P2P:n estäminen

[tuomaril]

Tarkoitus olisi laajentaa nykyistä verkkoa isän ravintolassa. Nykyinen WLAN-verkko tulee Elisaboxista, verkkoa olisi siis tarkoitus laajentaa ja samalla luoda asiakkaille oma vierasverkko ihan julkiseen käyttöön ravintolaan. Verkon laajennus tehtävään tulee todennäköisesti Airport Express. Miten tuosta saa sitten estettyä P2P-liikenteen? Ravintolassa käyy päivisin nuorehkoa porukkaa läppäriensä kanssa eikä olisi kiva jos he alkaisivat laittomuuksiin isäni nimissä...

[jeppe]

Eipä tuota käytännössä taida Expressillä estää jos joku oikeasti haluaa P2P siellä käyttää, mutta tehokkaimmin varmaan onnistuu kun estät kaikki muut portit kuin 80 ja 443 Internetiin päin. Tämän jälkeen ei pitäisi toimia kuin nettiselaimen käyttö.

[tuomaril]

Selvä, mites tuo porttien sulkeminen sitten onnistuu?

[kallekilponen]

Selvä, mites tuo porttien sulkeminen sitten onnistuu?

Tukiaseman asetuksista varmasti löytyy moinen asetus.

[jeppe]

Selvä, mites tuo porttien sulkeminen sitten onnistuu?

Tukiaseman asetuksista varmasti löytyy moinen asetus.

Ei taida muuten löytyä, kannattanee ottaa jonkun muun valmistajan laite tukiasemaksi. Kannattaa valita siis sellainen jossa voi suodattaa ulospäin menevää liikennettä.

[tuomaril]

Selvä, mites tuo porttien sulkeminen sitten onnistuu?

Tukiaseman asetuksista varmasti löytyy moinen asetus.

Ei taida muuten löytyä, kannattanee ottaa jonkun muun valmistajan laite tukiasemaksi. Kannattaa valita siis sellainen jossa voi suodattaa ulospäin menevää liikennettä.

Kumpaa nyt pitäisi uskoa? On minulla kotonakin Express että voisin sillä periaatteessa testata jos vain tietäisin tarkat ohjeet.

[jeppe]

Selvä, mites tuo porttien sulkeminen sitten onnistuu?

Tukiaseman asetuksista varmasti löytyy moinen asetus.

Ei taida muuten löytyä, kannattanee ottaa jonkun muun valmistajan laite tukiasemaksi. Kannattaa valita siis sellainen jossa voi suodattaa ulospäin menevää liikennettä.

Kumpaa nyt pitäisi uskoa? On minulla kotonakin Express että voisin sillä periaatteessa testata jos vain tietäisin tarkat ohjeet.

Vastaus esim täällä Applen foorumilla.
https://discussions.apple.com/thread/21 ... 0&tstart=0
"There is no way to configure any of Apple's base stations to block any outgoing traffic."

Eli tosiaan ei Applen laite ole tuohon sopiva jos haluat yhtään liikennettä rajata. Pitää olla sellainen jossa pystyt liikennettä rajoittamaan.

[terosa]

Eipä tuota käytännössä taida Expressillä estää jos joku oikeasti haluaa P2P siellä käyttää, mutta tehokkaimmin varmaan onnistuu kun estät kaikki muut portit kuin 80 ja 443 Internetiin päin. Tämän jälkeen ei pitäisi toimia kuin nettiselaimen käyttö.

Ei pidä paikkaansa. P2P toimii hienosti noiden 80/443 porttien läpi vaikka estäisit muut portit. Ainoa tapa todella estää P2P-liikennettä on hankkia laite joka oikeasti tutkii liikenteen ja estää sieltä juuri P2P-liikenteen. Eli toisin sanoen tarvitset jonkun oikean palomuurin IDP-ominaisuuksilla tai vaihtoehtoisesti virittämällä itse esim. Linuxilla iptables+l7filter:llä..

PS. Täällä on hyvä artikkeli P2P:n estämisestä jos kiinnostaa.

[jeppe]

Eipä tuota käytännössä taida Expressillä estää jos joku oikeasti haluaa P2P siellä käyttää, mutta tehokkaimmin varmaan onnistuu kun estät kaikki muut portit kuin 80 ja 443 Internetiin päin. Tämän jälkeen ei pitäisi toimia kuin nettiselaimen käyttö.

Ei pidä paikkaansa. P2P toimii hienosti noiden 80/443 porttien läpi vaikka estäisit muut portit. Ainoa tapa todella estää P2P-liikennettä on hankkia laite joka oikeasti tutkii liikenteen ja estää sieltä juuri P2P-liikenteen. Eli toisin sanoen tarvitset jonkun oikean palomuurin IDP-ominaisuuksilla tai vaihtoehtoisesti virittämällä itse esim. Linuxilla iptables+l7filter:llä..

PS. Täällä on hyvä artikkeli P2P:n estämisestä jos kiinnostaa.

Kuten sanoin, eipä tuota taida estää jos joku oikeasti haluaa P2P siellä käyttää.

[Raikka]

Busineksen teossa, jota ravintola-/kahvilatoimintakin on, ei kannata tehdä mitään ”helpolla ja halvalla” tavalla, ainoastaan järkevällä tavalla.
Suosittelen selvittämään, miten esim. Cafe Picnicin kahviloissa on toteutettu asiakkaille tuo langaton verkko.
Jokaiselle halukkaalle kassaneiti tulostaa oman salasanan verkon käyttöön ja se toimii vain tietyn ajan.
Uskoisin, että tuossa on myös kaistaa rajoitettu niin, että p2p:llä ei mitään oikeasti merkittävää latailua tule harrastettua...
Systeemi on uskoakseni ostettavissa myös isäsi yritykseen, kunhan selvittelet, kuka sen on rakentanut ja sitä myy...

[jeppe]

Busineksen teossa, jota ravintola-/kahvilatoimintakin on, ei kannata tehdä mitään ”helpolla ja halvalla” tavalla, ainoastaan järkevällä tavalla.
Suosittelen selvittämään, miten esim. Cafe Picnicin kahviloissa on toteutettu asiakkaille tuo langaton verkko.
Jokaiselle halukkaalle kassaneiti tulostaa oman salasanan verkon käyttöön ja se toimii vain tietyn ajan.
Uskoisin, että tuossa on myös kaistaa rajoitettu niin, että p2p:llä ei mitään oikeasti merkittävää latailua tule harrastettua...
Systeemi on uskoakseni ostettavissa myös isäsi yritykseen, kunhan selvittelet, kuka sen on rakentanut ja sitä myy...

Kaistanrajoitus muuten onkin varmaan tehokkain keino estää latailua, koska esim VPN tai SSH tunneloituun liikenteeseenhän ei tuo filtteröintikään pure.

[tuomaril]

Kiitos vastauksista. Onko tuon kaistanrajoittaminen sitten simppelimpää kuin porttien sulkeminen? Onnistuuko tuon kaistanrajoittaminen Expressissä tai Extremessä? En usko että isäni on kovin innostunut tuosta verkkoasiasta sen tekemään sen suurempaa projektia. Pyysi vain minulta apua...

[tsjlehti]

Kiitos vastauksista. Onko tuon kaistanrajoittaminen sitten simppelimpää kuin porttien sulkeminen? Onnistuuko tuon kaistanrajoittaminen Expressissä tai Extremessä? En usko että isäni on kovin innostunut tuosta verkkoasiasta sen tekemään sen suurempaa projektia. Pyysi vain minulta apua...

On ja ei. Portit menee on/off-valinnalla helposti kiinni, mutta tietyn portin kautta voi mennä ihan mitä liikennettä vain, vaikka siinä yleensä menisikin vain esimerkiksi http:tä. Kaistanrajoittaminen per kytkinportti on kytkimestä riippuen hyvin helppoa. Kaistan rajoittaminen per asiakas wlanissa onkin sitten jo toinen juttu.

Jos kaistaa haluaa rajata esimerkiksi sen mukaan, mihin sitä saa käyttää, homma on loppupeleissä aika monimutkainen. Yksittäisen ravintolan tai kahvilan kannalta sosiaaliset toimet ovat helpompia, luultavasti vaivaan nähden järkevän kustannustehokkaita ja varsin luultavasti toimivia. Itse lähtisin teknisiin rajoituskeinoihin tuollaisessa tapauksessa vasta, jos homma muutoin onnistu.

Sosiaaliset keinot, joita alkuun koittaisin, olisi nätisti pyytäminen. Pistä tukiasemaan salasana ja vaihda sitä aina välillä. Anna lappuja, jossa tuo salasana on, tai kirjoita se siellä kaffelassa liitutaululle. Pyydä, etteivät asiakkaat käyttäisi P2P-ohjelmia tai muuta verkkoa epänormaalisti kuormittavaa. Muut asiakkaat kyllä ilmoittavat, jos se verkko tökkii ja saattaa sen itsekin huomata välillä käyttämällä.

Jos tuolla ei pelaa, niin sitten alkaisin katsomaan varmempia, teknisempiä ja käyttöönotoltaan työläämpiä keinoja.

[jeppe]

Kiitos vastauksista. Onko tuon kaistanrajoittaminen sitten simppelimpää kuin porttien sulkeminen? Onnistuuko tuon kaistanrajoittaminen Expressissä tai Extremessä? En usko että isäni on kovin innostunut tuosta verkkoasiasta sen tekemään sen suurempaa projektia. Pyysi vain minulta apua...

On ja ei. Portit menee on/off-valinnalla helposti kiinni, mutta tietyn portin kautta voi mennä ihan mitä liikennettä vain, vaikka siinä yleensä menisikin vain esimerkiksi http:tä. Kaistanrajoittaminen per kytkinportti on kytkimestä riippuen hyvin helppoa. Kaistan rajoittaminen per asiakas wlanissa onkin sitten jo toinen juttu.

Jos kaistaa haluaa rajata esimerkiksi sen mukaan, mihin sitä saa käyttää, homma on loppupeleissä aika monimutkainen. Yksittäisen ravintolan tai kahvilan kannalta sosiaaliset toimet ovat helpompia, luultavasti vaivaan nähden järkevän kustannustehokkaita ja varsin luultavasti toimivia. Itse lähtisin teknisiin rajoituskeinoihin tuollaisessa tapauksessa vasta, jos homma muutoin onnistu.

Sosiaaliset keinot, joita alkuun koittaisin, olisi nätisti pyytäminen. Pistä tukiasemaan salasana ja vaihda sitä aina välillä. Anna lappuja, jossa tuo salasana on, tai kirjoita se siellä kaffelassa liitutaululle. Pyydä, etteivät asiakkaat käyttäisi P2P-ohjelmia tai muuta verkkoa epänormaalisti kuormittavaa. Muut asiakkaat kyllä ilmoittavat, jos se verkko tökkii ja saattaa sen itsekin huomata välillä käyttämällä.

Jos tuolla ei pelaa, niin sitten alkaisin katsomaan varmempia, teknisempiä ja käyttöönotoltaan työläämpiä keinoja.

Muistan tähän liittyen, että tuommoisen kahvila-WiFin tarjoajalla on myös jotain velvollisuuksia ja vastuita asiassa. Muistaakseni jotain dataa piti lokitietona säilyttää jne, kannattaa selvittää näitä asioita ennenkuin lähtee toteuttamaan jos haluaa pelata varman päälle.

Luulisi että joku muuten tarjoaisi tämmöistä palveluna yrityksille, kannattanee sitäkin selvittää.

[iPadi]

Minä vaan luottaisin, etteivät asiakkaat wareta. Tietääkseni sitä on hankala estää.

[kallekilponen]

Mitenkäs tämä nykyinen lainsäädäntö nyt suhtautuikaan asiaan. Itselle on jäänyt muistikuva, että avoimen WLANin omistajaa ei voida laittaa syytteeseen jos häneen verkkoaan käytetään warettamiseen.

Jaksaako/ehtiikö joku kaivella noita pykäliä?


Mutta mitä tuohon rajoittamiseen tulee, itse laittaisin liikenteen kulkemaan jonkin edullisen palvelinkoneen läpi, nin voisi tarkemmin säädellä mitä verkossa voi tehdä ja mitä ei.

[tuomaril]

Mitenkäs tämä nykyinen lainsäädäntö nyt suhtautuikaan asiaan. Itselle on jäänyt muistikuva, että avoimen WLANin omistajaa ei voida laittaa syytteeseen jos häneen verkkoaan käytetään warettamiseen.

Jaksaako/ehtiikö joku kaivella noita pykäliä?


Mutta mitä tuohon rajoittamiseen tulee, itse laittaisin liikenteen kulkemaan jonkin edullisen palvelinkoneen läpi, nin voisi tarkemmin säädellä mitä verkossa voi tehdä ja mitä ei.

Hmmmmm..Tuli tuosta mieleen että jos teen tiskin takana olevasta läppäristä WLAN-tukiaseman Connectify ohjelmalla mutta rajoittaisin tuon Connectifyn saamaa kaistaa? Tuollainhan se periaatteessa onnistuisi?

[jeppe]

Mitenkäs tämä nykyinen lainsäädäntö nyt suhtautuikaan asiaan. Itselle on jäänyt muistikuva, että avoimen WLANin omistajaa ei voida laittaa syytteeseen jos häneen verkkoaan käytetään warettamiseen.

Jaksaako/ehtiikö joku kaivella noita pykäliä?


Mutta mitä tuohon rajoittamiseen tulee, itse laittaisin liikenteen kulkemaan jonkin edullisen palvelinkoneen läpi, nin voisi tarkemmin säädellä mitä verkossa voi tehdä ja mitä ei.

Hmmmmm..Tuli tuosta mieleen että jos teen tiskin takana olevasta läppäristä WLAN-tukiaseman Connectify ohjelmalla mutta rajoittaisin tuon Connectifyn saamaa kaistaa? Tuollainhan se periaatteessa onnistuisi?

No jos "tiskin takana" olevalla koneella on mitään bisneskriittistä / arkaluontoista niin en kyllä suosittele sotkemaan konetta asiakas-WLANiin missään nimessä.

[jeppe]

Mitenkäs tämä nykyinen lainsäädäntö nyt suhtautuikaan asiaan. Itselle on jäänyt muistikuva, että avoimen WLANin omistajaa ei voida laittaa syytteeseen jos häneen verkkoaan käytetään warettamiseen.

Jaksaako/ehtiikö joku kaivella noita pykäliä?


Mutta mitä tuohon rajoittamiseen tulee, itse laittaisin liikenteen kulkemaan jonkin edullisen palvelinkoneen läpi, nin voisi tarkemmin säädellä mitä verkossa voi tehdä ja mitä ei.

Mulla on se käsitys että avoimen WLANin tarjoajalla pitää olla jotain tiettyä lokihistoriaa olemassa jotta voi syytteet välttää. Ehkä jaksan illalla googlata tätä...

Itse en laittasi mitään edullista palvelinkonetta jota pitää säätää itse vaan ostaisin varmaan esim OpenDNS:ltä tän palveluna. Problem solved.

[janis_petke]

http://www.turre.com/2012/05/ylivieskan ... -wlanista/

Jos nyt ei kyseessä ole mikään mopojonne 15v -kahvila niin eikö toi porttien sulkeminen olisi jo vähintään riittävää.

[tsjlehti]

Löytyipäs sattumalta tuoteperhe, josta kaffelan pitäjälle saattaisi sopiva värmes löytyä: routerboard.com.