Вопросы по настройке ubuntu-роутера

[Helioz]

Здравствуйте!

В процессе работы над сервером для одной подмосковной газеты возникло пару вопросов! Гугл скурили и больше не лезет

Задачи сервера:
Перенаправлять интернет
Блокировать ненужные хосты
Считать трафик на каждого клиента (работника газеты)
Ибо интернет по трафику и очень дорого!

Система:
Ubuntu Server

Воплощение (наше):
eth0 по dhcp получает интернет
eth1 через vpn сервер и прокси squid передает интернет работникам.

Т.е. со стороны работника газеты: Подключаемся по vpn под личными логопасами (к логопасам привязан ip) и прописываем себе прокси которая режет нам ненужные для работы сайты   )

И все было бы хорошо, но встал вопрос как посчитать трафик по этому ip? Необходимо именно логирование и анализ трафика чтобы выдавать люлей по итогам оплаченного месяца.

Мы попробовали netflow для теста смотрящего не в ppp, а в eth0... да! Статистики море и во всех возможных вариациях, !!!НО!!! проблема в том что тамашний админ в Linuxах ноль   и следовательно не сможет посмотреть эту статистику!

Вопрос! Как быть? Есть ли какой либо аналайзер для netflow либо возможен еще какой то вариант по сбору статистики?

З.Ы. Итог: Необходим аналайзер трафика по ppp с выводом статистики: ip принято\отправлено за период...

Период соответственно либо по сессиям либо по заданной дате.

[Enkil-404]

Если я правильно понял задачу, то

обратите внимание на ipcad
и в частности на
http://deus.softweb.ru/page.php?id=21
считает очень точно, ед-й минус - показывает ip-адреса и протоколы, но не умеет показывать имена.

также если у вас поднят сквид, то он ведет логи посещений инета и можно воспользоваться обработчиками этих логов,
например lightsquid, sarg - просты в установке, веб-интерфейс отображения статистики. Есть и другие обработчики, которые умеют отключать от инета по лииту или по требованию.

[Helioz]

ipcad в репозитории я так понял отсутствует, а руками собираться не хочет наотрез((( Хотя вариант просто идеальный.

По поводу сквида, не очень понимаю. Получается нужно iptables`ом закрывать все порты "эни дени ту эни" и разрешать тока определенные по которым и будет идти подсчет?!

[Yagoman]

Вопрос к Helioz
Скажите пожалуйста, вы нетфлоу чем в Ubuntu смотрите?
Я пробовал nTOP - можно смотреть, но не очень удобно.
Интересно что у вас за приложение.

Спасибо.

[Helioz]

Вопрос к Helioz
Скажите пожалуйста, вы нетфлоу чем в Ubuntu смотрите?
Я пробовал nTOP - можно смотреть, но не очень удобно.
Интересно что у вас за приложение.

Спасибо.

Смотрим flow-cat. Собственно про варианты просмотрщиков (анализаторов логов) я и спрашиваю:)

[Enkil-404]

ipcad легко собрать, только сначала установите libpcap-dev, ну и всякие там make, automake и т.д.
mysql тоже должен быть установлен(настраивать не надо, у человека, написавшего скрипт есть база в архиве и написано как ее добавить)

насчет сквида - iptables можно вообще не использовать в этом моменте
тут 2 способа

- настроен сквид и адрес прокси прописан у каждого клиента в браузере
- сквид настроен как прозрачный прокси с помощью одного правила iptables  и одной строчке в самом сквиде.

сквид имеет кэш в которо хранит логи "кто куда и зачем" а обработчики этих логов, дают возможность их читать в удобоваримом виде через веб.
одно "но", сквид не весь траффик логгирует а только тот что умеет через себя пускать(например 25 и 110, если не ошибаюсь, сквид обрабатывать не умеет и если через почту или туже аську загрузят большой объем данных, то через логи сквида этого не увидеть

[Helioz]

Спасибо за дельные советы. Думаю завтра что нибудь сотворим

З.Ы. Пишите если у кого то будут еще предложения или проверенные анализаторы. Буду очень благодарен:)
Пользователь решил продолжить мысль 13 Ноября 2009, 11:11:58:Ну собственно пошли мы в итоге по пути iptables + squid + lightsquid в качестве анализатора логов.

Но вот встал вопрос по поводу сохранения настроек iptables! Как это сделать в ubuntu? Что то гугление по прежнему выдает что то нечленораздельное.

[AnrDaemon]

man iptables-save

[Helioz]

Ну эт понятно, только не желает он сохранять. При ребуте сбрасываются настройки

[Enkil-404]

я сделал так

iptables-save >> в какой файл сохранять

потом добавил в скрипт /etc/inid.d/networking
в предпоследнюю строчку
 
iptables-restore путь к файлу, куда сохраняли

соответственно при загрузке/перезагрузке сети поднимаются и правила фаера

[Helioz]

Ам... краснею))) Про /etc/inid.d/networking - забыл совсем:( Спасибо огромное!

[AnrDaemon]

Тупим, дети мои?
Это добавляется либо в /etc/network/interfaces либо в одну из подпапок там же.
Грязными руками копаться в системных скриптах - Боже вас упаси!

[Enkil-404]

можно(и даже нужно, вы правы) через
post-up(или pre-up) iptables-restore  в /etc/network/interfaces

однако рабоатет как я выше написал и следуя пути "пока петух не клюнет..." - оставляю как есть

[baklan]

Для описанной задачи я бы использовал FreeBSD +IPA , но поскольку форум Linuxовый, то нет смысла развивать эту тему, просто автору на заметку.