The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"интересный вопрос по траффику и ipfw"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"интересный вопрос по траффику и ipfw"
Сообщение от HAN Искать по авторуВ закладки on 24-Май-02, 19:51  (MSK)
Hi!
Однако вот появился интересный вопрос по подсчету траффика через правила ipfw. Есть такой сегмент:

            fxp1      fxp0
            |squid     |
Intranet----|apache    |----------Internet
            |ipfw      |

На этом сервере-шлюзе крутится апач. Если пользователь выходит в интернет - все нормально считается как пакеты для сквида (3128 на fxp1). Но вот тут появляется еще самое интересное - если запрос идет из локалки к апачу(заход на свой сайт на сервере), то это тоже идет через сквид и байтики тоже считаются (! хотя это ведь нелимитированная внутренняя сеть). Т.е. получается что пользователи работающие из локалки со своим сайтом - вырабатывают свой лимит без выхода в интернет, что конечно неправильно.
Вот тут и вопрос возникает - как подсчитывать только трафик в интернет из сети? Все запросы идут к сквиду, а он уже ведь работает как адрес сервера (через fxp0), те. тут "поймать" с какого IP идет запрос файрволом уже проблематично. Пробовал играться с ключами recv/xmit в правилах файрвола, но что-то они ничего не ловили.

Посоветуйте пожалуйста как быть и если не сложно - покажите свои рабочие строки для файрвола в подобной ситуации.

Очень надеюсь на ваши советы!

Удачи!
HAN

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "RE: интересный вопрос по траффику и ipfw"
Сообщение от ad emailИскать по авторуВ закладки on 24-Май-02, 20:55  (MSK)
поймать кто-куда проблемно будет.
Я у себя считаю трафик от прокси до юзверей
ipfw add count tcp from server 3128 to user
.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: интересный вопрос по траффику и ipfw"
Сообщение от newbie emailИскать по авторуВ закладки on 25-Май-02, 09:12  (MSK)
>Hi!
>Однако вот появился интересный вопрос по
>подсчету траффика через правила ipfw.
>Есть такой сегмент:
>
>      
>    
> fxp1    
>  fxp0
>      
>    
> |squid    
> |
>Intranet----|apache    |----------Internet
>      
>    
> |ipfw    
>  |
>
>На этом сервере-шлюзе крутится апач. Если
>пользователь выходит в интернет -
>все нормально считается как пакеты
>для сквида (3128 на fxp1).
>Но вот тут появляется еще
>самое интересное - если запрос
>идет из локалки к апачу(заход
>на свой сайт на сервере),
>то это тоже идет через
>сквид и байтики тоже считаются
>(! хотя это ведь нелимитированная
>внутренняя сеть). Т.е. получается что
>пользователи работающие из локалки со
>своим сайтом - вырабатывают свой
>лимит без выхода в интернет,
>что конечно неправильно.
>Вот тут и вопрос возникает -
>как подсчитывать только трафик в
>интернет из сети? Все запросы
>идут к сквиду, а он
>уже ведь работает как адрес
>сервера (через fxp0), те. тут
>"поймать" с какого IP идет
>запрос файрволом уже проблематично. Пробовал
>играться с ключами recv/xmit в
>правилах файрвола, но что-то они
>ничего не ловили.
>
>Посоветуйте пожалуйста как быть и если
>не сложно - покажите свои
>рабочие строки для файрвола в
>подобной ситуации.
>
>Очень надеюсь на ваши советы!
>
>Удачи!
>HAN

Раз уж у тебя все равно пользователи ходят через сквид, то можно посоветовать считать SARGом, в нем есть опция иключать домены из подсчета. Либо же, если все таки ходят не только через сквид, считать не IPFW а TRAFD, по моему он более гибкий, да и скриптов к нему уже немало написано. А лучше самому скрипт написать для себя.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: интересный вопрос по траффику и ipfw"
Сообщение от HAN Искать по авторуВ закладки on 25-Май-02, 20:46  (MSK)
Hi!

>Раз уж у тебя все равно пользователи ходят через >сквид, то можно посоветовать считать SARGом, в нем есть опция иключать домены из подсчета. Либо >же,
>         если все таки ходят не только через >сквид, считать не IPFW а TRAFD, по моему он более >гибкий, да и скриптов к нему уже немало написано. >А лучше
>         самому скрипт написать для себя.

Сарг у меня и так уже свое делает, но он же генерит все в хтмл, да и при большом колличестве клиентов - его стандартная работа составляет пару минут и я он у меня по крону идет раз в три часа. А если его каким макаром запускать раз в час... то это бедный наш винт будет :(  - ну это уже второе, просто долго он это все "молотить" будет (а уже пошел следующий час), да хтмл ведь!

Вот если бы как-то на самих правилах файрвола...

Удачи!
HAN

  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: интересный вопрос по траффику и ipfw"
Сообщение от HAN Искать по авторуВ закладки on 26-Май-02, 18:12  (MSK)
Hi!
Народ, отзовитесь! Кто и как ведет статистику по юзерам при использовании одного прокси-сервера для выхода в интернет и работы со своим сайтом на этом же сервере!!!
Пока у меня учитывается просто выход на прокси! А ведь юзер может качать мегабайты и с локального сайта (который конечно же и работает снаружи).
Подскажите, пожалуйста, ведь это очень частый случай!

Удачи!
HAN

  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "RE: интересный вопрос по траффику и ipfw"
Сообщение от Algr emailИскать по авторуВ закладки on 08-Июл-02, 14:03  (MSK)
>Hi!
>Народ, отзовитесь! Кто и как ведет статистику по юзерам при использовании одного
>прокси-сервера для выхода в интернет и работы со своим сайтом на
>этом же сервере!!!
>Пока у меня учитывается просто выход на прокси! А ведь юзер может
>качать мегабайты и с локального сайта (который конечно же и работает
>снаружи).
>Подскажите, пожалуйста, ведь это очень частый случай!
>
>Удачи!
>HAN

1) Ставить trafd однозначно
2) У юзеров из настроек УБРАТЬ нафиг  ПРОКСИ.
3) Скомпилировать прокси с поддержкой TRANSPARENCY
4) Сделать заворотные правила на роутере

Анализ логов trafd и отсев всех соединений, идущих по 80-му порту на твой бесплатный сервер.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "RE: интересный вопрос по траффику и ipfw"
Сообщение от miaso emailИскать по авторуВ закладки on 02-Авг-02, 10:50  (MSK)
Я делаю так:
перед правилами на машины ставлю правило :
allow ip from 172.22.1.0/24 to 172.22.1.133 via fxp0
allow ip from 172.22.1.133 to 172.22.1.0/24 via fxp0
где 133 - сервер(шлюз), а 172.22.1. внутр.-я сетка. тогда все что идет с локалки на сервер и обратно осядет на этих правилах. если надо отсечь только сайт(а ненадо mail,ftp) то ставь 80й порт и все.
  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру