URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 17292
[ Назад ]
Исходное сообщение
"интересный вопрос по траффику и ipfw"
Отправлено HAN , 24-Май-02 19:51 
Hi!
Однако вот появился интересный вопрос по подсчету траффика через правила ipfw. Есть такой сегмент:

            fxp1      fxp0
            |squid     |
Intranet----|apache    |----------Internet
            |ipfw      |

На этом сервере-шлюзе крутится апач. Если пользователь выходит в интернет - все нормально считается как пакеты для сквида (3128 на fxp1). Но вот тут появляется еще самое интересное - если запрос идет из локалки к апачу(заход на свой сайт на сервере), то это тоже идет через сквид и байтики тоже считаются (! хотя это ведь нелимитированная внутренняя сеть). Т.е. получается что пользователи работающие из локалки со своим сайтом - вырабатывают свой лимит без выхода в интернет, что конечно неправильно.
Вот тут и вопрос возникает - как подсчитывать только трафик в интернет из сети? Все запросы идут к сквиду, а он уже ведь работает как адрес сервера (через fxp0), те. тут "поймать" с какого IP идет запрос файрволом уже проблематично. Пробовал играться с ключами recv/xmit в правилах файрвола, но что-то они ничего не ловили.

Посоветуйте пожалуйста как быть и если не сложно - покажите свои рабочие строки для файрвола в подобной ситуации.

Очень надеюсь на ваши советы!

Удачи!
HAN

Содержание
Сообщения в этом обсуждении
"RE: интересный вопрос по траффику и ipfw"
Отправлено ad , 24-Май-02 20:55 
поймать кто-куда проблемно будет.
Я у себя считаю трафик от прокси до юзверей
ipfw add count tcp from server 3128 to user
.
"RE: интересный вопрос по траффику и ipfw"
Отправлено newbie , 25-Май-02 09:12 
>Hi!
>Однако вот появился интересный вопрос по
>подсчету траффика через правила ipfw.
>Есть такой сегмент:
>
>      
>    
> fxp1    
>  fxp0
>      
>    
> |squid    
> |
>Intranet----|apache    |----------Internet
>      
>    
> |ipfw    
>  |
>
>На этом сервере-шлюзе крутится апач. Если
>пользователь выходит в интернет -
>все нормально считается как пакеты
>для сквида (3128 на fxp1).
>Но вот тут появляется еще
>самое интересное - если запрос
>идет из локалки к апачу(заход
>на свой сайт на сервере),
>то это тоже идет через
>сквид и байтики тоже считаются
>(! хотя это ведь нелимитированная
>внутренняя сеть). Т.е. получается что
>пользователи работающие из локалки со
>своим сайтом - вырабатывают свой
>лимит без выхода в интернет,
>что конечно неправильно.
>Вот тут и вопрос возникает -
>как подсчитывать только трафик в
>интернет из сети? Все запросы
>идут к сквиду, а он
>уже ведь работает как адрес
>сервера (через fxp0), те. тут
>"поймать" с какого IP идет
>запрос файрволом уже проблематично. Пробовал
>играться с ключами recv/xmit в
>правилах файрвола, но что-то они
>ничего не ловили.
>
>Посоветуйте пожалуйста как быть и если
>не сложно - покажите свои
>рабочие строки для файрвола в
>подобной ситуации.
>
>Очень надеюсь на ваши советы!
>
>Удачи!
>HAN

Раз уж у тебя все равно пользователи ходят через сквид, то можно посоветовать считать SARGом, в нем есть опция иключать домены из подсчета. Либо же, если все таки ходят не только через сквид, считать не IPFW а TRAFD, по моему он более гибкий, да и скриптов к нему уже немало написано. А лучше самому скрипт написать для себя.

"RE: интересный вопрос по траффику и ipfw"
Отправлено HAN , 25-Май-02 20:46 
Hi!

>Раз уж у тебя все равно пользователи ходят через >сквид, то можно посоветовать считать SARGом, в нем есть опция иключать домены из подсчета. Либо >же,
>         если все таки ходят не только через >сквид, считать не IPFW а TRAFD, по моему он более >гибкий, да и скриптов к нему уже немало написано. >А лучше
>         самому скрипт написать для себя.

Сарг у меня и так уже свое делает, но он же генерит все в хтмл, да и при большом колличестве клиентов - его стандартная работа составляет пару минут и я он у меня по крону идет раз в три часа. А если его каким макаром запускать раз в час... то это бедный наш винт будет :(  - ну это уже второе, просто долго он это все "молотить" будет (а уже пошел следующий час), да хтмл ведь!

Вот если бы как-то на самих правилах файрвола...

Удачи!
HAN

"RE: интересный вопрос по траффику и ipfw"
Отправлено HAN , 26-Май-02 18:12 
Hi!
Народ, отзовитесь! Кто и как ведет статистику по юзерам при использовании одного прокси-сервера для выхода в интернет и работы со своим сайтом на этом же сервере!!!
Пока у меня учитывается просто выход на прокси! А ведь юзер может качать мегабайты и с локального сайта (который конечно же и работает снаружи).
Подскажите, пожалуйста, ведь это очень частый случай!

Удачи!
HAN

"RE: интересный вопрос по траффику и ipfw"
Отправлено Algr , 08-Июл-02 14:03 
>Hi!
>Народ, отзовитесь! Кто и как ведет статистику по юзерам при использовании одного
>прокси-сервера для выхода в интернет и работы со своим сайтом на
>этом же сервере!!!
>Пока у меня учитывается просто выход на прокси! А ведь юзер может
>качать мегабайты и с локального сайта (который конечно же и работает
>снаружи).
>Подскажите, пожалуйста, ведь это очень частый случай!
>
>Удачи!
>HAN

1) Ставить trafd однозначно
2) У юзеров из настроек УБРАТЬ нафиг  ПРОКСИ.
3) Скомпилировать прокси с поддержкой TRANSPARENCY
4) Сделать заворотные правила на роутере

Анализ логов trafd и отсев всех соединений, идущих по 80-му порту на твой бесплатный сервер.

"RE: интересный вопрос по траффику и ipfw"
Отправлено miaso , 02-Авг-02 10:50 
Я делаю так:
перед правилами на машины ставлю правило :
allow ip from 172.22.1.0/24 to 172.22.1.133 via fxp0
allow ip from 172.22.1.133 to 172.22.1.0/24 via fxp0
где 133 - сервер(шлюз), а 172.22.1. внутр.-я сетка. тогда все что идет с локалки на сервер и обратно осядет на этих правилах. если надо отсечь только сайт(а ненадо mail,ftp) то ставь 80й порт и все.