URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 73503
[ Назад ]

Исходное сообщение
"Прошу помощи в решении задачи!"

Отправлено mrrc , 14-Апр-07 13:41 
Вот что хотят получить заказчики:

Есть офис, пока порядка пяти-шести компьютеров (Win'XP). Пользователей у этих компьютеров порядка 20 человек, т.е. на каждой машине могут работать разные сотрудники и меняться местами. Нужно обсчитывать интернетовский трафик каждого пользователя в отдельности, при этом еще желают чтобы каждый пользователь входил в Windows под своей учетной записью, последнее, скажем, решаемо.

Мне видится решение этой задачи вкратце следующим - поставить шлюз под эхотагом, через который будет осуществляться доступ пользователей офисной локальной сети к Интернет. Необходимо реализовать подключение пользователей к сети Интернет с применением индивидуальных имени и пароля, с присвоением каждому имени пользователя закрепленного за ним IP-адреса, по которому в свою очередь уже и обсчитывать трафик пользователя на Интернет-шлюзе тем же Netams-ом.

Что для этого лучше всего подойдет, поднятие PPPoE-сервера под эхотагом и настройкой соответствующего соединения к этому серверу на каждой из рабочих станций, чтобы сев за компьютер пользователь подключался посредством своей учетной записи(имя и пароль), получая доступ к Интернет? После естественно рвал поднятое соединение, уходя с рабочего места и пуская другого человека.

А нет ли каких-нибудь надстроек в винде, чтобы можно было каждой заводимой учетной записи пользователя назначить индивидуальные привязанные к этой учетной записи сетевые настройки на TCP/IP сетевого адаптера? Тогда бы задача решилась очень просто уже наработанные годами методами сбора и учета трафика.

Расскажите, пожалуйста, у кого как реализованы схожие схемы доступа, хотелось бы взяться за предложенную работу.


Содержание

Сообщения в этом обсуждении
"Прошу помощи в решении задачи!"
Отправлено Grey , 14-Апр-07 13:58 
если будет организован доступ к инету по имени и паролю, зачем тогда привязка имени к IP?
на основе связки (OS FreeBSD) pptpd+exppp+FreeRADIUS+PgSQL юзаю систему доступа клиентов к инету ... считаю трафик без привязак клиентов к IP или MAC, с любого компа сети любой клиент залогинившись под любым именем вводит свои данные при поднятии VPN-соединения и спокойно вырабатывает лимит своего логина в системе учёта ....
P.S. одна трудность: не возможно передать винде при установлении соединения маршрут из FreeRADIUS, ну не хочет винда видеть сообщения по RFC, любят в MS лепить своё.

"Прошу помощи в решении задачи!"
Отправлено mrrc , 14-Апр-07 14:31 
>если будет организован доступ к инету по имени и паролю, зачем тогда
>привязка имени к IP?

Для того, чтобы обсчет велся по получаемому\передаваемому данным IP-адресом трафику, я использую Netams везде для управления и контролем за трафиком.
Если бы можно было администратору каждой учетке в винде назначать свои сетевые реквизиты, то проблемы бы вообще не было.


>на основе связки (OS FreeBSD) pptpd+exppp+FreeRADIUS+PgSQL юзаю систему доступа клиентов к инету
>... считаю трафик без привязак клиентов к IP или MAC, с
>любого компа сети любой клиент залогинившись под любым именем вводит свои
>данные при поднятии VPN-соединения и спокойно вырабатывает лимит своего логина в
>системе учёта ....

Я часто сталкивался с использованием кем-то pptp(d)+чего-то там, но сам подобные штуки не настраивал еще. Ведь как я понимаю, поднимая сервер PPPoE или ppptp создается файл соотношений user : пароль(если не берется из passwd) : ip-адрес, закрепляемый за юзером, по последнему как раз и можно обсчитывать трафик учетной записи, с помощью которой пользователь подключается к инету с разных рабочих мест в офисе.


"Прошу помощи в решении задачи!"
Отправлено Alex , 14-Апр-07 17:27 
Помоему это настоящий гемор то что ты написал на решение проблемы это все рещается гораздо более тривиальным спсобом- поскольку я небольшой сторонник BSD систем но думаю реализация в ней не будет сильно отличаться от linux rhel5
Классический вариант - организяци демилитаризованной зоны внутри сети поставить шлюз на котором поднять IPTABLES + SQUID с аутентификацией пользователей (причем если разобратья в насройке тов нем можно творить чудесные вещи ) практически все можно на нем реализовать
Если хочестся еще большего гемора то можно еще поднять PDC на SAMBA + LDAP тогда твои юзеры смогут логиниться под своими уч записями одновременно логиняь на SQUID  а статистику можно обрабатывать разными средсвами напр SARG или Webalizer или под виндой там естькакая хрень
если все же заинтресует пиши на мыл alex@blt.nsys.by


"Прошу помощи в решении задачи!"
Отправлено mrrc , 14-Апр-07 21:28 
>Помоему это настоящий гемор то что ты написал на решение проблемы это
>все рещается гораздо более тривиальным спсобом- поскольку я небольшой сторонник BSD
>систем но думаю реализация в ней не будет сильно отличаться от
>linux rhel5
>Классический вариант - организяци демилитаризованной зоны внутри сети поставить шлюз на котором
>поднять IPTABLES + SQUID с аутентификацией пользователей (причем если разобратья в
>насройке тов нем можно творить чудесные вещи ) практически все можно
>на нем реализовать
>Если хочестся еще большего гемора то можно еще поднять PDC на SAMBA
>+ LDAP тогда твои юзеры смогут логиниться под своими уч записями
>одновременно логиняь на SQUID  а статистику можно обрабатывать разными средсвами
>напр SARG или Webalizer или под виндой там естькакая хрень
>если все же заинтресует пиши на мыл alex@blt.nsys.by

Стандартный вариант с установкой шлюза, жесткими правилами фаервола на нем, позволяющими пользователям иметь доступ только к порту SQUID-а и обычной авторизацией пользователей в нем рассматривается, но считать трафик на основе логов SQUID-а способ весьма примитивный и имеющий существенные погрешности по показателям полученного трафика, это уже проходили, sarg хорош для контентной статистики, куда ходят пользователи, а считать нужно на уровне пакетов и интерфейсов все же. К тому же есть еще электронная почта, возможно, будут задачи по выкладыванию данных на внешние ftp, что тоже не склоняет меня к выбору данного варианта решения.


"Прошу помощи в решении задачи!"
Отправлено Eprst , 22-Апр-07 01:49 
Я как то ставил http://www.stargazer.dp.ua/ вер.2.016 на FreeBSD5.3 + pf (и SQUID-только для экономии, Samba как PDC, но это к делу не относится, контора 3 компа) вроде неплохо для мелкой конторы. Пользователи авторизуются и смотрят свой трафик старгейзерским клиентом (маленькая прога, не зависит от реестра). Страргейзерский сервер пускает скрипты OnConnect OnDisconnect которые управляют файрволом и считает трафик по правилам, пишет логи по трафику. Ставил на PentiumPro-200, на 1 Мбит/с что давал DSL проблем нет, по локалке 100 Мбит трафик считать не успевал, но и не надо, с 2.016 помню еще была проблема с кривыми конфигами в дистрибутиве, брал их от 2.014. Дело было давно, новых вер. не пробовал. На всякий пожарный еще считал трафики trafd. Юзеры коих было больше компов сами тогда отмели идею с перелогиниванием в домен - слишком долго винда2k перелогиниваецца.

"Прошу помощи в решении задачи!"
Отправлено Вовка , 22-Апр-07 04:01 
>Я как то ставил http://www.stargazer.dp.ua/ вер.2.016 на FreeBSD5.3 + pf (и SQUID-только
>для экономии, Samba как PDC, но это к делу не относится,
>контора 3 компа) вроде неплохо для мелкой конторы. Пользователи авторизуются и
>смотрят свой трафик старгейзерским клиентом (маленькая прога, не зависит от реестра).
>Страргейзерский сервер пускает скрипты OnConnect OnDisconnect которые управляют файрволом и считает
>трафик по правилам, пишет логи по трафику. Ставил на PentiumPro-200, на
>1 Мбит/с что давал DSL проблем нет, по локалке 100 Мбит
>трафик считать не успевал, но и не надо, с 2.016 помню
>еще была проблема с кривыми конфигами в дистрибутиве, брал их от
>2.014. Дело было давно, новых вер. не пробовал. На всякий пожарный
>еще считал трафики trafd. Юзеры коих было больше компов сами тогда
>отмели идею с перелогиниванием в домен - слишком долго винда2k перелогиниваецца.
>


а 802.11 не решение? на мой взгляд красиво - пользователь "проверился" получил порцию сервиса и пробилинговался полноценно
Уже весь мир идет в сторону того что у клиента нечего не должно быть кроме учетной записи в офисной сети


"Прошу помощи в решении задачи!"
Отправлено MKuznetsov , 22-Апр-07 12:18 
Возможно Вам поможет просто smbgate
http://tldp.org/HOWTO/Samba-Authenticated-Gateway-HOWTO.html
картина будет следующая - человек садясь за машину вводит вводит свои логин-пароль
для входа в домен, сервер при удаче аутенфикации добавляет правила в фаервол которые разрешают доступ в Интернет и считают трафик.

"Прошу помощи в решении задачи!"
Отправлено mrrc , 22-Апр-07 16:27 
Решение уже проработал для себя самое простое и красивое, на мой взгляд - mpd + ipfw + Netams.
Клиенты подключаются по VPN к mpd на шлюзе (кстати, mpd одновременно выступает в качестве VPN-сервера для пользователей и как PPPoE клиент до провайдера), авторизируются, каждому присваивается закрепленный за ним IP-адрес, по которому Netams управляет и обсчитывает их трафик, снимая данные с поднимаемых ngХ-интерфейсов. Также все принудительно ходят через SQUID для последующей возможности получения контентной статистики по пользователям SARG-ом и контроля доступа к тем или иным форматам и данным, получаемым из сети.

В принципе, от SQUID-а с SARG-ом можно отказаться, реализовав контентную статистику в Netams, но в этом случае на последний ляжет ощутимая дополнительная нагрузка с нехилым разрастанием базы данных.