Настройка StarGazer 2.4.8.6

[Mister_Igor 0]

Установлен FreeBSD 5.4 , ipfw , прокси-сервер Oops 1.5.23 , Postfix 2.2.x , Stargazer 2.4.8.6 .

Интернет раздается нескольким пользователям через прокси , IP адреса у каждого юзера

свои ( статические ), прокси не прозрачный ( т.е у каждого пользователя в настройках

Internet Explorera прописываю IP адрес прокси и порт 3128 ) То же касается и FTP трафика,

стоит прокси-FTP типа : frox -0.7.18 ( в настройках IE у юзеров на него стоит порт 2121 ).

Стоят две сетевых карты:.

rl0: 192.168.0.1 - Интернет rl1: 192.168.20.1 – Локальная сеть

Нужно считать только прокаченный трафик на внешний мир, разделяя его на почтовый трафик,

ftp трафик, и трафик « Интернет» ( http… ) Трафик ограничен : 2 Gb в месяц, а затем нужно объяснить,

кто и зачем использовал так много Интернета, вот так, иначе отдерут.

Не могу понять некоторых моментов, помогите консультацией, направьте на путь истинный.

Очень уж хочется разобраться в системе Stargazer,очень надеюсь на Вашу помощь.

 

1. Файл rulez настроил примерно так:

TCP 192.168.20.1:25 DIR0 # Почтовый трафик

TCP 192.168.20.1:3128 DIR1 # Интернет трафик

TCP 192.168.20.1:2121 DIR2 # FTP трафик

 

Для конфигуратора поставил порт 5757 , для авторизатора 4545

Конфигуратор ( 1.67.8 ) соединяется с сервером без проблем и сам Stargazer нормально

запускается, но вот в настройках его я пока не силен. Документация с сайта есть, ее читал.

 

Отсюда два вопроса : а) Как отделить внутренний почтовый трафик ( посылка почты внутри

локальной сети ) и внешний почтовый трафик ( посылка почты в Интернет ).

б) Как считать трафик у пользователей почтовым сервером, если они будут посылать и получать

почту , соединяясь с почтовым сервером снаружи ( из Интернета ) по обоим портам 25 и 110

 

2. Как правильно создать тариф, для подсчета только

прокаченных мегабайт каждым пользователем, без различных отключений,

и ограничений.

Нет возможности и желания использовать авторизатор, но я знать обязан, кто и сколько прокачал. Как сделать это, учитывая прокси – сервер Oops ( и порт 3128 ) То же самое по FTP ( порт 2121 ).

 

3. В настройках пользователя есть строка интерфейс, что-то не пойму, что туда нужно

писать : rl0 как у меня на сетевой, которая смотрит в локальную сеть или какой?

Что за eth0 ( или eth1 ) указывается в разнообразных примерах.

 

4. И последнее , как это все запустить в ipfw, что бы работал подсчет трафик у пользователей,

которые пользуются Интернетом, почтой, и FTP. Не очень я разбираюсь в настройках,

файрвола, а хочу научиться больше, научите пожалуйста.

 

 

Заранее Вам благодарен, и прошу сделать мне скидку на мое незнание некоторых вопросов,

я еще только учусь.

[li$ergin 0]

Подскажу только, что ethX то же самое, что rlX

[Mister_Igor 0]

li$ergin Спасибо за участие.

Неужто на форуме не могут помочь новичку Stargazera.

Парни, пожалуйста, помогите, не скупитесь на слова.

Мы ведь все рождаемся не гениями, а постепенно учимся .

Научите меня , пожалуйста.

[S_ergey 21]

li$ergin Спасибо за участие.

Неужто на форуме не могут помочь новичку Stargazera.

Парни, пожалуйста, помогите, не скупитесь на слова.

Мы ведь все рождаемся не гениями, а постепенно учимся .

Научите меня , пожалуйста.

Здесь все прочитал ???

http://stargazer.dp.ua/doc20/conf_example_freebsd.html

[Max 0]

и так отвечу по порядку:

1.

а) Как отделить внутренний почтовый трафик ( посылка почты внутри

локальной сети ) и внешний почтовый трафик ( посылка почты в Интернет ).

Никак не отделить, так как для биллинга не существует понятия как адрес электронной почты, он смотрит на заголовок пакета, а не внутрь.

б) Как считать трафик у пользователей почтовым сервером, если они будут посылать и получать почту , соединяясь с почтовым сервером снаружи ( из Интернета ) по обоим портам 25 и 110

Так же никак, так как заведомо не известно с какого адреса будет исходить соединение с твоим почтовиком.

2.

2. Как правильно создать тариф, для подсчета только

прокаченных мегабайт каждым пользователем, без различных отключений,

и ограничений.

Нет возможности и желания использовать авторизатор, но я знать обязан, кто и сколько прокачал. Как сделать это, учитывая прокси – сервер Oops ( и порт 3128 ) То же самое по FTP ( порт 2121 ).

используйте опцию всегда OnLine в настройках пользователя.

Про тариф скажу поставьте все флаги в свойствах тарифа и устаовите нужную вам цену.

[Mister_Igor 0]

Здесь я все прочитал,я уже писал

 

# Трафик на роутер

ALL 192.168.20.1 DIR0

ALL 192.168.30.1 DIR0

 

Как так получается в примере, что адрес 192.168.30.1 смотрит

в Интернет, а стоит на направлении локального трафика?

направлекние №0 - локальный трафик (DIR0)

 

Далее, в примере ни полслова нет про прокси сервер,который у нас

используется, ( я уже писал, он не прозрачный ), зато описан маскарадинг,

( котрого у нас нет ).

Далее, там нет и полслова о разделении почтового трафика, на локалный,

( пересылка писем внутри локальной сети ), и внешний ( письма в Интернет,

который как раз и считает провайдер, учитывая его в общем трафике

предприятия ).

 

Вот так, пока вопросы остались, ответов не прибавилось.

Жду Ваших ответов и мнений. Спасибо заранее.

[Mister_Igor 0]

Никак не отделить, так как для биллинга не существует понятия как адрес электронной почты, он смотрит на заголовок пакета, а не внутрь.

Я согласен с этим утверждением, но существует две сетевых карты ( соответственно два IP адреса ), один из которых смотрит непосредственно в Интернет. Неужели нет вариантов считать трафик на 25 и 110 порту ( а может и каком другом порту ) , на внешнем сетевом адресе ?

Так же никак, так как заведомо не известно с какого адреса будет исходить соединение с твоим почтовиком.

Опять согласен, определить не сможем , какой пользователь конкретно отослал почту на внешний сетевой интерфейс, но общий - то почтовый трафик всех пользователей вместе можно как-то считать, или я не прав, может кто сможет разъяснить.

используйте опцию всегда OnLine в настройках пользователя.

Про тариф скажу поставьте все флаги в свойствах тарифа и устаовите нужную вам цену.

А с нулевой ценой, тариф не будет работать ?

 

Спасибо за мысли. Думаем дальше и ждем Ваших мыслей.

[egor2fsys 5]

А с нулевой ценой, тариф не будет работать ?

будет он работать с 0 ценой, куда он денется

[Mister_Igor 0]

Про тариф на данном этапе ясно, дальше будем смотреть.

Но как быть с другими вопросами ?

 

egor2fsys Спасибо!

Ты ведь очень опытный человек по интересующим меня

вопросам. Подскажи, направь мои мысли в нужную сторону.

:00:

[li$ergin 0]

Помня свои мучения поделюсь более чем скромным опытом. Уважаемые гуру, подправте меня, пожалуйста.

Идея в чем. Старгейзер висит на интерфейсе, смотрящем в локалку. Поэтому, если у тебя на клиентах прописано принудительно ходить через прокси, то есть что-то типа "использовать прокси сервер 192.168.ххх.ххх:3128", то СГ, когда считывает заголовки пакетов, видит адрес назначения - локальная сеть. Понимаешь? Не думаю, что есть возможность эту ситуацию решить, так что прокси должен быть прозрачным или билинг должен быть другим.

Попутно вопрос к опытным товарищам. Привожу уже второй раз, извините великодушно, но думаю, что в этой теме будет не лишним. Если не прав, пните - удалю... Связка фрокс-сквид работает, с 21-го порта заворачиваю на 2121 на котором висит фрокс, он же общается со сквидом (сквид - прозрачный хттп, фрокс - то же для фтп). Трафик считается как локальный... Почему?

 

Спасибо за внимание!

 

Удачи, тебе, Mister_Igor, главное - не сдаваться, и все получится!

Удачи всем!

[Mister_Igor 0]

li$ergin Спасибо за помощь и пожелания!

Парни, давайте же поможем друг другу, ведь и других есть схожие вопросы

и проблемы. Ведь только во время разговора ( или обсуждения ) можно добиться результата. Помогая мне, Вы возможно поможете и другим, которые прочитают эту тему и извлекут для себя пользу. Лично я всегда вначале стараюсь по мере возможности листать темы форумов , для того, что бы найти нужные мне ответы. Я всеравно буду пытаться как-то решить эти вопросы.

Понимаю, что Борису сейчас некогда, он не отвечает на письма , поэтому и ищу поддержку на форуме. Спасибо.

[XoRe 0]

2Mister_Igor: если бы все читали старые темы.... ))

А ещё если бы все новички были как ты...)

В общем было бы хорошо)

 

2li$ergin: поподробее пожалуйста.

Что тебе нужно и что не получается)

Интуитивно могу добавить, что старгейзер считает траффик по такой схеме:

клиенты - сеть - одна_сетевуха - счетчик - фаервол - ядро(или ОСь) - фаервол - счетчик - другая_сетевуха - инет.

( Естественно, если не используется тип подсчета через divert/libipq )

Поэтому трафик от клиента в интернет сначала считаются старгейзером, а потом уже обрабатываются фаерволом.

Поэтому прозрачный прокси замечательно работает с стг.

СТГ просто ничего не знает о прозрачном прокси)

СТГ видить в заголовке пакета ип-адрес yandex'а и считает пакет, как идущий на глобал.

Но если указывать прокси в настройках клиентских машин, то пакеты от клиентов изначально будут предназначаться не для yandex.ru, а для прокси сервера с локальным адресом и портом типа 3128 или 8080.

Поэтому СТГ в адресе назначения пакета увидит локальный адрес и посчитает пакет как локальный.

Поэтому хочешь, чтоб СТГ считал трафик до яндекса, как до яндекса - не указывай настройки прокси в клиенте.

Хочешь, чтоб СТГ считал трафик до яндекса, как трафик до прокси - указывай прокси в настройках клиента.

 

2Mister_Igor: итак.

В rules советую добавить

TCP 192.168.0.1:25 DIR0 # Почтовый трафик

TCP 192.168.0.1:3128 DIR1 # Интернет трафик

TCP 192.168.0.1:2121 DIR2 # FTP трафик

 

Ибо пользователи к твоему шлюзу могут обращаться и по внутреннему, и по внешнему адресу.

А пока стг обрабатывает запросы только по внутреннему.

 

В полях интерфейс ставь интерфейс внутренней карточки, rl0.

Ибо если поставишь внешней, фтп, прокси и почта у пользователей считаться не будет.

 

Чтоб считать почтовый трафик пользователей, когда они шарятся по другим почтовым серверам, пропиши в rules

TCP 0.0.0.0/0:25 DIR3 # Почтовый трафик интернета

TCP 0.0.0.0/0:110 DIR3 # Почтовый трафик интернета

Только пропиши после строк, описывающих DIR0, иначе у тебя внутренняя почта будет считаться, как почтовый трафик интернета.

 

Подсчет почтового трафика, когда пользователь отправляет через твой сервер письмо в интернет, средствами одного стг реализовать невозможно.

Во время отправки письма через твой сервер, почтовый трафик циркулирует между тобой и почтовым сервером.

А уже после того, как твое письмо загружено на твой постовый сервер, его отсылает по назначению уже сам сервер.

Твоего ип-адреса в пакетах там уже нет.

 

Насчет "я хочу научиться" - opennet.ru, ищи там статьи про настройку ipfw на русском.

Их там море.

[egor2fsys 5]

вдогонку надо помнить что СТГ считает траф, ДО попадания на фаервол.

[Max 0]

Я согласен с этим утверждением, но существует две сетевых карты ( соответственно два IP адреса ), один из которых смотрит непосредственно в Интернет. Неужели нет вариантов считать трафик на 25 и 110 порту ( а может и каком другом порту ) , на внешнем сетевом адресе ?

Трафик то вы сможете считать но вот присвоить его пользователю нет. Вы можете завести псевдо юзера и повешать на него внешний интерфейс, тогда вы получите общий трафик по направлениям на внешнем ифе.

Добавлю/повторюсь так же что для биллинга нет разницы между тем что отослал письмо вам ваш сосед по сети, или оно пришло из вне к вам, но зато эта разнца есть для вас. Ведь в первом случае вы за трафик не заплатили, а во втором заплатили.

Опять согласен, определить не сможем , какой пользователь конкретно отослал почту на внешний сетевой интерфейс, но общий - то почтовый трафик всех пользователей вместе можно как-то считать, или я не прав, может кто сможет разъяснить.

см выше

[Mister_Igor 0]

XoRe , просто огромная благодарность!

По-моему мнению, что трафик до Яндекса, что до прокси с портом 3128, один хрен. Ведь .как я понимаю, прокси и используется для того , что бы пользователи поимели Интернет.

Затем, как я писал вначале rl0:192.168.0.1 - это как раз внешняя сетевая карта, которая смотрит в Интернет, поэтому я понимаю , что должно стоять

в rulez следующее:

 

TCP 192.168.20.1:25 DIR0 # Почтовый трафик

TCP 0.0.0.0/0:25 DIR3 # Почтовый трафик интернета

TCP 0.0.0.0/0:110 DIR3 # Почтовый трафик интернета

TCP 192.168.20.1:3128 DIR1 # Интернет трафик

TCP 192.168.20.1:2121 DIR2 # FTP трафик

ICMP 0.0.0.0/0 NULL # Отказ от пинга

 

192.168.20.1 - rl1 - Это мой внутренний интерфейс, который смотрит в локалку.

 

Где-то я на форуме встречал уже мысль о том, что важное значение имеет последовательность указаний направлений в этом файле. Объясните пожалуйста смысл этого . Как раз в этом примере это прозвучало

Только пропиши после строк, описывающих DIR0, иначе у тебя внутренняя почта будет считаться, как почтовый трафик интернета.

 

По поводу почтового трафика я с тобой целиком согласен, и понимаю , что на данный момент нельзя определить, куда послал данный пользователь письмо, локальному пользователю или в Интернет. Поэтому хотя бы общее количество почтового трафика, ушедшего в Интернет ( и пришедшего из Интернета ), я должен знать, т.к. именно этот трафик входит в общее число трафика, которое мы оплачиваем провайдеру. А по локалке они пусть шлют почтудруг другу хоть без остановки, это все бесплатно.

 

С правилами ipfw я немного разобрался, и продолжаю это делать, частенько посещаю сайт opennet.

 

egor2fsys и Max - Вас я тоже очень благодарю.

 

К Max вопрос по поводу

Трафик то вы сможете считать но вот присвоить его пользователю нет. Вы можете завести псевдо юзера и повешать на него внешний интерфейс, тогда вы получите общий трафик по направлениям на внешнем ифе.

 

Объясни пожалуйста поподробнее, как это можно сделать, что я получу в результате.

[XoRe 0]

2Mister_Igor: Схема работы файла rules проста.

ип адрес и порт последовательно сравнивается со всеми строками сверху вниз до первого совпадения.

Соответственно, на что первое наткнется, в то направление и запишется.

192.168.20.1:25 - это есть частный случай 0.0.0.0/0:25.

Сам понимаешь, что если поставить 0.0.0.0 перед 192.168.20.1, то пакет 192.168.20.1 удовлетворив условию 0.0.0.0, запишется туда, а до условия 192.168.20.1 просто не дойдет)

 

Насчет

TCP 192.168.20.1:25 DIR0 # Почтовый трафик

TCP 0.0.0.0/0:25 DIR3 # Почтовый трафик интернета

TCP 0.0.0.0/0:110 DIR3 # Почтовый трафик интернета

TCP 192.168.20.1:3128 DIR1 # Интернет трафик

TCP 192.168.20.1:2121 DIR2 # FTP трафик

ICMP 0.0.0.0/0 NULL # Отказ от пинга

 

Подключись к фтп серверу ftp://192.168.0.1

и посмотри, как его замечательно _не будет_ считать стг.

Хотя ты будешь сидеть на своем фтп)

 

Кстати советую сделать ещё одно правило в самом конце

ALL 0.0.0.0/0 DIR4 или NULL - в доке по стг его рекомендуют писать в конце.

 

Если хочешь видеть, что у тебя идет через внешний интерфейс, создай юзера с ип адресом 192.168.0.1.

[egor2fsys 5]

Кстати советую сделать ещё одно правило в самом конце

ALL 0.0.0.0/0 DIR4 или NULL - в доке по стг его рекомендуют писать в конце.

позволю себе небольшое замечание

 

если данного правила нет, то СТГ автоматически добавит его

т. е. ALL 0.0.0.0/0 NULL автоматически добавится в конец правил.

но следует учесть что если будет неописанный NAT то он попадет именно сюда и никуда не посчитается.

так что будьте внимательны

[XoRe 0]

Что есть "неописанный NAT" ? )

[egor2fsys 5]

Т. е. не будет строчки ALL 0.0.0.0/0 DIR и весь нат утечет в ноль

 

З. Ы. Возможно скоро выйдет пофикшеный 2.4. Автор в данный момент активно работает над исправлением списка "недофич" 2.4.

[XoRe 0]

А ну это да)

 

Правило ALL 0.0.0.0/0 NULL при столь небольшом количестве правил до него может сделать необсчитываемым кучу трафика от клиентов.

[Mister_Igor 0]

Извините, что сразу не отозвался, забегался на работе.

Спасибо всем , кто учавствует в обсуждении.

Опять несколько вопросиков:

Подключись к фтп серверу ftp://192.168.0.1

и посмотри, как его замечательно _не будет_ считать стг.

Хотя ты будешь сидеть на своем фтп)

 

У меня нет ftp на серваке, он только заниемается раздачей Интернета и почтой.

Это конечно пока, а дальше видно будет, поэтому FTP трафик нужно считать, прокаченный с ftp серверов, расположенных в Интернете. Что скажете по этому поводу ?

 

Если хочешь видеть, что у тебя идет через внешний интерфейс, создай юзера с ип адресом 192.168.0.1

 

Поподробнее пожалуйста, если это возможно, как создать пользователя с нужным мне IP адресом .

 

Правило ALL 0.0.0.0/0 NULL.....

 

Расскажите пожалуйста поподробнее про это правило, в чем его смысл.

Я что-то никак ни пойму, для чего оно нужно.

Смысл слов

Весь оставшийся трафик,не попавший в предыдущие правила

мне не ясен.

Зачем мне учитывать этот оставшийся трафик, объясните пожалуйста.

 

А вообще , с Вашей помощью, уже многое становится понятнее, спасибо.

[XoRe 0]

2Mister_Igor:

Насчет фтп - поставь в настройках клиента адрес фтп прокси 192.168.0.1:2121 и ввв прокси 192.168.0.1:3128.

И посмотри, будет считаться ввв и фтп трафик в этом случае или нет.

Наверное не будет)

А почему?

Потому что трафик будет гоняться между клиентом и адресами 192.168.0.1:2121 и 192.168.0.1:3128.

 

А у тебя в rules есть только:

TCP 192.168.20.1:3128 DIR1 # Интернет трафик

TCP 192.168.20.1:2121 DIR2 # FTP трафик

 

Но ничего не сказано про 192.168.0.1:2121 и 192.168.0.1:3128.

Вот стг трафик до этих адресов считать и не будет)

 

Дальше.

Как завести юзера с ип 192.168.0.1 ?

1. Открываешь конфигуратор стг.

2. логинишься.

3. жмешь на кнопочку "добавить пользователя".

4. пишешь фонарный логин, пароль, ставишь ему ип 192.168.0.1.

5. добавляешь ему на счет или кредит 1000000.

6. ставишь ему галочку Always Online.

 

Имеешь псевдопользователя, статистика которого будет показывать стсистику трафика твоего шлюза на внешнем интерфейсе.

 

Насчет 0.0.0.0/0

Этому правилу удовлетворяет любой ип адрес.

Поэтому его обычно пишут в конце файла rules.

А перед ним описывают нужные себе адреса и направления.