zlidnevan: Учет трафика пользователей под Linux

27 сообщений / 0 new
Последнее сообщение
Гость
zlidnevan: Учет трафика пользователей под Linux

Уважаемый All
Вопрос по организации "точки доступа" в сеть интернет.
[b]Исходные данные:[/b]
- 1 прокси сервер squid (под FreeBSD);
- 1 компьютер под Линукс;
- 5-10 пользователей (все работают в сети Интернет на единстрвенной линуксовой машине).
[b]Требуется:[/b]
- организовать учет трафика каждого пользователя в одельности
- по возможности ограничить трафик сверх лимита
[b]Вопрос:[/b]
- Как это все лучше организовать, интересуют название программ и рекомендации по их настройке.

frug (не проверено)

5-10 пользователей работают за одним компом ? под разными хоть акаунтами ?

bo[e]ss (не проверено)

да тут главное при всем этом определится по каким критериям надо считать трафик тут 2 варианта по юзерам или по компам, и исходя из этого уже нумать о реализации.

John
Аватар пользователя John
Не в сети
Зарегистрирован: 20/09/2010

[quote=bo[e]ss]да тут главное при всем этом определится по каким критериям надо считать трафик тут 2 варианта по юзерам или по компам, и исходя из этого уже нумать о реализации.[/quote]

Я так понял из исходно вопроса, что считаеться по юзерам, следовательно надо просто поднять авторизацию на сквиде и считать там....

zlidnevan (не проверено)

[quote=frug]5-10 пользователей работают за одним компом ?[/quote]Да за 1 - линуксовым
[quote=frug]под разными хоть акаунтами ?[/quote]у каждого свой аккуант

edge (не проверено)

А в этом случае можно (если конечно без усилий) только по логам сквида и считать, поскольку IP адрес у юзеров один и считать можно только по логам по логину, судя по тому, что машина одна (только вот не понятно, они там че по-очереди сидят? Или же терминальный сервер какой?). Если в разное время, то можно и IP им менять при каждом входе.
Можно в принципе построить UML Linux (User Mode Linux) c отдельным VPN'ом для каждого и в этом случае будут тогда разные адреса. И тогда учет можно как угодно вести, но в этом случае возрастают системные требования к Линуксовой машине, и появляется сложность в настройке.

zlidnevan (не проверено)

[quote=edge]А в этом случае можно (если конечно без усилий) только по логам сквида и считать, поскольку IP адрес у юзеров один и считать можно только по логам по логину, судя по тому, что машина одна[/quote]Пока все к этому и идет [quote=edge](только вот не понятно, они там че по-очереди сидят? Или же терминальный сервер какой?).[/quote]Сидят по очереди. т.к. раздавать инет по локалке запрещено :(, безопасность, однако.
[quote=edge]Если в разное время, то можно и IP им менять при каждом входе. [/quote]А вот это надо будет попробовать ;)
[quote=edge]Можно в принципе построить UML Linux (User Mode Linux) c отдельным VPN'ом для каждого и в этом случае будут тогда разные адреса. И тогда учет можно как угодно вести, но в этом случае возрастают системные требования к Линуксовой машине, и появляется сложность в настройке.[/quote]Этот вариант тоже возможен, но в самом крайнем случае.

frug (не проверено)

Ничего себе безопасность однако....
А что линуксовая машина к локалке не подключена ? И зачем тогда ещё и шлюз на FreeBSD ? ( хотя быть может и нужен.. мало ли чего )

sl1m (не проверено)

[quote=zlidnevan]Сидят по очереди. т.к. раздавать инет по локалке запрещено :(, безопасность, однако.[/quote]
это не безопасность, это пионерство..
сложно терминальный сервер сделать?

frug (не проверено)

А на мой взгляд - это не пионерство, а паранойя %)

zlidnevan (не проверено)

[quote=frug]Ничего себе безопасность однако....
А что линуксовая машина к локалке не подключена ?[/quote]Нет не подключена.
Прокси, Линуксовая машина и еще несколько машин выделены в отдельную сеть [quote=frug]И зачем тогда ещё и шлюз на FreeBSD ? ( хотя быть может и нужен.. мало ли чего )[/quote] Через этот шлюз работает еще несколько машин и на squid'eуже ведется подсчет статистики для них.
А насчет безопасности это не параноя - это Сбербанк :-) и не мне менять разработанные инструкции.

edge (не проверено)

[quote=zlidnevan]
А насчет безопасности это не параноя - это Сбербанк :-) и не мне менять разработанные инструкции. [/quote]

А кому? Как показывает практика, кроме админа, в таких организациях начальников и некому на место ставить. Тут вот уже который год наблюдаю картину, как практически все коммерческие банки банкоматы к интернету подключают. Смотрю и удивляюсь. А все почему? Потому что строго исполняют разработанные инструкции, написанные отставными полковниками..

[ Редактирование 19.12.2006 - 22:35:39 ]

cin
Не в сети
Зарегистрирован: 21/09/2010

[quote=zlidnevan]Уважаемый All
Вопрос по организации "точки доступа" в сеть интернет.
...
[b]Требуется:[/b]
- организовать учет трафика каждого пользователя в одельности
- по возможности ограничить трафик сверх лимита
...
[/quote]
1. [link=http://stc.nixdev.org/ ]STC [/link] --- squid+squidGuard+sarg+набор CGI-скриптов для обсчета, управления и отображения статистики по пользователям.
2. [link=http://netams.com/ ]NeTAMS[/link] --- программа по учету и управлению IP-трафиком для маршрутизаторов Cisco или компьютеров под управлением Unix (Linux/FreeBSD/Solaris).

И та и другая программы умеют учитывать и ограничивать трафик по пользователям.

STC настраивается по прилагаемой инструкции. Надо хорошо понять принцип её действия и быть внимательм при выставлении прав на каталоги и файлы, используемых STC.

Для NeTAMS необходим MySQL для хранения данных о трафике. Для новичков в сетях и *NIX-системах сложновата, но очень хорошо документирована, хорошая поддержка в форуме на сайте разработчика.

Vitls
Аватар пользователя Vitls
Не в сети
Зарегистрирован: 21/09/2010

Всё хорошо, только не учитывается одно, что мимо сквида куча всего ходит.
Одним http интернет не ограничивается.

Дело не в том как болезнь вылечить.
Дело в том как других заразить.

sl1m (не проверено)

[quote=edge]
А кому? Как показывает практика, кроме админа, в таких организациях начальников и некому на место ставить[b]. Тут вот уже который год наблюдаю картину, как практически все коммерческие банки банкоматы к интернету подключают. Смотрю и удивляюсь.[/b] А все почему? Потому что строго исполняют разработанные инструкции, написанные отставными полковниками..

<span class='smallblacktext'>[ Редактирование 19.12.2006 - 22:35:39 ]</span>[/quote]
и чего в этом такого удивительного?

edge (не проверено)

[quote=sl1m]
и чего в этом такого удивительного?[/quote]

Действительно. Вы видимо из тех админов..

[ Редактирование 20.12.2006 - 16:45:36 ]

sl1m (не проверено)

понятно.. а понятие впн/ипсек вам знакомо?

Nick
Не в сети
Зарегистрирован: 20/09/2010

[quote=sl1m]понятно.. а понятие впн/ипсек вам знакомо?[/quote]

И давно у нас IPSec сертифицирован?

sl1m (не проверено)

сертифицируется не технология криптования, а используемые алгоритмы..
ipsec в частности, использующий алгоритм 3des, пока не сертифицирован, но предпринимаются определенные действия,
после НГ будет видно, как долго осталось ждать, когда cisco_ipsec_3des_sha_hmac, можно будет использовать в качетсве госта крипто систем в РФ..

edge (не проверено)

[quote=sl1m]понятно.. а понятие впн/ипсек вам знакомо?[/quote]

Нам знакомо более того, что вы себе представляете. А вам знакомо, что CISCO systems не утруждает себя обязательствами того, что IOS, который вы используете для защиты своих дюже криптованных (на ваш взгляд) цисок, будет служить вам безпрекословно, исключая возможность ошибок программиста, который их создал? Я на своем веку работу с разными моделями этих устройств, насмотрелся на кучу уязвимостей в этих устройствах, а вы господин администратор, доверяете им ДЕНЬГИ!, которые может сп...ть каждый желающий, который будет не ленив найти багу в софте ваших (или ихних) устройств? Ваш IPSec туннель, который вы создаете, будуче уверенным в незыбленности вашей безопасности, создается поверх уже состоявшегося соединения. Этим туннелем вы всего лишь криптуете свои данные, которые передаются от вашего банкомата здесь, до московского оффиса. Да, этим вы обеспечите 90% защиту своих данных от перехвата/расшифровки, но прямой атаки на ваш банкомат, ваша цисковая хрень может и не выдержать.
Так что, я продолжаю удивляться админам, которые доверяют банкомат Интернету, но требуют повышеннной секретности от своих сотрудников, сажая их по очереди за один комп..

[ Редактирование 21.12.2006 - 18:52:57 ]

sl1m (не проверено)

2edge: без обид, но какую-то глупость написали.. предлагаю открыть новый трид, и продолжить обсуждение, если вам интересно..

edge (не проверено)

[quote=sl1m]2edge: без обид, но какую-то глупость написали.. предлагаю открыть новый трид, и продолжить обсуждение, если вам интересно..[/quote]

Без обид. Админь дальше, без обсуждений. А я посмотрю со стороны..

duran (не проверено)

Вопрос - а никто не сталкивался с учетом трафика в зависимости от времени? Потому как нужно раздать спутниковый интернет, а там использутся временная сетка. У кого какие предложения? Пока что был написан скрипт, который парсит логи в базу и потом уже серией запросов выводит трафик по конкретному юзеру. Но отладить до конца что-то не получается. Поэтм вопрос - может уже есть готовое решение, чтобы не изобретать в очередной раз велосипед.
З.Ы. А тут нет уведомления об ответе на почту?

cin
Не в сети
Зарегистрирован: 21/09/2010

[quote=duran]Вопрос - а никто не сталкивался с учетом трафика в зависимости от времени?[/quote]

[link=http://www.netams.com/ ]NeTAMS[/link]

sl1m (не проверено)

2duran:
http://www.opennet.ru/docs/RUS/netramet/

frug (не проверено)

Вот ещё чего накопал:
[link=http://sbilling.ru]SUB Billing[/link]
[link=http://nibs.net.ua/doc.php]NIBS (Neon Internet Billing System)[/link]
[link=http://www.sisd.com/freeside/]FreeSide[/link]
[link=http://sourceforge.net/projects/abill/]abill[/link]
[link=http://nitpicker.de/]Nitpicker[/link]

<span class='smallblacktext'>[ Редактирование 28.01.2007 - 16:06:00 ]</span>

maax (не проверено)

nibs не развивается, после него многие перешли на cake..

RSS-материал