Хочу дома расшарить откртую WiFi сесть

А вопрос-то в чем?

б) выкидывать наглых пользователей (которые постоянно сидят)

Непонятно зачем такое. Типа надо на пять минуток, как в туалет, забежать и сразу выходить?

исправил

Ну если человек сутки сидит и занимает весь выделенный канал - то вообще банить надо.

Чтоб на улице гуляли люди, проходили рядом и тд

Поставить прокси с кнопкой «подключить интернет» на главной странице, записывать время нажатия кнопки и отключать после таймаута.

Конкретных решений не знаю, но накодить вроде можно.

проблема еще чтоб пнуть wifi точку

Ну если человек сутки сидит и занимает весь выделенный канал - то вообще банить надо.

Он будет просто менять по таймауту все, чем ты можешь его идентифицировать как «одного человека».

Ограничивать по скорости - tc. Он тяжелый для осознавания, но есть облегчающие жизнь скрипты. Кейворды для гугла: linux traffic shaping.

Выкидывать наглых пользователей - это сложнее. Как их идентифицировать? По mac-адресу:количеству скачанных байт? mac-и же легко меняются. Есть разные captive portals, но это получится не совсем «открытая сеть»

вполне хватит выкидывать, а при заходе выдавать страничку с надписью - вы бнаглели. Поэтому нажмите кнпку и подключитесь

ну я же не зверь, чтб банить

Я использую платку в «стареньком» Phenom x4, в котором крутятся hostapd + dnsmasq. Старенький Celeron, уверен, справится.

У меня сеть закрытая, но это вопрос конфигурации.

squid прозрачный запили.

Заходе куда? При попытке открыть какой-то ресурс браузером? Ну, вот captive portals приблизительно так и работают. Перенаправляют определенных (неаутентифицированных, например) пользователей к себе и что-то им сообщают.

Но эти порталы рассчитаны на то что пользователям нельзя доверять и надо предъявить логин/пароль. Может есть какие-то с урезанным в этом месте функционалом, не видел.

То есть вариантов немного: или нарезать всем одинаковые полосы (ну, можно доверенным лицам полосу пошире) или как-то заставлять пользователей аутентифицироваться и уже после этого что-то с ними делать. Я бы выбрал первый вариант - и проще, и карме лучше

«Хочу дать всем свободу! Подскажите, как её лучше ограничить?»

А снифер паролей автор не хочет запустить на халявной точке доступа?

Я делал кучу открытых точек доступа за просто так, резал все, кроме 80 и 443. Вся фильтрация и логи шли через сквид, чтобы отмазаться, если что случится.

Не надо выкидывать юзверей, пусть сидят.
Кури сквид.

Стоп, а в чём смысл халявной точки доступа без снифера? Предпочтительно с принудительным https>http редиректом для известных сайтов.

Мне не охото что-то блокировать. Но и как-то не хочется, чтоб люди пользовались для скачки чего либо, так как выделю я на это всего несколько мбит.

Я хочу отдать кусочек своей свободы. Логично, что я отдам только часть.

Вот этого не понял.

Чего именно? :)

в смысле отмазаться?

Если поломают чонить, например.

А что это даст

Возможномть дать полный лог, показать, что ты сотрудничаешь и сам плохого не делал. Както так.

И это не бесплатный wifi, просто пароль забыл включить, а они сами влезли.

Можно и так :)

не городи огород, чтобы поиграть в бога пару дней, пока не надоест, а бери рутер с поддержкой гостевой сети и не отвлекай меня больше по пустякам

зачем тратить деньги, если у меня есть старая железка

у меня гостевые сети умел делать на заводской прошивке даже грошовый dir320 туеву хучу лет назад, так что не придумывай

у меня роутер в режиме бриджа работает ASUS wl500 вроде зовется

В своё время думал над этим, хотя в реальности не сделал. Есть такой генератор правил для iptables, называется fiaif. Легко настраивается, умеет шейпить трафик, по умолчанию имеет 3 зоны: internal, external, и этакую среднюю (demilitarized zone). То есть, можно сделать, чтобы из int было видно ext и dmz, а из dmz только ext. Эти зоны можно развесить по разным интерфейсам, есть шейпер трафика. Можно фильтровать порты.

Я считаю, это то, что ты ищешь.

Я использую платку

И что? Зачем сюда-то влез? Сообщить всем, что ты есть и у тебя «платка в „стареньком“ Phenom x4»?

Какие нонче анонимусы дебильные пошли.

To TC: squid

а разве это законно?

ну если придираться - то нет

Искренне не понимаю, зачем советуют сквид. То есть им можно шейпить, но это довольно странный способ использования. А, ну можно логи смотреть, но что в этом интересного?

Если вам хочется поделиться каким-то количеством интернета - делитесь. Шейпинг довольно гибко настраивается, можно отдать случайным пользователям каую-то небольшую полосу, пусть они между собой ее делят пропорционально.

Применять репрессии к пользователям которые «постоянно сидят» сложно, это легко обходится, как уже написали, да и нужно ли?

Мне кажется, что постоянно будут сидеть те, кто не умеют обходить это

Обязательно иметь учет всех «гостей», всех посещаемых ими сайтов и прочих TCP-соединений.

Почему?

Ставь на старый комп pfsense, там есть все для твоих задач.

А captive portal из pfsense умеет то что ТС нужно? Это же какой-то не очень традиционный способ раздавать интернет открытой точкой?

2 namezys :

Подозреваю, что так вообще никто не умеет, но если уж так сильно хочется и есть на это время, можно, гм, напрограммировать.

Непонятно, издеваетесь ли вы над нами или не хотите гуглить, но на всякий случай напишу что приблизительно для этого нужно: hostapd для того чтоб собственно сделать точку доступа, tc (набор правил для шейпинга), iptables и какой-то скрипт для издевательств над пользователями.

В этом скрипте можно парсить что-то типа выхлопа iw (по крону, например). Если показалось что пользователь засиделся, то нужно iptables-ом заблокировать (или снизить скорость) весь трафик этого пользователя кроме запросов на 80 и 443 порт. Их перенаправлять к себе на веб-сервер, там показывать предупреждение и кнопку разблокировки. По кнопке возвращать правила iptables для этого пользователя в исходное состояние

На случай, если придут и спросят. Я серьезно. Из опыта.

Кстати, подозреваю, что для наказания невиновных можно использовать fail2ban, так как это, по сути, парсилка логов и запускалка программ в случае, если в логах слишком много определенных строчек.

Да ладно?

по дефолту редирект всех протоколов на страничку с вводом капчи и правилами пользования -> по ip получаем с ap mac и ложим в таблицу c таймстампом времени прохождения проверки капчей -> снимаем для этого мака редирект -> с дискретностью N минут проверяем открытые сессии и вновь ставим редирект на нашу страничку -> ????? -> PROFIT!!!11

Да ладно?

namezys (22.10.2012 20:38:56)

когда с твоего канала похачат кого нить или например вальнут добротное ЦП то попробуй потом органам докажи что ты не верблюд.

алсо позаботься о полной изоляции этой твоей открытой сети от домашней.

Ну изоляция понятна. Могу вообще отдельный ip для нее сделать.

Там можно просто прозрачный прокси включить и ограничить общую скорость. Ну и максимальную допустимую скорость для отдельного клиента задать.

Когда я работал по этой части, оветы на подобные запросы правоохранительных органов были вполне рутинной частью моей работы. В этих запросах иногда было много конкретики - имя, фамилия, суть уголовного дела и т.д. Так что послушайте моего совета :)