asphix Posted December 4, 2006 Posted December 4, 2006 Роутер, 3 сетевухи, одна в инет, другая в контент-сервера, 3-я к юзерам. На 3-ей карте поднято несколько vlan-ов. Реально ли считать траффик на такой конфигурации? Спасибо.
Sergek Posted December 5, 2006 Posted December 5, 2006 Я думаю также..... тока когда заводишь пользователя указывать придется vlan-овский интерфейс....
Max Posted December 5, 2006 Posted December 5, 2006 что за ОС, если FreeBSD то надо указывать физический интерфейс, а вообще у меня например виланами cisco 3550 ведает, а на биллинг приходит чистый эзернет.
asphix Posted December 5, 2006 Author Posted December 5, 2006 да, ос - FreeBSD 6.0 Т.е. vlan'ы прозрачны для stg? Просто в настройках указать физический интерфейс, на котором считать трафик?
Max Posted December 6, 2006 Posted December 6, 2006 да, так как вилан интерфейс это виртуальный иф кторый привязан к физическому ифу
asphix Posted December 6, 2006 Author Posted December 6, 2006 Планируется использование cap_divert вместо cap_bpf.. Как в таком случае правило для юзера будет выглядеть - как обычно в примере или надо еще vlan'ы разруливать?
asphix Posted December 7, 2006 Author Posted December 7, 2006 Имел ввиду правила ipfw.. В статье (www.stargazer.dp.ua/doc20/conf_divert.html) есть примеры правил. Этого достаточно? Или нужны какие-либо правила для интерфейсов vlan, чтобы их трафик завернуть в divert ?
asphix Posted December 7, 2006 Author Posted December 7, 2006 Не совсем уловил, что значит "..определять класс трафика по src" ?
Max Posted December 7, 2006 Posted December 7, 2006 вам нужно разделить (хотябы мысленно) трафик на классы такие как входящий от абонента и исходящий от абонента, так же входящий из интернета, и исходящий из интернета, вот вы получили 4 класса трафика, определить какой из этого трафика нужно заворачивать фаерволлом на диверт а какой нет вы можете разными способами, самый простой по src, по мимо этого можно определить класс трафика по интерфейсу, или тегу вилана.
asphix Posted December 7, 2006 Author Posted December 7, 2006 Примерно понял, но.. А можно пример небольшой привести? Попробую пока по своему, как понял(если правильно понял) :-/ К, примеру, нужно считать только входящий траф: #Входящие с инета add divert 15701 ip from any to $ip via ${ext_if} -- посчитал входящие add allow ip from any to $ip via ${ext_if} -- пропустил пакеты #Исходящие в инет add allow ip from vlan5 to any via ${int_if} -- пропустил исходящие Правильно?
Max Posted December 7, 2006 Posted December 7, 2006 если честно могу помочь тока в теории работы, на практике считаю netflow, и с дивертом не заморачиваюсь
asphix Posted December 7, 2006 Author Posted December 7, 2006 если честно могу помочь тока в теории работы, на практике считаю netflow, и с дивертом не заморачиваюсь На деле и сам считаю с помощью ng_netflow(freebsd) + flowtools(openbsd) + perl.. но в данном конкретном случает пришлось заморочиться :-/ По-поводу помощи: буду очень рад даже теоретической, попутно вопрос: Правильно ли я понял свою ситуацию, изложенную здесь: http://local.com.ua/forum/index.php?showtopic=1539&st=15
Max Posted December 7, 2006 Posted December 7, 2006 я тоже так считаю только вместо flowtools+perl использую stg2.4+mod_netflow правильно.
asphix Posted December 7, 2006 Author Posted December 7, 2006 я тоже так считаю только вместо flowtools+perl использую stg2.4+mod_netflow правильно. А вот с этого места можно поподробнее? У stg есть модуль коллектор netflow???
Max Posted December 7, 2006 Posted December 7, 2006 Прочитайте сдесь: http://local.com.ua/forum/index.php?showtopic=4572
asphix Posted December 7, 2006 Author Posted December 7, 2006 Прочитайте сдесь: http://local.com.ua/forum/index.php?showtopic=4572 Где же я раньше был :bue: . Мог бы проспонсировать, благо для Карелии это не очень большие деньги. А как обстоят дела с модулем на сегодняшний день?
Max Posted December 8, 2006 Posted December 8, 2006 пользую сам 3 месяца и ещё один товарисч, нареканий нет.
asphix Posted December 8, 2006 Author Posted December 8, 2006 пользую сам 3 месяца и ещё один товарисч, нареканий нет. Два вопроса в связи с этим: 1. Как выглядит схема в таком варианте? Сенсор он же приёмник? Если нет, то как производится управлением доступом? 2. Есть шансы получить в пользование компонент?
Max Posted December 8, 2006 Posted December 8, 2006 вы внимательно прочитали этот пост?: http://local.com.ua/forum/index.php?showtopic=4572 Если нет то приведу выдержки (устал я и делаю это раз двадцатый): За работу програмисты хотят примерно 3000 рублей. Готов взять на себя часть расходов. После завершения проекта опубликовать исходные коды. Один осилю но струдом. Мне бы не хотелось торговать данным модулем в дальнейшем, вот и решил предложить совместное участие. Это значит что модуль изначально стоит 100уев примерно, половину я уже оплатил, осталась вторая. 1. Как выглядит схема в таком варианте? Вот схема работы: http://stg-tarif.narod.ru/shema_new.JPG Сенсор он же приёмник Есть два варианта, 1) сенсор он же приёмник, и сенсор это удалённый хост (PC или цыска) Если нет, то как производится управлением доступом? Для этого патчили стг подробности смотри тут: http://local.com.ua/forum/index.php?showto...120entry46436 на пример добавления в поля юзеров параметра NAS, данный параметр так же передаётся в скрипты OnConnect и OnDisconnect а в этих скриптах уже описан rsh. А вообще внимательно и вдумчиво прочитай этот пост, там есть ответы почти на все вопросы. (http://local.com.ua/forum/index.php?showtopic=4572)
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now