Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: Сервер учёта трафика  (Прочитано 2104 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн ridig

  • Автор темы
  • Новичок
  • *
  • Сообщений: 17
    • Просмотр профиля
Сервер учёта трафика
« : 08 Апреля 2015, 20:22:56 »
Есть сеть 15 компьютеров и IP телефоны все это работает за роутером. нужно организовать контроль за пользователями: какие сайты посещают, что  пишут, какие файлы отправляют. + прикрутить антивирус, я вижу так NAT + снифер + dhcp + антивирус. может получше варианты есть.
« Последнее редактирование: 08 Апреля 2015, 20:31:01 от ridig »

Оффлайн shushpanchik

  • Активист
  • *
  • Сообщений: 296
    • Просмотр профиля
    • SKSS - "Современные компьютерные сети и системы"
Re: Сервер учёта трафика
« Ответ #1 : 09 Апреля 2015, 07:27:00 »
  • Какие сайты посещают - SQUID. Это proxy-сервер, возможен прозрачный режим работы без заворачивания на другие порты, лог посещений сайтов, ограничение доступа к определенным сайтам, перенаправление на например собственные странички при попытке посещения определенных ресурсов (например кто-то полез вконтактик а его перенаправило на внутреннюю локальную страничку с надписью "низя вкантактик на работе!").
  • Антивирус - думаю будет намного эффективней у каждого пользователя свой ставить.
  • Что пишут и какие файлы отправляют - не подскажу.
DHCP - вопрос религии. Если клиентов всего 15 - я бы пробежал ножками, и ввел всем статические IP ручками.

Оффлайн ridig

  • Автор темы
  • Новичок
  • *
  • Сообщений: 17
    • Просмотр профиля
Re: Сервер учёта трафика
« Ответ #2 : 09 Апреля 2015, 11:11:39 »
если SQUID надо будет каждому в браузере настраивать прокси.
или можно настроить без этого?

Оффлайн shushpanchik

  • Активист
  • *
  • Сообщений: 296
    • Просмотр профиля
    • SKSS - "Современные компьютерные сети и системы"
Re: Сервер учёта трафика
« Ответ #3 : 09 Апреля 2015, 11:30:00 »
если SQUID надо будет каждому в браузере настраивать прокси.
или можно настроить без этого?

...возможен прозрачный режим работы без заворачивания на другие порты, ...

Плюс батенька я смотрю Вы наверное из ленивых админов? У Вас не так уж и много клиентов в сети. Думаю можно и обойти ножками да прописать ручками. Даже если бы пришлось настраивать браузеры клиентов. Весь процесс займет не более 10 минут я думаю.

Зы. Ни в коем случае не хотел и не хочу обидеть!
« Последнее редактирование: 09 Апреля 2015, 11:35:54 от shushpanchik »

Оффлайн ridig

  • Автор темы
  • Новичок
  • *
  • Сообщений: 17
    • Просмотр профиля
Re: Сервер учёта трафика
« Ответ #4 : 09 Апреля 2015, 11:35:13 »
Почему ленивый. лучше когда всё автоматизировано. я не админ :) только учусь  nat работает dhcp работает. первый раз когда делаеш интересное занятие однако. проблемка такая. через некоторое время пропадает связь с интернетом на пк который во внутренней сети. при этом на сервере всё работает. помогает перезарузка сетевых интерфейсов на сервере. где ошибся?

сделал исполняемым
/etc/network/if-pre-up.d/NAT.sh

в нём

# Первым делом очистим существующую таблицу правил:
iptables -F

# Добавляем первое правило которое позволит нам не потерять удаленный контроль над сервером
iptables -A INPUT -p tcp -i eth1 --dport 22 -j ACCEPT

# Прописываем политики по умолчанию:
# Принимать все пакеты, которые инициированы из уже установленного соединения, и имеющим признак ESTABLISHED.
# Состояние ESTABLISHED говорит о том, что это не первый пакет в соединении.
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#Запрешаем на передачу всё, что не разрешено.
iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

# Разрешаем хождение трафика по localhost
iptables -A INPUT -i lo -j ACCEPT

#Разрешаем пинг(DROP - запретить)
iptables -A INPUT -i eth1 -p icmp --icmp-type 8 -j ACCEPT

#NAT
#Должен быть включен ip forwarding
iptables -A FORWARD -i eth1 -o eth0 -s 192.168.0.0/28 -j ACCEPT
iptables -A POSTROUTING -t nat -j MASQUERADE
iptables -A INPUT -i eth0 -p icmp --icmp-type 8 -j ACCEPT


интерфесы сетевые

auto eth0
iface eth0 inet dhcp

auto eth1
iface eth1 inet static
address 192.168.0.254
netmask 255.255.255.0
broadcast 192.168.0.255

post-up /etc/network/if-pre-up.d/NAT.sh


настройка dhcp

subnet 192.168.0.0 netmask 255.255.255.0 {
range 192.168.0.1 192.168.0.100;
option routers 192.168.0.254;
option broadcast-address 192.168.0.100;
interface eth1;
}
#создание таблицы ip-mac
host network-printer {
hardware ethernet 38:ea:a7:f3:4e:c1;
fixed-address 192.168.0.45;
}





Пользователь решил продолжить мысль 09 Апреля 2015, 21:47:52:
:-[
« Последнее редактирование: 09 Апреля 2015, 21:47:52 от ridig »

Оффлайн shushpanchik

  • Активист
  • *
  • Сообщений: 296
    • Просмотр профиля
    • SKSS - "Современные компьютерные сети и системы"
Re: Сервер учёта трафика
« Ответ #5 : 10 Апреля 2015, 08:30:44 »
Для начала попробуйте просто включить маршрутизацию без всяких там плюшек:
# Очищаем все настройки
    iptables -F
    iptables -X
    iptables -t nat -F
    iptables -t mangle -F
    iptables -t mangle -X
    iptables -t filter -F

# Устанавливаем политики по умолчанию
    iptables -P INPUT ACCEPT
    iptables -P FORWARD ACCEPT
    iptables -P OUTPUT ACCEPT

# Активируем форвардинг пакетов
    echo 1 > /proc/sys/net/ipv4/ip_forward

# Всегда принимаем трафик на loopback-интерфейсе
    iptables -A INPUT -i lo -j ACCEPT

# Даем интернет в сеть
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

В настройках DHCP маленькая ошибочка. Обратите внимание, что блок который у Вас назван "создание таблицы ip-mac", должен находиться ВНУТРИ основного блока, который описывает настройки самого сервера DHCP. Т.е.:

subnet 192.168.0.0 netmask 255.255.255.0 {
range 192.168.0.1 192.168.0.100;
option routers 192.168.0.254;
option broadcast-address 192.168.0.100;
interface eth1;

#создание таблицы ip-mac
host network-printer {
hardware ethernet 38:ea:a7:f3:4e:c1;
fixed-address 192.168.0.45;
}
}

И да, почему у Вас option broadcast-address смотрит на 192.168.0.100, в то время как в интерфейсе eth1 у Вас правильный broadcast 192.168.0.255

Хотя, насчет плюшек в iptables, возможно проблема как раз именно из-за broadcast. Поэтому сначала подправьте dhcpd.conf а затем будем посмотреть дальше.

Оффлайн ridig

  • Автор темы
  • Новичок
  • *
  • Сообщений: 17
    • Просмотр профиля
Re: Сервер учёта трафика
« Ответ #6 : 10 Апреля 2015, 14:47:38 »
работает. со скобками была такая мысль. но почему то не исправил. SSH прикрутил, работает. :D

Пользователь решил продолжить мысль [time]10 Апрель 2015, 22:21:46[/time]:
подскажите руководство понастройке sams + squid чтот ничего невыходит :(
нужно настроить apache + php + mysql+ squid+sams

Пользователь решил продолжить мысль [time]11 Апрель 2015, 15:36:52[/time]:
с SQUID беда. настроил, если в строке браузера ввести слов для поиска, то открывается поисковик с найденной информацией. при переходе по ссылке или если в адресной строке ввести сайт squid выдаёт

ERROR
The requested URL could not be retrieved

The following error was encountered while trying to retrieve the URL: http://www.google.ru/url?

    Access Denied.

Access control configuration prevents your request from being allowed at this time. Please contact your service provider if you feel this is incorrect.

Your cache administrator is webmaster.

Generated Sat, 11 Apr 2015 15:35:55 GMT by inetservname (squid/2.7.STABLE9)
непускает на сайты с http , с https всё норм
« Последнее редактирование: 11 Апреля 2015, 15:00:27 от ridig »

Оффлайн ShadowUser15

  • Активист
  • *
  • Сообщений: 718
    • Просмотр профиля
Re: Сервер учёта трафика
« Ответ #7 : 18 Апреля 2015, 00:14:03 »
а торренты сквид отлавливает? на предмет учёта трафика?
вероятное введение нестандартных десятичностей, внутри системы - заставляет задуматься о переходе на другой

 

Страница сгенерирована за 0.017 секунд. Запросов: 22.