|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Dmitry Kondratenko 2:5042/24 15 Sep 2004 10:56:04
To : Slava Gorbanev
Subject : Что посоветуете?
--------------------------------------------------------------------------------
14 Sep 04 20:55, ты писал мне:
DK>> все мои решения упираются в одно - не получается полной
DK>> автоматизации, а так как именно этот фактор решающий прошу совета.
SG> у меня сделано так -- в iptables считается трафик:
SG> -A FORWARD -d 192.168.1.0/24 -j COUNT
SG> -A OUTPUT -d 192.168.1.0/24 -j COUNT
SG> # это если ходят через сквид
SG> -A COUNT -s 192.168.1.1 -d 192.168.1.XXX -p tcp -m tcp --sport 3128 -j
SG> RETURN # это все остальное -A COUNT -s ! 192.168.1.0/24 -d 192.168.1.XXX
SG> -j RETURN
у меня примерно также сейчас сделано.
SG> тут считается раздельно трафик через прокси и прямой (как правило,
SG> почта). раз в N минут запускается скрипт примерно такого вида, который
SG> проверяет эти счетчики:
SG> #!/bin/bash
<...skipped by Rebel...>
SG> как видим, скрипт простейший, лимит у всех одинаковый. элементарно на
SG> перле или чем угодно пишется скрипт с персональными лимитами.
SG> кроме этого в сквид встроен скрипт-редиректор, который на каждый запрос
SG> смотрит в /var/loca/traffic/$SRC_IP, и если находит там такой файлик,
SG> выдает пользователю страничку "вами превышен лимит". если надо вообще
SG> отрубить машину, то можно в качестве действия добавлять запрещающие
SG> правила в iptables.
SG> ну и каждую ночь счетчики и флаги обнуляются.
Вот теперь вопрос: примерно так я один раз и делал, но вот приходилось ручками
потом исправлять в iptables запреты на юзверей. вот здесь у меня загвоздка...
может пора в отпуск???
//REBEL//
... XMMS np: none
--- GoldED+/LNX 1.1.5-alt0.pre.20040211.13
* Origin: AmurLinuxUserGroup (2:5042/24)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
Что посоветуете? 