为小型会议或会议提供非常有限的开放 WiFi 时要过滤什么？

Question

执行摘要

基本问题是：如果你有一个带宽非常有限的 WiFi 来为只有一两天的小型会议提供互联网，你如何在路由器上设置过滤器来避免一两个用户独占所有可用带宽？

对于没有时间阅读以下详细信息的人，我不是在寻找以下任何答案：

• 保护路由器，只让少数受信任的人使用它
• 告诉每个人关闭未使用的服务并通常自我监管
• 使用嗅探器监控流量并根据需要添加过滤器

我知道这一切。没有一个是合适的，原因将变得清楚。

另请注意：这里已经存在一个问题，即在大型（> 500 名与会者）会议中提供足够的 WiFi。这个问题涉及少于 200 人的小型会议，通常使用 WiFi 的人数不到一半。可以用单个家庭或小型办公室路由器处理的东西。

背景

我过去曾使用 3G/4G 路由器设备为小型会议提供 WiFi，并取得了一些成功。我所说的小型会议是指单间会议或按barcamp或Skepticamp或用户组会议的顺序召开的会议。这些会议有时会有技术人员参加，但并非完全如此。通常只有不到一半到三分之一的与会者会实际使用 WiFi。我所说的最大会议规模是 100 到 200 人。

我通常使用Cradlepoint MBR-1000，但还有许多其他设备，尤其是由 Verizon、Sprint 和 Clear 等 3G 和/或 4G 供应商提供的多合一设备。这些设备需要 3G 或 4G 互联网连接，并使用 WiFi 将其分发给多个用户。

以这种方式提供网络访问的一个关键方面是 3G/4G 上可用的带宽有限。即使使用像 Cradlepoint 这样可以对多个无线电进行负载平衡的东西，您也只能达到几兆位的下载速度，甚至可能达到几兆位左右的上传速度。这是最好的情况。通常它要慢得多。

大多数这些会议情况的目标是允许人们访问电子邮件、网络、社交媒体、聊天服务等服务。这样他们就可以在会议进行时实时博客或实时推特会议，或者只是在线聊天或以其他方式保持联系（与与会者和非与会者）。我想将路由器提供的服务限制为满足这些需求的服务。

问题

特别是我注意到一些场景，其中特定用户最终会滥用路由器上的大部分带宽，从而损害每个人的利益。这些归结为两个方面：

• 有意使用。人们观看 YouTube 视频、将播客下载到他们的 iPod，以及将带宽用于在会议室中确实不合适的事情，在那里您应该注意演讲者和/或互动。
  
  在我们通过 UStream 直播（通过单独的专用连接）的一次会议上，我注意到房间里有几个人打开了 UStream 页面，以便他们可以与会议聊天进行交互——显然他们没有意识到他们在浪费带宽流正在他们面前发生的事情的背景视频。

• 无意使用。有各种各样的软件实用程序将在后台广泛使用带宽，人们经常安装在他们的笔记本电脑和智能手机上，也许没有意识到。
  
  例子：

• 点对点下载程序，例如在后台运行的 Bittorrent

• 自动软件更新服务。这些都是大量的，因为每个主要的软件供应商都有自己的，所以很容易让微软、苹果、Mozilla、Adobe、谷歌和其他人都试图在后台下载更新。

• 下载新签名的安全软件，如防病毒、反恶意软件等。

• 备份软件和其他在后台“同步”到云服务的软件。

有关这些非网络、非电子邮件类型服务占用多少网络带宽的一些数字，请查看最近的《连线》文章。显然，网络、电子邮件和聊天现在还不到互联网流量的四分之一。如果那篇文章中的数字是正确的，通过过滤掉所有其他东西，我应该能够将 WiFi 的实用性提高四倍。

现在，在某些情况下，我已经能够使用路由器上的安全性来控制访问，以将其限制为极少数人（通常是会议的组织者）。但这并不总是合适的。在即将召开的会议上，我想在没有安全保护的情况下运行 WiFi 并让任何人使用它，因为它发生在会议地点，我所在城镇的 4G 覆盖特别好。在最近的一次测试中，我在会议现场降低了 10 兆比特。

上面提到的“告诉人们自我监管”解决方案并不合适，因为 (a) 大部分是非技术性的受众，以及 (b) 如上所述的大部分用法都是无意的。

“根据需要运行嗅探器和过滤器”解决方案没有用，因为这些会议通常只持续几天，通常只有一天，而且志愿者人数很少。我没有人专门负责网络监控，等到我们完全调整规则时，会议就结束了。

我有什么

首先，我想我会使用OpenDNS 的域过滤规则来过滤掉整类站点。使用此功能可以清除许多视频和点对点站点。（是的，我知道通过 DNS 过滤在技术上使服务可以访问 - 请记住，这些主要是参加为期 2 天的会议的非技术用户。这就足够了）。我想我会从 OpenDNS 的 UI 中的这些选择开始：

我想我可能还会阻止 DNS（端口 53）到路由器本身以外的任何东西，这样人们就无法绕过我的 DNS 配置。精明的用户可以解决这个问题，因为我不会在防火墙上放置很多精心设计的过滤器，但我不太在意。因为这些会议不会持续很长时间，所以可能不值得麻烦。

如果有线文章是正确的，这应该涵盖大部分非网络流量，即点对点和视频。如果您认为 OpenDNS 方法存在严重限制，请告知。

我需要的

请注意，OpenDNS 专注于在某些情况下“令人反感”的事情。视频、音乐、广播和点对点都得到了覆盖。我仍然需要涵盖一些我们只想阻止的完全合理的事情，因为在会议中不需要它们。其中大部分是在后台上传或下载合法内容的实用程序。

具体来说，我想知道要过滤的端口号或 DNS 名称，以有效禁用以下服务：

• 微软自动更新
• 苹果自动更新
• Adobe 自动更新
• 谷歌自动更新
• 其他主要软件更新服务
• 主要病毒/恶意软件/安全签名更新
• 主要后台备份服务
• 其他在后台运行并且会占用大量带宽的服务

我还希望您有任何其他适用的建议。

很抱歉这么冗长，但我发现对这种性质的问题非常非常清楚是有帮助的，而且我已经有了关于 OpenDNS 的半个解决方案。

Answer 1

首先，任何一台 wifi 路由器实际上只能用于大约 60 个左右的连接，因此最坏的情况是“不到 200 人，其中不到一半使用 wifi”（99 个用户）可能仍然需要至少一台路由器。

其次，您应该研究流量整形...理想情况下，您希望为内部的每个 IP 提供相同的保证最小带宽，并让它们争夺额外的带宽...这样就没有人会被排除在外，但任何人仍然可以爆满容量。