Срочно нужна программа для контроля трафика

Перенос из темы «Полезные ссылки»
 
1 2 3
US Сергей-4030 #10.10.2010 18:58  @xo#10.10.2010 18:49
+
-
edit
 

Сергей-4030

исключающий третье
★★
админ. бан
Mishka>> А как ты будешь внутренний трафик считать, который не TCP?
xo> Да стопудов с роутера идет раздача на все машины. ДА ,как молча. В фильтре впишу заголовки, плюс тестану порты внутренние, благо софт для этого есть.

Милейший Хо, когда Мишка спрашивает что-то про сети, это как правило не потому, что он не знает. ;)
 6.0.472.636.0.472.63
+
-
edit
 

HolyBoy

аксакал

Mishka> Как сказал выше Спокойный Тип, надо ставить в точке выхода в инет.

Кто бы спорил? Но если нельзя, а надо таки данные о трафике получать?

Mishka> В твоём варианте очень не понятно, как отделять внутренний трафик от внешнего.

Я писал уже: методом исключения локального трафика из общего по IP. Остаток и будет искомой величиной. Можно ещё, по вкусу, контроль за портами добавить. Да, это неудобно, но если заказчик не хочет нормального сервиса — это его право. Трафик же не по IP протоколу изначально будет отфильтрован же, когда начнут фильтровать по IP-адресам.

Mishka> Как видно, тут говорят о превышении в 300 мег. Это уже чувствительно — привет au про плюс-минус гиг.

Я так понял, что у них перерасход в 1.5 ГБ, т.е. свою норму выбирают + ещё эти 1.5-1.8 Гб. И я в таком случае очень понимаю тётку. И понимаю причины, по которым она вдруг озаботилась таким вот контролем.

Mishka> Надо настраивать, а Хо настраивать не хочет.

Это вопрос бабла. :) Мне тоже было бы лень, но я бы за каждый настроенный хост в таком случае взял бы как за один настроенный шлюз. И все были бы довольны: я с деньгами, а заказчик с геморроем, о котором я бы перед этим ему уши прожужжал бы. ;)

Mishka> Ну и Самба может не ходить по IP, тогда её вообще не посчитаешь. Правда, это внутренний трафик.

Именно. Бродкасты режут же!

Mishka> Особенно, если вспомнить, что ослики были, работающие по UDP.

IP источника/получателя такого трафика локальный? :)


Но я подозреваю, что проблема гораздо проще: народ по вконтактикам/ютубам ходит, качает всякое музло и тд. Т.о., контроль за http всё вскроет. Кстати, вспоминая недавний разговор с Тевгом о том, как злые админы режут всю самодеятельность, можно оного Тевга сюда позвать и показать ему, к чему приводит отсутствие жёсткого контроля за тем, что делают люди на компьютерах. Правда, думаю, что его это не впечатлит, скорее, порадуется, что злобный капиталист денежки быстро теряет. :)
 
Это сообщение редактировалось 10.10.2010 в 19:24
RU Спокойный_Тип #10.10.2010 19:50  @HolyBoy#10.10.2010 19:15
+
-
edit
 
Mishka>> Как сказал выше Спокойный Тип, надо ставить в точке выхода в инет.
HolyBoy> Кто бы спорил? Но если нельзя, а надо таки данные о трафике получать?

нуу...из моей практики приходящего админа ))) давно тут сидим
если полный голяк по оборудованию (мирроринг не делается, схема сети хрензнамо какая, старого "админа" выгнали, всё пропало и срочно надо ченить показать потенциальному нанимателя что бы сотку грина нала авансом получить) и сетка маленькая (типа 8 портовый свитч стоит)
меняем свитч на хаб - или для всей сети или внешний линк (модем в нашем случае) проключаем через хаб
ясно, что скорость сети падает - но кто говорил что будет лехко
после чего ставим один комп в промиск режим к этому хабу и на нём запускаем тиметр - видим весь трафик
локальный трафик отфильтровываем(есть там такой режим в тиметре), а прокси в таком месте обычно нет, всё натом через модем идёт
вот как-то так это делалось лет 10-12 назад

ps фишка в том что точка сбора и отображения статистики будет одна
 3.6.103.6.10
US Сергей-4030 #10.10.2010 21:16  @спокойный тип#10.10.2010 19:50
+
-
edit
 

Сергей-4030

исключающий третье
★★
админ. бан
Спокойный_Тип> меняем свитч на хаб - или для всей сети или внешний линк (модем в нашем случае) проключаем через хаб
Спокойный_Тип> ясно, что скорость сети падает - но кто говорил что будет лехко

Ну, если всю внутреннюю сеть на хаб пересадить, скорость, конечно, понизится, а если только внешний линк, то вряд ли кто и заметит. Объемы внешнего трафика в данном случае совсем скромные, десятимегабитный хаб вполне потянет.
 6.0.472.636.0.472.63
RU HolyBoy #10.10.2010 21:33  @Сергей-4030#10.10.2010 21:16
+
-
edit
 

HolyBoy

аксакал

Сергей-4030> Ну, если всю внутреннюю сеть на хаб пересадить…

А может проще по нынешним временам найти дешёвый свитч с NetFlow и всю сеть на него посадить?
 
LT Bredonosec #10.10.2010 21:36  @спокойный тип#10.10.2010 19:50
+
-
edit
 
Спокойный_Тип> локальный трафик отфильтровываем(есть там такой режим в тиметре), а прокси в таком месте обычно нет, всё натом через модем идёт
такое у меня ощущение, что всё же наиболее выгодное было б всё же на шлюзе мерять. На том самом, кто раздает. Свитч ли, или кто еще. Только отфильтровывать исключительно пакеты с адресом "от" вне сети (типа, всё кроме 10.1.х.х или какая там внутренняя адресация) и "в" -внутри сети, и аналогично с исходящим. Тогда не надо каждому на комп чего-то ставить, не надо настраивать все отдельные станции, а только одну точку, и в результате статистика на всех и каждого есть.
Voeneuch, учи физику, манажор ))  3.0.83.0.8
RU Спокойный_Тип #10.10.2010 21:41  @Bredonosec#10.10.2010 21:36
+
-
edit
 
Bredonosec> такое у меня ощущение, что всё же наиболее выгодное было б всё же на шлюзе мерять.

ну дык, клиент не хочет
а желание клиента - закон
 3.6.103.6.10

Mishka

модератор
★★★

xo> Да стопудов с роутера идет раздача на все машины. ДА ,как молча. В фильтре впишу заголовки, плюс тестану порты внутренние, благо софт для этого есть.

Какие заголовки? :) Считай весь IP трафик, а не только TCP. Может там червяк, который по
UDP ходит (известный в бывшем очень).
 3.6.103.6.10
+
-
edit
 

Mishka

модератор
★★★

HolyBoy> Кто бы спорил? Но если нельзя, а надо таки данные о трафике получать?

Что значит нельзя? Запрещено законом? Не знаешь, как и что делать?

HolyBoy> Я писал уже: методом исключения локального трафика из общего по IP. Остаток и будет искомой величиной. Можно ещё, по вкусу, контроль за портами добавить. Да, это неудобно, но если заказчик не хочет нормального сервиса — это его право. Трафик же не по IP протоколу изначально будет отфильтрован же, когда начнут фильтровать по IP-адресам.

Обрисуй мне, как ты внутренний ARP/RARP отличишь? Да и тот же DHСP? Ну и знаменытый NETBEUI может ходить вовсе не поверх TCP/IP.

HolyBoy> Я так понял, что у них перерасход в 1.5 ГБ, т.е. свою норму выбирают + ещё эти 1.5-1.8 Гб. И я в таком случае очень понимаю тётку. И понимаю причины, по которым она вдруг озаботилась таким вот контролем.

А я понял, что 1.8 при плане в 1.5. И 300 метров для небольшой конторки каждый месяц переплаты таки будет много, если каждый килобайт сферх считается по центу.

HolyBoy> Это вопрос бабла. :) Мне тоже было бы лень, но я бы за каждый настроенный хост в таком случае взял бы как за один настроенный шлюз. И все были бы довольны: я с деньгами, а заказчик с геморроем, о котором я бы перед этим ему уши прожужжал бы. ;)

Ну, это дела Хо. Пусть сам договаривается. Может он ногу хочет всунуть в дверь, а потом поставить на обслугу — раз в месяц, при настроенной удалёнке (ездить не обязательно каждый месяц), получать свои деньги за поддержку. Тоже вариант.

HolyBoy> Именно. Бродкасты режут же!

Дык, это внутренний трафик, который надо отсекать для счёта. А, если они установили винду NetBEUI не поверх IP, то и считать сложно.

HolyBoy> IP источника/получателя такого трафика локальный? :)

Ага, т.е. про порты мы уже не думаем. И то хорошо. :F
 3.6.103.6.10
+
-
edit
 

Mishka

модератор
★★★

HolyBoy> А может проще по нынешним временам найти дешёвый свитч с NetFlow и всю сеть на него посадить?
Да хоть jFlow, sFlow или ipfix.

PS Нашу группу разогнали, а продукт сняли с линейки, когда мы должны были уже почти в бете. Жаль, все эти протоколы поддерживали и могли до 80,000 потоков в секунду отслеживать с возможностью собственной аггрегации (шире, чем у Киски и Юпитера). Мы с Джупингом планировали разработать опенсорц коллектор с некоторым анализатором на С++, только без jFlow — его спецификации мы получили от Юпитера под NDA. Пока по замыслам кода не много получается для коллектора. Посмотрим, если получиться поддержка многих платформ или забъём и будем делать только под линем.
 3.6.103.6.10
US Mishka #10.10.2010 23:01  @спокойный тип#10.10.2010 21:41
+
-
edit
 

Mishka

модератор
★★★

Спокойный_Тип> ну дык, клиент не хочет
Спокойный_Тип> а желание клиента - закон

Не всегда. Иногда надо клиента образовывать. У нас были продажи большим провайдерам только потому, что я потратил три дня и рассказал команде, которая занималась NetFlow особенности протокола, модели работы с этим делом, ресурсы отнимаемы и прочее. Не так, чтобы официально — лекции, оплата и прочее, а между делом, когда сидишь на телефоне с тремя и чего-то говоришь, а они не понимают, а спрашивать стесняются. Тут и начинаешь устраивать удалённые сессии, рисовать картинки, приводить стандарты, объяснять, что это значит и всё прочее.
 3.6.103.6.10
RU Спокойный_Тип #10.10.2010 23:17  @Mishka#10.10.2010 23:01
+
-
edit
 
Mishka> Не всегда. Иногда надо клиента образовывать. У нас были продажи большим провайдерам только потому, что я потратил три дня и рассказал команде, которая занималась NetFlow особенности протокола, модели работы с этим делом, ресурсы отнимаемы и прочее. Не так, чтобы официально — лекции, оплата и прочее, а между делом, когда сидишь на телефоне с тремя и чего-то говоришь, а они не понимают, а спрашивать стесняются. Тут и начинаешь устраивать удалённые сессии, рисовать картинки, приводить стандарты, объяснять, что это значит и всё прочее.

согласен )) это я так, утрирую
"продать" проект по редизайну сети или серверной инфраструктуры руководству из селзов - удовольствие того же плана
 3.6.103.6.10
LT Bredonosec #11.10.2010 00:14  @спокойный тип#10.10.2010 21:41
+
-
edit
 
Спокойный_Тип> ну дык, клиент не хочет
Спокойный_Тип> а желание клиента - закон
ну, я понял, что клиент не хочет решение "клиент-сервер", а тут же не предлагается такое.. Вроде как всё на одной точке меряется. Или речь про то, что отображаться негде на точке измерения?
Voeneuch, учи физику, манажор ))  3.0.83.0.8
+
-
edit
 

HolyBoy

аксакал

Mishka> Что значит нельзя? Запрещено законом? Не знаешь, как и что делать?

«Нельзя» — это клиент не хочет. Как «льзя», я уже писал, например тут (текста не видно, но это я жду, когда Рома починит списки).

Mishka> Обрисуй мне, как ты внутренний ARP/RARP отличишь? Да и тот же DHСP? Ну и знаменытый NETBEUI может ходить вовсе не поверх TCP/IP.

ОМГ!
Мы, кажется, не понимаем друг друга.
Вот смотри, для примера, мой личный шлюз:
code bash
  1. # iptables -L OUTPUT  -nv
  2. Chain OUTPUT (policy DROP 1360 packets, 143K bytes)
  3.  pkts bytes target     prot opt in     out     source               destination        
  4.   72M  105G ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
  5.     0     0 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0          
  6.     0     0 ACCEPT     udp  --  *      eth0    0.0.0.0/0            0.0.0.0/0           multiport dports 67:68
  7.     0     0 ACCEPT     47   --  *      eth0    0.0.0.0/0            0.0.0.0/0          
  8.     0     0 ACCEPT     udp  --  *      eth2    0.0.0.0/0            0.0.0.0/0           multiport dports 67:68
  9.     0     0 ACCEPT     47   --  *      eth2    0.0.0.0/0            0.0.0.0/0          
  10.     0     0 ACCEPT     tcp  --  *      eth0    0.0.5.220            0.0.0.0/0           multiport dports 80,443,20,21,873,11371,9418,3690,2401 tcp flags:0x17/0x02 state NEW
  11.     0     0 ACCEPT     udp  --  *      eth0    0.0.5.220            0.0.0.0/0           multiport dports 53,11190,123 state NEW
  12.     0     0 ACCEPT     tcp  --  *      eth2    eth.ip.add.res         0.0.0.0/0           multiport dports 80,443,20,21,873,11371,9418,3690,2401 tcp flags:0x17/0x02 state NEW
  13.  1660  106K ACCEPT     udp  --  *      eth2    eth.ip.add.res         0.0.0.0/0           multiport dports 53,11190,123,1701 state NEW
  14.   134  8040 ACCEPT     tcp  --  *      ppp0    ppp.ip.add.res         0.0.0.0/0           multiport dports 80,443,20,21,873,11371,9418,3690,2401 tcp flags:0x17/0x02 state NEW
  15.   321 24382 ACCEPT     udp  --  *      ppp0    ppp.ip.add.res         0.0.0.0/0           multiport dports 11190,123,1701 state NEW
  16.     0     0 ACCEPT     tcp  --  *      eth1    192.168.10.1         0.0.0.0/0           multiport dports 3632,5900,22 tcp flags:0x17/0x02 state NEW
  17.     0     0 ACCEPT     tcp  --  *      eth2    ppp.ip.add.res         0.0.0.0/0           multiport sports 6881:6889,6969 tcp flags:0x17/0x02 state NEW
  18.     0     0 ACCEPT     udp  --  *      eth2    ppp.ip.add.res         0.0.0.0/0           multiport sports 6881:6889,6969 state NEW
  19.     0     0 ACCEPT     icmp --  *      eth0    0.0.5.220            0.0.0.0/0           icmp type 8 state NEW
  20.     0     0 ACCEPT     icmp --  *      eth2    eth.ip.add.res         0.0.0.0/0           icmp type 8 state NEW
  21.     1    84 ACCEPT     icmp --  *      ppp0    ppp.ip.add.res         0.0.0.0/0           icmp type 8 state NEW
  22.     0     0 ACCEPT     icmp --  *      eth1    192.168.10.0/29      0.0.0.0/0           icmp type 8 state NEW
  23.     0     0 ACCEPT     icmp --  *      eth1    0.0.0.0/0            192.168.10.0/29     icmp type 0 state NEW
  24.     0     0 ACCEPT     icmp --  *      eth0    0.0.0.0/0            0.0.0.0/0           icmp type 0 state NEW
  25.     0     0 ACCEPT     icmp --  *      eth2    0.0.0.0/0            0.0.0.0/0           icmp type 0 state NEW
  26.     0     0 ACCEPT     icmp --  *      ppp0    0.0.0.0/0            0.0.0.0/0           icmp type 0 state NEW
  27.     0     0 ACCEPT     icmp --  *      tun0    10.10.0.6            0.0.0.0/0           icmp type 8 state NEW
  28.     0     0 ACCEPT     tcp  --  *      tun0    10.10.0.6            0.0.0.0/0           multiport dports 22 tcp flags:0x17/0x02 state NEW
  29.  1293  139K LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 1/sec burst 10 LOG flags 0 level 4 prefix `DROP '


То, что у меня там используется DHCP и прочее — это мои особенности. Главное — даже в таком примитивном варианте видно, что всего я установил с кем-то N-ное количество соединений и скачал ≈100+ Гб. По определённым портам, количество которых ограничено. Ничто не мешает мне, при желании, пустить исходящий трафик для http,dns,mail через отдельные цепочки и наблюдать, сколько у меня прошло трафика между рестартами фаерволла. Согласен? Примитивно, но для примерной оценки достаточно. А главное, что весь лишний трафик, о котором ты говоришь, не участвует в подсчётах. Он и не нужен. Он из другого уровня.

Идём дальше. У Вани клиентка озабочена большим расходом трафика. Ей хочется контроля. Но зачем? Не затем, чтобы похвалить. Думаю, ей хочется понять, какая машинка столько трафика кушает. Т.о., если Ваня поставит какую-то программу, которая будет следить за активностью по определённым портам, при этом, закроет все прочие, то будет понятно, кто именно балуется и чем балуется.

Да, я согласен с тем, что это неудобно, неточно и тд и тп, но общая картина тем не менее, при минимальных затратах, будет ясна. Если же клиенту захочется полную информацию по тому, кто, чего, куда и зачем, то пусть смотрит мой пост по ссылке выше. При желании на тот же шлюз можно ещё и какой-нибудь netflow-сервис повесить.

Mishka> А я понял, что…

На самом деле, оно неважно. Люди хотят экономить. И это понятно.

Mishka> Ага, т.е. про порты мы уже не думаем. И то хорошо. :F

С тобой тяжело. :)цитато отсюда:
…Можно настроить слежение по адресам и портам назначения: ! localnet и http,mail,imap,pop,https,etc…
 


Качают ведь, установив исходящие соединения.
 
Это сообщение редактировалось 11.10.2010 в 00:29
RU xo #11.10.2010 00:23  @Сергей-4030#10.10.2010 18:58
+
-
edit
 

xo

аксакал

Сергей-4030> Милейший Хо, когда Мишка спрашивает что-то про сети, это как правило не потому, что он не знает. ;)

нУ и?Спасибо ему и все такое.Просто не понимаю - к чему это всё?
Ретроспективно - я о многих своих умениях на форуме не озвучиваю.
 

xo

аксакал

Mishka> Какие заголовки? :) Считай весь IP трафик, а не только TCP. Может там червяк, который по
Mishka> UDP ходит (известный в бывшем очень).

Мишк, именно поэтому я и собираюсь все машины жестко перетрясти на наличие гадости :) ну не считайте мну тупее паровоза :) а то уже Серёжа засуетилсо :)
 
+
-
edit
 

Mishka

модератор
★★★

HolyBoy> ОМГ!
HolyBoy> Мы, кажется, не понимаем друг друга.
HolyBoy> Вот смотри, для примера, мой личный шлюз:
А теперь внимательно прочитай первое сообщение Хо. И прочитай позже про файервол. А ты ему хочешь линуксовые iptables подсунуть. :P Про линь и фряху я сразу спросил. А он хочет фильтрами.
 3.6.103.6.10
+
-
edit
 

HolyBoy

аксакал

Mishka> Про линь и фряху я сразу спросил. А он хочет фильтрами.

Нет, Миш, из твоих утверждений вытекало, что якобы отсутствует возможность проконтролировать тарифицируемый трафик. Я тебе показал что, что такая возможность всё ж имеется. Ведь провайдер тарифицирует не любой, а вполне определённый трафик. ;)

Значит, если использовать под виндовсом монитор, который умеет фильтровать трафик по направлениям, портам, хостам, то можно будет считать, сколько ж ушло этого трафика. Далее, зная, сколько трафика мы должны оплатить и зная, сколько и откуда на каждом компьютере было принято байт, можно определить текущего победителя в конкурсе «Кто оплачивает перерасход».
 
+
-
edit
 

Mishka

модератор
★★★

HolyBoy> Нет, Миш, из твоих утверждений вытекало, что якобы отсутствует возможность проконтролировать тарифицируемый трафик. Я тебе показал что, что такая возможность всё ж имеется. Ведь провайдер тарифицирует не любой, а вполне определённый трафик. ;)

Не, ты ничего не показал, кроме того, что в лине можно. А из моих слов следует, что без допвозможносте такая тарификация невозможна. IPTABLES — это и PNAT, и файервол, и частично немного раутинга в одном. Именно то, против чего Хо возражал. А без полноценного анализа трафика (смотри мой слова про stateful analysis) ты ни порты не найдёшь, ни более высоких протоколов.

HolyBoy> Значит, если использовать под виндовсом монитор, который умеет фильтровать трафик по направлениям, портам, хостам, то можно будет считать, сколько ж ушло этого трафика. Далее, зная, сколько трафика мы должны оплатить и зная, сколько и откуда на каждом компьютере было принято байт, можно определить текущего победителя в конкурсе «Кто оплачивает перерасход».

Это и будет тот, который с файерволом.
 3.6.103.6.10

BrAB

аксакал
★★
cкоро пойдет третья страница изобретения паровоза :)

всё же дикий у нас пока рынок - в европе такие мелкие конторы сидят на стандартных решениях и мало о чем парятся...
Было у еврея всё плохо. Пришел за советом к равину. Тот - напиши над дверью - "Так будет не всегда". Стало всё ок. Пошел он благодарить. А тот ему - надпись не стирай. Злой чечен ползет на берег. ©Лермонтов  3.6.103.6.10

ttt

аксакал

xo> Миша, там и сервака-то нету толкового.Я даж не могу добиться никаких доков глянуть на топологию сети. Примерно что знаю - где-то АДСЛ роутер стоит, через него все машины ходят в нет. Вот и все. Внутренний трафик я конечно в фильтрах пропишу. т.к. 1с у них есть.

У меня было такое - единственное спасение безлимитка

Или пускать через выделенный комп, а там что то типа Керио или Tmeter

Но придется с адресами IP помучаться

Пока попробуй networx - свободная
http://tl2002.livejournal.com/  8.08.0
+
-
edit
 

HolyBoy

аксакал

Mishka> Именно то, против чего Хо возражал. А без полноценного анализа трафика (смотри мой слова про stateful analysis) ты ни порты не найдёшь, ни более высоких протоколов.

Хотелки Вани значения не имеют, если только он не хочет забить на желания клиента.

Mishka> Это и будет тот, который с файерволом.

Ну да. Я ж не просто так писал про оплату за каждый настроенный комп как за шлюз. :)
 
RU Спокойный_Тип #13.10.2010 14:36  @HolyBoy#13.10.2010 14:32
+
-
edit
 
Mishka>> Это и будет тот, который с файерволом.
HolyBoy> Ну да. Я ж не просто так писал про оплату за каждый настроенный комп как за шлюз. :)

надо не забывать что скорее всего там на каждом компе работают по админом, что ты настроил - так же весело могут и отстроить \ выключить )))
концепция настройки софта на каждом компе хромает на все 4 ноги :-D
 3.6.103.6.10
RU HolyBoy #13.10.2010 21:13  @спокойный тип#13.10.2010 14:36
+
-
edit
 

HolyBoy

аксакал

Спокойный_Тип> надо не забывать что скорее всего там на каждом компе работают по админом, что ты настроил - так же весело могут и отстроить \ выключить )))

Это частности, потому что так можно до чего угодно договориться. Например, до перетыкания провода из шлюза в рабочую станцию, напрямую от провайдера. :)

Спокойный_Тип> концепция настройки софта на каждом компе хромает на все 4 ноги :-D

А я с этим и не спорил. Спор у нас, вроде как, был из-за принципиальной возможности сделать необходимое по ТЗ. Выяснилось, правда, что и спора-то не было: разговор почти об одном и том же шёл.
 

xo

аксакал

ttt> У меня было такое - единственное спасение безлимитка
ttt> Или пускать через выделенный комп, а там что то типа Керио или Tmeter
ttt> Но придется с адресами IP помучаться
ttt> Пока попробуй networx - свободная

За прогу спасибо! ЗАвтра как раз еду к ним - попробую.

2 HolyBoy

Ишь ты хватанул - отдельная машина понимаешь, для выхода в инет .Гы, да они до сих пор на 3-х Пнях работают, с ядром Туаллатин (великий кстати камень был в свое время), я себе один подрезал. Ща денег болты у конторы, вот они и пытаюца малой кровью че-то сделать.
В общем - Скупой платит дважды (с)
 
1 2 3

в начало страницы | новое
 
Поиск
Настройки
Твиттер сайта
Статистика
Рейтинг@Mail.ru