Доброе время суток!Нуждаюсь в Вашем мнении и совете. У меня такая проблема: вдруг резко возрос паразитный трафик, почти в 2 раза :-0, и у меня появились сомнения в правильности учета трафика вышестоящим провайдером, он в свою очередь предложил поставить транзитный маршрутизатор на его стороне и посмотреть, что, как и куда идет. Вот возникает вопрос как это правильно организовать? С железом я определился - это будет PIII-700 + DIMM256 + HDD 20GB. ОС FreeBSD 5.4. Остались вопросы какой софт поставить для учета и сохранения всех пакетов проходящих, через сетевой интерфейс? как правильно настроить маршрутизацию? всем спасибо.
странно как-то: сначала определился с железом...
спроси у прова.
2 копейки делов: перестрахуйся: считай вх/вых пакеты фаером на ифейсах в обе стороны.ЗЫ: всегда народ считает, что пров начисляет лишнее бабло (минуты, траф...), на до ли продолжать?
ЗЫ:: ipfw на фре на входящий и-морд. разница за месяц +-0,01 %. чаще в плюс в моих отчётах. и что мне бежать к прову - косяк считалки?? зайди http://netams.com/doc/kb_provider_diff.html кстати, у моего прова идёт снятие счётчиков с железок через snmp по интерфейсам, и это наиболее полная/точная статистика. вполне возможное расхождение в обе стороны появляется при ВЫКЛЮЧЕННОМ на ОДНОЙ из сторон оборудовании в течении времени, за который траффик не попал в базу.
>странно как-то: сначала определился с железом...
>спроси у прова.
>2 копейки делов: перестрахуйся: считай вх/вых пакеты фаером на ифейсах в обе
>стороны.
>
>ЗЫ: всегда народ считает, что пров начисляет лишнее бабло (минуты, траф...), на
>до ли продолжать?
>ЗЫ:: ipfw на фре на входящий и-морд. разница за месяц +-0,01 %.
>чаще в плюс в моих отчётах. и что мне бежать к
>прову - косяк считалки?? зайди http://netams.com/doc/kb_provider_diff.html кстати, у моего прова идёт
>снятие счётчиков с железок через snmp по интерфейсам, и это наиболее
>полная/точная статистика. вполне возможное расхождение в обе стороны появляется при ВЫКЛЮЧЕННОМ
>на ОДНОЙ из сторон оборудовании в течении времени, за который траффик
>не попал в базу.
Спасибо за замечания и возмущения.По поводу того, что пров мне насчитывал всегда процентов на 15-20 больше я не реагировал, а вот когда эта цифра дошла почти до 100% (примерно 30Гб) у меня возникли вопросы чем такой перазитный трафик может быть вызван.
Ну насчет ipfw я знаю, меня интересует полная статистика вплоть до перехвата всего трафика. Действительно мой пров снимает статистику с циски.
никаких возмущений..
кста, насчёт МОЕГО УЧЁТА - пров знает это уже более 2-х лет, и никак не может понять - "Как Так Оно Одинаково Считает?? Может, Косяк Железки?... :)" пришлось ему объяснять... а один раз шлюх простоял выключенным больше недели (праздники :), ессно траф не учитывался => директор при V = 5 G поинтересовался, почему расхождение с провом в 130 М ???если читал урлик выше - в принципе, всё решено.
>никаких возмущений..
>кста, насчёт МОЕГО УЧЁТА - пров знает это уже более 2-х лет, и никак не может понять - "Как Так Оно Одинаково Считает?? Может, Косяк Железки?... :)" пришлось ему объяснять... а один раз шлюх простоял выключенным больше недели (праздники :), ессно траф не учитывался => директор при V = 5 G поинтересовался, почему расхождение с провом в 130 М ???
>
>если читал урлик выше - в принципе, всё решено.Отлично.
Тогда могу ли я попросить тебя о такой услуге:
Дай реальную оценку сложившейся ситуации один мой сервак находится у прова, он на нем поставил биллинг который считает траф по внутренней сети, и сервак прова на котором он установил биллинг учитывающий все, что идет на мой сервак так вот разница состовляет 25-30ГБ при объеме 30-35ГБ. Это реально или нет?
>один мой сервак находится у прова, он
>на нем поставил биллинг который считает траф по внутренней сети, и
>сервак прова на котором он установил биллинг учитывающий все, что идет
>на мой сервак так вот разница состовляет 25-30ГБ при объеме 30-35ГБ.
>Это реально или нет?эээ, не совсем понятно в расположении и биллинговании (типа = зачем это пров будет ставить биллинг (!) да ещё и на чужой серв (!) (!и вообще: ЧТО ЭТО ЗА БИЛЛИНГ???? по линензиям и всё такое??? и зачем биллинговать внутреннюю сеть??? !)
ну да ладно, ответы на эти вопросы думаю есть, выраженные в более понятной форме. и не нужны сейчас.
в любом случае такой утечки быть не может, ЕСЛИ ВЕСТЬ УЧЁТ ИДЁТ ПРАВИЛЬНО.
к примеру:
1) пр0в считает весь траф на всю твою сеть (возьмём 123.123.123.0/252)
2) твоя тачка имеет = 123.123.123.2/252, шлюз = 123...1/252
3) как ты учтёшь траф на 123...1??
как выход - запретить провом любые движения по 123...1 извне. тк НЕ СЧИТАТЬ траф на него нельзя = вся статистика полетит (провы же тоже платят боссам :)
>эээ, не совсем понятно в расположении и биллинговании (типа = зачем это
>пров будет ставить биллинг (!) да ещё и на чужой серв
>(!) (!и вообще: ЧТО ЭТО ЗА БИЛЛИНГ???? по линензиям и всё
>такое??? и зачем биллинговать внутреннюю сеть??? !)
>
>ну да ладно, ответы на эти вопросы думаю есть, выраженные в более
>понятной форме. и не нужны сейчас.
>
>в любом случае такой утечки быть не может, ЕСЛИ ВЕСТЬ УЧЁТ ИДЁТ
>ПРАВИЛЬНО.
>
>к примеру:
>1) пр0в считает весь траф на всю твою сеть (возьмём 123.123.123.0/252)
>2) твоя тачка имеет = 123.123.123.2/252, шлюз = 123...1/252
>3) как ты учтёшь траф на 123...1??
>как выход - запретить провом любые движения по 123...1 извне. тк НЕ
>СЧИТАТЬ траф на него нельзя = вся статистика полетит (провы же
>тоже платят боссам :)Дело в том, что по сложившейся раннее ситуации на фирме небыло сисадмина, поэтому все тех обслуживание передали прову, но забрал все пароли и сам все настраивал как хотел, поэтому получилось 2 биллинга у прова в руках, один считает как у все провов: таф на кажного клиента, а второй типа наш, который учитывает наше внутренние распределение трафика. :-O
Я же в свою очередь не могу посмотреть на серваки т.к. нет паролей. Вот поэтому и хочу запихать в разрез существующих серваков транзитный маршрутизатор и посмотреть, что к чему. Пров же в свою очередь утверждает, что это паразитный трафик такого размера.
пров на своем билинге считает на всю мою сеть 123.123.123.0/255
пров считает на типа нашем билинге 4 подсети разбитые по 64 адреса.
(траф всей сети) - (сумма трафа 4 подсетей) = 25-30ГБ
(сумма трафа 4 подсетей) = 30-35ГБЦифры как видишь не внушают доверия, как правильно сделать? Что посоветуешь? Или дождатся окончания договора на тех обслуживание и все самому на реальных серверах настроить и посмотреть?
в такой ситуёвине ты как бы не при чём:
1) есть договор, согласно которому все вопросы к прову.
2) 123.123.123.0/255 = такая сетка из одного адреса...
3) скорее всего виндовые самбовые клиенты/серваки гуляют по сетям - снифани и наслаждайся халявой, пока пров права не передал :)
4) насчёт паролей - видимо, пров не ЗАБРАЛ, а ВЫДАЛ пароли (которые никто не помнит) (и что за пароли? шеллы+? зачем?)
5) поговори с пров, мб есть смысл пустить тебя через (например) пппое/впн..6) а вообще-то правильнее было бы сразу разобраться с документацией у своих работодателей. срочно прямо сейчас. иначе потом ещё что-нибудь навешают...
>в такой ситуёвине ты как бы не при чём:
>1) есть договор, согласно которому все вопросы к прову.Да так и есть все вопросы к прову, но он отвечает паразитный трафик, пожайлуста плотите.
>2) 123.123.123.0/255 = такая сетка из одного адреса...
сори 123.123.123.0/0 - тоесть вся сеть.
>4) насчёт паролей - видимо, пров не ЗАБРАЛ, а ВЫДАЛ пароли (которые
>никто не помнит) (и что за пароли? шеллы+? зачем?)Именно забрал, забрар рутовские пароли от серваков и поменял их, теперь я немогу на них зайти.
>5) поговори с пров, мб есть смысл пустить тебя через (например) пппое/>впн..
Пров не в чем разбиратся не хочет, отсюда все проблемы
>6) а вообще-то правильнее было бы сразу разобраться с документацией у своих
>работодателей. срочно прямо сейчас. иначе потом ещё что-нибудь навешают...Нет на меня пока ничего не вешали и не собираются, просто попросили разобратся, что к чему.
>(траф всей сети) - (сумма трафа 4 подсетей) = 25-30ГБ
>(сумма трафа 4 подсетей) = 30-35ГБ
>
1. Обматюкать прова и плюнуть в рожу тому, кто сказал что это паразитный траффик.
2. Паразитный траффик за всю мою многолетнюю практику на провах не превышал 30% от полезного.
3. Разница такая, что скорее всего, съем статистики производится на роутере по 2-м интерфейсамP.S. Надеюсь, речь идет не о статистике по SQUID?
>>(траф всей сети) - (сумма трафа 4 подсетей) = 25-30ГБ
>>(сумма трафа 4 подсетей) = 30-35ГБ
>>
>1. Обматюкать прова и плюнуть в рожу тому, кто сказал что это
>паразитный траффик.
>2. Паразитный траффик за всю мою многолетнюю практику на провах не превышал
>30% от полезного.
>3. Разница такая, что скорее всего, съем статистики производится на роутере
>по 2-м интерфейсам
>
>P.S. Надеюсь, речь идет не о статистике по SQUID?Нет статистику у себя пров снимает с циски, а у меня на серваке с файрвола.
>>>(траф всей сети) - (сумма трафа 4 подсетей) = 25-30ГБ
>>>(сумма трафа 4 подсетей) = 30-35ГБ
>>>
>>1. Обматюкать прова и плюнуть в рожу тому, кто сказал что это
>>паразитный траффик.
>>2. Паразитный траффик за всю мою многолетнюю практику на провах не превышал
>>30% от полезного.
>>3. Разница такая, что скорее всего, съем статистики производится на роутере
>>по 2-м интерфейсам
>>
>>P.S. Надеюсь, речь идет не о статистике по SQUID?
>
>Нет статистику у себя пров снимает с циски, а у меня на
>серваке с файрвола.
И суммирует. Вот и разница в 2 раза + реально паразитный трафффик
>>Нет статистику у себя пров снимает с циски, а у меня на
>>серваке с файрвола.
>И суммирует. Вот и разница в 2 раза + реально паразитный трафффик
>Нет не сумирует, разница между файрволом и циской
Решил использовать программу softflowd + flow-capture. Что можете сказать?