forum.opennet.ru - "возможно ли сделать так?" (4)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"возможно ли сделать так?"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"возможно ли сделать так?"
Сообщение от NZ on 10-Май-06, 08:50
была такая схема локалка- линукс1 - cisco1 - пров1, на лиунксе крутился учет и огрнаичение трафика для пользователей из локалки через iptables, и кроме этого cisco 2611 передавало данные от трафиике через netflow на линукс теперь схема работы должна стать такой лоакалка - cisco2 - линукс1 - cisco1 - пров1, \| линукс2 - пров2 подскажите можно ли будет как-то сделать так чтобы трафик по пользователям в конечном итоге обрезался на линукс1 и линукс2? то есть cisco2 должно как-то передавать информацию от прохождении трафика с каждого ip из локалки на линукс1 и линукс2 через netflow и сохранять в пакете информацию об адресе источника для блокирования в случае превышения квоты? - это возможно?
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Оглавление

возможно ли сделать так?, ilya, 10:02 , 10-Май-06, (1)

возможно ли сделать так?, NZ, 10:46 , 10-Май-06, (2)

возможно ли сделать так?, ilya, 10:59 , 10-Май-06, (3)

возможно ли сделать так?, NZ, 11:35 , 10-Май-06, (4)

Сообщения по теме [Сортировка по времени, UBB]

1. "возможно ли сделать так?"

Сообщение от ilya (ok) on 10-Май-06, 10:02

>была такая схема
>
>локалка- линукс1 - cisco1 - пров1,
>
>на лиунксе крутился учет и огрнаичение трафика для пользователей из локалки через
>iptables, и кроме этого cisco 2611 передавало данные от трафиике через
>netflow на линукс
>
>
>теперь схема работы должна стать такой
>
>лоакалка - cisco2 - линукс1 - cisco1 - пров1,
>
>
> |
>
>         линукс2 -
>пров2
>
>подскажите можно ли будет как-то сделать так чтобы трафик по пользователям в
>конечном итоге обрезался на линукс1 и линукс2?
>
>то есть cisco2 должно как-то передавать информацию от прохождении трафика с каждого
>ip из локалки на линукс1 и линукс2 через netflow и сохранять
>в пакете информацию об адресе источника  для блокирования в случае
>превышения квоты? - это возможно?
возможно если нат будет осуществляться на cisco1. хотя конечно не обязательно, можно и на циске2 делать нат (зависит от ИОСа). только вот зачем тут линукс тогда?
что подразумевается под ограничением? зарез полосы? блокировка выхода в инет?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "возможно ли сделать так?"

Сообщение от NZ on 10-Май-06, 10:46

>возможно если нат будет осуществляться на cisco1. хотя конечно не обязательно, можно
>и на циске2 делать нат (зависит от ИОСа). только вот зачем
>тут линукс тогда?
>что подразумевается под ограничением? зарез полосы? блокировка выхода в инет?
да, подразумевается блокировка выхода в инет для конкретного ip адреса.
если нат делать на циско2 то тогда надо для каждого ip из локальной сети сделать преобразование в соответствующий ip
к примеру
192.168.1.1 после циско2 преобразовался в 172.16.1.1
192.168.1.2 после циско2 преобразовался в 172.16.1.2
192.168.1.3 после циско2 преобразовался в 172.16.1.3
и т.д.? я правлиьно понимаю? тогда можно будет блокировать выход в инет для каждого ip на линуксе1 и на линуксе2?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "возможно ли сделать так?"

Сообщение от ilya (ok) on 10-Май-06, 10:59

>>возможно если нат будет осуществляться на cisco1. хотя конечно не обязательно, можно
>>и на циске2 делать нат (зависит от ИОСа). только вот зачем
>>тут линукс тогда?
>>что подразумевается под ограничением? зарез полосы? блокировка выхода в инет?
>да, подразумевается блокировка выхода в инет для конкретного ip адреса.
>
>если нат делать на циско2 то тогда надо для каждого ip из
>локальной сети сделать преобразование в соответствующий ip
>к примеру
>192.168.1.1 после циско2 преобразовался в 172.16.1.1
>192.168.1.2 после циско2 преобразовался в 172.16.1.2
>192.168.1.3 после циско2 преобразовался в 172.16.1.3
>и т.д.? я правлиьно понимаю? тогда можно будет блокировать выход в инет
>для каждого ip на линуксе1 и на линуксе2?
не совсем.
что мешает сделать блокировку клиента на циске2? на интерфейсе, который смотрит локалку повесить список досутпа, который будет меняться внешним скриптом.
посему весь линукс можно будет исключить из схемы ;) т.е. он нужен будет только для обсчета трафика на основе netflow и генерации списков доступа.
по поводу ната на одном роутере - посмотрите архив на тему netflow и  nat, иногда может не работать.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "возможно ли сделать так?"

Сообщение от NZ on 10-Май-06, 11:35

спасибо за помощь

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "возможно ли сделать так?"
Сообщение от ilya (ok) on 10-Май-06, 10:02
>была такая схема > >локалка- линукс1 - cisco1 - пров1, > >на лиунксе крутился учет и огрнаичение трафика для пользователей из локалки через >iptables, и кроме этого cisco 2611 передавало данные от трафиике через >netflow на линукс > > >теперь схема работы должна стать такой > >лоакалка - cisco2 - линукс1 - cisco1 - пров1, > > > \| > > линукс2 - >пров2 > >подскажите можно ли будет как-то сделать так чтобы трафик по пользователям в >конечном итоге обрезался на линукс1 и линукс2? > >то есть cisco2 должно как-то передавать информацию от прохождении трафика с каждого >ip из локалки на линукс1 и линукс2 через netflow и сохранять >в пакете информацию об адресе источника для блокирования в случае >превышения квоты? - это возможно? возможно если нат будет осуществляться на cisco1. хотя конечно не обязательно, можно и на циске2 делать нат (зависит от ИОСа). только вот зачем тут линукс тогда? что подразумевается под ограничением? зарез полосы? блокировка выхода в инет?
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	2. "возможно ли сделать так?"
	Сообщение от NZ on 10-Май-06, 10:46
	>возможно если нат будет осуществляться на cisco1. хотя конечно не обязательно, можно >и на циске2 делать нат (зависит от ИОСа). только вот зачем >тут линукс тогда? >что подразумевается под ограничением? зарез полосы? блокировка выхода в инет? да, подразумевается блокировка выхода в инет для конкретного ip адреса. если нат делать на циско2 то тогда надо для каждого ip из локальной сети сделать преобразование в соответствующий ip к примеру 192.168.1.1 после циско2 преобразовался в 172.16.1.1 192.168.1.2 после циско2 преобразовался в 172.16.1.2 192.168.1.3 после циско2 преобразовался в 172.16.1.3 и т.д.? я правлиьно понимаю? тогда можно будет блокировать выход в инет для каждого ip на линуксе1 и на линуксе2?
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	3. "возможно ли сделать так?"
	Сообщение от ilya (ok) on 10-Май-06, 10:59
	>>возможно если нат будет осуществляться на cisco1. хотя конечно не обязательно, можно >>и на циске2 делать нат (зависит от ИОСа). только вот зачем >>тут линукс тогда? >>что подразумевается под ограничением? зарез полосы? блокировка выхода в инет? >да, подразумевается блокировка выхода в инет для конкретного ip адреса. > >если нат делать на циско2 то тогда надо для каждого ip из >локальной сети сделать преобразование в соответствующий ip >к примеру >192.168.1.1 после циско2 преобразовался в 172.16.1.1 >192.168.1.2 после циско2 преобразовался в 172.16.1.2 >192.168.1.3 после циско2 преобразовался в 172.16.1.3 >и т.д.? я правлиьно понимаю? тогда можно будет блокировать выход в инет >для каждого ip на линуксе1 и на линуксе2? не совсем. что мешает сделать блокировку клиента на циске2? на интерфейсе, который смотрит локалку повесить список досутпа, который будет меняться внешним скриптом. посему весь линукс можно будет исключить из схемы ;) т.е. он нужен будет только для обсчета трафика на основе netflow и генерации списков доступа. по поводу ната на одном роутере - посмотрите архив на тему netflow и nat, иногда может не работать.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	4. "возможно ли сделать так?"
	Сообщение от NZ on 10-Май-06, 11:35
	спасибо за помощь
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]