По поводу траффика...

связано скорее всего с тем, что инет дешевеет и все больше локалок к нету подключают, вот глядя в сторону бесплатного ПО и пытаюцца новоявленные админы посчитать трафик :) к примеру вопросы про авт. отрубание сквидом пользователей превысивших лимит просто хит последних полгода во всех *никс форумах, никто не замечал ? Почему линух ? Да потому-что это теперь "модно", как ни крути как не верти, просто "модно" и "круто". Я вовсе не противник линуха, но мне не нравится именно вот этот "побочный" эффект...

Круто! Подключение локалок к инету с помощью линукса - "побочный эффект" популярности линукса. Вам, что не нравиться? Что вы такие крутые перцы стоящие у истоков зарождения линукса, теперь читаете постинги в форумах и у вас наворачивается слеза от тупых вопросов? Ну есть такие вопросы и что? Мне теперь куда ломиться от того, что гуру плачут, но молчат как партизаны, а помощи ждать не откуда, ну нет у меня гуру рядом под боком. Наверное пора ставить форточки на шлюз и смотреть, как их "имеют" во все отверстия. Я очень редко пишу в форумы, т.к. перед этим очень долго пытаюсь решить сам проблему. И очень обидно когда видишь, что проблема не от твоего криворукия.

Теперь главное: Уважыемые гуру подскажите мне такую вещь, у меня НЕПРАВИЛЬНО СЧИТАЕТСЯ ТРАФИК. Т.е. у меня стоит ipac и плюс к этому netacct, при этом и /proc/net/dev на внешнем интерфейсе eth0, счетчик показывает в 2 раза больший трафик, чем по статистке ipac'а и netacct'а. Как это объяснить? Что я делаю неправильно? Да, я использую ipchains вместо iptables, но netacct считает же ВЕСЬ трафик. Помогите если это не слишком "тупой" для Вас вопрос.

Хорошо, пусть не "модный" и бесплатный linux, а что посоветуете поставить на шлюз, чтоб и трафик считал и логи по пользователям писал и с ыозможностью управления и тд и тп, а главное за преемлимые деньги? Я готов заплатить но не 1000$-3000$. С уважением P_Igorek

http://www.bandmin.org/ здесь есть все что нужно

Это тот анонимус который нихрена посчитать неможет. Насколько я знаю все считалки основаны на сборе информации с ipchains/iptables или как netacct, переводят интерфейс в promiscuous режим. Так какая разница ЧЕМ я считаю, если у меня полная засада в /proc/net/dev ? Которая ну как бы отдельно от всего остального.

fan.

Ну да, именно так и считаю. Но вот расхождения..... И главное нет 100% уверености в этих цыфрах :((

Ну, у меня уверенность была, как же - ведь у меня все логи при себе, все АйПи с портами и со счетчиками. Только вот когда я смотрю на логи прова медленно шизею.

fan.

ты бы слюни не распускал по поводу молчания самовлюбленных гуру, а взял да и показал правила которыми считаешь. Или снова про телепатов рассказывать ? Требуешь ответа - излагай проблему конкретно

и насчет promiscuous режима - ты вкурсе, что в таком режиме твой интерфейс подхватывает все, что летит по твоей локальной сети, а не только что на провайдера уходит ?

Смотрите мне не жалко, это ipchains:
EXTERNAL_INTERFACE="eth0" # Internet connected interface
LOOPBACK_INTERFACE="lo" # or your local naming convention
IPADDR="x.x.x.x"
ANYWHERE="any/0" # match any IP address
LOOPBACK="127.0.0.0/8" # reserved loopback address range
CLASS_A="10.0.0.0/8" # class A private networks
CLASS_B="172.16.0.0/12" # class B private networks
CLASS_C="192.168.0.0/16" # class C private networks
BROADCAST_SRC="0.0.0.0" # broadcast source address
BROADCAST_DEST="255.255.255.255" # broadcast destination address
PRIVPORTS="0:1023" # well known, privileged port range
UNPRIVPORTS="1024:65535" # unprivileged port range

ipchains -F

ipchains -P input DENY
ipchains -P output DENY
ipchains -P forward DENY

ipchains -A input -i $LOOPBACK_INTERFACE -j ACCEPT
ipchains -A output -i $LOOPBACK_INTERFACE -j ACCEPT

ipchains -A forward -i $EXTERNAL_INTERFACE -s $LOCALNET_1 -j MASQ
ipchains -A forward -i $EXTERNAL_INTERFACE -s $LOCALNET_2 -j MASQ
ipchains -A forward -i $EXTERNAL_INTERFACE -s $LOCALNET_3 -j MASQ

# NFS: establishing a TCP connection
ipchains -A input -i $EXTERNAL_INTERFACE -p tcp -y \
--destination-port $NFS_PORT -j DENY -l
ipchains -A output -i $EXTERNAL_INTERFACE -p tcp -y \
--destination-port $NFS_PORT -j REJECT -l

# Xwindows: establishing a connection
ipchains -A input -i $EXTERNAL_INTERFACE -p tcp -y \
--destination-port $XWINDOW_PORTS -j DENY -l
ipchains -A output -i $EXTERNAL_INTERFACE -p tcp -y \
--destination-port $XWINDOW_PORTS -j REJECT -l

# SOCKS: establishing a connection
ipchains -A input -i $EXTERNAL_INTERFACE -p tcp -y \
--destination-port $SOCKS_PORT -j DENY -l
ipchains -A output -i $EXTERNAL_INTERFACE -p tcp -y \
--destination-port $SOCKS_PORT -j REJECT -l

# ----------------------------------------------------------------------------
# UDP UNPRIVILEGED PORTS
# Avoid ports subject to protocol & system administration problems.

ipchains -A input -i $EXTERNAL_INTERFACE -p udp \
--destination-port $NFS_PORT -j DENY -l

# UDP INCOMING TRACEROUTE
# traceroute usually uses -S 32769:65535 -D 33434:33523

ipchains -A input -i $EXTERNAL_INTERFACE -p udp \
--source-port $TRACEROUTE_SRC_PORTS \
--destination-port $TRACEROUTE_DEST_PORTS -j DENY -l

# ----------------------------------------------------------------------------
# DNS: полный сервер
# сервер/клиент к серверу запросы или ответы
ipchains -A input -i $EXTERNAL_INTERFACE -p udp \
-s $ANYWHERE $UNPRIVPORTS \
-d $IPADDR 53 -j ACCEPT -l
ipchains -A output -i $EXTERNAL_INTERFACE -p udp \
-s $IPADDR 53 \
-d $ANYWHERE $UNPRIVPORTS -j ACCEPT -l
# DNS клиент & пересылка зон (53)
# ---------------
ipchains -A input -i $EXTERNAL_INTERFACE -p udp \
-s 0/0 53 \
-d $IPADDR $UNPRIVPORTS -j ACCEPT -l
ipchains -A output -i $EXTERNAL_INTERFACE -p udp \
-s $IPADDR $UNPRIVPORTS \
-d 0/0 53 -j ACCEPT -l
ipchains -A input -i $EXTERNAL_INTERFACE -p tcp ! -y \
-s 0/0 53 \
-d $IPADDR $UNPRIVPORTS -j ACCEPT -l
ipchains -A output -i $EXTERNAL_INTERFACE -p tcp \
-s $IPADDR $UNPRIVPORTS \
-d 0/0 53 -j ACCEPT -l
# ------------------------------------------------------------------
# POP клиент (110)
# ----------------
ipchains -A input -i $EXTERNAL_INTERFACE -p tcp ! -y \
-s 0/0 110 \
-d $IPADDR $UNPRIVPORTS -j ACCEPT -l
ipchains -A output -i $EXTERNAL_INTERFACE -p tcp \
-s $IPADDR $UNPRIVPORTS \
-d 0/0 110 -j ACCEPT -l
# ------------------------------------------------------------------
# SMTP клиент (25)
# ----------------
ipchains -A input -i $EXTERNAL_INTERFACE -p tcp \
-s $ANYWHERE 25 \
-d $IPADDR $UNPRIVPORTS -j ACCEPT -l
ipchains -A output -i $EXTERNAL_INTERFACE -p tcp \
-s $IPADDR $UNPRIVPORTS \
-d $ANYWHERE 25 -j ACCEPT -l
# ------------------------------------------------------------------
# SMTP СЕРВЕР (25)
# ----------------
ipchains -A input -i $EXTERNAL_INTERFACE -p tcp \
-s $ANYWHERE \
-d $IPADDR 25 -j ACCEPT -l
ipchains -A output -i $EXTERNAL_INTERFACE -p tcp \
-s $IPADDR 25 \
-d $ANYWHERE -j ACCEPT -l

# HTTP client (80)
# ----------------

ipchains -A input -i $EXTERNAL_INTERFACE -p tcp ! -y \
-s $ANYWHERE 80 -d $IPADDR $UNPRIVPORTS -j ACCEPT -l
ipchains -A output -i $EXTERNAL_INTERFACE -p tcp \
-s $IPADDR $UNPRIVPORTS -d $ANYWHERE 80 -j ACCEPT -l

# ------------------------------------------------------------------
# HTTPS client (443)
# ------------------
ipchains -A input -i $EXTERNAL_INTERFACE -p tcp ! -y \
-s $ANYWHERE 443 -d $IPADDR $UNPRIVPORTS -j ACCEPT -l

ipchains -A output -i $EXTERNAL_INTERFACE -p tcp \
-s $IPADDR $UNPRIVPORTS \
--destination-port 443 -j ACCEPT -l
# ------------------------------------------------------------------
# NNTP NEWS клиент (119)
# ----------------------
ipchains -A input -i $EXTERNAL_INTERFACE -p tcp ! -y \
-s 0/0 119 \
-d $IPADDR $UNPRIVPORTS -j ACCEPT -l
ipchains -A output -i $EXTERNAL_INTERFACE -p tcp \
-s $IPADDR $UNPRIVPORTS \
-d 0/0 119 -j ACCEPT -l
# ------------------------------------------------------------------
# Rdate (37)
# ----------------------
ipchains -A input -i $EXTERNAL_INTERFACE -p tcp ! -y \
-s 0/0 37 \
-d $IPADDR $UNPRIVPORTS -j ACCEPT -l
ipchains -A output -i $EXTERNAL_INTERFACE -p tcp \
-s $IPADDR $UNPRIVPORTS \
-d 0/0 37 -j ACCEPT -l
# ------------------------------------------------------------------
# ICQ клиент (5190)
# ----------------------
ipchains -A input -i $EXTERNAL_INTERFACE -p tcp ! -y \
-s 0/0 5190 \
-d $IPADDR $UNPRIVPORTS -j ACCEPT -l
ipchains -A output -i $EXTERNAL_INTERFACE -p tcp \
-s $IPADDR $UNPRIVPORTS \
-d 0/0 5190 -j ACCEPT -l
# ------------------------------------------------------------------

# ------------------------------------------------------------------
# FTP client (21)
# ---------------
ipchains -A output -i $EXTERNAL_INTERFACE -p tcp \
-s $IPADDR $UNPRIVPORTS \
--destination-port 21 -j ACCEPT -l

ipchains -A input -i $EXTERNAL_INTERFACE -p tcp \
--source-port 21 \
-d $IPADDR $UNPRIVPORTS -j ACCEPT -l

ipchains -A input -i $EXTERNAL_INTERFACE -p tcp \
--source-port 20 \
-d $IPADDR $UNPRIVPORTS -j ACCEPT -l

ipchains -A output -i $EXTERNAL_INTERFACE -p tcp ! -y \
-s $IPADDR $UNPRIVPORTS \
--destination-port 20 -j ACCEPT -l


ipchains -A output -i $EXTERNAL_INTERFACE -p tcp \
-s $IPADDR $UNPRIVPORTS \
--destination-port $UNPRIVPORTS -j ACCEPT -l

# ----------------------------------------------------------------------------
# ICMP

# To prevent denial of service attacks based on ICMP bombs, filter
# incoming Redirect (5) and outgoing Destination Unreachable (3).
# Note, however, disabling Destination Unreachable (3) is not
# advisable, as it is used to negotiate packet fragment size.

# For bi-directional ping.
# Message Types: Echo_Reply (0), Echo_Request (8)
# To prevent attacks, limit the src addresses to your ISP range.
#
# For outgoing traceroute.
# Message Types: INCOMING Dest_Unreachable (3), Time_Exceeded (11)
# default UDP base: 33434 to base+nhops-1
#
# For incoming traceroute.
# Message Types: OUTGOING Dest_Unreachable (3), Time_Exceeded (11)
# To block this, deny OUTGOING 3 and 11

# 0: echo-reply (pong)
# 3: destination-unreachable, port-unreachable, fragmentation-needed, etc.
# 4: source-quench
# 5: redirect
# 8: echo-request (ping)
# 11: time-exceeded
# 12: parameter-problem

ipchains -A input -i $EXTERNAL_INTERFACE -p icmp \
--icmp-type echo-reply \
-d $IPADDR -j ACCEPT -l

ipchains -A input -i $EXTERNAL_INTERFACE -p icmp \
--icmp-type destination-unreachable \
-d $IPADDR -j ACCEPT -l

ipchains -A input -i $EXTERNAL_INTERFACE -p icmp \
--icmp-type source-quench \
-d $IPADDR -j ACCEPT -l

ipchains -A input -i $EXTERNAL_INTERFACE -p icmp \
--icmp-type time-exceeded \
-d $IPADDR -j ACCEPT -l

ipchains -A input -i $EXTERNAL_INTERFACE -p icmp \
--icmp-type parameter-problem \
-d $IPADDR -j ACCEPT -l


ipchains -A output -i $EXTERNAL_INTERFACE -p icmp \
-s $IPADDR fragmentation-needed -j ACCEPT -l

ipchains -A output -i $EXTERNAL_INTERFACE -p icmp \
-s $IPADDR source-quench -j ACCEPT -l

ipchains -A output -i $EXTERNAL_INTERFACE -p icmp \
-s $IPADDR echo-request -j ACCEPT -l

ipchains -A output -i $EXTERNAL_INTERFACE -p icmp \
-s $IPADDR parameter-problem -j ACCEPT -l

# ----------------------------------------------------------------------------
# Enable logging for selected denied packets

ipchains -A input -i $EXTERNAL_INTERFACE -p tcp -j DENY -l

ipchains -A input -i $EXTERNAL_INTERFACE -p udp \
--destination-port $PRIVPORTS -j DENY -l

ipchains -A input -i $EXTERNAL_INTERFACE -p udp \
--destination-port $UNPRIVPORTS -j DENY -l


ipchains -A input -i $EXTERNAL_INTERFACE -p icmp \
--icmp-type 5 -j DENY -l
ipchains -A input -i $EXTERNAL_INTERFACE -p icmp \
--icmp-type 13:255 -j DENY -l

# ipchains -A output -i $EXTERNAL_INTERFACE -j REJECT -l

# ----------------------------------------------------------------------------

to anonymous (*) (2002-02-12 11:45:05.0) Не совсем понятно как оно все ловит "все", если этот интерфейс только в инет смотрит и причем в свитч воткнута "внутрениий" eth1. Так что ловит он все правильно.

fan.