請問linux_XP兄，依您所言，那是不是可以把非標準封包排除，就應該
能做到基本的防堵效果?也就是我們只接受標準格式的封包，其他的就把
他丟棄，這樣會不會有一些副作用?

舉個例子，比方說這篇：
有沒有可以阻擋 SKYPE 的方法? (http://www.pczone.com.tw/vbb3/showthread.php?t=109361)

這種情況容易發生在公司環境
一台好的頻寬管理器，它不僅要能 QoS，防火牆更是重要
因為公司老闆不喜歡看到員工上班在哪裡 msn，skype，icq，qq....之類的
簡單的說，就是除了查網頁資料，其它一律禁止
曾經作過網管或 MIS 的，應該都能感同深受吧

其它 unix 如 FreeBSD 是否有 L7-filter，不是很清楚
不過 Linux 有一個 L7-filter 的計畫：
http://l7-filter.sourceforge.net/

http://home.pchome.com.tw/art/linux2005/images/web/pczone/coyote/l7-filter003.gif

由免費路由器 Coyote (嵌入式 Linux 的一種) 的樣式檔來看
skype 的 L7 過濾是有支援的

但這個是不是永久有效，還是只限於舊版的 skype 的，誰也說不準
軟體都是會進化，所謂「道高一尺，魔高一丈」
假如真的如討論所說
skype 的傳輸原理是這麼的先進，那麼擋不住也只是早晚的問題罷了

當軟體進化後
L7-filter 也必須更新樣式檔 (比對資料庫) 來適應新軟體，否則就會失效
而樣式檔的來源，只能由 L7-filter 計畫下載，或是自己作

換句話說
假如有一個軟體 (Application)，會亂鑽 port，且沒有固定 server IP
L7-filter 計畫組織，目前沒有相關的支援樣式檔
而使用者又沒有能力自己分析封包內容，製作樣式檔
那麼表面上似乎也只能眼巴巴看著軟體通過了
因為連 L7-filter 這種最先端的過濾技術，都無法檔了
那麼天底下還有什麼技術能檔的.....除非拔掉網路線:|||:


不過呢，山不轉路轉，路不轉人轉
既然那些軟體這麼厲害，只好使出終極手段了

1.首先，封到剩 port 80、443

2.針對會使用 port 80、443 的軟體，利用 L7-filter 過濾
只取出 http 和 https 的封包放行，其餘通通丟棄

理論上，這樣子就能達到「除了查網頁資料，其它一律禁止」的要求
不過我沒實驗過，僅是理論

在公司的環境，是拿人錢財替人辦事，老闆怎麼說，我們就怎麼作
如果老闆或客戶有這樣要求，是不錯的解決方案
或者可以說，是唯一有效的方法
不然像有些 P2P 或聊天軟體，都採加密傳輸了，根本檔不了
就會很傷腦筋

但如果是家裏或宿舍這樣搞，可能不太適合
因為這是採用防火牆的原則：封鎖全部(drop 全部)，允許特定
真的是除了看網頁，其它都不行
但這樣肯定會被抗議
若要 e-mail 或其它有的沒的服務，就必須一一加入放行
搞到來設定一大堆，就會變得很複雜很麻煩，有點小題大作的感覺

:)

我想請問一下 目前有5條線路 如果我想其中2條跑http 其他3條跑http之外的的服務 最近5條都升級為10m/2m 要服務大約100個學生套房 不知需要更換什麼設備 (何種設備 型號 可達到)
目前有1. 6台bm200
2. 6台24port的hub

我想請問一下 目前有5條線路 如果我想其中2條跑http 其他3條跑http之外的的服務 最近5條都升級為10m/2m 要服務大約100個學生套房 不知需要更換什麼設備
目前有1. 6台bm200
2. 6台24port的hub
如果100個套房網路線都已經集中在機房
1.買一台超過5wan的loadbalance 就好了吧(不過我不清楚5個wan都接再同一個L2 SWITCH上 會不會有遞回效應 這個我問過廠商 廠商也不知道 所以我想可能要問中華了)
另外 中華下載真的能讓你跑到5個10M加起來的50M嗎 這點我也不知道 大大如果有試過的話 請回應一下 給我參考 謝謝

QNO QVM1000 最多支援8WAN 產品網頁 http://www.qno.com.tw:2480/tw/qvm1000.html
價格可以參考 http://www.tw-mcse.net/

我想請問一下 目前有5條線路 如果我想其中2條跑http 其他3條跑http之外的的服務 最近5條都升級為10m/2m 要服務大約100個學生套房 不知需要更換什麼設備 (何種設備 型號 可達到)
目前有1. 6台bm200
2. 6台24port的hub

一般的設備都是2 or 4WAN,所以要5WAN比較特殊規格的要找一下,但設備等級價格會三級跳.
而且您的QOS的電腦等級最好是PC 2.0 512M以上 合起來有六個網路孔的設備.五個網路孔接到VDSL,1個接到您的SWHUB,所以建議您找尋屬於DOM之類的產品.可達到您的需求.

謝謝我會尋找看看的 謝謝
一般的設備都是2 or 4WAN,所以要5WAN比較特殊規格的要找一下,但設備等級價格會三級跳.
而且您的QOS的電腦等級最好是PC 2.0 512M以上 合起來有六個網路孔的設備.五個網路孔接到VDSL,1個接到您的SWHUB,所以建議您找尋屬於DOM之類的產品.可達到您的需求.

我想請問一下 目前有5條線路 如果我想其中2條跑http 其他3條跑http之外的的服務 最近5條都升級為10m/2m 要服務大約100個學生套房 不知需要更換什麼設備 (何種設備 型號 可達到)
目前有1. 6台bm200
2. 6台24port的hub

跟你說一件事5條都升級為10m---不會變成50m
我不知道你是用哪家ISP(HINET是8M再來是12M)但是結果因該會跟我一樣
原因如下因為adsl的ISP很賊比如我用的是兩條8M的外線ISP是中華電信
--我原以為我這樣外線是16M結果不是你注意看看你的ISP的產品說明有沒有這句話"＊實際傳輸速率視客戶端與機房距離而定。"
因為實用上跑不到那麼高的流量經我打聽我才了解原來8M是3個8M的用戶合用的最大流量(中華電信會把8M的用戶分成3個3個一個群組)所以說你如果只租用一條8M的外線你的最小流量是8/3M,最大流量是8M(當跟你同一群組另外兩條線沒用時)

再來我們40間套房那曾用過台固的光纖記得好像是E1--結論是學生很滿意--可是費用不便宜--就一條線不用負載衡--只需一個頻寬管理器就搞定--每戶每月收400剛好付外線錢

我目前因為中華電信已在我宿舍附近增設機房所以我外線改成8M*2--用聯網E晶片SE版2 WAN得軟體路由器作頻寬管理--網路很穩連開好幾個月都不會當機--可是因為外線似乎不太夠所以偶爾會有學生反應頻寬不足--目前每戶月收300--我還賺一點

最後說說頻寬管理器我從6000多的設備買到20000多的設備可以說都被我的同學給打敗--他們用P2P的軟體實在太普遍了--所以市售的頻寬管理器幾乎都被我的同學打敗
--作後被我用了聯網E晶片SE版2 WAN+一台P3的PC搞定了--這個軟體路由器很好用可以設定每個用戶的上船下載頻寬--還可以做負載頻衡--最重要的是它可以做L7封包過濾--進而限制lan端所有p2p的總合頻寬這樣才不會因為有人使用p2p的軟體而使其他人的網路龜速--還有一個好處當硬體效能不夠時一般的設備就要整台換屆時又是一筆錢了--用聯網E晶片很容易可以自己升級換主機板換cpu或是增加ram都是自己可以做的

依我經驗100個用戶---用聯網e晶片加4條8m的外線應可以搞定

※有人提到BM26了,那我就大大說明一下.
　眾至BM系列、友旺BM系列、外銷機FW613等的上游
　〔新軟〕http://www.nusoft.com.tw/

　下次更精采...............待續


期待needmaster的比較文章

^^

QoS時代似乎我沒有缺席 !!

期待needmaster的比較文章

^^

QoS時代似乎我沒有缺席 !!

門神兄

在下知道您是這行的前輩了,這幾台您幾乎最熟悉不過了.
至於BM26.BM200,FW613對小企業還可以使用的不錯啦.
不過說真的也應該淘汰了.

新產品也越來越多.CPU的等級一直往上提昇.
大家應該往一些新產品去找尋.
不過敝人對於CPU在IXP533以下硬體設備多不考量了.
如果是使用在企業仍然能夠應付有餘.
若是使用在社區.宿舍等方面會有點應付不足之憾.

門神兄

在下知道您是這行的前輩了,這幾台您幾乎最熟悉不過了.
至於BM26.BM200,FW613對小企業還可以使用的不錯啦.
不過說真的也應該淘汰了.
.................

別這麼說 !!

跟Needmaster相識當初也是為技術爭執而起

真是所謂的不打不相識

設備重要的真的是要會用 , 還有注意他的Loading大小

淘不淘汰 , 我無能力去評論

因為我竟然還看見我以前賣的產品IP3020還在服役(六 , 七年了吧 !!)

我不知道是該感動還是..........................

我以前的資料庫都被毀了

不然我還在想要不要把Support做成資料庫

讓他們還可以找的到資料!! ^^

我很期待Needmaster接下來要為我們這些新手所發表的文章..:D