Учет трафика

На доскональное знание данной темы, не может претендовать, пожалуй ни один спец, из ныне живущих на земле. ;-)
Так поможем друг другу.

Модераторы: Trinity admin`s, Free-lance moderator`s

Ответить
Аватара пользователя
TOPтыгин
Advanced member
Сообщения: 102
Зарегистрирован: 21 янв 2004, 10:29
Откуда: Барнаул
Контактная информация:

Учет трафика

Сообщение TOPтыгин » 12 мар 2004, 10:16

Подскажите как ограничить использование трафика сотрудниками. На сегодняшний момнет стот TA Billing, но он не совсем подходит так как не считает самую большую заразу squid :). Так вот что у меня есть:
ASP Linux, Squid + transparent, NAT, Sendmail. Я хочу учитывать суммарный трафик по всем этим вещам и отключать (причем даже на середине файла) за превышение.

PS: Про файл был реальный инцидент. Один из пользователей возпользовался тем что у меня считалка по squid'у запускается помоему раз в 2-3 часа, выкачал 1 файлик объемом около 1 Гб. А это месяный расход всехй конторы за месяц. :roll:

Аватара пользователя
setar
Site Admin
Site Admin
Сообщения: 1984
Зарегистрирован: 22 авг 2002, 12:03
Откуда: St. Petersburg

Сообщение setar » 12 мар 2004, 10:41

Есть на примете несколько пакетов:
бесплатные
http://www.netams.com/index-rus.html
http://traflinux.sourceforge.net

и коммерческий продукт
http://www.netup.ru


Все эти продукты требуют достаточно серьёзного знания linux чтобы поставить на ядро специальный патч продвинутого роутинга (patch-o-matic http://www.netfilter.org/)
Но после установки дают весьма исчерпываюoe. информацию по любым трафикам (интерфейсы, группы ip, протоколы и т.д.).

Аватара пользователя
TOPтыгин
Advanced member
Сообщения: 102
Зарегистрирован: 21 янв 2004, 10:29
Откуда: Барнаул
Контактная информация:

Сообщение TOPтыгин » 12 мар 2004, 10:48

Спасибо гляну. Надеюсь знаний хватит ... :lol: если нет то приду сюда черпать :lol:

Аватара пользователя
dga
member
Сообщения: 23
Зарегистрирован: 09 дек 2003, 12:53
Откуда: Ялта, Крым
Контактная информация:

Re:

Сообщение dga » 23 мар 2004, 14:40

А вот у меня другая проблемка - юзвери которые постоянных машин (и айпишников) не имеют. Как им траффик считать? Ну понятно, со сквидом проблем немного, а вот все остальное как? И желательно чтобы их также вот, на лету рубало...
/dga

Аватара пользователя
art
free-lance moderator
Сообщения: 653
Зарегистрирован: 15 май 2003, 11:25
Откуда: SPb

Re:

Сообщение art » 23 мар 2004, 16:06

dga писал(а):А вот у меня другая проблемка - юзвери которые постоянных машин (и айпишников) не имеют. Как им траффик считать? Ну понятно, со сквидом проблем немного, а вот все остальное как? И желательно чтобы их также вот, на лету рубало...
1) принудительно VPN на всех, через NAT пускать только тех, кто зашел с VPN
2) закрыть прямой доступ, и всех - на сквид.

втрое, IMHO, самое правильное с точки зрения безопасности.
И method CONNECT разрешить тольку кому следует и КУДА следует.
И max http request size ограничить.

Не приходит в голову, что может быть нужно по работе, но не работает через SQUID.

Аватара пользователя
TOPтыгин
Advanced member
Сообщения: 102
Зарегистрирован: 21 янв 2004, 10:29
Откуда: Барнаул
Контактная информация:

Сообщение TOPтыгин » 23 мар 2004, 16:22

Ну хорошо http, ftp я на сквида заверну не проблема хотя ftp рабоотает через .... А вот все остальное ... ICQ (для работы нужно), RealMedia и т.д. :roll:

Аватара пользователя
dga
member
Сообщения: 23
Зарегистрирован: 09 дек 2003, 12:53
Откуда: Ялта, Крым
Контактная информация:

Re:

Сообщение dga » 23 мар 2004, 19:45

Угу, а у меня один гаврик за чем-то там ссашем к буржуям ходит (и ведь по работе!) как с ним быть? То есть с "фиксированными" пользователями проблем нету, а вот "бродяги"... :(
/dga

Аватара пользователя
art
free-lance moderator
Сообщения: 653
Зарегистрирован: 15 май 2003, 11:25
Откуда: SPb

Сообщение art » 23 мар 2004, 21:10

TOPтыгин писал(а):Ну хорошо http, ftp я на сквида заверну не проблема хотя ftp рабоотает через .... А вот все остальное ... ICQ (для работы
ICQ отлично работает через SQUID
TOPтыгин писал(а): нужно), RealMedia и т.д. :roll:
точно также.
Заодно закроете популярные средства для руления троянами, а именно

acl CONNECT method CONNECT
acl SSL_ports port 443 9100
acl HOST_TO_CONNECT_ALLOW dstdomain www.spb.mts.ru www.YourBank.com

http_access deny CONNECT !HOST_TO_CONNECT_ALLOW !SSL_ports

у меня в сети на 50 человек метод CONNECT нужен только для просмотра баланса телефона и работы с банком. Все остальное - от лукавого.

dga писал(а):Угу, а у меня один гаврик за чем-то там ссашем к буржуям ходит (и ведь по работе!) как с ним быть? То есть с "фиксированными" пользователями проблем нету, а вот "бродяги"... :(
Не думаю, что по работе ему нужен доступ с любого IP.
Опять таки, если по работе, то ходит на определенный набор серверов.
Прописать на fw и порядок. Остается шанс, что на этих хостах у буржуев он настроит прокси и станет через них таскать, но это легко обнаружить и наказать. Да и буржуйские админы за такое накажут.

По любому, возможность изнутри LAN установить коннект с любым хостом в интеренет по любому протоколу, рано или поздно очень плохо кончается.

Ответить

Вернуться в «Серверы - ПО, Unix подобные системы»