Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
Dimasm
Зарегистрирован: 25.04.2005 Сообщения: 454
|
Добавлено: Ср Окт 26 2005 12:13 Заголовок сообщения: посчёт трафика |
|
|
Есть копм с Linux RH 9.0 одна сетевайка смотрит в локалку, другая к провайдеру.
Сейчас встал вопрос с распределением и подсчётом трафика для локальной сети.
Основное требование:
- web статистика.
- прозрачный доступ - без оганичений на используемые порты и службы
машинка слабенькая P100 RAM32
предпологаемое кол-во юзверей на данном железе не более 5-6 чел.
тут порылся в форумах и статьях и выяснил, что в основном есть три наиболее распространённых способа решения этой задачи:
- NAT(или маскарадинг) и дополнительная прога для подсчёта пакетов
- кэширующий прокси сервер (наиболее яркий представитель Squid)
- поднятие поверх сети VPN
Хочется узнать мнение профессионалов:
- в какую "сторону" лучше смотреть из этих трёх вариантов?
- какие есть другие варианты?
- каким софтом лучше решать вопросы подсчёта трафика?
- что "лучше" и "удобнее" для меня? а для пользователей?
- что считается более "продвинутым"? |
|
Вернуться к началу |
|
|
McZim
Зарегистрирован: 09.08.2005 Сообщения: 275 Откуда: Omsk
|
Добавлено: Ср Окт 26 2005 12:55 Заголовок сообщения: |
|
|
Если у тебя будет до 10-компов, то лучше всего в твоем варианте использовать Squid + iptables! squid account manager - показывает статистику через web, впринципе для небольшой сети удобно! И патом прокся будет помогать тебе своим кэшем, а вот без нее у тебя будет уходить много денег! Это удобно интернет провайдерам которые продают инет. Вот поэтому некоторые делают VPN соединение!
VPN целесообразно использовать только в том случае, если у тебя разбросаны сети по городу либо в одной канторе, но много разных подсетей и тебе все эти подсети нужно считать! Тогда ставишь какойнить Billing + авторизация для VPN типа Radius и считаешь!
Если ты будешь использовать NAT то еще не забудь форвардинг + отдельный пакет для подсчета! _________________ Я странный... |
|
Вернуться к началу |
|
|
Dimasm
Зарегистрирован: 25.04.2005 Сообщения: 454
|
Добавлено: Ср Окт 26 2005 16:52 Заголовок сообщения: |
|
|
McZim писал(а): | Squid + iptables! |
А как быть не с веб трафиком? Весь веб трафик можно перенаправить на Squid, а почта, всякие аськи и т.д. и т.п.? как с этим?
через NAT? тогда выходит будет два вида трафика?
McZim писал(а): | VPN целесообразно использовать только в том случае, если у тебя разбросаны сети по городу либо в одной канторе, но много разных подсетей и тебе все эти подсети нужно считать! Тогда ставишь какойнить Billing + авторизация для VPN типа Radius и считаешь! |
с точки зрения пользователя (меня):
сперва я подключался через VPN, то есть локалка по ADSL и в этой локалке VPN сервер.
Потом меня посадили за NAT, с одной сторны удобнее(проще свой сервак настроить ) а с другой напрягает, когда открываешь какой-нибудь Adobe Reader и он начинает качать обновления
или лазаешь по справке в винде, а потом выясняешь, что она из инета качалась.
А с VPN у тебя есть локалка (не перепутаешь откуда что качаешь), и если надо инет, видно сколько закачал за текущий сеанс.
можно ли за VPN спрятать SQUID и NAT? примерно так:
Код: |
______________________________________
| SQUID<- |
| / \ |
{провайдер}----------eth0- {VPN server}----eth1 |
172.16.59.*** | \ / \ |
| NAT <- --ppp(modem)|
|______________________________________|
|
или я надумываю лишнее? |
|
Вернуться к началу |
|
|
McZim
Зарегистрирован: 09.08.2005 Сообщения: 275 Откуда: Omsk
|
Добавлено: Чт Окт 27 2005 05:56 Заголовок сообщения: |
|
|
Значит смотри:
Squid-это кеширующий веб сервер!
iptables-это межсетевой экран!
ulog-считает весь трафик проходящий через него, в том числе и аськи!
Вы определитесь какое вы хотите подключение: (постоянное или временное)?
А что-бы разные проги не лезли в инет за обновлениями, определите необходимые правила в iptables.
По поводу вашей схемы: Если есть VPN то тебе NAT не нужен. А Squid не позволит видеть деталезацию на каждого в отдельности пользователя (только трафик веб), потому что весь трафик будет ходить только через Squid, соответсвенно те проги которые у тебя будут считать трафик будут считать что весь трафик качает Squid а не какой-то клиент. _________________ Я странный... |
|
Вернуться к началу |
|
|
Dimasm
Зарегистрирован: 25.04.2005 Сообщения: 454
|
Добавлено: Чт Окт 27 2005 11:56 Заголовок сообщения: |
|
|
Респект! примерно разобрался, только пара маленьких уточнений
в случае использования NAT, SQUID, IPTABLES
в iptables мы "логируем" по IP адресам и MAC-ам все пакеты проходящие через iptables, то есть все (и через NAT и через SQUID), а ULOG будет собирать то что "налогировали" и показывать статистику.
получается надо ещё апача поднимать при любом раскладе
squid account manager - будет через веб показывать статистику для всего
трафика? или только для того, что проходит через squid?
можно ли через squid пустить весь трафик? почту например.
ну аську, мирку можно настроить на работу через прокси, а если
кто-нибудь поговорить захочет через инет? или фтп?
Если да, то былобы супер
этот вариант, как я понял для постоянного соединения, хотя можно написать
свою софтину, чтобы клиент жмёт кнопочку - соедениться
и в iptables добавляется разрешение для этого IP, но это лишний гемор.
теперь хочется уточнить по непостоянному соединению - VPN
McZim писал(а): | Значит смотри:
По поводу вашей схемы: Если есть VPN то тебе NAT не нужен. А Squid не позволит видеть деталезацию на каждого в отдельности пользователя (только трафик веб), потому что весь трафик будет ходить только через Squid, соответсвенно те проги которые у тебя будут считать трафик будут считать что весь трафик качает Squid а не какой-то клиент. |
выходит для детализации по клиентам, нужно работать либо средствами
VPN сервера, либо ставить дополнительный софт (именно для VPN), так? _________________ С уважением Dimasm |
|
Вернуться к началу |
|
|
McZim
Зарегистрирован: 09.08.2005 Сообщения: 275 Откуда: Omsk
|
Добавлено: Пт Окт 28 2005 05:16 Заголовок сообщения: |
|
|
1.А зачем тебе Апачь(веб сервер)????
2.Весь трафик!
3.Все какие проги умеют работать через прокси соответсвенно можно настроить на работу через прокси!
4.При работе через VPN соединение, нужно ставить отделюную биллинговую систему (идеальный вариант) и считать все и всех, причем давольно качественно (смотря какой биллинг), вплоть до различный тарифных планов!!! _________________ Я странный... |
|
Вернуться к началу |
|
|
Dimasm
Зарегистрирован: 25.04.2005 Сообщения: 454
|
Добавлено: Пт Окт 28 2005 14:06 Заголовок сообщения: |
|
|
McZim писал(а): | 1.А зачем тебе Апачь(веб сервер)???? |
Ну так веб статистика, наверняка будет на основе связки web+SQL
ULOG - это ведь действие в IPTABLES, если не ошибаюсь либо в лог файл, либо в базу данных
или прога должна сама быть "простеньким" веб сервером
Всётаки думаю VPN сервер сейчас я не осилю может позже.
буду копать про squid & iptables _________________ С уважением Dimasm |
|
Вернуться к началу |
|
|
|