li$ergin 0 Опубликовано: 2006-04-24 14:24:15 Share Опубликовано: 2006-04-24 14:24:15 Скажите, товарищи, как посчитать ФТП трафик? Завернуть на сквид его так же как ХТТП не выходит, пробовал заворачивать 21-й порт на сквид - ерунда получается. Пробовал ставить прогу frox - прозрачный ФТП, который взаимодействует с прокси. Висит на порту 2121, файрвол заруливает 21-й порт на 2121, где фрокс его ловит и выпуливает на сквид. Так вот, все бы ничего, но трафик считается как локальный. ТСПдампил этот процесс и получил следующее. Пока идет соединение с фтп сервером, блуждание по каталогам - все впорядке: вижу что пакет с клиентской машины идет на инетовский сервер, ответ с той стороны приходит нужной клиентской машине. Но как только начинается закачка файла - все пакеты ходят между локальным сервером-шлюзом и клиентской машиной. Подскажите, где грабли, как можно обойти эту проблему... Собственно говоря интересует ваш опыт счета ФТП-трафика. Заранее спасибо, Удачи! Ссылка на сообщение Поделиться на других сайтах
vop 370 Опубликовано: 2006-04-25 01:04:54 Share Опубликовано: 2006-04-25 01:04:54 Опыт простой - не использовать прокси и считать этот трафик так же, как и любой другой. Проблема у тебя в том, что канал управления и канал данных имеют разный scope. Как вялый вариант, не использовать active mode для работы по ftp. Ссылка на сообщение Поделиться на других сайтах
XoRe 0 Опубликовано: 2006-04-25 06:28:01 Share Опубликовано: 2006-04-25 06:28:01 2li$ergin: ставь NAT и не сношай себе мозги )) Ссылка на сообщение Поделиться на других сайтах
li$ergin 0 Опубликовано: 2006-04-25 07:07:56 Автор Share Опубликовано: 2006-04-25 07:07:56 Спасибо, коллеги! 2vop: да, имелася мысля о том, чтоб с прокси не связываться. Только после анализа поведения юзеров оказалось, что большинство все-таки ходит по одним и тем же сайтам, то есть за месяц экономия в трафике составила 25-40%. Не хочется деньгами разбрасываться, не исчерпав всех возможных решений проблемы, тем более что от этого зависит в том числе и счастие юзеров (в виде, скажем, покупки нового винта в сервер) и количество выпитого пива админом. Про scope уже полез просвящатся... 2XoRe: получаем айпи от провайдера динамически. Работает маскарадинг... Или НАТ от него отличается в нужную мне сторону? Ээх, учится..., как говорится. Удачи! Ссылка на сообщение Поделиться на других сайтах
li$ergin 0 Опубликовано: 2006-05-02 11:57:14 Автор Share Опубликовано: 2006-05-02 11:57:14 Млин, ну совсем не наступает просветления. Почитал про ФТП, узнал много нового )), но никак не выходит считать ФТП как не локальный. А как только отключаю редирект на фрокс, соединения с ФТП сервером вообще не происходит. Товарищи, подскажите, пожалуйста, как помирить ФТП и маскарад. Или все-таки придется отказаться от маскарада, в скрипте вычислять текущий выделенный айпи и подымать НАТ? iptables начинаю такими строками: /sbin/depmod -a /sbin/modprobe ip_conntrack /sbin/modprobe ip_conntrack_ftp /sbin/modprobe ip_conntrack_irc /sbin/modprobe ip_nat_ftp /sbin/modprobe ip_nat_irc /sbin/modprobe ip_tables /sbin/modprobe iptable_filter /sbin/modprobe iptable_mangle /sbin/modprobe iptable_nat /sbin/modprobe ipt_LOG /sbin/modprobe ipt_limit /sbin/modprobe ipt_MASQUERADE /sbin/modprobe ipt_REDIRECT echo "1" > /proc/sys/net/ipv4/ip_dynaddr echo "1" > /proc/sys/net/ipv4/ip_forward Гляньте, пожалуйста, мож забыл чего? Удачи! Ссылка на сообщение Поделиться на других сайтах
li$ergin 0 Опубликовано: 2006-05-11 16:48:56 Автор Share Опубликовано: 2006-05-11 16:48:56 Ну и, собственно разгадка. файл /etc/sysctl.conf строка net.ipv4.ip_forward = 1 Все. Никаких фроксов. Лбом об стену стучался, но так и не добился, чтоб через эту софтину трафик считался не как локальный. Через маскарад все прекрасно разруливается. Всем спасибо за советы. Удачи! Ссылка на сообщение Поделиться на других сайтах
Amal 0 Опубликовано: 2006-05-12 10:43:33 Share Опубликовано: 2006-05-12 10:43:33 Кстати, тут встречный вопрос. Стоит СТГ, на этом же сервере крутиться ФТП, в СТГ он прописан как локальный. Задача сделать так чтоб доступ на ФТП был только при исполнении OnConnect. Подскажите ламеру =) Ссылка на сообщение Поделиться на других сайтах
li$ergin 0 Опубликовано: 2006-05-12 17:12:15 Автор Share Опубликовано: 2006-05-12 17:12:15 Не могу сказать, что в этом силен, поэтому заранее советую дождаться ответа более опытных товарищей. Если скрипт ОнКоннект такой, как предлагают в доке по СГ, то этот скрипт открывает вообще все на свете. Так что я бы просто изначально прикрыл файрволом тот порт, на котором он, ФТП, у Вас крутится. Удачи! Ссылка на сообщение Поделиться на других сайтах
Amal 0 Опубликовано: 2006-05-12 20:37:43 Share Опубликовано: 2006-05-12 20:37:43 Да, т.е. ОнКоннект открывает всё, а траф на ФТп я считаю СТГ, так что готится. Я подумал о изначальных правилах ФВ, которые убираються строчкой с ОнКоннект. Ссылка на сообщение Поделиться на других сайтах
li$ergin 0 Опубликовано: 2006-05-13 08:59:37 Автор Share Опубликовано: 2006-05-13 08:59:37 Я подумал о изначальных правилах ФВ, которые убираються строчкой с ОнКоннект. Не понял поста. ОнКоннект добавляет правила, трет ОнДисконнект... Удачи! Может имеется ввиду считать по отдельному, отличному от локального, тарифу? Изъясняйтесь яснее пожалуйста. Ссылка на сообщение Поделиться на других сайтах
Amal 0 Опубликовано: 2006-05-13 09:22:22 Share Опубликовано: 2006-05-13 09:22:22 идея такова. в ФВ есть изначально правило запрещающее доступ на ФТП, скрипт ОнКОннект вытирает это правило или если скрипт открывает всё, то тогда в него добавлять ничего не надо. Ссылка на сообщение Поделиться на других сайтах
li$ergin 0 Опубликовано: 2006-05-15 14:39:14 Автор Share Опубликовано: 2006-05-15 14:39:14 Так а в чем, собственно, проблема? :loop: Ссылка на сообщение Поделиться на других сайтах
Amal 0 Опубликовано: 2006-05-15 17:53:02 Share Опубликовано: 2006-05-15 17:53:02 Банально - я не знаю какую строчку дописать в скрипте. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВойти
Уже зарегистрированы? Войдите здесь.
Войти сейчас