информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Где водятся OGRыСетевые кракеры и правда о деле ЛевинаСтрашный баг в Windows
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Прошу прощения!!! 22.05.02 12:54  Число просмотров: 1119
Автор: alien <Андрей> Статус: Member
<"чистая" ссылка>
Все с этой аськой нормально - считает трафик, да еще как!!!
Это меня мой соадминистратор ввел в заблуждение - несколько месяцев назад поднял панику, что аськин трафик не отражается в логах сквида и закрыл все порты нахрен... А недавно уехал в командировку, а меня тут народ доставать начал: "так, @#$ть и так, дай аську!!!" Ну и открыл порты... Народ довольный, все сразу аську завели... А я в логи то смотрю - @#$ть!!! Ни @#$а про аську нету, ну я в панике на bugtraq.ru... Пишу, мол так, @#$ть и так, ПАААААМАААААГИТЕЕЕЕЕ!!!!
А сегодня уже завел у себя аську... Тоже ни @#$а!!! Ну и понадобилось тачку свою перезагрузить, ну и аська конечно остановилась... А пока тачка перегружалась, я еще раз логи посмотрел - БЛЯТЬ, так скромненько там запись про мое соединение, все как надо. Ну я и думаю, какой же я дурак, что так повелся на ламерство своего коллеги (мать его) и сам все не проверил, хотя и сам виноват!!!
А в логах не было инфы про аську только потому, что запись в лог о соединении происходит только после завершения соединения, а соединение длится целый день.
Короче, говоря, всем спасибо за все и еще раз прошу прощения за ошибку!
ЗЫ: А коллегу своего теперь вообще к серваку не подпущу и буду ламером называть (у него такие выходки не в первый раз).
<sysadmin>
ICQ + Squid 21.05.02 14:28  
Автор: alien <Андрей> Статус: Member
Отредактировано 21.05.02 14:42  Количество правок: 4
<"чистая" ссылка>
Помнится, как-то писал здесь на эту тему, но так и не получил внятного ответа...
А проблема такая: есть сервер (Linux) для доступа в инет (выделенка). Доступ в инет через Squid. В Сквиде заведены пользователи. Для каждого пользователя считается его личный трафик, за который он платит бабки. Все бы хорошо, но только в логах Сквида нет никаких записей о соединениях аськи, и соответственно нет возможности отслеживать трафик пользователя!

Таблица маршрутизации на сервере выглядит так:
Destination Gateway     Genmask         Flags Metric Ref Use Iface 
адрес_прова 0.0.0.0     255.255.255.255 UH    0      0   0   ppp0 
192.168.0.0 0.0.0.0     255.255.255.0   U     0      0   0   eth0 
127.0.0.0   0.0.0.0     255.0.0.0       U     0      0   0   lo 
0.0.0.0     адрес_прова 0.0.0.0         UG    0      0   0   ppp0 

---
Может аська ходит в инет в обход Сквида?...

Если кто знает или догадывается, как решить эту проблему - ПОМОГИТЕ, а то юзеры ругаются, когда отключаешь порты в Сквиде.
ICQ + Squid 21.05.02 16:10  
Автор: _lesha_ <lesha> Статус: Member
<"чистая" ссылка>
> А проблема такая: есть сервер (Linux) для доступа в инет
> (выделенка). Доступ в инет через Squid. В Сквиде заведены
> пользователи. Для каждого пользователя считается его личный
> трафик, за который он платит бабки. Все бы хорошо, но
> только в логах Сквида нет никаких записей о соединениях
> аськи, и соответственно нет возможности отслеживать трафик
> пользователя!
У меня аська ходит через соксы, там и трафик считается.
Но проблема перехвата трафика аськи через кальмара существует.
Дабы не давать юзерам использовать аську по хттпс.
Метод, которым я это делаю, заключается в отлове хедеров, что
аська пишет, и в acl его на deny. Правда, в зависимости от версии
аськи хедеры меняются, поэтому их надо обновлять :(
Кстати, по ним же можно и трафик считать.
А можно поподробнее... 22.05.02 05:11  
Автор: alien <Андрей> Статус: Member
<"чистая" ссылка>
А можно поподробнее... 22.05.02 10:19  
Автор: _lesha_ <lesha> Статус: Member
<"чистая" ссылка>
???
что именно тебя интересует?
А можно поподробнее... 22.05.02 11:11  
Автор: alien <Андрей> Статус: Member
<"чистая" ссылка>
> ???
> что именно тебя интересует?
Какие хедеры надо писать в acl-ях?
А можно поподробнее... 22.05.02 12:07  
Автор: _lesha_ <lesha> Статус: Member
<"чистая" ссылка>
> > ???
> > что именно тебя интересует?
> Какие хедеры надо писать в acl-ях?
юзер агента, собственно, по регекспу отлавливаешь.
а какие регекспы, это я уже говорил - зависит от версии аськи.
сам смотри, что у тебя народ юзает.
Прошу прощения!!! 22.05.02 12:54  
Автор: alien <Андрей> Статус: Member
<"чистая" ссылка>
Все с этой аськой нормально - считает трафик, да еще как!!!
Это меня мой соадминистратор ввел в заблуждение - несколько месяцев назад поднял панику, что аськин трафик не отражается в логах сквида и закрыл все порты нахрен... А недавно уехал в командировку, а меня тут народ доставать начал: "так, @#$ть и так, дай аську!!!" Ну и открыл порты... Народ довольный, все сразу аську завели... А я в логи то смотрю - @#$ть!!! Ни @#$а про аську нету, ну я в панике на bugtraq.ru... Пишу, мол так, @#$ть и так, ПАААААМАААААГИТЕЕЕЕЕ!!!!
А сегодня уже завел у себя аську... Тоже ни @#$а!!! Ну и понадобилось тачку свою перезагрузить, ну и аська конечно остановилась... А пока тачка перегружалась, я еще раз логи посмотрел - БЛЯТЬ, так скромненько там запись про мое соединение, все как надо. Ну я и думаю, какой же я дурак, что так повелся на ламерство своего коллеги (мать его) и сам все не проверил, хотя и сам виноват!!!
А в логах не было инфы про аську только потому, что запись в лог о соединении происходит только после завершения соединения, а соединение длится целый день.
Короче, говоря, всем спасибо за все и еще раз прошу прощения за ошибку!
ЗЫ: А коллегу своего теперь вообще к серваку не подпущу и буду ламером называть (у него такие выходки не в первый раз).
ICQ + Squid 21.05.02 14:43  
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
<"чистая" ссылка>
NAT на серваке поднят?
ICQ ходит либо напрямую (если НАТ поднят) либо через http/https/socks4-5 (зависит от версии аськи)
глянь настройки аськи (подключение) и поймешь как она ходит
ICQ + Squid 21.05.02 14:46  
Автор: alien <Андрей> Статус: Member
<"чистая" ссылка>
> NAT на серваке поднят?
> ICQ ходит либо напрямую (если НАТ поднят) либо через
> http/https/socks4-5 (зависит от версии аськи)
> глянь настройки аськи (подключение) и поймешь как она ходит
НАТа нет, а аська ходит через HTTPS
ICQ + Squid 21.05.02 15:09  
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
<"чистая" ссылка>
предлагаю тебе считать траффик не по сквиду - это довольно неточно
потому как сквид показывает только размер документов, а нечисло приянтых байт, а разница между ними есть потому как надо учесть заголовки TCP/IP + потеря и повторная посылка пакетов
поэтому елси пользователь на хосте один создай правила для ФВ который будет считать траффик. что-то вроде
allow ip from <localnet>/<mask> to <localnet>/<mask> <---- весь локальный траффик
allow ip from <host> to any <----- траффик от <host> в нет
так будет наиболее точно
ICQ + Squid 22.05.02 04:48  
Автор: alien <Андрей> Статус: Member
<"чистая" ссылка>
> предлагаю тебе считать траффик не по сквиду - это довольно
> неточно
> потому как сквид показывает только размер документов, а
> нечисло приянтых байт, а разница между ними есть потому как
> надо учесть заголовки TCP/IP + потеря и повторная посылка
> пакетов
> поэтому елси пользователь на хосте один создай правила для
> ФВ который будет считать траффик. что-то вроде
> allow ip from <localnet>/<mask> to
> <localnet>/<mask> <---- весь локальный
> траффик
> allow ip from <host> to any <----- траффик от
> <host> в нет
> так будет наиболее точно
Это конечно хорошо, но все же трафик надо считать именно по пользователям, потому как они могут затребовать логи своих похождений по просторам интернета. А проблему неточности подсчетов трафика решаю просто - повышением цены на мегабайт.
кто мешает 22.05.02 10:20  
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
<"чистая" ссылка>
деталировку логов отдавать со сквида? а окончательный расчет вести по ipfw
разницу объяснять реализацией TCP/IP протокола и использованием ICQ
ICQ + Squid 21.05.02 17:27  
Автор: Liquid Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> предлагаю тебе считать траффик не по сквиду - это довольно
> неточно
> потому как сквид показывает только размер документов, а
> нечисло приянтых байт, а разница между ними есть потому как
> надо учесть заголовки TCP/IP + потеря и повторная посылка
Просто хочу дополнить к этому списку еще одну галимую особенность TCP/IP.... при пересылке любой инфы (особенно если ты считаешь только входящий траффик) нельзя забывать про неприятную пропорцию ... 10/1 .... из 10 байт отправленных - ты один байт получаешь....
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach