 10.1.5.xxx quindi ogni utente è univocamente distinto da un suo indirizzo IP fisso; i punti che dovrei gestire sono i seguenti:
-limitare con il QoS la banda di ogni utente stabilendo una banda minima garantita e una upload/download massimi
-limitare il p2p (come gia mi hai indicato)
-dare ad ogni utente un indirizzo IP pubblico differente tramite regole di nat 1 a 1 (per intenderci ora tutti escono con un indirizzo IP uguale per tutti 89.xx.xx.5 io ho a disposizione 512 indirizi pubblici e quindi darei all'utente pinco pallino con IP privato 10.1.5.xx il suo ip pubblico 89.xx.xx.xx)

Penso che il software possa tranquillamente sopportare lo sforzo visto la testimonianza che mi hai postato e quindi sarei ansioso di fare un po di test, al momento ho provato Gate protect ma non mi convinceva la gestione del p2p poi ho provato Astaro e non andava male ed ora voorei testare il tuo software per passare poi a testare mikrotik e vedere quale sia il software migliore.

grazie mille per la disponibilità gradirei avere se possibile tuoi contatti di msn o skype in privato
Top
Profilo Invia messaggio privato MSN
pecchiotto



Registrato: 17/03/08 12:31
Messaggi: 27

MessaggioInviato: Mar Apr 01, 2008 2:04 pm    Oggetto: Rispondi citando

anche io vorrei intraprendere l'esperienza di wisp e sto valutando se utilizzare zeroshell. I primi test che ho fatto finora sono molto positivi.

x stestaz: anche io avevo pensato di assegnare ip pubblici ai clienti, che tipo di connessione ad internet hai a monte per offrire il servizio di connettività ai tuoi clienti?? a chi posso rivolgermi per ottenere ip pubblici da distribuire?

grazie mille!

appena faccio test più consistenti con ZS li posto nel forum...
Top
Profilo Invia messaggio privato
stestaz



Registrato: 31/03/08 15:59
Messaggi: 4

MessaggioInviato: Mar Apr 01, 2008 2:19 pm    Oggetto: Rispondi citando

Noi abbiamo una 100 Mb in upload e download con un pool di 512 indirizzi pubblici... diciamo che con l'esperienza fatta mettere in piedi un WISP non è cosa facilissima ed i test di "laboratorio" sono utili ma non affidartici troppo perche poi sul campo c'avrai da divertirti tra notti insonni ecc ecc
Top
Profilo Invia messaggio privato MSN
stestaz



Registrato: 31/03/08 15:59
Messaggi: 4

MessaggioInviato: Ven Apr 04, 2008 1:34 pm    Oggetto: Rispondi citando

Fulvio scrivo non avendo ancora ricevuto tua risposta in merito alle feature richieste...
Top
Profilo Invia messaggio privato MSN
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Ven Apr 04, 2008 7:23 pm    Oggetto: Rispondi citando

Al momento il NAT 1 a 1 di cui parli lo puoi fare intervenendo con delle opportune regole iptables sulla tabella di NAT da inserire nel file di startup /etc/rc.local. Ma toglimi una curiosità. Come mai assegni un IP privato ai client per poi rimapparli sul router con uno pubblico? non ti semplificheresti la vita assegnando direttamente IP pubblici ai tuoi client?

Saluti
Fulvio
Top
Profilo Invia messaggio privato
BigTrumpet



Registrato: 24/05/07 15:25
Messaggi: 155

MessaggioInviato: Ven Apr 04, 2008 9:18 pm    Oggetto: Rispondi citando

fulvio ha scritto:
Ma toglimi una curiosità. Come mai assegni un IP privato ai client per poi rimapparli sul router con uno pubblico? non ti semplificheresti la vita assegnando direttamente IP pubblici ai tuoi client?


Ciao Fulvio

anch'io utilizzo Zeroshell e configuro i NAT 1:1 usando iptables allo startup.
Nel mio caso sono costretto a fare così perchè voglio gestire questa situazione:

Supponi di avere 100 clienti, di cui 90 residenziali e 10 business.
L'esigenza è quella di avere i 90 residenziali nattati con un unico IP pubblico (nat masquerade) mentre i restanti 10 devono avere 10 IP pubblici distinti.

C'è modo di mappare su Zeroshell un nat masquerade per questi 90 e configurare una "modalità bridge" per i restanti 10 (dando cioè la possibilità di mappare l'ip pubblico direttamente sull'interfaccia interna)?

Grazie
Massimo
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Ven Apr 04, 2008 10:34 pm    Oggetto: Rispondi citando

Citazione:

C'è modo di mappare su Zeroshell un nat masquerade per questi 90 e configurare una "modalità bridge" per i restanti 10 (dando cioè la possibilità di mappare l'ip pubblico direttamente sull'interfaccia interna)?

Se hai questa situazione mista il NAT 1:1 è comprensibile, ma al momento, come tu stesso fai notare è attuabile solo tramite iptables nello script di startup. Altrimenti, puoi tentare la seguente soluzione (mai testata e se ci dovessi scommettere direi che non funziona):

- supposto ETH00 connessa al Router di connessione a Internet e ETH01 verso la LAN, crea il bridge BRIDGE00(ETH00,ETH01);

- assegna a BRIDGE00 due IP: uno appartenente alla subnet di IP pubblici, l'altro alla subnet di indirizzi privati;

- configura sul DHCP due subnet: una per assegnare IP dinamici sulla subnet privata e il cui default gateway sia l'IP privato assegnato al bridge e l'altra per IP pubblici vincolati al MAC il cui default gateway sia l'IP pubblico del router di accesso a Internet;

- metti BRIDGE00 in NAT (qui sono abbastanza sicuro, ma non certo, che verranno nattati solo gli IP privati, mentre quelli pubblici rimarranno tali e quali poiché vengono forwardati in layer 2);

Ho dato per scontato che gli IP privati e quelli pubblici li hai sullo stesso segmento di layer 2, ma se invece le interfacce di rete sono 3, quella a cui assegni gli IP privati, non va messa in bridge e su di essa va configurato l'IP privato invece che sul bridge.
Se ti va di provare questa configurazione, fammi sapere perché sono curioso.

Saluti
Fulvio
Top
Profilo Invia messaggio privato
BigTrumpet



Registrato: 24/05/07 15:25
Messaggi: 155

MessaggioInviato: Mer Apr 09, 2008 2:57 pm    Oggetto: Rispondi citando

fulvio ha scritto:
Se ti va di provare questa configurazione, fammi sapere perché sono curioso.


Ho provato (senza attivare DHCP) e sembra funzionare correttamente.
Effettivamente non avevo pensato di utilizzare un bridge in questo modo, grazie per il suggerimento.

Approfitto per un'altra domanda: supponiamo che voglia assegnare gli IP pubblici sulla rete interna (un unico segmento layer 2 su cui transitano ip privati nattati e ip pubblici) a specifici MAC ADDRESS.
Tu mi consigli di utilizzare DHCP, ma in questo modo un qualsiasi utente potrebbe assegnarlo staticamente bypassando DHCP.
Posso utilizzare le regole firewall per assegnare filtri che associno i MAC agli IP pubblici in questo modo?
MAC 01:02:03:04:05:06 - IP 1.2.3.4
MAC 01:02:03:04:05:07 - IP 1.2.3.5

Suppongo di sì. In questo caso devo utilizzare la INPUT chain? E' sufficiente impostare Interfaccia input = LAN, SOURCE IP = IP PUBBLICO, Source MAC = MAC UTENTE, ACTION = ACCEPT ?
Compilo una lista di regole come questa (una per ogni ip) e poi un'unica regola che fa un DROP di tutti gli ip della classe pubblica?


Ciao
Massimo
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Mer Apr 09, 2008 6:47 pm    Oggetto: Rispondi citando

Tutto giusto quello che dici, tranne il fatto che dovresti usare la chain di FORWARD che lavora sia in bridging che in routing. La chain di INPUT e' invece riservata ai processi locali di Zeroshell.

Saluti
Fulvio
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it