Уважаемый All
Вопрос по организации "точки доступа" в сеть интернет.
[b]Исходные данные:[/b]
- 1 прокси сервер squid (под FreeBSD);
- 1 компьютер под Линукс;
- 5-10 пользователей (все работают в сети Интернет на единстрвенной линуксовой машине).
[b]Требуется:[/b]
- организовать учет трафика каждого пользователя в одельности
- по возможности ограничить трафик сверх лимита
[b]Вопрос:[/b]
- Как это все лучше организовать, интересуют название программ и рекомендации по их настройке.
zlidnevan: Учет трафика пользователей под Linux
5-10 пользователей работают за одним компом ? под разными хоть акаунтами ?
да тут главное при всем этом определится по каким критериям надо считать трафик тут 2 варианта по юзерам или по компам, и исходя из этого уже нумать о реализации.
[quote=bo[e]ss]да тут главное при всем этом определится по каким критериям надо считать трафик тут 2 варианта по юзерам или по компам, и исходя из этого уже нумать о реализации.[/quote]
Я так понял из исходно вопроса, что считаеться по юзерам, следовательно надо просто поднять авторизацию на сквиде и считать там....
[quote=frug]5-10 пользователей работают за одним компом ?[/quote]Да за 1 - линуксовым
[quote=frug]под разными хоть акаунтами ?[/quote]у каждого свой аккуант
А в этом случае можно (если конечно без усилий) только по логам сквида и считать, поскольку IP адрес у юзеров один и считать можно только по логам по логину, судя по тому, что машина одна (только вот не понятно, они там че по-очереди сидят? Или же терминальный сервер какой?). Если в разное время, то можно и IP им менять при каждом входе.
Можно в принципе построить UML Linux (User Mode Linux) c отдельным VPN'ом для каждого и в этом случае будут тогда разные адреса. И тогда учет можно как угодно вести, но в этом случае возрастают системные требования к Линуксовой машине, и появляется сложность в настройке.
[quote=edge]А в этом случае можно (если конечно без усилий) только по логам сквида и считать, поскольку IP адрес у юзеров один и считать можно только по логам по логину, судя по тому, что машина одна[/quote]Пока все к этому и идет [quote=edge](только вот не понятно, они там че по-очереди сидят? Или же терминальный сервер какой?).[/quote]Сидят по очереди. т.к. раздавать инет по локалке запрещено :(, безопасность, однако.
[quote=edge]Если в разное время, то можно и IP им менять при каждом входе. [/quote]А вот это надо будет попробовать ;)
[quote=edge]Можно в принципе построить UML Linux (User Mode Linux) c отдельным VPN'ом для каждого и в этом случае будут тогда разные адреса. И тогда учет можно как угодно вести, но в этом случае возрастают системные требования к Линуксовой машине, и появляется сложность в настройке.[/quote]Этот вариант тоже возможен, но в самом крайнем случае.
Ничего себе безопасность однако....
А что линуксовая машина к локалке не подключена ? И зачем тогда ещё и шлюз на FreeBSD ? ( хотя быть может и нужен.. мало ли чего )
[quote=zlidnevan]Сидят по очереди. т.к. раздавать инет по локалке запрещено :(, безопасность, однако.[/quote]
это не безопасность, это пионерство..
сложно терминальный сервер сделать?
А на мой взгляд - это не пионерство, а паранойя %)
[quote=frug]Ничего себе безопасность однако....
А что линуксовая машина к локалке не подключена ?[/quote]Нет не подключена.
Прокси, Линуксовая машина и еще несколько машин выделены в отдельную сеть [quote=frug]И зачем тогда ещё и шлюз на FreeBSD ? ( хотя быть может и нужен.. мало ли чего )[/quote] Через этот шлюз работает еще несколько машин и на squid'eуже ведется подсчет статистики для них.
А насчет безопасности это не параноя - это Сбербанк :-) и не мне менять разработанные инструкции.
[quote=zlidnevan]
А насчет безопасности это не параноя - это Сбербанк :-) и не мне менять разработанные инструкции. [/quote]
А кому? Как показывает практика, кроме админа, в таких организациях начальников и некому на место ставить. Тут вот уже который год наблюдаю картину, как практически все коммерческие банки банкоматы к интернету подключают. Смотрю и удивляюсь. А все почему? Потому что строго исполняют разработанные инструкции, написанные отставными полковниками..
[ Редактирование 19.12.2006 - 22:35:39 ]
[quote=zlidnevan]Уважаемый All
Вопрос по организации "точки доступа" в сеть интернет.
...
[b]Требуется:[/b]
- организовать учет трафика каждого пользователя в одельности
- по возможности ограничить трафик сверх лимита
...
[/quote]
1. [link=http://stc.nixdev.org/ ]STC [/link] --- squid+squidGuard+sarg+набор CGI-скриптов для обсчета, управления и отображения статистики по пользователям.
2. [link=http://netams.com/ ]NeTAMS[/link] --- программа по учету и управлению IP-трафиком для маршрутизаторов Cisco или компьютеров под управлением Unix (Linux/FreeBSD/Solaris).
И та и другая программы умеют учитывать и ограничивать трафик по пользователям.
STC настраивается по прилагаемой инструкции. Надо хорошо понять принцип её действия и быть внимательм при выставлении прав на каталоги и файлы, используемых STC.
Для NeTAMS необходим MySQL для хранения данных о трафике. Для новичков в сетях и *NIX-системах сложновата, но очень хорошо документирована, хорошая поддержка в форуме на сайте разработчика.
Всё хорошо, только не учитывается одно, что мимо сквида куча всего ходит.
Одним http интернет не ограничивается.
[quote=edge]
А кому? Как показывает практика, кроме админа, в таких организациях начальников и некому на место ставить[b]. Тут вот уже который год наблюдаю картину, как практически все коммерческие банки банкоматы к интернету подключают. Смотрю и удивляюсь.[/b] А все почему? Потому что строго исполняют разработанные инструкции, написанные отставными полковниками..
<span class='smallblacktext'>[ Редактирование 19.12.2006 - 22:35:39 ]</span>[/quote]
и чего в этом такого удивительного?
[quote=sl1m]
и чего в этом такого удивительного?[/quote]
Действительно. Вы видимо из тех админов..
[ Редактирование 20.12.2006 - 16:45:36 ]
понятно.. а понятие впн/ипсек вам знакомо?
[quote=sl1m]понятно.. а понятие впн/ипсек вам знакомо?[/quote]
И давно у нас IPSec сертифицирован?
сертифицируется не технология криптования, а используемые алгоритмы..
ipsec в частности, использующий алгоритм 3des, пока не сертифицирован, но предпринимаются определенные действия,
после НГ будет видно, как долго осталось ждать, когда cisco_ipsec_3des_sha_hmac, можно будет использовать в качетсве госта крипто систем в РФ..
[quote=sl1m]понятно.. а понятие впн/ипсек вам знакомо?[/quote]
Нам знакомо более того, что вы себе представляете. А вам знакомо, что CISCO systems не утруждает себя обязательствами того, что IOS, который вы используете для защиты своих дюже криптованных (на ваш взгляд) цисок, будет служить вам безпрекословно, исключая возможность ошибок программиста, который их создал? Я на своем веку работу с разными моделями этих устройств, насмотрелся на кучу уязвимостей в этих устройствах, а вы господин администратор, доверяете им ДЕНЬГИ!, которые может сп...ть каждый желающий, который будет не ленив найти багу в софте ваших (или ихних) устройств? Ваш IPSec туннель, который вы создаете, будуче уверенным в незыбленности вашей безопасности, создается поверх уже состоявшегося соединения. Этим туннелем вы всего лишь криптуете свои данные, которые передаются от вашего банкомата здесь, до московского оффиса. Да, этим вы обеспечите 90% защиту своих данных от перехвата/расшифровки, но прямой атаки на ваш банкомат, ваша цисковая хрень может и не выдержать.
Так что, я продолжаю удивляться админам, которые доверяют банкомат Интернету, но требуют повышеннной секретности от своих сотрудников, сажая их по очереди за один комп..
[ Редактирование 21.12.2006 - 18:52:57 ]
2edge: без обид, но какую-то глупость написали.. предлагаю открыть новый трид, и продолжить обсуждение, если вам интересно..
[quote=sl1m]2edge: без обид, но какую-то глупость написали.. предлагаю открыть новый трид, и продолжить обсуждение, если вам интересно..[/quote]
Без обид. Админь дальше, без обсуждений. А я посмотрю со стороны..
Вопрос - а никто не сталкивался с учетом трафика в зависимости от времени? Потому как нужно раздать спутниковый интернет, а там использутся временная сетка. У кого какие предложения? Пока что был написан скрипт, который парсит логи в базу и потом уже серией запросов выводит трафик по конкретному юзеру. Но отладить до конца что-то не получается. Поэтм вопрос - может уже есть готовое решение, чтобы не изобретать в очередной раз велосипед.
З.Ы. А тут нет уведомления об ответе на почту?
[quote=duran]Вопрос - а никто не сталкивался с учетом трафика в зависимости от времени?[/quote]
[link=http://www.netams.com/ ]NeTAMS[/link]
Вот ещё чего накопал:
[link=http://sbilling.ru]SUB Billing[/link]
[link=http://nibs.net.ua/doc.php]NIBS (Neon Internet Billing System)[/link]
[link=http://www.sisd.com/freeside/]FreeSide[/link]
[link=http://sourceforge.net/projects/abill/]abill[/link]
[link=http://nitpicker.de/]Nitpicker[/link]
<span class='smallblacktext'>[ Редактирование 28.01.2007 - 16:06:00 ]</span>
nibs не развивается, после него многие перешли на cake..
Последние комментарии
10 лет 1 неделя назад
10 лет 20 недель назад
10 лет 30 недель назад
10 лет 31 неделя назад
11 лет 20 недель назад
11 лет 20 недель назад
11 лет 20 недель назад
11 лет 21 неделя назад
11 лет 21 неделя назад
11 лет 22 недели назад