Учет трафика
Модераторы: Trinity admin`s, Free-lance moderator`s
- TOPтыгин
- Advanced member
- Сообщения: 102
- Зарегистрирован: 21 янв 2004, 10:29
- Откуда: Барнаул
- Контактная информация:
Учет трафика
Подскажите как ограничить использование трафика сотрудниками. На сегодняшний момнет стот TA Billing, но он не совсем подходит так как не считает самую большую заразу squid . Так вот что у меня есть:
ASP Linux, Squid + transparent, NAT, Sendmail. Я хочу учитывать суммарный трафик по всем этим вещам и отключать (причем даже на середине файла) за превышение.
PS: Про файл был реальный инцидент. Один из пользователей возпользовался тем что у меня считалка по squid'у запускается помоему раз в 2-3 часа, выкачал 1 файлик объемом около 1 Гб. А это месяный расход всехй конторы за месяц.
ASP Linux, Squid + transparent, NAT, Sendmail. Я хочу учитывать суммарный трафик по всем этим вещам и отключать (причем даже на середине файла) за превышение.
PS: Про файл был реальный инцидент. Один из пользователей возпользовался тем что у меня считалка по squid'у запускается помоему раз в 2-3 часа, выкачал 1 файлик объемом около 1 Гб. А это месяный расход всехй конторы за месяц.
Есть на примете несколько пакетов:
бесплатные
http://www.netams.com/index-rus.html
http://traflinux.sourceforge.net
и коммерческий продукт
http://www.netup.ru
Все эти продукты требуют достаточно серьёзного знания linux чтобы поставить на ядро специальный патч продвинутого роутинга (patch-o-matic http://www.netfilter.org/)
Но после установки дают весьма исчерпываюoe. информацию по любым трафикам (интерфейсы, группы ip, протоколы и т.д.).
бесплатные
http://www.netams.com/index-rus.html
http://traflinux.sourceforge.net
и коммерческий продукт
http://www.netup.ru
Все эти продукты требуют достаточно серьёзного знания linux чтобы поставить на ядро специальный патч продвинутого роутинга (patch-o-matic http://www.netfilter.org/)
Но после установки дают весьма исчерпываюoe. информацию по любым трафикам (интерфейсы, группы ip, протоколы и т.д.).
- dga
- member
- Сообщения: 23
- Зарегистрирован: 09 дек 2003, 12:53
- Откуда: Ялта, Крым
- Контактная информация:
Re:
А вот у меня другая проблемка - юзвери которые постоянных машин (и айпишников) не имеют. Как им траффик считать? Ну понятно, со сквидом проблем немного, а вот все остальное как? И желательно чтобы их также вот, на лету рубало...
/dga
Re:
1) принудительно VPN на всех, через NAT пускать только тех, кто зашел с VPNdga писал(а):А вот у меня другая проблемка - юзвери которые постоянных машин (и айпишников) не имеют. Как им траффик считать? Ну понятно, со сквидом проблем немного, а вот все остальное как? И желательно чтобы их также вот, на лету рубало...
2) закрыть прямой доступ, и всех - на сквид.
втрое, IMHO, самое правильное с точки зрения безопасности.
И method CONNECT разрешить тольку кому следует и КУДА следует.
И max http request size ограничить.
Не приходит в голову, что может быть нужно по работе, но не работает через SQUID.
ICQ отлично работает через SQUIDTOPтыгин писал(а):Ну хорошо http, ftp я на сквида заверну не проблема хотя ftp рабоотает через .... А вот все остальное ... ICQ (для работы
точно также.TOPтыгин писал(а): нужно), RealMedia и т.д.
Заодно закроете популярные средства для руления троянами, а именно
acl CONNECT method CONNECT
acl SSL_ports port 443 9100
acl HOST_TO_CONNECT_ALLOW dstdomain www.spb.mts.ru www.YourBank.com
http_access deny CONNECT !HOST_TO_CONNECT_ALLOW !SSL_ports
у меня в сети на 50 человек метод CONNECT нужен только для просмотра баланса телефона и работы с банком. Все остальное - от лукавого.
Не думаю, что по работе ему нужен доступ с любого IP.dga писал(а):Угу, а у меня один гаврик за чем-то там ссашем к буржуям ходит (и ведь по работе!) как с ним быть? То есть с "фиксированными" пользователями проблем нету, а вот "бродяги"...
Опять таки, если по работе, то ходит на определенный набор серверов.
Прописать на fw и порядок. Остается шанс, что на этих хостах у буржуев он настроит прокси и станет через них таскать, но это легко обнаружить и наказать. Да и буржуйские админы за такое накажут.
По любому, возможность изнутри LAN установить коннект с любым хостом в интеренет по любому протоколу, рано или поздно очень плохо кончается.
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 4 гостя