IPA, version 1.3.6 (FreeBSD/i386 5.4-RELEASE-p7)
SARG Version: 2.0.9 May-30-2005Очень сильно различаются данные за день по этим прогам.
IPA показывает на 100-200 (а то и на 300)MB больше чем фиксирует Sarg.
Я понимаю, что sarg работает только с http данными от сквида... но, ftp у меня обрублен (машины 7,49,59 у меня под контролем):
00470 allow tcp from 192.168.0.0/24{7,49,59} to any dst-port 20,21
00475 allow tcp from any 20,21 to 192.168.0.0/24{7,49,59}
00490 reset log logamount 100 tcp from not 192.168.0.0/24{7,49,59} to not me dst-port 20,21 via bge0(внутр.) in
00500 allow tcp from 192.168.0.0/24 to any dst-port 25,80,110,443,953,5190
00510 allow tcp from any 25,80,110,443,953,5190 to 192.168.0.0/24обрублен ли ???
юзеры ходят через сквид в тырнет:
00423 allow tcp from me to any dst-port 80 uid squid out via xl0(внеш.)
00424 reset tcp from any to any dst-port 80 via bge0(внутр.) outпочта? но не 100-300 мегов с нее качают ведь?
не могу понять еще - это кто-то один у меня хитроумный или же со всей сетки набегает разница такая?
Помогите, куда копать?
Спасибо за советы!
Squid/OOPS считает только траффик идущий по http/ftp/https протоколам, приэтом тоже далеко не весь, а скажем так, только входящий. Так что использовать sarg как вершителя судеб некорректно.
>Squid/OOPS считает только траффик идущий по http/ftp/https протоколам, приэтом тоже далеко не
>весь, а скажем так, только входящий. Так что использовать sarg как
>вершителя судеб некорректно.
Понятно.
Хотелось бы контролировать весь трафик, считаемый ИПОЙ. Саргом этого, естественно, не добиться.
Просто вопрос в большой разнице.Откуда она берется?
>>Squid/OOPS считает только траффик идущий по http/ftp/https протоколам, приэтом тоже далеко не
>>весь, а скажем так, только входящий. Так что использовать sarg как
>>вершителя судеб некорректно.
>
>
>Понятно.
>Хотелось бы контролировать весь трафик, считаемый ИПОЙ. Саргом этого, естественно, не добиться.
>
>Просто вопрос в большой разнице.Откуда она берется?
Читай выше. ipa у тебя считает весь траффик и icmp и udp и tcp внезависимости от используемого протокола. А прокси-сервер, сквид в частности, пишет данные о ПОЛУЧЕННЫХ данных по http/https/ftp протоколам. Вот отсюда и большая разница.
Векдь для того что бы человек банально открыл в браузере страничку, необходимо, что бы было зарезолвено имя от dns - udp туда обратно, плюс запрос к серверу, а потом от него ответ.Из трех минимальных дйствий выпадает два. Вот и растет разница, почуть-чуть и набегает.
>>>Squid/OOPS считает только траффик идущий по http/ftp/https протоколам, приэтом тоже далеко не
>>>весь, а скажем так, только входящий. Так что использовать sarg как
>>>вершителя судеб некорректно.
>>
>>
>>Понятно.
>>Хотелось бы контролировать весь трафик, считаемый ИПОЙ. Саргом этого, естественно, не добиться.
>>
>>Просто вопрос в большой разнице.Откуда она берется?
>
>
>Читай выше. ipa у тебя считает весь траффик и icmp и udp
>и tcp внезависимости от используемого протокола. А прокси-сервер, сквид в частности,
>пишет данные о ПОЛУЧЕННЫХ данных по http/https/ftp протоколам. Вот отсюда и
>большая разница.
>Векдь для того что бы человек банально открыл в браузере страничку, необходимо,
>что бы было зарезолвено имя от dns - udp туда обратно,
>плюс запрос к серверу, а потом от него ответ.Из трех минимальных
>дйствий выпадает два. Вот и растет разница, почуть-чуть и набегает.Про "растет разница, почуть-чуть и набегает" все понятно.
Тут моя ошибка! -не так сформулировал...- Раньше разница была приемлимая, чтобы не обращать на нее внимание - мегов 30-40. А с недавнего времени - 100-200. Это странно. Вот я и думаю - может кто шалит в сети? И как это проверить можно? Спасибо.
>Про "растет разница, почуть-чуть и набегает" все понятно.
>Тут моя ошибка! -не так сформулировал...- Раньше разница была приемлимая, чтобы не
>обращать на нее внимание - мегов 30-40. А с недавнего времени
>- 100-200. Это странно. Вот я и думаю - может кто
>шалит в сети? И как это проверить можно? Спасибо.
Данных мало для анализа. Но в общем случае определить "шалят" или нет - кроме тебя никто не сможет. Ведь админ то - ты. Как вариант - положить считалку траффика типа того же trafd на оба интерфейса (внутренний и внешний) и сравнить джанные запросов по внутреннему и внешнему интерфейсу пришедшие/ушедшие в мир, с данными получанными от sarg ну и на основании полученных таблиц провести анализ. Чаще всего, при нормальной настройке сервера, "виноватыми" являются не пользователи сети, а чрезерный внешний траффик затраченный на закачку поров, обновления мира и прочая, вообщем всех действий идущих не через прокси сервер. Второе - в случае увеличении общего траффика через сервер в 2-3 раза автоматически в столько же как минимум должен увеличиться и траффик разницы от сквида. Третье. Для уменьшения головной боли считать данные не посквиду, а почему-то другному, той-же ipa с внутреннего интерфейса, отбрасывая локальный траффик и сравнивать с внешним для всех клиентов сети. Кстати это надо делать по любому, для грамотного составления отчета о изравсходованном траффике. Четвертое, и самое главное поискать виновника из вне. Например, большинство провайдеров мониторят хосты клиентов, проверяя "живучесть канала" в его сторону обычными icmp пакетами, причем многие для хорошего анализа пропускной способности канала кидаются максимальными пакетами, типа 1500 байт (смотреть в сторону MTU) раз в n-минут. Соотвественно при проверке всего одним таким пингом раз в 5 минут за сутки набегает почти полметра(432000 байт), а вдействительности никто не кидает меньше 5-10 пакетов. Соотвественно траффик за сутки составляет 2160000-4320000 байт, при все тех же проверках раз в 5 минут. считать сколько набежать может за месяц? Конечно Это чисто теоретическая выкладка - многие проверяют пинг не до хоста клиента, а например до его модема или свитча, да и не так часто возможно (зависит от вариаций на тему), но вот вам еще один источник паразитного траффика. Тоесть нет смысла искать черную кошку в темной комнате если ее там нет. Надло сначала попытаться найти ее там, где светло.
>Данных мало для анализа. Но в общем случае определить "шалят" или нет
>- кроме тебя никто не сможет. Ведь админ то - ты.
>Как вариант - положить считалку траффика типа того же trafd на
>оба интерфейса (внутренний и внешний) и сравнить джанные запросов по внутреннему
>и внешнему интерфейсу пришедшие/ушедшие в мир, с данными получанными от sarg
>ну и на основании полученных таблиц провести анализ. Чаще всего, при
>нормальной настройке сервера, "виноватыми" являются не пользователи сети, а чрезерный внешний
>траффик затраченный на закачку поров, обновления мира и прочая, вообщем всех
>действий идущих не через прокси сервер. Второе - в случае увеличении
>общего траффика через сервер в 2-3 раза автоматически в столько же
>как минимум должен увеличиться и траффик разницы от сквида. Третье. Для
>уменьшения головной боли считать данные не посквиду, а почему-то другному, той-же
>ipa с внутреннего интерфейса, отбрасывая локальный траффик и сравнивать с внешним
>для всех клиентов сети. Кстати это надо делать по любому, для
>грамотного составления отчета о изравсходованном траффике. Четвертое, и самое главное
>поискать виновника из вне. Например, большинство провайдеров мониторят хосты клиентов, проверяя
>"живучесть канала" в его сторону обычными icmp пакетами, причем многие для
>хорошего анализа пропускной способности канала кидаются максимальными пакетами, типа 1500 байт
>(смотреть в сторону MTU) раз в n-минут. Соотвественно при проверке всего
>одним таким пингом раз в 5 минут за сутки набегает почти
>полметра(432000 байт), а вдействительности никто не кидает меньше 5-10 пакетов. Соотвественно
>траффик за сутки составляет 2160000-4320000 байт, при все тех же проверках
>раз в 5 минут. считать сколько набежать может за месяц? Конечно
>Это чисто теоретическая выкладка - многие проверяют пинг не до хоста
>клиента, а например до его модема или свитча, да и не
>так часто возможно (зависит от вариаций на тему), но вот вам
>еще один источник паразитного траффика. Тоесть нет смысла искать черную кошку
>в темной комнате если ее там нет. Надло сначала попытаться найти
>ее там, где светло.Понял. Спасибо
я думаю верить больше sargу. У меня щас пока 2 шлюза - один за другим - сначала 2003(ISA 2004), за ним Freebsd. Так вот. для первого пользую Internet Access monitor. На втором sarg. Ради интереса сверяю показания и того, и другого с отсчетами на сервере статистики прова. Млин, IAM считает довольно точно - погрешность порядка 0,5% на 400 метров траффика суточного. sarg - поменьше, но не более 3-5%. Так что 100 - 300 метров -это, ИМХО, многовато для правды...