URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 96391
[ Назад ]

Исходное сообщение
"Нужна помощь в настройке шлюза"

Отправлено Nil , 07-Дек-15 19:48 
Есть сеть небольшого офиса. Есть бюджетный роутер, к которому через отдельный хаб + WiFi подключены клиенты.

WAN порт подключен к сетке 192.168.0.0, которая раздаёт ему инет. WAN интерфейсу прописаны фиксированные настройки IP 192.168.0.90, маска 255.255.255.0, шлюз 192.168.0.1.

Клиенты получают IP из сетки 192.168.1.0. Всё довольно банально. Стоит задача логирования tcp пакетов уходящих/приходящих в/из интернет. Для начала хотелось бы знать, откуда, куда идут пакеты, порт, размер. В идеале подняться на до уровня протоколов для анализа http, ftp, pop, smtp траффика. Вот такие аппетиты).

Средствами роутера сделать вряд ли получиться, как уже говорил, роутер бюджетный.
Есть железка, на Intel Atom D2600, с 2мя сетевыми интерфейсами и уже подготовленной, готовой к мукам, ubuntu).
Подскажите пожалуйста, как заставить железяку, логировать пакеты? Куда оптимальнее включить её? В разрыв WAN или же оставить в сети 192.168.1.0, и как-то заставить роутер слать на неё копии пакетов. На роутере стоит dd-wrt, возможно её как-то можно покрутить чтобы она дублировала все пакеты на мою железяку. Второй вариант нравится больше, т.к. инет не будет зависеть от работоспособности железки, но кроме обрывков, что такое вообще возможно, больше ничего в инете не нашёл((

Помогите люди добрые, хотя бы в какую сторону копать??
З.Ы. Прошу сильно не пинать, я программер, администрирование только пытаюсь осваивать)


Содержание

Сообщения в этом обсуждении
"Нужна помощь в настройке шлюза"
Отправлено omnomnim , 07-Дек-15 21:04 
> Помогите люди добрые, хотя бы в какую сторону копать??
> З.Ы. Прошу сильно не пинать, я программер, администрирование только пытаюсь осваивать)

угу, не пинать, сказать куда нас, админов, программеры посылают когда мы вопросы задаём - правильно, читать доки, аль программеров в гугле забанили?

аль програмеры спеки/ТЗ писать не умеют?
модель роутера?
версия dd-wrt?

стыдно, товарищ програмер

вариант 1:
нагуглить как/откуда поставить tcpdump на ваш роутер,
man tcpdump
если в роутере есть usb - дампать флэшкуи потос просматривать под кофе/чай/пиво wireshark-ом
ессно CPU роутера это может сильно не понравится

вариант 2 (имхо более верный):
google:// ubuntu nat router
читаем 100500 бложиков + 100500 доков, экспериментируем на кошках (например поставив машину "вразрез" между своим личным десктопом и локальной сетью)
с той конфигурацией сетей что вы сказали настраивается на самом деле минут за 15
когда маршрутация/нат заработают и уже освоившись с tcpdump ставим нашу машинку вместо мыльницы с ddwrt,
если нужен wifi - перенастраиваем мыльницу в режим тупого AP
дампим весь траффик, издеваемся над юзверями, итд итп



"Нужна помощь в настройке шлюза"
Отправлено omnomnim , 07-Дек-15 21:07 
ЗЫ то что вы хотите можно сделать и по другому,
просто отзеркалить порт, но это умеют только нормальные управляемые свитчи,
в древне-дешёвых мыльницах такого функционала нет


"Нужна помощь в настройке шлюза"
Отправлено дима , 08-Дек-15 11:31 

> tcp пакетов уходящих/приходящих в/из интернет. Для начала хотелось бы знать, откуда,
> куда идут пакеты, порт, размер. В идеале подняться на до уровня
> протоколов для анализа http, ftp, pop, smtp траффика. Вот такие аппетиты).

больная страна.
всешджа первым делом хоят начать все логировать и контролировать


"Нужна помощь в настройке шлюза"
Отправлено Nil , 08-Дек-15 13:01 
А кроме флуда здесь ещё что то осталось??

Уважаемый, обиженный прослойкой недалеких кодеров, админ, по существу будет что-то?

Вы сами когда нибудь пробовали на флешку писать на роутере за 50-100 баксов что-нибудь кроме пакетиков установочных, независимо от его модели и версии dd-wrt?? Рекомендую попробовать, а потом давать такие советы. Ни скорость usb порта, ни скорость записи флехи, ни проц, вам не позволят писать поток вывода tcpdump, даже ту горстку протоколов которую я озвучил... Настроить шлюз, nat и все около него стоя'щее тоже ума много не надо, что-то пооригинальнее будет?

> больная страна.
> всешджа первым делом хоят начать все логировать и контролировать

и вам спасибо за содержательный ответ по теме!


"Нужна помощь в настройке шлюза"
Отправлено omnomnim , 08-Дек-15 13:58 

> и вам спасибо за содержательный ответ по теме!

пробовал на openwrt, и оно даже работает, всё от кол-ва проходящего трафика зависит,
у tcpdump кстати внезапно есть фильтры

я вам уже сказал - port mirroring на вашем г-не модель которого вы таки не осилили озвучить НЕТУ и быть не может

других решений нет

> Настроить шлюз, nat и все около него стоя'щее тоже ума много не надо, что-то пооригинальнее будет?

судя по вашим репликам у вас оного ума и нету
так что можете пройти в лес и/или купить нормальное оборудование

вы ждёте какое-то магическое решение которого нет в природе,
возможные варианты вам уже были озвучены

кстати с таким гонором помогать вам никто не будет


"Нужна помощь в настройке шлюза"
Отправлено Nil , 08-Дек-15 15:08 
> пробовал на openwrt, и оно даже работает, всё от кол-ва проходящего трафика зависит,

у tcpdump кстати внезапно есть фильтры

на одном юзере сидящем в контакте пробовали?? посадите туда примерно 10-15 обычных серферов, и удивитесь.. игрался с NETGEAR WNDR3600, которые порядком шустрее чем то, с чем пришлось столкнуться. действовать нужно в рамках вот этой кривоты WNR3500L.. мне конечно очень приятно, что вам приходится сталкиваться только с роутерами/свитчами корпоративного класса, но таких радостей в моём распоряжении, в данной задачи нет.

> судя по вашим репликам у вас оного ума и нету
> так что можете пройти в лес и/или купить нормальное оборудование

в лесу вы видно сидите, если не слышите моих вопросов, см первый пост, что имеем и что нужно

> кстати с таким гонором помогать вам никто не будет

я задал вопрос, а от вас пришли неадекватные речи, если забыли, напомню начало вашего первого поста:

> угу, не пинать, сказать куда нас, админов, программеры посылают когда мы вопросы задаём > - правильно, читать доки, аль программеров в гугле забанили?
> аль програмеры спеки/ТЗ писать не умеют?
> вы ждёте какое-то магическое решение которого нет в природе

сразу нельзя так ответить?? вопрос был бы снять давно...

спасибо за ваш отборный флуд, к вам вопросов больше нет


"Нужна помощь в настройке шлюза"
Отправлено omnomnim , 08-Дек-15 15:19 
> сразу нельзя так ответить?? вопрос был бы снять давно...
> спасибо за ваш отборный флуд, к вам вопросов больше нет

мне как-то пох, совсем

пишите своим единомышленникам-индусам на MSDN/Technet
вы спрашивает "как" - вам было дано 2 единственно возможных варианта
как вы расписали задачу - так вам и ответили
если мозгов нет даже чтоб вопрос нормально задать - не ждите вежливых ответов, _здесь_ вам не хабр и даже не ЛОР

"программер", блин, общаясь с такими как вы понимаешь _почему_ половина софта написана через Ж, логическое мышление и способность нахожить нужную инфу самостоятельно на уровне уборщицы


"Нужна помощь в настройке шлюза"
Отправлено Павел Самсонов , 08-Дек-15 15:21 
>[оверквотинг удален]
> в лесу вы видно сидите, если не слышите моих вопросов, см первый
> пост, что имеем и что нужно
>> кстати с таким гонором помогать вам никто не будет
> я задал вопрос, а от вас пришли неадекватные речи, если забыли, напомню
> начало вашего первого поста:
>> угу, не пинать, сказать куда нас, админов, программеры посылают когда мы вопросы задаём > - правильно, читать доки, аль программеров в гугле забанили?
>> аль програмеры спеки/ТЗ писать не умеют?
>> вы ждёте какое-то магическое решение которого нет в природе
> сразу нельзя так ответить?? вопрос был бы снять давно...
> спасибо за ваш отборный флуд, к вам вопросов больше нет

Вам зачем надо? Может Вы просто уперлись в решение "логирование траффика". Может решение раздавать инет через squid и смотреть sarg?


"Нужна помощь в настройке шлюза"
Отправлено Nil , 08-Дек-15 15:26 
>[оверквотинг удален]
>>> кстати с таким гонором помогать вам никто не будет
>> я задал вопрос, а от вас пришли неадекватные речи, если забыли, напомню
>> начало вашего первого поста:
>>> угу, не пинать, сказать куда нас, админов, программеры посылают когда мы вопросы задаём > - правильно, читать доки, аль программеров в гугле забанили?
>>> аль програмеры спеки/ТЗ писать не умеют?
>>> вы ждёте какое-то магическое решение которого нет в природе
>> сразу нельзя так ответить?? вопрос был бы снять давно...
>> спасибо за ваш отборный флуд, к вам вопросов больше нет
> Вам зачем надо? Может Вы просто уперлись в решение "логирование траффика". Может
> решение раздавать инет через squid и смотреть sarg?

Может и squid подойдёт, опять же опыта мало, не работал с ним. И надо добавлять ещё одно звено отказа в обеспечение инетом. Если эта железяка залипнет, юзеры остануться без инета, заказчик рад не будет).. А если его поставить в сторонке, залипнет, просто не будет статистики по трафу, это уже половина беды.


"Нужна помощь в настройке шлюза"
Отправлено Square1 , 08-Дек-15 16:09 
> эта железяка залипнет, юзеры остануться без инета, заказчик рад не будет)..

заказчик не готовый заплатить больше 50$ за шлюз  инет должен вызывать серьезное опасение в плане его вменяемости вообще.

хотя он нанял на эту работу Вас...
подозрения переходят в твердую уверенность :)


"Нужна помощь в настройке шлюза"
Отправлено omnomnim , 08-Дек-15 15:23 
> на одном юзере сидящем в контакте пробовали?? посадите туда примерно 10-15 обычных
> серферов, и удивитесь.. игрался с NETGEAR WNDR3600, которые порядком шустрее чем

сынок, у меня в сетке хостов побольше чем у тебя нейронных клеток в мозгу,
я знаю _как_ и зачем надо фильтровать

ага, вконтактик дампить будешь, молодца! а ничего что все соцсети давно в https? нихрена ты там не увидишь

короче, или учи матчасть (если мозгов хватит) или иди работать грузчиком


"Нужна помощь в настройке шлюза"
Отправлено Nil , 08-Дек-15 15:27 
> спасибо за ваш отборный флуд, к вам вопросов больше нет

"Нужна помощь в настройке шлюза"
Отправлено Square1 , 08-Дек-15 15:04 
1)
> Стоит задача логирования
> tcp пакетов уходящих/приходящих в/из интернет. Для начала хотелось бы знать, откуда,
> куда идут пакеты, порт, размер. В идеале подняться на до уровня
> протоколов для анализа http, ftp, pop, smtp траффика. Вот такие аппетиты).

2)
> Средствами роутера сделать вряд ли получиться,

Ваше мнение 2 противоречит вопросу 1. Вы спрашиваете как сделать логирование, и тут же говорите что средствами роутера это сделать невозможно. Сделать что?
То есть у вас УЖЕ ЕСТЬ ответ на вопрос 1?

Вы уже знаете как это сделать, и уверены что средствами роутера этого сделать нельзя.

Зачем вы тогда задаете вопрос?

Какой ответ вы ждете если у вас уже есть решение и вы даже знаете что решение сделать нельзя?

Возможностей организовать учет трафика при ваших исходных - масса.


"Нужна помощь в настройке шлюза"
Отправлено Nil , 08-Дек-15 15:22 
> 1)
>> Стоит задача логирования
>> tcp пакетов уходящих/приходящих в/из интернет. Для начала хотелось бы знать, откуда,
>> куда идут пакеты, порт, размер. В идеале подняться на до уровня
>> протоколов для анализа http, ftp, pop, smtp траффика. Вот такие аппетиты).
> 2)
>> Средствами роутера сделать вряд ли получиться,
> Ваше мнение 2 противоречит вопросу 1. Вы спрашиваете как сделать логирование, и
> тут же говорите что средствами роутера это сделать невозможно. Сделать что?
> То есть у вас УЖЕ ЕСТЬ ответ на вопрос 1?

я знаю что с помощью только лишь роутера это сделать нельзя, но есть железка на Atom D2600 с полноценным винтом а не флехой, которая возможно может помочь.
если бы можно сделать тоже зеркалирование порта, то задачи записи логов с роутера можно переложить на предложенную железку, как это сделать я не знаю. крайний вариант настроить nat, и поставить между портом WAN и сетью 192.168.0.0. Но лишнее звено отказа, не хочется добавлять..  

> Возможностей организовать учет трафика при ваших исходных - масса.

кроме ручного ковыряния в выводе tcpdump пока не приходилось сталкиваться с такими системами, поэтому прошу помощи, кто что использовал, на что стоит обратить на что нет? Интерес большой конечно попробовать всё, но к сожалению реальность с её нехваткой времени не позволяют).. Гораздо проще написать простой парсер на вывод tcpdump, вместо перебора всех в подряд систем учёта/анализа.


"Нужна помощь в настройке шлюза"
Отправлено Square1 , 08-Дек-15 15:43 
>[оверквотинг удален]
>>> Стоит задача логирования
>>> tcp пакетов уходящих/приходящих в/из интернет. Для начала хотелось бы знать, откуда,
>>> куда идут пакеты, порт, размер. В идеале подняться на до уровня
>>> протоколов для анализа http, ftp, pop, smtp траффика. Вот такие аппетиты).
>> 2)
>>> Средствами роутера сделать вряд ли получиться,
>> Ваше мнение 2 противоречит вопросу 1. Вы спрашиваете как сделать логирование, и
>> тут же говорите что средствами роутера это сделать невозможно. Сделать что?
>> То есть у вас УЖЕ ЕСТЬ ответ на вопрос 1?
> я знаю что с помощью только лишь роутера это сделать нельзя,

ЧТО СДЕЛАТЬ?

> если бы можно сделать тоже зеркалирование порта,

какого именно порта? как вы собираетесь отлавливать весь трафик зеркалируя ПОРТ?

> то задачи записи логов с роутера можно переложить на предложенную железку, как это сделать я не знаю.

банально: tcpdump+netcat на другую машину

> крайний вариант настроить nat, и поставить между портом WAN и
> сетью 192.168.0.0. Но лишнее звено отказа, не хочется добавлять..

А еще можно фильтрующий бридж воткнуть в разрыв между шлюзом и аплинком.

Вы думаете что ваш роутер с вайфай более надежен чем комп на атоме?

Что же касается "еще одной точки отказа" - это не серьезно. Усраться можно как вы повысите надежность системы используя в качестве шлюза дешевый роутер вместо компа на атоме.


>> Возможностей организовать учет трафика при ваших исходных - масса.
> кроме ручного ковыряния в выводе tcpdump пока не приходилось сталкиваться с такими
> системами,

Вы принципиально неправильно подходите к вопросу. Ваша задача- не зеркалирование порта на роутере.

Ваша задача - контроль трафика. И исходя из этой задачи вы должны строить шлюзование во внешнюю сеть. Делать это наоборот - исходя из имеющейся сети пытаться сделать нечто - это как раз то самое "ковыряние для удовольствия".

Самый правильный вариант- это поднять на имеющемся атоме нормальный роутер, с нормальной трафикосчиталкой, файрволом и т.д. а роутер с вайфай - использовать просто как точку доступа.


"Нужна помощь в настройке шлюза"
Отправлено Nil , 08-Дек-15 16:24 
>>[оверквотинг удален]
>>>> Стоит задача логирования
>>>> tcp пакетов уходящих/приходящих в/из интернет. Для начала хотелось бы знать, откуда,
> ЧТО СДЕЛАТЬ?

сделать - собрать и проанализировать траф на интерфейсе, это имею ввиду.
не хватает скорости порта USB роутера, LA сразу зашкаливает как только в реалтайме пытаюсь писать на флеху вывод tcpdump.

> какого именно порта? как вы собираетесь отлавливать весь трафик зеркалируя ПОРТ?

Если бы была такая возможность, то включил бы зеркалирование WAN порта, на порт к которому прицеплен Atom и на нём с помощью того же tcpdump собирал бы инфу. Так я себе это примерно представлял. Поправьте пож, если не прав.

> А еще можно фильтрующий бридж воткнуть в разрыв между шлюзом и аплинком.

вот это интересно, почитаю про мосты. tcpdump же можно на мост натравить?

> Вы думаете что ваш роутер с вайфай более надежен чем комп на
> атоме?
> Что же касается "еще одной точки отказа" - это не серьезно. Усраться
> можно как вы повысите надежность системы используя в качестве шлюза дешевый
> роутер вместо компа на атоме.

очень верное замечание...

> Вы принципиально неправильно подходите к вопросу. Ваша задача- не зеркалирование порта
> на роутере.
> Ваша задача - контроль трафика. И исходя из этой задачи вы должны
> строить шлюзование во внешнюю сеть. Делать это наоборот - исходя из
> имеющейся сети пытаться сделать нечто - это как раз то самое
> "ковыряние для удовольствия".
> Самый правильный вариант- это поднять на имеющемся атоме нормальный роутер, с нормальной
> трафикосчиталкой, файрволом и т.д. а роутер с вайфай - использовать просто
> как точку доступа.

судя по всему так и придётся делать.. спасибо!
пошёл читать про мосты и как уговорить местного управителя роутером отказаться от него)


"Нужна помощь в настройке шлюза"
Отправлено Nil , 08-Дек-15 20:56 
> А еще можно фильтрующий бридж воткнуть в разрыв между шлюзом и аплинком.

Попробовал, сработало, это то что нужно! Спасибо!