Mishka> Что значит нельзя? Запрещено законом? Не знаешь, как и что делать?
«Нельзя» — это клиент не хочет. Как «льзя», я уже писал, например
тут (текста не видно, но это я жду, когда Рома починит списки).
Mishka> Обрисуй мне, как ты внутренний ARP/RARP отличишь? Да и тот же DHСP? Ну и знаменытый NETBEUI может ходить вовсе не поверх TCP/IP.
ОМГ!
Мы, кажется, не понимаем друг друга.
Вот смотри, для примера, мой личный шлюз:
code bash
# iptables -L OUTPUT -nv
Chain OUTPUT (policy DROP 1360 packets, 143K bytes)
pkts bytes target prot opt in out source destination
72M 105G ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT udp -- * eth0 0.0.0.0/0 0.0.0.0/0 multiport dports 67:68
0 0 ACCEPT 47 -- * eth0 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT udp -- * eth2 0.0.0.0/0 0.0.0.0/0 multiport dports 67:68
0 0 ACCEPT 47 -- * eth2 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * eth0 0.0.5.220 0.0.0.0/0 multiport dports 80,443,20,21,873,11371,9418,3690,2401 tcp flags:0x17/0x02 state NEW
0 0 ACCEPT udp -- * eth0 0.0.5.220 0.0.0.0/0 multiport dports 53,11190,123 state NEW
0 0 ACCEPT tcp -- * eth2 eth.ip.add.res 0.0.0.0/0 multiport dports 80,443,20,21,873,11371,9418,3690,2401 tcp flags:0x17/0x02 state NEW
1660 106K ACCEPT udp -- * eth2 eth.ip.add.res 0.0.0.0/0 multiport dports 53,11190,123,1701 state NEW
134 8040 ACCEPT tcp -- * ppp0 ppp.ip.add.res 0.0.0.0/0 multiport dports 80,443,20,21,873,11371,9418,3690,2401 tcp flags:0x17/0x02 state NEW
321 24382 ACCEPT udp -- * ppp0 ppp.ip.add.res 0.0.0.0/0 multiport dports 11190,123,1701 state NEW
0 0 ACCEPT tcp -- * eth1 192.168.10.1 0.0.0.0/0 multiport dports 3632,5900,22 tcp flags:0x17/0x02 state NEW
0 0 ACCEPT tcp -- * eth2 ppp.ip.add.res 0.0.0.0/0 multiport sports 6881:6889,6969 tcp flags:0x17/0x02 state NEW
0 0 ACCEPT udp -- * eth2 ppp.ip.add.res 0.0.0.0/0 multiport sports 6881:6889,6969 state NEW
0 0 ACCEPT icmp -- * eth0 0.0.5.220 0.0.0.0/0 icmp type 8 state NEW
0 0 ACCEPT icmp -- * eth2 eth.ip.add.res 0.0.0.0/0 icmp type 8 state NEW
1 84 ACCEPT icmp -- * ppp0 ppp.ip.add.res 0.0.0.0/0 icmp type 8 state NEW
0 0 ACCEPT icmp -- * eth1 192.168.10.0/29 0.0.0.0/0 icmp type 8 state NEW
0 0 ACCEPT icmp -- * eth1 0.0.0.0/0 192.168.10.0/29 icmp type 0 state NEW
0 0 ACCEPT icmp -- * eth0 0.0.0.0/0 0.0.0.0/0 icmp type 0 state NEW
0 0 ACCEPT icmp -- * eth2 0.0.0.0/0 0.0.0.0/0 icmp type 0 state NEW
0 0 ACCEPT icmp -- * ppp0 0.0.0.0/0 0.0.0.0/0 icmp type 0 state NEW
0 0 ACCEPT icmp -- * tun0 10.10.0.6 0.0.0.0/0 icmp type 8 state NEW
0 0 ACCEPT tcp -- * tun0 10.10.0.6 0.0.0.0/0 multiport dports 22 tcp flags:0x17/0x02 state NEW
1293 139K LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 1/sec burst 10 LOG flags 0 level 4 prefix `DROP '
То, что у меня там используется DHCP и прочее — это мои особенности. Главное — даже в таком примитивном варианте видно, что всего я установил с кем-то N-ное количество соединений и скачал ≈100+ Гб. По определённым портам, количество которых ограничено. Ничто не мешает мне, при желании, пустить исходящий трафик для http,dns,mail через отдельные цепочки и наблюдать, сколько у меня прошло трафика между рестартами фаерволла. Согласен? Примитивно, но для
примерной оценки достаточно. А главное, что весь лишний трафик, о котором ты говоришь, не участвует в подсчётах. Он и не нужен. Он из другого уровня.
Идём дальше. У Вани клиентка озабочена большим расходом трафика. Ей хочется контроля. Но зачем? Не затем, чтобы похвалить. Думаю, ей хочется понять, какая машинка столько трафика кушает. Т.о., если Ваня поставит какую-то программу, которая будет следить за активностью по определённым портам, при этом, закроет все прочие, то будет понятно, кто именно балуется и чем балуется.
Да, я согласен с тем, что это неудобно, неточно и тд и тп, но общая картина тем не менее, при минимальных затратах, будет ясна. Если же клиенту захочется полную информацию по тому, кто, чего, куда и зачем, то пусть смотрит мой пост по ссылке выше. При желании на тот же шлюз можно ещё и какой-нибудь netflow-сервис повесить.
Mishka> А я понял, что…
На самом деле, оно неважно. Люди хотят экономить. И это понятно.
Mishka> Ага, т.е. про порты мы уже не думаем. И то хорошо.
С тобой тяжело.
цитато отсюда:
…Можно настроить слежение по адресам и портам назначения: ! localnet и http,mail,imap,pop,https,etc…
Качают ведь, установив исходящие соединения.