Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
|
[Win32] NAT - решение по подсчету трафика 14.11.03 12:59 Число просмотров: 2945
Автор: !mm <Ivan Ch.> Статус: Elderman
|
Особенности программы - возможность установки на любой машине в сети(сетевая карта переводится в promiscuos mode и логгится весь трафик, ее достигающий).
При работе сети на свичах, необходимо ставить счетчик трафика на шлюз )
Оффсайт программы: http://tmeter.ru/tmeter
При записи всего трафика необязательно регистрировать Tmeter, т.к. для этого достаточно лишь одного фильтра (незарегистрированная версия использует максимум 3 фильтра). Полученный лог-файл обрабатывается анализатором который выдает любые необходимые данные практически в любом виде (фильтрация по IP, времени, графическое представление данных).
Порядок созданий правил и настройки программы подробно описаны в прилагающемся thelp.chm.
|
|
<networking>
|
[WinNT4] WinRoute, кто как трафик считает? что посоветуете? 06.11.03 15:31
Автор: !mm <Ivan Ch.> Статус: Elderman
|
Как корпоративный стандарт должен стоять Win2k и ISA, но на более мощную машинку адаптер поставить не получится - ISA-слотовый Cronyx Sigma 22.
Сейчас стоит NT4, WinRoute, народ ходит по NAT-у, до сего времени меня устраивала статистика по интерфейсу, с провайдером проблем относительно его честности нет, так что тут как-бы все Ок.
Потребовалась статистика по трафику двух машин из внутренней локалки. Ходят они по https, можно с принципе натравить их на WinRout-евый прокси, но если уж потребовался трафик двух машин, лучше сразу ставить нечто более серьезное, чем счетчик трафика прокси.
Кто работал со статистикой по NATу, или что-то более другое может посоветуете?
|
|
а кеширование и фильтрование контента не привлекает? 06.12.03 02:50
Автор: jammer <alex naumov> Статус: Elderman
Отредактировано 06.12.03 05:42 Количество правок: 2
|
> Сейчас стоит NT4, WinRoute, народ ходит по NAT-у, до сего
а кеширование и фильтрование контента не привлекает? у меня в конторе бОльшую часть трафика ест именно http - т.е. как бы имеет смысл думать.
> Потребовалась статистика по трафику двух машин из
> внутренней локалки. Ходят они по https, можно с принципе
считалок же много? я так понимаю, нужно считать все что уходит и приходит с указанных локальных хостов наружу на *:443 - прямо на внутреннем интерфейсе.
> натравить их на WinRout-евый прокси, но если уж
> потребовался трафик двух машин, лучше сразу ставить нечто
> более серьезное, чем счетчик трафика прокси.
тут твой аргумент не совсем понял.
может ты сможешь помочь с этим?
домашний фильтр
|
| |
нет, ставилась задача считать не только http 06.12.03 17:49
Автор: !mm <Ivan Ch.> Статус: Elderman
|
> а кеширование и фильтрование контента не привлекает? у меня
> в конторе бОльшую часть трафика ест именно http - т.е. как
> бы имеет смысл думать.
кэш хттп-трафика работает, но фильтрование выключено - пользователей не так много и не вижу смысла с этим заморачиваться.
каждому пользователю разрешено ходить туда, куда надо по работе, остальное - закрыто, за исключением тех, кому надо всё (меня например ;))
следовательно, учет только http будет неполным
> считалок же много? я так понимаю, нужно считать все что
> уходит и приходит с указанных локальных хостов наружу на
> *:443 - прямо на внутреннем интерфейсе.
см.выше
> > натравить их на WinRout-евый прокси, но если уж
> > потребовался трафик двух машин, лучше сразу ставить
> > нечто
> > более серьезное, чем счетчик трафика прокси.
> тут твой аргумент не совсем понял.
я имел ввиду, что если понадобился учет хттп-трафика с двух машин, будет лучше подумать о будущем и настроить учет ВСЕГО трафика.
|
| | |
это я вполне понимаю. 08.12.03 17:55
Автор: jammer <alex naumov> Статус: Elderman
|
> > а кеширование и фильтрование контента не привлекает? у меня
> > в конторе бОльшую часть трафика ест именно http - т.е. как
> > бы имеет смысл думать.
> кэш хттп-трафика работает, но фильтрование выключено -
> пользователей не так много и не вижу смысла с этим заморачиваться.
причем тут количество пользователей? я не про порно и чаты. я про баннеры/счетчики и типичные запросы червей-вирусов, которых с ходу не отследишь. про рекламные pop-up в конце концов. бывает как начальник пошастает по некоторым сайтам, так потом с него запросы идут по ночам, он об этом понятия не имеет, а трафик жрется.
> каждому пользователю разрешено ходить туда, куда надо по
> работе, остальное - закрыто, за исключением тех, кому надо
> всё (меня например ;))
логично, я правда имел в виду фильтрование не по сайтам, а по контенту. то есть например если разрешено ходить на mail.ru, но ты забыл закрыть r.mail.ru/b* - ты стабильно выкачиваешь некешируемые флешовые ролики с раздражающей рекламой - и оно тебе скрашивает жизнь?
конечно я может обчитался духа и буквы http://www.squid-cache.org/, да и вообще это ответ не на твой вопрос о трафике, просто мысли, побочный эффект, совет, если хочешь.
> следовательно, учет только http будет неполным
конечно. 1) суммировать с цифрами от анализатора логов http-proxy.
2) еще проще - на внутренней сетевухе гейта считать трафик между хостами своей приватной сети и внешними хостами + трафик между хостами своей приватной сети и гейт:3128. соответственно если почта, считать ее отдельно, при особой жадности можно и DNS посчитать, и т.д.
> > считалок же много? я так понимаю, нужно считать все что
> > уходит и приходит с указанных локальных хостов наружу на
> > *:443 - прямо на внутреннем интерфейсе.
> см.выше
на этот раз я правильно все объяснил? ;)
> > > натравить их на WinRout-евый прокси, но если уж
> > > потребовался трафик двух машин, лучше сразу ставить
> > > нечто более серьезное, чем счетчик трафика прокси.
> > тут твой аргумент не совсем понял.
> я имел ввиду, что если понадобился учет хттп-трафика с двух
> машин, будет лучше подумать о будущем и настроить учет
> ВСЕГО трафика.
вообще считалка трафика и WinRoute (да и любой другой прокси/шлюз) не обязаны взаимодействовать. так что и винраут можно напрячь, и трафик считать не по его логам. хотя хозяин барин...
"To provide operational hierarchical caching" (с)
|
| | | |
На машинах, которым разрешено везде ходить стоит... 08.12.03 18:28
Автор: !mm <Ivan Ch.> Статус: Elderman
|
> > кэш хттп-трафика работает, но фильтрование выключено -
> > пользователей не так много и не вижу смысла с этим
> заморачиваться.
>
> причем тут количество пользователей? я не про порно и чаты.
> я про баннеры/счетчики и типичные запросы червей-вирусов,
> которых с ходу не отследишь. про рекламные pop-up в конце
> концов. бывает как начальник пошастает по некоторым сайтам,
> так потом с него запросы идут по ночам, он об этом понятия
> не имеет, а трафик жрется.
На машинах, которым разрешено везде ходить стоит AgnutumOutpost Firewall в режиме блокировки под паролем, плюс AVP 4.5.. У пользователей (в т.ч. и у начальника) админских прав нет даже на своей машине, прибить фаервол они и их процессы не смогут. Вся левая живность, каким-то образом пролезшая на комп, там и остается.
> логично, я правда имел в виду фильтрование не по сайтам, а
> по контенту. то есть например если разрешено ходить на
> mail.ru, но ты забыл закрыть r.mail.ru/b* - ты стабильно
> выкачиваешь некешируемые флешовые ролики с раздражающей
> рекламой - и оно тебе скрашивает жизнь?
всю рекламу все равно не отфильтруешь, встроенных правил блокировки в Outpost мне как правило хватает )
> > следовательно, учет только http будет неполным
>
> конечно. 1) суммировать с цифрами от анализатора логов
> http-proxy.
> 2) еще проще - на внутренней сетевухе гейта считать трафик
> между хостами своей приватной сети и внешними хостами +
> трафик между хостами своей приватной сети и гейт:3128.
> соответственно если почта, считать ее отдельно, при особой
> жадности можно и DNS посчитать, и т.д.
у меня все как раз и считатется )
> на этот раз я правильно все объяснил? ;)
угу )
|
| | | | |
согласись, нелогично выполнять одно и то же на всех машинах... 08.12.03 19:05
Автор: jammer <alex naumov> Статус: Elderman
|
> На машинах, которым разрешено везде ходить стоит
> AgnutumOutpost Firewall в режиме блокировки под паролем,
согласись, нелогично выполнять одно и то же на всех машинах кроме сервера. да и настройки лучше в одном месте выставлять чем во всех остальных. и процессоры с памятью у клиентов освободятся, и статистика фигни под рукой будет, и куда увереннее себя чуствуешь, даже если кто-то принесет ноутбук или сам винду переставит.
> плюс AVP 4.5.. У пользователей (в т.ч. и у начальника)
> админских прав нет даже на своей машине, прибить фаервол
> они и их процессы не смогут. Вся левая живность, каким-то
> образом пролезшая на комп, там и остается.
скажи еще что начальник по умолчанию на http-proxy не имеет доступа ко всему подряд.
> всю рекламу все равно не отфильтруешь, встроенных правил
> блокировки в Outpost мне как правило хватает )
наверное я слишком склонен к минимализму и мало доверяю такого рода софту, чтобы фильтровать непосредственно на клиенте.
> > 2) еще проще - на внутренней сетевухе гейта считать трафик
> > между хостами своей приватной сети и внешними хостами +
> > трафик между хостами своей приватной сети и гейт:3128.
> > соответственно если почта, считать ее отдельно, при особой
> > жадности можно и DNS посчитать, и т.д.
> у меня все как раз и считатется )
да.... что, и обращения к файловым/принтерным шарингам винраутовской машины тоже?!
|
| | | | | |
Возможно 08.12.03 19:25
Автор: !mm <Ivan Ch.> Статус: Elderman
|
> > На машинах, которым разрешено везде ходить стоит
> > AgnutumOutpost Firewall в режиме блокировки под
> паролем,
>
> согласись, нелогично выполнять одно и то же на всех машинах
> кроме сервера. да и настройки лучше в одном месте
> выставлять чем во всех остальных. и процессоры с памятью у
> клиентов освободятся, и статистика фигни под рукой будет, и
процессорной мощности пользователям хватает, памяти компов тоже, возникающие проблемы настройки - есть РАдмин, рулю таким образом десятью подразделениями, настроенными именно по этой схеме (все в разных городах, от 50 до 350 км от моего местоположения).
> куда увереннее себя чуствуешь, даже если кто-то принесет
> ноутбук или сам винду переставит.
несоглашусь
принес кто-то ноут - это его проблемы, а винду кроме меня ставить никто не будет =)
кстати, в случае, если в ноуте будет червь или какая-нибудь дрянь вроде blaster'a, настройки сервера тебя не спасут, а локальные фаерволы - вполне
> скажи еще что начальник по умолчанию на http-proxy не имеет
> доступа ко всему подряд.
У начальника открыт доступ по приложениям - IE, icq, jabber, outlook, еще пара корпоративных программ. Все.
> > > жадности можно и DNS посчитать, и т.д.
> > у меня все как раз и считатется )
>
> да.... что, и обращения к файловым/принтерным шарингам
> винраутовской машины тоже?!
Tmeter считает трафик по правилу:
192.0.0.0 - 192.0.0.255 = локальная сеть
все остальное - инет
соответственно, все, что туда-сюда ходит, учитывается
"локаль <-> инет"
емайл-трафик и трафик винраутовой машины учитывается правилом
"сервак (локальный комп) <-> инет"
вроде понятно написал.. для лучшего понимания учета трафика Тметером лучше почитать тебе мануаль на tmeter.ru
|
| | | | | | |
время тратится на фильтрацию многократно.
09.12.03 17:14
Автор: jammer <alex naumov> Статус: Elderman
|
> процессорной мощности пользователям хватает, памяти компов
время тратится на фильтрацию многократно.
> тоже, возникающие проблемы настройки - есть РАдмин, рулю
в котором ты с деловитым выражением лица повторяешь одно и то же.
> таким образом десятью подразделениями, настроенными именно
> по этой схеме (все в разных городах, от 50 до 350 км от
> моего местоположения).
ты крут :)
> > куда увереннее себя чуствуешь, даже если кто-то принесет
> > ноутбук или сам винду переставит.
> несоглашусь
> принес кто-то ноут - это его проблемы, а винду кроме меня
> ставить никто не будет =)
накачали фигни, трафика и троянов в сеть привнесли, а могут и попросить потом восстанавливать.
> кстати, в случае, если в ноуте будет червь или какая-нибудь
> дрянь вроде blaster'a, настройки сервера тебя не спасут, а
> локальные фаерволы - вполне
настройки сервера помогают избежать скачки такого шита.
> > скажи еще что начальник по умолчанию на http-proxy не имеет
> > доступа ко всему подряд.
> У начальника открыт доступ по приложениям - IE, icq,
> jabber, outlook, еще пара корпоративных программ. Все.
значит тем же IE сольет все что угодно, как на очередном порносайте попросят.
> > > > жадности можно и DNS посчитать, и т.д.
> > > у меня все как раз и считатется )
> > да.... что, и обращения к файловым/принтерным шарингам
> > винраутовской машины тоже?!
> Tmeter считает трафик по правилу:
> 192.0.0.0 - 192.0.0.255 = локальная сеть
> все остальное - инет
> соответственно, все, что туда-сюда ходит, учитывается
> "локаль <-> инет"
ты хочешь сказать, что DNS-запросы от рядовых пользователей ты NAT-ишь к своему провайдеру? вааааааау... и потом, прокси-трафик весь внутри твоей 192.0.0.0/24 - а то что снаружи не отличишь для кого качается.
> вроде понятно написал.. для лучшего понимания учета трафика
> Тметером лучше почитать тебе мануаль на tmeter.ru
эту поделку я уже пощупал... логи у нее жыыырные получаются.
|
| | | | | | | |
о червях и файрволлах 09.12.03 18:13
Автор: LLL <Алексей> Статус: Member
|
> > кстати, в случае, если в ноуте будет червь или какая-нибудь
> > дрянь вроде blaster'a, настройки сервера тебя не спасут, а
msblast -- тоже червь
> настройки сервера помогают избежать скачки такого шита.
Но не для ноутов, которыми скачивают не только в подконтрольной сети, а потом в нее приносят. Именно так мы летом у себя в конторе бласта огребли, не почесавшись вовремя винды залатать, уповая на корпоративную сеть, недоступную снаружи ;-)
> значит тем же IE сольет все что угодно, как на очередном
> порносайте попросят.
Зато попытки слитого ломиться в сеть будут блокированы локальным файрволлом.
|
| | | | | | | |
Насчет TMeter-а категорически не согласен 09.12.03 17:23
Автор: amirul <Serge> Статус: The Elderman
|
> эту поделку я уже пощупал... логи у нее жыыырные
> получаются.
Логи как логи (если я правильно понял, то логи это именно учет пакетов). Очень даже компактные. Разве что не пакованные (плейнтекст). Дык ничто не мешает сделать ротацию (или архивирование) по шедулеру
|
| | | | | | | | |
c этим никто не спорит 09.12.03 17:53
Автор: jammer <alex naumov> Статус: Elderman
|
> > эту поделку я уже пощупал... логи у нее жыыырные
> > получаются.
> Логи как логи (если я правильно понял, то логи это именно
> учет пакетов). Очень даже компактные. Разве что не
> пакованные (плейнтекст). Дык ничто не мешает сделать
> ротацию (или архивирование) по шедулеру
ага, как только нашел... увидел что ничто не мешает и даже по быстрому следует настроить, пока есть место :)
|
| | | | | | | | | |
А че его искать :-) 10.12.03 14:41
Автор: amirul <Serge> Статус: The Elderman
|
> ага, как только нашел... увидел что ничто не мешает и даже
> по быстрому следует настроить, пока есть место :)
По умолчанию все логи выключены для всех фильтров, а при включении надо явно указать куда их складывать :-)
А насчет персональных файрволов, я все таки согласен с Imm0rtal-ом. У себя в домашней сетке я сначала поставил файрвол и сидел с ним. Потом, когда увидел, что ближайшее окружение беззлобное, а от инета я спрятан за NAT-ом, решил снести (чтоб ресурсы освободить). Первый звонок был тогда, когда я впервые в жизни подхватил трояна: чувак, который живет чуть ли не в соседнем доме по ирке прислал exe-шник, и не сообщил, СВОЛОЧЬ, что этот экзешник пришел к нему аттачем (такой бы я или не запустил или запустил бы в виртуальной машине). До сих пор удивляюсь почему у меня не украли аськи/мыла, ну а потом то я пароли сменил.
Но после того, как кто то затащил к нам в сетку бласта мое терпение лопнуло и я таки поставил outpost опять.
|
|
[Win32] NAT - решение по подсчету трафика 14.11.03 12:59
Автор: !mm <Ivan Ch.> Статус: Elderman
|
Особенности программы - возможность установки на любой машине в сети(сетевая карта переводится в promiscuos mode и логгится весь трафик, ее достигающий).
При работе сети на свичах, необходимо ставить счетчик трафика на шлюз )
Оффсайт программы: http://tmeter.ru/tmeter
При записи всего трафика необязательно регистрировать Tmeter, т.к. для этого достаточно лишь одного фильтра (незарегистрированная версия использует максимум 3 фильтра). Полученный лог-файл обрабатывается анализатором который выдает любые необходимые данные практически в любом виде (фильтрация по IP, времени, графическое представление данных).
Порядок созданий правил и настройки программы подробно описаны в прилагающемся thelp.chm.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
