Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
[WinNT4] WinRoute, кто как трафик считает? что посоветуете? 06.11.03 15:31
Автор: !mm <Ivan Ch.> Статус: Elderman
|
Как корпоративный стандарт должен стоять Win2k и ISA, но на более мощную машинку адаптер поставить не получится - ISA-слотовый Cronyx Sigma 22.
Сейчас стоит NT4, WinRoute, народ ходит по NAT-у, до сего времени меня устраивала статистика по интерфейсу, с провайдером проблем относительно его честности нет, так что тут как-бы все Ок.
Потребовалась статистика по трафику двух машин из внутренней локалки. Ходят они по https, можно с принципе натравить их на WinRout-евый прокси, но если уж потребовался трафик двух машин, лучше сразу ставить нечто более серьезное, чем счетчик трафика прокси.
Кто работал со статистикой по NATу, или что-то более другое может посоветуете?
|
|
а кеширование и фильтрование контента не привлекает? 06.12.03 02:50
Автор: jammer <alex naumov> Статус: Elderman Отредактировано 06.12.03 05:42 Количество правок: 2
|
> Сейчас стоит NT4, WinRoute, народ ходит по NAT-у, до сего
а кеширование и фильтрование контента не привлекает? у меня в конторе бОльшую часть трафика ест именно http - т.е. как бы имеет смысл думать.
> Потребовалась статистика по трафику двух машин из > внутренней локалки. Ходят они по https, можно с принципе
считалок же много? я так понимаю, нужно считать все что уходит и приходит с указанных локальных хостов наружу на *:443 - прямо на внутреннем интерфейсе.
> натравить их на WinRout-евый прокси, но если уж > потребовался трафик двух машин, лучше сразу ставить нечто > более серьезное, чем счетчик трафика прокси.
тут твой аргумент не совсем понял.
может ты сможешь помочь с этим? домашний фильтр
|
| |
нет, ставилась задача считать не только http 06.12.03 17:49
Автор: !mm <Ivan Ch.> Статус: Elderman
|
> а кеширование и фильтрование контента не привлекает? у меня > в конторе бОльшую часть трафика ест именно http - т.е. как > бы имеет смысл думать.
кэш хттп-трафика работает, но фильтрование выключено - пользователей не так много и не вижу смысла с этим заморачиваться.
каждому пользователю разрешено ходить туда, куда надо по работе, остальное - закрыто, за исключением тех, кому надо всё (меня например ;))
следовательно, учет только http будет неполным
> считалок же много? я так понимаю, нужно считать все что > уходит и приходит с указанных локальных хостов наружу на > *:443 - прямо на внутреннем интерфейсе.
см.выше
> > натравить их на WinRout-евый прокси, но если уж > > потребовался трафик двух машин, лучше сразу ставить > > нечто > > более серьезное, чем счетчик трафика прокси.
> тут твой аргумент не совсем понял.
я имел ввиду, что если понадобился учет хттп-трафика с двух машин, будет лучше подумать о будущем и настроить учет ВСЕГО трафика.
|
| | |
это я вполне понимаю. 08.12.03 17:55
Автор: jammer <alex naumov> Статус: Elderman
|
> > а кеширование и фильтрование контента не привлекает? у меня > > в конторе бОльшую часть трафика ест именно http - т.е. как > > бы имеет смысл думать. > кэш хттп-трафика работает, но фильтрование выключено - > пользователей не так много и не вижу смысла с этим заморачиваться.
причем тут количество пользователей? я не про порно и чаты. я про баннеры/счетчики и типичные запросы червей-вирусов, которых с ходу не отследишь. про рекламные pop-up в конце концов. бывает как начальник пошастает по некоторым сайтам, так потом с него запросы идут по ночам, он об этом понятия не имеет, а трафик жрется.
> каждому пользователю разрешено ходить туда, куда надо по > работе, остальное - закрыто, за исключением тех, кому надо > всё (меня например ;))
логично, я правда имел в виду фильтрование не по сайтам, а по контенту. то есть например если разрешено ходить на mail.ru, но ты забыл закрыть r.mail.ru/b* - ты стабильно выкачиваешь некешируемые флешовые ролики с раздражающей рекламой - и оно тебе скрашивает жизнь?
конечно я может обчитался духа и буквы http://www.squid-cache.org/, да и вообще это ответ не на твой вопрос о трафике, просто мысли, побочный эффект, совет, если хочешь.
> следовательно, учет только http будет неполным
конечно. 1) суммировать с цифрами от анализатора логов http-proxy.
2) еще проще - на внутренней сетевухе гейта считать трафик между хостами своей приватной сети и внешними хостами + трафик между хостами своей приватной сети и гейт:3128. соответственно если почта, считать ее отдельно, при особой жадности можно и DNS посчитать, и т.д.
> > считалок же много? я так понимаю, нужно считать все что > > уходит и приходит с указанных локальных хостов наружу на > > *:443 - прямо на внутреннем интерфейсе. > см.выше
на этот раз я правильно все объяснил? ;)
> > > натравить их на WinRout-евый прокси, но если уж > > > потребовался трафик двух машин, лучше сразу ставить > > > нечто более серьезное, чем счетчик трафика прокси. > > тут твой аргумент не совсем понял. > я имел ввиду, что если понадобился учет хттп-трафика с двух > машин, будет лучше подумать о будущем и настроить учет > ВСЕГО трафика.
вообще считалка трафика и WinRoute (да и любой другой прокси/шлюз) не обязаны взаимодействовать. так что и винраут можно напрячь, и трафик считать не по его логам. хотя хозяин барин...
"To provide operational hierarchical caching" (с)
|
| | | |
На машинах, которым разрешено везде ходить стоит... 08.12.03 18:28
Автор: !mm <Ivan Ch.> Статус: Elderman
|
> > кэш хттп-трафика работает, но фильтрование выключено - > > пользователей не так много и не вижу смысла с этим > заморачиваться. > > причем тут количество пользователей? я не про порно и чаты. > я про баннеры/счетчики и типичные запросы червей-вирусов, > которых с ходу не отследишь. про рекламные pop-up в конце > концов. бывает как начальник пошастает по некоторым сайтам, > так потом с него запросы идут по ночам, он об этом понятия > не имеет, а трафик жрется.
На машинах, которым разрешено везде ходить стоит AgnutumOutpost Firewall в режиме блокировки под паролем, плюс AVP 4.5.. У пользователей (в т.ч. и у начальника) админских прав нет даже на своей машине, прибить фаервол они и их процессы не смогут. Вся левая живность, каким-то образом пролезшая на комп, там и остается.
> логично, я правда имел в виду фильтрование не по сайтам, а > по контенту. то есть например если разрешено ходить на > mail.ru, но ты забыл закрыть r.mail.ru/b* - ты стабильно > выкачиваешь некешируемые флешовые ролики с раздражающей > рекламой - и оно тебе скрашивает жизнь?
всю рекламу все равно не отфильтруешь, встроенных правил блокировки в Outpost мне как правило хватает )
> > следовательно, учет только http будет неполным > > конечно. 1) суммировать с цифрами от анализатора логов > http-proxy. > 2) еще проще - на внутренней сетевухе гейта считать трафик > между хостами своей приватной сети и внешними хостами + > трафик между хостами своей приватной сети и гейт:3128. > соответственно если почта, считать ее отдельно, при особой > жадности можно и DNS посчитать, и т.д.
у меня все как раз и считатется )
> на этот раз я правильно все объяснил? ;)
угу )
|
| | | | |
согласись, нелогично выполнять одно и то же на всех машинах... 08.12.03 19:05
Автор: jammer <alex naumov> Статус: Elderman
|
> На машинах, которым разрешено везде ходить стоит > AgnutumOutpost Firewall в режиме блокировки под паролем,
согласись, нелогично выполнять одно и то же на всех машинах кроме сервера. да и настройки лучше в одном месте выставлять чем во всех остальных. и процессоры с памятью у клиентов освободятся, и статистика фигни под рукой будет, и куда увереннее себя чуствуешь, даже если кто-то принесет ноутбук или сам винду переставит.
> плюс AVP 4.5.. У пользователей (в т.ч. и у начальника) > админских прав нет даже на своей машине, прибить фаервол > они и их процессы не смогут. Вся левая живность, каким-то > образом пролезшая на комп, там и остается.
скажи еще что начальник по умолчанию на http-proxy не имеет доступа ко всему подряд.
> всю рекламу все равно не отфильтруешь, встроенных правил > блокировки в Outpost мне как правило хватает )
наверное я слишком склонен к минимализму и мало доверяю такого рода софту, чтобы фильтровать непосредственно на клиенте.
> > 2) еще проще - на внутренней сетевухе гейта считать трафик > > между хостами своей приватной сети и внешними хостами + > > трафик между хостами своей приватной сети и гейт:3128. > > соответственно если почта, считать ее отдельно, при особой > > жадности можно и DNS посчитать, и т.д. > у меня все как раз и считатется )
да.... что, и обращения к файловым/принтерным шарингам винраутовской машины тоже?!
|
| | | | | |
Возможно 08.12.03 19:25
Автор: !mm <Ivan Ch.> Статус: Elderman
|
> > На машинах, которым разрешено везде ходить стоит > > AgnutumOutpost Firewall в режиме блокировки под > паролем, > > согласись, нелогично выполнять одно и то же на всех машинах > кроме сервера. да и настройки лучше в одном месте > выставлять чем во всех остальных. и процессоры с памятью у > клиентов освободятся, и статистика фигни под рукой будет, и
процессорной мощности пользователям хватает, памяти компов тоже, возникающие проблемы настройки - есть РАдмин, рулю таким образом десятью подразделениями, настроенными именно по этой схеме (все в разных городах, от 50 до 350 км от моего местоположения).
> куда увереннее себя чуствуешь, даже если кто-то принесет > ноутбук или сам винду переставит.
несоглашусь
принес кто-то ноут - это его проблемы, а винду кроме меня ставить никто не будет =)
кстати, в случае, если в ноуте будет червь или какая-нибудь дрянь вроде blaster'a, настройки сервера тебя не спасут, а локальные фаерволы - вполне
> скажи еще что начальник по умолчанию на http-proxy не имеет > доступа ко всему подряд.
У начальника открыт доступ по приложениям - IE, icq, jabber, outlook, еще пара корпоративных программ. Все.
> > > жадности можно и DNS посчитать, и т.д. > > у меня все как раз и считатется ) > > да.... что, и обращения к файловым/принтерным шарингам > винраутовской машины тоже?!
Tmeter считает трафик по правилу:
192.0.0.0 - 192.0.0.255 = локальная сеть
все остальное - инет
соответственно, все, что туда-сюда ходит, учитывается
"локаль <-> инет"
емайл-трафик и трафик винраутовой машины учитывается правилом
"сервак (локальный комп) <-> инет"
вроде понятно написал.. для лучшего понимания учета трафика Тметером лучше почитать тебе мануаль на tmeter.ru
|
| | | | | | |
время тратится на фильтрацию многократно.
09.12.03 17:14
Автор: jammer <alex naumov> Статус: Elderman
|
> процессорной мощности пользователям хватает, памяти компов
время тратится на фильтрацию многократно.
> тоже, возникающие проблемы настройки - есть РАдмин, рулю
в котором ты с деловитым выражением лица повторяешь одно и то же.
> таким образом десятью подразделениями, настроенными именно > по этой схеме (все в разных городах, от 50 до 350 км от > моего местоположения).
ты крут :)
> > куда увереннее себя чуствуешь, даже если кто-то принесет > > ноутбук или сам винду переставит. > несоглашусь > принес кто-то ноут - это его проблемы, а винду кроме меня > ставить никто не будет =)
накачали фигни, трафика и троянов в сеть привнесли, а могут и попросить потом восстанавливать.
> кстати, в случае, если в ноуте будет червь или какая-нибудь > дрянь вроде blaster'a, настройки сервера тебя не спасут, а > локальные фаерволы - вполне
настройки сервера помогают избежать скачки такого шита.
> > скажи еще что начальник по умолчанию на http-proxy не имеет > > доступа ко всему подряд. > У начальника открыт доступ по приложениям - IE, icq, > jabber, outlook, еще пара корпоративных программ. Все.
значит тем же IE сольет все что угодно, как на очередном порносайте попросят.
> > > > жадности можно и DNS посчитать, и т.д. > > > у меня все как раз и считатется ) > > да.... что, и обращения к файловым/принтерным шарингам > > винраутовской машины тоже?! > Tmeter считает трафик по правилу: > 192.0.0.0 - 192.0.0.255 = локальная сеть > все остальное - инет > соответственно, все, что туда-сюда ходит, учитывается > "локаль <-> инет"
ты хочешь сказать, что DNS-запросы от рядовых пользователей ты NAT-ишь к своему провайдеру? вааааааау... и потом, прокси-трафик весь внутри твоей 192.0.0.0/24 - а то что снаружи не отличишь для кого качается.
> вроде понятно написал.. для лучшего понимания учета трафика > Тметером лучше почитать тебе мануаль на tmeter.ru
эту поделку я уже пощупал... логи у нее жыыырные получаются.
|
| | | | | | | |
о червях и файрволлах 09.12.03 18:13
Автор: LLL <Алексей> Статус: Member
|
> > кстати, в случае, если в ноуте будет червь или какая-нибудь > > дрянь вроде blaster'a, настройки сервера тебя не спасут, а
msblast -- тоже червь
> настройки сервера помогают избежать скачки такого шита.
Но не для ноутов, которыми скачивают не только в подконтрольной сети, а потом в нее приносят. Именно так мы летом у себя в конторе бласта огребли, не почесавшись вовремя винды залатать, уповая на корпоративную сеть, недоступную снаружи ;-)
> значит тем же IE сольет все что угодно, как на очередном > порносайте попросят.
Зато попытки слитого ломиться в сеть будут блокированы локальным файрволлом.
|
| | | | | | | |
Насчет TMeter-а категорически не согласен 09.12.03 17:23
Автор: amirul <Serge> Статус: The Elderman
|
> эту поделку я уже пощупал... логи у нее жыыырные > получаются. Логи как логи (если я правильно понял, то логи это именно учет пакетов). Очень даже компактные. Разве что не пакованные (плейнтекст). Дык ничто не мешает сделать ротацию (или архивирование) по шедулеру
|
| | | | | | | | |
c этим никто не спорит 09.12.03 17:53
Автор: jammer <alex naumov> Статус: Elderman
|
> > эту поделку я уже пощупал... логи у нее жыыырные > > получаются. > Логи как логи (если я правильно понял, то логи это именно > учет пакетов). Очень даже компактные. Разве что не > пакованные (плейнтекст). Дык ничто не мешает сделать > ротацию (или архивирование) по шедулеру
ага, как только нашел... увидел что ничто не мешает и даже по быстрому следует настроить, пока есть место :)
|
| | | | | | | | | |
А че его искать :-) 10.12.03 14:41
Автор: amirul <Serge> Статус: The Elderman
|
> ага, как только нашел... увидел что ничто не мешает и даже > по быстрому следует настроить, пока есть место :) По умолчанию все логи выключены для всех фильтров, а при включении надо явно указать куда их складывать :-)
А насчет персональных файрволов, я все таки согласен с Imm0rtal-ом. У себя в домашней сетке я сначала поставил файрвол и сидел с ним. Потом, когда увидел, что ближайшее окружение беззлобное, а от инета я спрятан за NAT-ом, решил снести (чтоб ресурсы освободить). Первый звонок был тогда, когда я впервые в жизни подхватил трояна: чувак, который живет чуть ли не в соседнем доме по ирке прислал exe-шник, и не сообщил, СВОЛОЧЬ, что этот экзешник пришел к нему аттачем (такой бы я или не запустил или запустил бы в виртуальной машине). До сих пор удивляюсь почему у меня не украли аськи/мыла, ну а потом то я пароли сменил.
Но после того, как кто то затащил к нам в сетку бласта мое терпение лопнуло и я таки поставил outpost опять.
|
|
[Win32] NAT - решение по подсчету трафика 14.11.03 12:59
Автор: !mm <Ivan Ch.> Статус: Elderman
|
Особенности программы - возможность установки на любой машине в сети(сетевая карта переводится в promiscuos mode и логгится весь трафик, ее достигающий).
При работе сети на свичах, необходимо ставить счетчик трафика на шлюз )
Оффсайт программы: http://tmeter.ru/tmeter
При записи всего трафика необязательно регистрировать Tmeter, т.к. для этого достаточно лишь одного фильтра (незарегистрированная версия использует максимум 3 фильтра). Полученный лог-файл обрабатывается анализатором который выдает любые необходимые данные практически в любом виде (фильтрация по IP, времени, графическое представление данных).
Порядок созданий правил и настройки программы подробно описаны в прилагающемся thelp.chm.
|
|
|