Детальный контроль потока данных во все устройства домашней сети и от них к провайдеру, обеспечивающий ограничения полосы пропускания

Question

Интернет-провайдеры постепенно отказываются от сетевого нейтралитета и устанавливают ограничения полосы пропускания. Большинству пользователей нужно будет доверять своему интернет-провайдеру, чтобы сообщать точные показатели потребления полосы пропускания, и большинство не сможет контролировать трафик, генерируемый многими устройствами в их домашней сети.

Я хотел бы иметь хороший уровень контроля над данными, выходящими из моей сети и входящими в нее, просматривать отчеты о попытках трафика, создавать полные журналы и легко настраивать службу для разрешения или запрета приемлемых типов трафика или устройств.

Я хотел бы иметь возможность настроить эту службу или приложение на виртуальной машине с сервером Ubuntu в моей сети.

Например, я хотел бы определить соединения и тип данных, которые PS3, Xbox, Wii генерируют при попытке загрузить обновление, запретить или разрешить в моем расписании, но всегда разрешать сетевой игровой трафик. Я также хотел бы заблокировать определенную сетевую болтовню для определенных рекламных серверов или других CDN. Я видел плагины для Firefox, которые переписывают html, чтобы избежать загрузки громкой видео рекламы. Было бы здорово сделать это для всех устройств.

Много лет назад я работал с Ubuntu с IP-таблицами, брандмауэрами и прокси-серверами. Тем не менее, я либо недостаточно учился, либо просто не помню, чтобы кто-то из них сам по себе обеспечивал хорошее комплексное решение этой надвигающейся проблемы. Они особенно не предназначены для непрофессионалов. Я хотел бы дать небольшой совет о том, где сейчас все. Должен ли я использовать комбинацию всех трех или есть лучшее или более простое решение?

Answer 1

Если не задокументировано, вам придется анализировать нагрузку на трафик, чтобы определить активность / порты / протоколы для каждого устройства, особенно устройства "черного ящика", такие как игровые системы.

И это будет работа на полный рабочий день - может произойти одно обновление, которое полностью изменит схему сетевой активности и, таким образом, нарушит работу вашей системы. Это работа на полный рабочий день. Поверьте мне, я трачу много часов в месяц на мониторинг и корректировку правил, настройку оповещений и т.д. Для безопасного центра обработки данных с полдюжиной хостов.

Answer 2

После того, как вы настроите коробку, вы также можете использовать Etherape для визуального представления трафика и конечных точек соединения. Вы можете фильтровать по хосту и протоколу тоже. http://etherape.sourceforge.net/

Answer 3

 [ local network/wireless/hubs/PS3/etc ]---[firewall]--->to internet

Подключите хост Linux с двумя интерфейсами в качестве брандмауэра между вашей локальной сетью и Интернетом. После этого вы получаете полный мониторинг и контроль всего трафика. (Да, два интерфейса не являются строго необходимыми, но их гораздо проще настроить и продумать).

Вы захотите использовать iptables для контроля (разрешения, запрета) трафика, а также вам нужно будет использовать iptables для MASQUERADE (NAT) всего локального трафика на (предположительно) один IP-адрес, предоставленный брандмауэру вашим провайдером. На брандмауэре также должна быть включена пересылка IP.

pcap и статистика интерфейса linux будут вашим инструментом для отслеживания происходящего. MRTG - хороший инструмент для генерации графиков использования полосы пропускания, но если вы хотите знать, кто генерирует трафик, лучше всего использовать tcpdump или один из инструментов агрегирования статистики pcap.

Есть множество учебных пособий по настройке, как это работает. Я должен был предоставить все необходимые ключевые слова, чтобы вы начали.