obmedzenie http downloaderov

Petr Macek pm-conf at kostax.cz
Wed May 17 12:17:28 CEST 2006


> 	Taky uz jsem tu nekolikrat nabizel "scitadlo", ktere data prebira z 
> divert socketu (smeruji se tam pomoci ipfw tee a to znamena, ze mohu 
> pocitat jen to, co uznam za vhodne a naposilam si to tam) a souhrny 
> prenesenych dat pro jednotlive IP za stanoveny cas pise to MySQL.

ipfw tee - to mne nenapadlo :-)
Diky

> 	Jen takto ziskane udaje nepouzivam k zadne automaticke blokaci. Nejak 
> jsme se nikdy nesmiril s tim, ze by o prohrescich lidi mel rozhodovat 
> automat, nazor jinych ale muze byt samozrejme jiny.
To je vec nazoru. Mam nad tim nastaven www management, takze si muzu i 
rucne uzivatele poustet, jak chci.
V mem pripade se jedna o studenty, kteri si plati xxx penez za yyy 
prenesenych MB.


> 	Ovsem, neni to presne to, co chtrel tazatel - tohle neresi omezeni 
> stahovani jednotlivych velkych souboru, ale omezeni na zaklade celkoveho 
> objemu za cas.

jelikoz data stahuji kazdych x minut, vim diky tomu, kolik toho uzivatel 
natahal za minuly cas (pulhodinu, hodinu, den, ...) a tak muzu treba 
casto stahujici uzivatele dat do nejake tenke pipe.


> 	A navic, vyzaduje, abyste mel zajisteno, ze IP adresa je jednoznacne 
> prirazena konkretnimu uzivateli a on nesmi mit moznost si ji vymenit za 
> jinou. To neni zdaleka vzdy zajisteno a neni to ani zas tak jednoduche 
> zajistit. Ale kdyz to nezajistite, tak vam proste jeden po vycerpani 
> limitu prehodi adresu na nekoho, kdo ma zrovna vypnuto (jestli mate 
> svazanou IP a MAC, tak bude muset prohodit i MAC, coz je ale trivialni), 
> a bez omezeni pojede dal ...

tohle byl trosku problem, nakonec jsem to vyresil takhle (pokud by mel 
nekdo jednodussi nebo jine reseni, sem s nim):
uzivatele maji na fw blokovane vse krome pristupu na jejich gw. Pres 
browser se na ni autorizuji (kazdy ma sve jmeno a heslo, ktere ja mam 
svazane jeste s IP a MAC). Az po spravnem zadani je to povoli (ziska 
ticket) na firewallu. Po skonceni prace s internetem si "ticket" zase 
zrusi. Takze i kdyz si nekdo zjisti cizi MAC a IP, tak ma smulu, protoze 
se dal nez na GW bez hesla nedostane. Kdyz nekdo bude znat IP a MAC 
uzivatele, ktery ma v tu chvili aktivovany ticket, stejne ma smulu - na 
svem PC si nastavi IP toho uzivatele a windows mu reknou, ze dana IP jiz 
je v siti.

PM


-- 
# ---------------
# Petr Macek
# pm at kostax.cz
# icq: 87323239
# www.kostax.cz

# MySQL www client (PHP) ... try it!
# http://the.cz/mywwwatcher




More information about the Users-l mailing list