Как контролировать сервак с твердым IP-адресом в своей сети?

0

0

Исходные данные.

Сетка компьютеров организации ходит в И-нет через мой сервер. С недавних пор группа "товарищей" пролоббировала у руководителя предприятия в сети один компьютер (обзовем его Comp) с твердым IP-адресом. Меня обязали свой сервак сделать обычным роутером для Comp.
То есть все пакеты "Туда-обратно" сервака Comp идут через мой сервак с твердым IP-адресом, естественно без всяких NAT.

Самое печальное, что мне как доверенному лицу руководителя постоянно задают вопросы типа: "А куда ходят с Comp? А что они качают? И вообще чем они занимаются? ..."

Сначала я попытался было отмазаться - устроил для Comp прозрачную проксю. Таким образом можно было сказать: "Столько-то процентов запросов на инфо-ресурсы, столько-то - на пороно, и т.п."

Но в последний раз "товарищи" (3 чел.) натягали аж 9Гб входящего трафика (при общем траффике, включая еще 100 человек, в 33Гб), а лог Squid для них совсем маленький... Тем не менее, я с 90% вероятностью вычислил причину большого трафика - в логе было много слов edonkey.

У меня на самом деле стоит задача скомпроментировать "товарищей", а не обрезать им Ослов и Коз.

Итак, вопросы (имею полный доступ к Linux-роутеру, а к сервачку Comp - никакого доступа; кстати сервачок Comp работает на Win 2003 Server).
1. Как убедительно доказать, что сервачок Comp злоупотребляет Ослами, Козлами и пр.? Какие логи и как надо включить на роутере?
2. Где бы вообще подробнее почитать про мониторинг "жрущих трафик объектов"?
Как грамотно логи включать, чтобы они не росли с катастрофической скоростью?

Ссылка

←	Sendmail нужна помощь в настройке

icmp responses не идут через nat POSTROUTING

→

http://www.opennet.ru/prog/sml/47.shtml

W ★★★★★
(31.01.06 17:18:24 MSK)

Ссылка

Интересно, а как могла эта группа "товарищей" выбить себе внешний адрес ? Кто админ в конце-концов, вы, ваш начальник или эти "товарищи" ? Кто отвечает за контроль над исходящим трафиком ?
Я бы в такой ситуации, например, просто считал трафик этого Comp-а и все. На все вопросы "куда, когда, откуда" отправлял бы обращаться напрямую к пользователям этого Comp-а, пусть они сами скажут.
Но если же все таки ваше руководство считает, что это ваша обязанность контролировать трафик, тогда я бы рекомендовал просто обрезать им все ненужное, оставить доступ только к тем сервисам, к которым они должны иметь доступ, настроить разных shaper-ов.

Зачем доказывать, что кто-то чем-то злоупотребляет ? Пусть сам этот "кто-то" доказывает, что использовал трафик по служебному назначению, главное предоставить цифры...

spirit ★★★★★
(31.01.06 17:37:36 MSK)

Ответ на: комментарий от spirit 31.01.06 17:37:36 MSK

> Интересно, а как могла эта группа "товарищей" выбить себе внешний адрес ? Кто админ в конце-концов, вы, ваш начальник или эти "товарищи" ? Кто отвечает за контроль над исходящим трафиком?

Есть такое понятие - политическая ситуация. Группа "товарищей" была навязана сверху моему начальнику. А начальнику достаточно просто дать мне команду, чтобы "товарищи" получили твердый IP.

Моя задача - помочь начальнику скомпроментировать "товарищей" перед вышестоящей крышей, прикрывающей их. Вот такая печальная история.
Вообще "товарищам" уже поставлена задача - детально расписать, на что потрачены 9Гб трафика на 3 человек. Но это слабо поможет - они могут парировать эту задачу так: 8.5Гб потрачены на видеоконференции через И-нет (это входит в их должностные обязанности), а остальные 0.5Гб на троих за месяц для нас нормально.

Моя же задача такова. Чтобы я, оперируя логами, мог сказать так: "Позвольте, ребята, 4Гб у вас закачано вот с этих сайтов (порнушные), а вот отсюда вы 3Гб сожрали на свежие фильмы. Ну и два гига содрали пиратские дистрибутивы с пиринговых сетей".

Такой контраст в докладах должен дать начальнику нормальный повод, чтобы дать "товарищам" пинка под зад и аргументировано объясниться с их крышей.

А за ссылочку спасибо.
Только там приведена тьма-тьмущая анализаторов траффика. Мне же нужен просто лог такого свойства:
адрес/доменное имя - скачанная информация
P2P протокол - скачанная информация.
Эти записи должны быть упорядочены в порядке убывания объемов скачанной информации.
Желательно (но не обязательно), чтобы все это было завазяно на iptables без привлечения кучи сторонних утилит.
Вообще на счетчик надо поставить только один твердый IP-адрес.