URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 37201
[ Назад ]

Исходное сообщение
"Трафик сети с DHCP"
Отправлено zag , 13-Ноя-03 07:07

Есть выход в Интернет через NAT+IPFW на FreeBSD. Машины (Windows) во внутренней сети (domain NT + WINS) работают с DHCP (т. е IP адрес у машин может периодически меняться). Проблема сделать подсчёт трафика с привязкой к имени машины, или имени пользователя, или на худой конец к MAC адресу. Из известных мне решений (trafd) вся статистика вяжется к IP адресу. Менять NAT на чистый SQUID c авторизацией пользователей не хочется, а при прозрачном proxy авторизация не работает. Может кто-нибудь знает ещё какие-нибудь решения?

Содержание

Трафик сети с DHCP,Aliv, 10:21 , 13-Ноя-03
- Трафик сети с DHCP,Alexey, 11:08 , 13-Ноя-03
  - Трафик сети с DHCP,Aliv, 11:39 , 13-Ноя-03
    - Трафик сети с DHCP,Alexey, 19:53 , 17-Ноя-03
Трафик сети с DHCP,zag, 12:28 , 13-Ноя-03

Сообщения в этом обсуждении

"Трафик сети с DHCP"
Отправлено Aliv , 13-Ноя-03 10:21

>Есть выход в Интернет через NAT+IPFW на FreeBSD. Машины (Windows) во внутренней
>сети (domain NT + WINS) работают с DHCP (т.
>е IP адрес у машин может периодически меняться). Проблема сделать
>подсчёт трафика с привязкой к имени машины, или имени пользователя, или
>на худой конец к MAC адресу. Из известных мне решений (trafd)
>вся статистика вяжется к IP адресу. Менять NAT на чистый SQUID
>c авторизацией пользователей не хочется, а при прозрачном proxy авторизация не
>работает. Может кто-нибудь знает ещё какие-нибудь решения?
Могу предложить привязку к МАС адресам. Хотя вариант не чистый.
В ipfw зегистрировать машину по МАС адресу.Правда годиться для ipfw2. Для этого:
в файл etc/sysctl/conf добавить строку для поддерки МАС адресов в ipfw
net.link.ether.ipfw=1
Добавить правила в ipfw:
ipfw add allow ip from any to any not layer2 in
ipfw add allow ip from any to any not layer2 out
прописать для каждой машины в сети:
для входящего
ipfw add allow ip from any to any layer2 out MAC xx:xx:xx:xx:xx:xx any
для исходящего
ipfw add allow ip from any to any layer2 in any MAC xx:xx:xx:xx:xx:xx
в конце должен быть запрет всего трафика
Считать трафик по счетчикам в правилах
У меня пока так ведется учет, но ущербность способа в том, что если подделать МАС адрес соседа, то можно воровать трафик.

"Трафик сети с DHCP"
Отправлено Alexey , 13-Ноя-03 11:08

кроме того кто то просто (по надобности например) поменял себе карту сетевую и все...

"Трафик сети с DHCP"
Отправлено Aliv , 13-Ноя-03 11:39

>кроме того кто то просто (по надобности например) поменял себе карту сетевую
>и все...
Просто замена карты ничего не даст. ipfw будет пропускать только пакеты
зарегистрированных МАС адресов. Вот подделать это да.

"Трафик сети с DHCP"
Отправлено Alexey , 17-Ноя-03 19:53

так тогда это золотой способ!!!!! )))))
подделать это вычислить можно ))) особенно если компы клиентов постоянно включенны!!!

"Трафик сети с DHCP"
Отправлено zag , 13-Ноя-03 12:28

Спасибо всем кто откликнулся. Если кто-то знает подскажите, будет ли под FreeBSD 4.9 работать parent Squid c контролем доступа по МАС и будут ли эти МАС отражаться в логах?