|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Valentin Davydov 2:5020/400 06 Mar 2007 11:35:18
To : Konstantin Raznoglyadov
Subject : Re: traffic
--------------------------------------------------------------------------------
> From: Konstantin Raznoglyadov
> <Konstantin.Raznoglyadov@p5.f76.n5004.z2.fidonet.org> Date: Sun, 04 Mar 2007
> 12:21:06 +0300 есть задача. весьма не тривиальная. пока толкового решения не
> придумал. есть сетка примерно из 200 раб.мест. есть роутер на bsd 6.2 на нем
> squid/ipfw/nat/dhcp до меня было что все в инет ходили по divert (про расходы
> на траффик до меня - лучше умолчим). задача была такой: нужно, абсолютно
> прозрачно для пользователей ввести учет траффика, ограничения, блокировку если
> нужно будет и т.п. и т.д...
Задача поставлена некорректно: невозможно ввести прозрачные ограничения и/или
блокировки, юзер это сразу заметит (а чего это у меня интернет не работает с
обеда?).
>Что сделал:
>поднял сквида, сделал прозрачную проксю.
>просканировал всю сетку, переписал MAC'и всех машин, вбил в dhcp.conf и жестко
>привязал каждую машину к конкретному ip
>host user1 {
> hardware ethernet <MAC>;
> fixed-address <IP>; }
>теперь встало некоторое кол-во проблем, над которыми бъюсь и пока ничего
>толкового не придумал.
static arp на интерфейсе ещё хорошо бы. А ещё лучше - каждому юзеру свой
интерфейс, если свичи позволяют различать порты (например, при помощи vlanов).
>нужно:
>1.если пришел человек и воткнул в сетку свой домашний бук, пропишет на нем
>вручную ip и будет лазить по инету -не хорошо. как от такого урыться?
Если его ip не будет совпадать с тем, что у тебя прописано для этого порта -
полазать по интернету ему не удастся, ответные пакеты до него не дойдут.
>2.прозрачная прокся - эт хорошо, но ведь туда не завернешь всякие smtp/pop...
>как их учитывать?
Почему не завернуть? NAT - это вполне себе прокся, только на уровне IP.
>3.заворачиваю на сквид только 80. всякие 443 и 5190 - не хотят через него
>работать. 443 - такая ситуация если в браузере набрать просто http - а там SSL
>- то он не откроет страницу. а если набрать https - откроет, но при этом 443
>порт идет nat'ом, а 80 через проксю.
Да убери ты этот сквид вообще, вряд ли у тебя cache hits составляют заметную
долю трафика.
>4.периодически роутер (примерно раз в 10 дней) перестает пересылать какие-либо
>пакеты. решается перезагрузкой. до поднятия ПРОЗРАЧHОЙ прокси - такого не было.
>как сделал прозрачной - началось. Грешу на иногда резко возрастающее кол-во
>одновременных подключений. (до 1000). Может зарезать время жизни соединения?
Убрать сквид.
>попытался объяснить более-менее внятно. буду рад любой помощи.
Я бы, конечно, мог долго распинаться на тему ipaudit -e, realtime billing и
прочих забавных штучек, но, оглядываясь на опыт, могу сказать, что основной
положительный эффект наблдался от двух вещей: во-первых, приведения в порядок
эксплуатационной документации сети (чтобы знать, какой кабель откуда и куда
идёт, где какой компьютер стоит и кто за него отвечает и т.д., причём для
этого порой приходилось лезть на чердаки и по уши в пыли прокладывать
документированные и убирать недокументированные кабели ;-), а в-главных,
увы, отказ от услуг провайдера, затеявшего считать трафик.
Вал. Дав.
--- ifmail v.2.15dev5.3
* Origin: Demos online service (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
traffic |
Konstantin Raznoglyadov |
04 Mar 2007 13:21:06 |
 Re: traffic |
Eugene Grosbein |
06 Mar 2007 11:44:07 |
|
Re: traffic |
Anatol Golokolos |
06 Mar 2007 08:18:38 |
|
traffic |
Alexcei Pestunovich |
06 Mar 2007 09:11:00 |
  traffic |
Konstantin Raznoglyadov |
29 Mar 2007 05:03:42 |
|
Re: traffic |
Valentin Davydov |
06 Mar 2007 11:35:18 |
|
traffic |
Alex Mogilnikov |
06 Mar 2007 16:29:10 |
|
traffic |
Yuri PQ |
06 Mar 2007 18:35:56 |
 Re: traffic |
Valentin Davydov |
06 Mar 2007 20:08:35 |
 traffic |
Yuri PQ |
07 Mar 2007 19:41:22 |
|
traffic |
Konstantin Raznoglyadov |
29 Mar 2007 05:11:32 |
|
traffic |
Konstantin Raznoglyadov |
29 Mar 2007 05:06:22 |
|
traffic |
Alex Mogilnikov |
06 Mar 2007 16:06:22 |
|
traffic |
Konstantin Raznoglyadov |
29 Mar 2007 05:07:58 |
|
traffic |
Andrey Ostanovsky |
31 Mar 2007 11:58:50 |
|
traffic |
Alex Mogilnikov |
31 Mar 2007 20:17:29 |
|
traffic |
Konstantin Raznoglyadov |
04 Apr 2007 00:36:08 |
|
traffic |
Alex Mogilnikov |
05 Apr 2007 15:07:38 |
|
Re: traffic |
Victor Sudakov |
05 Apr 2007 14:22:38 |
|
Re: traffic |
Andrei Lavreniyuk |
05 Apr 2007 19:06:08 |
|
Re: traffic |
Valentin Davydov |
02 Apr 2007 14:15:25 |
|
traffic |
Konstantin Raznoglyadov |
04 Apr 2007 06:26:54 |
|
Re: traffic |
Dmitriy Kirhlarov |
02 Apr 2007 15:44:46 |
|
traffic |
Slava Alpatov |
02 Apr 2007 15:52:40 |
|
Re: traffic |
Valentin Davydov |
03 Apr 2007 09:53:52 |
|
traffic |
Slava Alpatov |
03 Apr 2007 10:44:42 |
|
Re: traffic |
Valentin Davydov |
04 Apr 2007 13:21:34 |
|
traffic |
Slava Alpatov |
04 Apr 2007 16:09:42 |
|
traffic |
Konstantin Raznoglyadov |
04 Apr 2007 06:28:56 |
|
traffic |
Alex Semenyaka |
04 Apr 2007 22:17:16 |
|
Re: traffic |
Valentin Davydov |
05 Apr 2007 10:08:04 |
|
traffic |
Slava Alpatov |
05 Apr 2007 12:04:39 |
|
traffic |
Alex Semenyaka |
05 Apr 2007 12:26:48 |
|
|
