Re: torrent tiltása
On Fri, Jan 23, 2009 at 10:53:35AM +0100, Faragó Zsolt wrote: Üdv a listának! Egy Debian Etch egy ADSL vonalat IPTABLES-el NAT-olja a belső hálót. Lehet e ezekkel az eszközökkel tiltani a torrent forgalmat. Nem az illegalitás miatt, hanem a hálózat használatának ellehetetlenítése miatt. (squid van, de a NAT-nak maradni kell) Faragó Zsolt én az egész forgelom monitorozását l7-et eléggé gépigényesnek tartom azaz nem megoldás. Szerintem nem szabad tiltani (ugysem meg mivel titkosított kapcsolat esetében ...) szóval ügyes diak kijátsza. Helyette sávszéllességkorlátozásokat kell bevezetni: mondjuk 4M-es vonalból 128k kap garantáltan letöltésre többi meg ha van rá szabad kapacitás Mikrotik alatt van rá mód igy linux alatt is biztos hogy van mivel linux alapu az mk ott queune tree alatt valósítható meg én igy állitottam be a garantáltat: 1/4 root prioritás 2 1/4 serverek prioritás 3 1/4 dolgozok (titkár gazdasági) prioritás 1 1/4 diákok/tánarok prioritás 4 1/4 tanárok prioritás 1 1/4 terem 1 prioritás 2 1/32 gép 1-32 (21 gép van de isten tudja..) 1/4 terem 2 prioritás 2 1/4 terem 3 prioritás 2 0 wifi/egyéb diák gépek prioritás 9 ha jól emlékszem tc paranccsal és sfq tipussal lehet linux alatt megcsinálni, de nem csináltam még. Ezzel a diák hiábba torrentezik nem tudja elvenni mástól a sávszélt csak próbálkozhat :D meg lehet füzerezni hogy egy bizonyos ideig 1 connectionra engedi utánna leveszi minimálisra a forgalmat 10-20 b/sec igy a kapcsolat él de gyakorlatilag beleöszül mire letölti (mondjuk 2-3p után ez alap setben elég egy oldal betöltéséhez egyegy melléklet leszedéséhez) ___ Techinfo mailing list Techinfo@lista.sulinet.hu http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.1let.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhalo2.hu/Faq.aspx
Re: Pimasz diákok
On Wed, Jan 14, 2009 at 01:45:15PM +0100, Zsolt Nagy wrote: Sziasztok! Segítséget kérnék gyakorlott rendszergazda kollégáktól! Hogyan lehet megoldani, h. a gyerkőcök, ne tudjanak hálózatban játszani játékokkal! szigoruan a kérdésnél maradva, nehezen, de megoldható: hálózati eszközökkel: layer2-es swichek használatával mely ismeri a protizolációt (nekem alapból ez volt) kliens oldali szabályokkal: tűzfal beállítások: lokális lan-ban csak a tűzfal/router és a serverek láthatóak a többiek tiltva korlátozásokkal: csak megfelelő helyről engedhető program futtatása és ezen könyvtárakra irási tiltás vagy igen szigorú quota beállítása (valahol pacal vagy egyéb nyelven oktatnak ott nem lehet mindent tiltani) minden egyes helyen ahol a diaknak irási joga van dir *.dll /r -re ellenőrzés és ha errorlevel 0 akkor nálunk sipoltak a gépek. (server oldalon percenkénti ütemezéssel ha előző percben nem volt bent a gép akkor del *.dll /r futtatva kellemetlenségeket megelőzendő) nekem ez bevált annó zatacka az ment de más nem igen. internetes játékokkal meg net tiltás engedés ora alatt mit a tanár végezhet (alap a tiltás) diákok nagyon szerettek, de bevált. ___ Techinfo mailing list Techinfo@lista.sulinet.hu http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.1let.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhalo2.hu/Faq.aspx
OFF: Re: Pimasz diákok
On Tue, Jan 20, 2009 at 09:58:02AM +0100, Bakos Gabor wrote: Pintér Imréné írta: Szia! Természetesen nem úgy gondoltam, hogy Lapodázni kell a diáknak középiskolában, de lehet találni érdekes feladatot. Nem a feladat hiánnyal, vagy ötlettelenséggel van baj, hanem néhány mesterfogásokkal, stb megoldunk? üdv bakosgab tudtommal szakmai forumon vagyok. Igaz mint sulinetes forum elszakithatatlan az iskoláktól, de akkor is szakmai forum.Én szerencsés helyzetben voltam mert nem tanárként RG-ztem, de se nincs tudásom se nincs hozzá kedvem értékelni az ex kollégák munkáját. Egy biztos a gyerek anyag tudásilag/érdeklődében finoman szólva is szort, de bocsi nem a tanárok tanulnak x évet hogy ezt a problémát megoldják? Vannak a tanárok között is jók és jobban (többieket nem nevezném tanárnak csak melegedni járnak a sulikban na meg a fizuért), de aki minden orára képes lelkesen tetrekészen bemenni keresve a tanítás örömét az előtt le a kalappal, de az aki bemegy és 'felolvassa' a tananyagot és óra végén 'becsukja' a könyvet és kimegy annak csak egyet tudok mondani már az első óra után az osztályban minimum 2-3 gyerek van aki már akkor többet tud a gépről mint a tanár az életben meg fog igy tanulni. Számomra az a jó tanár aki látja ki mit tud csinálni és a leadandó anyag kereteit feszegetve a legrosszabat 'átrugdalja' a legjobbaknak viszont a tematika által mutatott irányba fordítja a figyelmét és akár profivá teszi a témában, még ha ő nem is az, mivel a tanárnak nem az a feladata hogy profi legyen egy-egy témában hanem az hogy tudja mi az a téma és tudja hogy mit kell kérdezni lényeg a diák ismerje meg a választ és a hozzá tartozó utat is. Tisztelettel: Sinkó Gábor Zoltán ___ Techinfo mailing list Techinfo@lista.sulinet.hu http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.1let.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhalo2.hu/Faq.aspx
Re: Ez volt a Révai rendszere
On Wed, Dec 17, 2008 at 11:52:57AM +0100, Molnar Peter wrote: Content-Description: Mail message body Hello! Tok jo. 2 kerdesem lenne: Mennyibe kerult ez osszesen, s mibol? akkori árakra nem emlékszem pontosan de ES-2024-eket max 60e Ft optikai modul max 20e ebből 2 db kell de utp kábellel is megoldható nem kell optika alapból. 4 db ES-2024 60e240 1 db ES4024 130e120 7 db otikai modul 20e 140 2 db Hetis gép ~55e Ft 110 3 db APC ~25eFt 75 ~800eFt ___ Techinfo mailing list Techinfo@lista.sulinet.hu http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.1let.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhalo2.hu/Faq.aspx
Ez volt a Révai rendszere
először is köszönöm a meleget-hideget. Sajnos/hál istennek már nem vagyok a Révai rendszergazdája de mit megtanultam ott egyes listratagok kiváncsiak rá igy leirom. Laci nem azért nem irtam le mert nem akartam csak feleslegesen több levelet begépelni a szabadidő terhére (2 éves gyerek asszony ). Azt hiszem elfogadható indok:D Vágjunk a közepébe már ez is hosszú lesz: LAN Szerencsémre az iskolánban volt egy nagy villamos rendszer átalákítás és ennek a keretében majdnem az egyész iskolában ujra lett huzalozva a lan igyhát tiszta lappal indulhattam (jó kihivás volt ~3km kábel behuzása). Szóval gyakorlatilag 4 központot alakítottam ki szerverszoba feladata kettős szerverek és a mellette lévő számtecterem kiszolgálása 102 terem feladata sziplán a 102-es számtecterem kiszolgálása ~24 port 101 központi elosztó maradék kiszolgálása sz1 terem feladata az sz1-es számtecterem kiszolgálása + wifi kapcsolat + diszterem alpvetően a szerver szobában a sulinetes szekrényben elfértem a többi helyen 9 illetve 16 u magas zárható rack szekrénybe raktam a felszerelést természetesen megfelelő kifejtők pach panelek kábelek segedelmével. szerintem elég kultúrált és átláthatón sikerül összehozni (na jó serverszobában eléggé 'érdekes' felállás jött össze a test környezetek miatt).Alapvetően a szekrények aljába tettem egy APC szünetmentes tápegységet fölé gyürüspanel majd pach panel felváltva legtetején optikai kifejtő doboz majd Zyxel ES-2024-a swichek kerültek be. alapvetően a egy 1gb 8 eres optikai gerincre van felfözve az egész iskola soros kiépítéssel. idővel beüzemeltem egy routert és egy tűzfalat melynek a kivitelezésére hardveres megoldás csillagászeti összegért lett volna megoldható. - először barkácsoltam majd vetettem 2 db MSI kicsi 9xx szériás gépet melybe DOM modullal mikrotik op rendszert telepítettem (max 4-7e Ft 1 lisenc mikortik) ezen kivül wifi kapcsolatra feltettem a révai és az egyetem tetejére egy-egy dualfejes antennát és mikortik-es routerboardot. (wlan-ok.hu nál mindent megkaptam Köszönet Rajmon Lászlónak) vlan Ez szimpla vlan és nem wlan azaz egy olyan lejhetőség mely layer2-es programozható swichek adtak mellyel logikailag oszthattam fel a hállózatot, miért? egyszerű egy gép elkezd szemetelni a hálózaton ne haljon be az egész csak az adott ág. illetve nehezebb benne illegális dolgot művelni :D és nem utolsó soron könnyen kézbentartható Igy lett vagy 23 vlanom: vlan 1 -- name 1 ip 192.168.1.0/24;alap vlan ezt esetleges swich hiba miatt nem bántottam, de semmilyen forgalom nincs rajta vlan 2 -- name Bgazdasagi ip 10.1.2.0/26;mint kitalálható gazdasági iroda gépei vlan 3 -- name Bnyomtatok ip 10.1.3.0/26;nyomtatószerverrek és hálózati nyomtatók vlan 4 -- name 0server ip 10.1.255.0/24;belső müködéshez elengedhetettlen szerverek vlan 5 -- name 0admin ip 10.1.1.0/26;na itt én garázdálkodtam vlan 10 -- name Kpubl ip 195.199.183.200/29; Sulinetes publikus vlan vlan 12 -- name KRvedett ip erre nem emlékszem; sulinetes védett vlan vlan 24 -- name Ksz2 ip =sz2; technikai vlan a sulinetes swich használatához vlan 30 -- name Rvedett ip 10.1.24.0/26; iskolai adminisztráció gépei vlan 31 -- name Rtanar ip 10.1.25.0/26; tanárok által bitorolt gépek vlan 32 -- name Rszertar ip 10.1.26.0/26; szertárakban használt gépek vlan 33 -- name Rkonyvtar ip 10.1.27.0/26; könyvtár dolgozói gépei vlan 50 -- name wifi ip 10.1.32.0/24; wifi vlan 51 -- name diak ip 10.1.33.0/26; egyébb itt ott elszort diák gépek vlan 52 -- name projektor ip 10.1.34.0/26; termekben projektorokhoz szabadon álló protok vlan 61 -- name sz1 ip 10.1.16.0/26; gépterem vlan 62 -- name sz2 ip 10.1.17.0/26; gépterem vlan 63 -- name sz3 ip 10.1.18.0/26 ; gépterem vlan 98 -- name voip ; sajnos ez még csak ötlet volt és ez tette be az ajtót vlan 99 -- name router ip 10.1.99.0/26; aktiv eszközök admin felülete vlan 100 -- name turfal ip 10.1.100.0/26; router és a tűzfal közötti kommunikáció vlan 101 -- name niif ; niif felé lévő wifi kapcsolat vlan 255 -- name DMZ 92.168.255.0/24; publikus server nézzük miért lett kiosztva igy az egész: vannak vlanok ami csak válaszolhat kérdésre és van olyan ami kérdezhet is illetve vannak olyanok melyek egyáltalán nem kommunkálhatnak bizonyos irányba igy a végeredményben a belső kommunikációt szabályozó configrészletem: add action=add-src-to-address-list address-list=ideig address-list-timeout=30m chain=ss comment= connection-state=new disabled=no dst-address=10.1.x.xx dst-port=xx \ protocol=tcp add action=drop chain=ss comment= connection-state=new disabled=no dst-address=10.1.3.33 dst-port=33 protocol=tcp add action=accept chain=ss comment=rg gp elrse disabled=no src-address-list=ideig add action=drop chain=ss comment= disabled=no out-interface=Rvoip src-address=10.1.1.0/26 add action=accept chain=ss comment= connection-state=new disabled=no dst-address=10.1.255.0/24 src-address=10.1.0.0/18 add action=accept chain=ss comment= connection-state=new disabled=no
Re: szoftver - tisztaszoftver -- igaz egy kicsit elkanyarodva
On Wed, Dec 10, 2008 at 12:27:30AM +0100, Molnár Péter wrote: Hello! Most lehet hogy megkoveztek, de azert leirom: En mar csak ex rendszergazda vagyok (penzugyi és szakmai fejlodesi okok miatt hagytam el iskolam), de egy jol felepitett rendszerben rg csak azert kell hogy felvegye a fizeteset !! Na jó egy kicsit sarkitott a tema, de ha minden iskolaba letennenek egy image servert es normalisan ki lennenek alakitva egyszer a rendszerek akkor a mostani modulos kiepitettsegu hardverek eseteben egy iskolatitkar vagy egy megbizott valaki is el tudja latni az RG feladatokat ha mogotte van egy kozponti rendszergazda teem aki egyszer kialakitja utanna az összes telepítest karbantartast vegzi!! Technologia megvan és uzleti szferaban mukodokepes modell: virus/szoftver gond - image vissza hálózati felügyelettel max 20p 1 gép ~ 40p egy gépterem biztonsagi mentes - teljesen automatikusan serverre hardver gond - 2-3 tartalek geppel normalis bejelnetessel 1-2 heti kiszallassal megoldhato halozati kerdes/problema - jelnelegi 40eFt magassagaban kaphato swichek mar tudjak a feszitett fa szerkezetet es tavolról programozhatóak (1 tartalék jó ha van) nyomtató patron - minimalis oktatassal zoli bacsi a karbantartoktól julcsi portas neni vagy gazdasagibol gondnok nem mar, hogy nem tudja megoldani www felület - alapban nem RG feladat!! RG feladata a rendszer üzembiztonsaganak biztositasa és esetleges szoftver igények telepítése ez más kérdés. Eseti uj programok telepítése - CD ne már hogy ne lehessen betetettni valakivel a CD meghajtóba többi távolról megoldható az hogy kihuznak egy kabelt a falból vagy hogy na ez meg az a kategória amit már bocsássanak meg de ez fegyelmezési kérdés én pontosan (ha kell másodpercre) megmondom mikor mi történt a hálózatban mikor huzodott ki az a egy kabel/nyomtato stb Természetesen az beta szintü felhasználók nem tudnak CD iratni levelet szerkesztetni illetve táblázatokat összerakatni az RG-vel, de egy egyetemet/főiskolát végzett ember vagy felméri hogy szüksége van az adott tudásra és megszerzi vagy kikerüli az adott tudás adta lehetőségeket és marad a papirnál. Fentiek alapján 4-5 fő egy 2-3e számitógépes géparkot el tud látni igaz nem a fogd a win CD metodikával és szabadságolással együtt!! 5-10% nem oktatási/egyedi célú géppark mellett!! Tisztelettel: Sinkó Gábor Zoltán ___ Techinfo mailing list Techinfo@lista.sulinet.hu http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.1let.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhalo2.hu/Faq.aspx