Все с этой аськой нормально - считает трафик, да еще как!!!
Это меня мой соадминистратор ввел в заблуждение - несколько месяцев назад поднял панику, что аськин трафик не отражается в логах сквида и закрыл все порты нахрен... А недавно уехал в командировку, а меня тут народ доставать начал: "так, @#$ть и так, дай аську!!!" Ну и открыл порты... Народ довольный, все сразу аську завели... А я в логи то смотрю - @#$ть!!! Ни @#$а про аську нету, ну я в панике на bugtraq.ru... Пишу, мол так, @#$ть и так, ПАААААМАААААГИТЕЕЕЕЕ!!!!
А сегодня уже завел у себя аську... Тоже ни @#$а!!! Ну и понадобилось тачку свою перезагрузить, ну и аська конечно остановилась... А пока тачка перегружалась, я еще раз логи посмотрел - БЛЯТЬ, так скромненько там запись про мое соединение, все как надо. Ну я и думаю, какой же я дурак, что так повелся на ламерство своего коллеги (мать его) и сам все не проверил, хотя и сам виноват!!!
А в логах не было инфы про аську только потому, что запись в лог о соединении происходит только после завершения соединения, а соединение длится целый день.
Короче, говоря, всем спасибо за все и еще раз прошу прощения за ошибку!
ЗЫ: А коллегу своего теперь вообще к серваку не подпущу и буду ламером называть (у него такие выходки не в первый раз).
Помнится, как-то писал здесь на эту тему, но так и не получил внятного ответа...
А проблема такая: есть сервер (Linux) для доступа в инет (выделенка). Доступ в инет через Squid. В Сквиде заведены пользователи. Для каждого пользователя считается его личный трафик, за который он платит бабки. Все бы хорошо, но только в логах Сквида нет никаких записей о соединениях аськи, и соответственно нет возможности отслеживать трафик пользователя!
Таблица маршрутизации на сервере выглядит так:
Destination Gateway Genmask Flags Metric Ref Use Iface
адрес_прова 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 адрес_прова 0.0.0.0 UG 0 0 0 ppp0
---
Может аська ходит в инет в обход Сквида?...
Если кто знает или догадывается, как решить эту проблему - ПОМОГИТЕ, а то юзеры ругаются, когда отключаешь порты в Сквиде.
ICQ + Squid21.05.02 16:10 Автор: _lesha_ <lesha> Статус: Member
> А проблема такая: есть сервер (Linux) для доступа в инет > (выделенка). Доступ в инет через Squid. В Сквиде заведены > пользователи. Для каждого пользователя считается его личный > трафик, за который он платит бабки. Все бы хорошо, но > только в логах Сквида нет никаких записей о соединениях > аськи, и соответственно нет возможности отслеживать трафик > пользователя! У меня аська ходит через соксы, там и трафик считается.
Но проблема перехвата трафика аськи через кальмара существует.
Дабы не давать юзерам использовать аську по хттпс.
Метод, которым я это делаю, заключается в отлове хедеров, что
аська пишет, и в acl его на deny. Правда, в зависимости от версии
аськи хедеры меняются, поэтому их надо обновлять :(
Кстати, по ним же можно и трафик считать.
А можно поподробнее...22.05.02 05:11 Автор: alien <Андрей> Статус: Member
> > ??? > > что именно тебя интересует? > Какие хедеры надо писать в acl-ях? юзер агента, собственно, по регекспу отлавливаешь.
а какие регекспы, это я уже говорил - зависит от версии аськи.
сам смотри, что у тебя народ юзает.
Прошу прощения!!!22.05.02 12:54 Автор: alien <Андрей> Статус: Member
Все с этой аськой нормально - считает трафик, да еще как!!!
Это меня мой соадминистратор ввел в заблуждение - несколько месяцев назад поднял панику, что аськин трафик не отражается в логах сквида и закрыл все порты нахрен... А недавно уехал в командировку, а меня тут народ доставать начал: "так, @#$ть и так, дай аську!!!" Ну и открыл порты... Народ довольный, все сразу аську завели... А я в логи то смотрю - @#$ть!!! Ни @#$а про аську нету, ну я в панике на bugtraq.ru... Пишу, мол так, @#$ть и так, ПАААААМАААААГИТЕЕЕЕЕ!!!!
А сегодня уже завел у себя аську... Тоже ни @#$а!!! Ну и понадобилось тачку свою перезагрузить, ну и аська конечно остановилась... А пока тачка перегружалась, я еще раз логи посмотрел - БЛЯТЬ, так скромненько там запись про мое соединение, все как надо. Ну я и думаю, какой же я дурак, что так повелся на ламерство своего коллеги (мать его) и сам все не проверил, хотя и сам виноват!!!
А в логах не было инфы про аську только потому, что запись в лог о соединении происходит только после завершения соединения, а соединение длится целый день.
Короче, говоря, всем спасибо за все и еще раз прошу прощения за ошибку!
ЗЫ: А коллегу своего теперь вообще к серваку не подпущу и буду ламером называть (у него такие выходки не в первый раз).
NAT на серваке поднят?
ICQ ходит либо напрямую (если НАТ поднят) либо через http/https/socks4-5 (зависит от версии аськи)
глянь настройки аськи (подключение) и поймешь как она ходит
ICQ + Squid21.05.02 14:46 Автор: alien <Андрей> Статус: Member
> NAT на серваке поднят? > ICQ ходит либо напрямую (если НАТ поднят) либо через > http/https/socks4-5 (зависит от версии аськи) > глянь настройки аськи (подключение) и поймешь как она ходит НАТа нет, а аська ходит через HTTPS
предлагаю тебе считать траффик не по сквиду - это довольно неточно
потому как сквид показывает только размер документов, а нечисло приянтых байт, а разница между ними есть потому как надо учесть заголовки TCP/IP + потеря и повторная посылка пакетов
поэтому елси пользователь на хосте один создай правила для ФВ который будет считать траффик. что-то вроде
allow ip from <localnet>/<mask> to <localnet>/<mask> <---- весь локальный траффик
allow ip from <host> to any <----- траффик от <host> в нет
так будет наиболее точно
ICQ + Squid22.05.02 04:48 Автор: alien <Андрей> Статус: Member
> предлагаю тебе считать траффик не по сквиду - это довольно > неточно > потому как сквид показывает только размер документов, а > нечисло приянтых байт, а разница между ними есть потому как > надо учесть заголовки TCP/IP + потеря и повторная посылка > пакетов > поэтому елси пользователь на хосте один создай правила для > ФВ который будет считать траффик. что-то вроде > allow ip from <localnet>/<mask> to > <localnet>/<mask> <---- весь локальный > траффик > allow ip from <host> to any <----- траффик от > <host> в нет > так будет наиболее точно Это конечно хорошо, но все же трафик надо считать именно по пользователям, потому как они могут затребовать логи своих похождений по просторам интернета. А проблему неточности подсчетов трафика решаю просто - повышением цены на мегабайт.
кто мешает22.05.02 10:20 Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
> предлагаю тебе считать траффик не по сквиду - это довольно > неточно > потому как сквид показывает только размер документов, а > нечисло приянтых байт, а разница между ними есть потому как > надо учесть заголовки TCP/IP + потеря и повторная посылка Просто хочу дополнить к этому списку еще одну галимую особенность TCP/IP.... при пересылке любой инфы (особенно если ты считаешь только входящий траффик) нельзя забывать про неприятную пропорцию ... 10/1 .... из 10 байт отправленных - ты один байт получаешь....
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
