Есть выход в Интернет через NAT+IPFW на FreeBSD. Машины (Windows) во внутренней сети (domain NT + WINS) работают с DHCP (т. е IP адрес у машин может периодически меняться). Проблема сделать подсчёт трафика с привязкой к имени машины, или имени пользователя, или на худой конец к MAC адресу. Из известных мне решений (trafd) вся статистика вяжется к IP адресу. Менять NAT на чистый SQUID c авторизацией пользователей не хочется, а при прозрачном proxy авторизация не работает. Может кто-нибудь знает ещё какие-нибудь решения?
>Есть выход в Интернет через NAT+IPFW на FreeBSD. Машины (Windows) во внутренней
>сети (domain NT + WINS) работают с DHCP (т.
>е IP адрес у машин может периодически меняться). Проблема сделать
>подсчёт трафика с привязкой к имени машины, или имени пользователя, или
>на худой конец к MAC адресу. Из известных мне решений (trafd)
>вся статистика вяжется к IP адресу. Менять NAT на чистый SQUID
>c авторизацией пользователей не хочется, а при прозрачном proxy авторизация не
>работает. Может кто-нибудь знает ещё какие-нибудь решения?Могу предложить привязку к МАС адресам. Хотя вариант не чистый.
В ipfw зегистрировать машину по МАС адресу.Правда годиться для ipfw2. Для этого:в файл etc/sysctl/conf добавить строку для поддерки МАС адресов в ipfw
net.link.ether.ipfw=1
Добавить правила в ipfw:
ipfw add allow ip from any to any not layer2 in
ipfw add allow ip from any to any not layer2 out
прописать для каждой машины в сети:
для входящего
ipfw add allow ip from any to any layer2 out MAC xx:xx:xx:xx:xx:xx any
для исходящего
ipfw add allow ip from any to any layer2 in any MAC xx:xx:xx:xx:xx:xx
в конце должен быть запрет всего трафика
Считать трафик по счетчикам в правилах
У меня пока так ведется учет, но ущербность способа в том, что если подделать МАС адрес соседа, то можно воровать трафик.
кроме того кто то просто (по надобности например) поменял себе карту сетевую и все...
>кроме того кто то просто (по надобности например) поменял себе карту сетевую
>и все...Просто замена карты ничего не даст. ipfw будет пропускать только пакеты
зарегистрированных МАС адресов. Вот подделать это да.
так тогда это золотой способ!!!!! )))))
подделать это вычислить можно ))) особенно если компы клиентов постоянно включенны!!!
Спасибо всем кто откликнулся. Если кто-то знает подскажите, будет ли под FreeBSD 4.9 работать parent Squid c контролем доступа по МАС и будут ли эти МАС отражаться в логах?