Выпущена новая версия биллинга (корпоративного интернет-шлюза, софт-роутера) TraffPro 1.4.7

Добавлен отчёт для требований службы безопасности и органов МВД и ФСБ позволяющий: Отобрать по параметрам посещения на домен, ip адрес, порт, по времени и дате.

вот это по-нашему! Честно, открыто, за деньги пользователя!

Очень часто служба безопасности организации приходит к админу с вопросом: Кто на такой то адрес ходил, то же самое и органы частенько требуют показать пальцем на злодея посещавшего данный узел в такое то время.

это никак не отменяет самого факта!

Ну они же не без спроса могут смотреть данные :) А только с помощью админа, а это вопросы уже к законодательству, по нему так каждый чих, в том числе и сообщения допустим на воруме должны хранится 3 года :)

Добавлен отчёт для требований службы безопасности и органов МВД и ФСБ позволяющий: Отобрать по параметрам посещения на домен, ip адрес, порт, по времени и дате.

Спасибо что предупредили!

Кто такой Биллинг?

Добавлен отчёт по ТОП (наиболее посещаемым) сайтам по всем пользователям, а так же по отдельному пользователю (пользователям).
Добавлен отчёт для требований службы безопасности и органов МВД и ФСБ позволяющий: отобрать по параметрам посещения на домен, ip адрес, порт, по времени и дате.

route del default 
route add default dev tun0
echo "Kiss my shiny metal ass"

Узнаю ЛОР :) Пару команд выучил и мнишь себя супер пацаном научившимися говорить слово задница :) Ребят, ну это даже не смешно, говорить об отчётах меняя маршрут :) А как же все протоколы засветить в отчёте без задницы? :)

У меня что, опять табличка «сарказм» отклеилась или намек на OpenVPN для всего траффика не совсем прозрачный?

OpenVPn не катит :) Табличка сорказм наверное действительно отклеилась, сегодня на opennet вашла новость о разработке нового ПО борьбе с DDOS, хорошая новость, только вот весь сарказм это то, что такая же система в TraffPro с 2009 года уже есть, антифлудом называется. Так что сарказм сарказмом, а стандартными средствами Linux ну ни как не получиться получить то же, что предоставляет TraffPro.

А мне кажется, что пиарщик должен на русском языке писать нормально.

Исправлена работа скрипта GOSREESTR — загрузка списков блокируемых сайтов рос. реестра.

Надеюсь это отключаемо

По ходу ты вообще не понял, что я намекал на то, что OpenVPN всем пора всем поголовно юзать. Желательно в stunnel/obfsproxy обернутый. А на TraffPro мне параллельно, я не провайдер.

Мне кажется, он указал команды, выполняемые на клиенте для того, чтобы клиентские запросы просто не шли через всякие корпоративные биллинги.

Включаемо

TraffPro имеет несколько версий, и для провайдеров. и для организаций, и всё вместе, обёртки это хорошо, но когда через обёртку начинают протаскивать левый трафик, сразу возникает вопрос куда он ушёл, естественно всплывёт трафик по OPENVPN, если изначально порты не были заблокированы для него то можно блокирнуть и ip и порты, оставить 80й и пару ip для доступа, и ни куда ваш openvpn не денется, при выполнении команд замены маршрута вы просто лишитесь интернета.

при выполнении команд замены маршрута вы просто лишитесь интернета.

Если заблокированный адрес не числится в списке запрещенных по закону - на провайдера пишется официальная бумажка о непредоставлении услуги.

Если такая бумажка поступит от юридического лица, у провайдера будет серьезный головняк.

Это я тебе как сисадмин, работающий в провайдере говорю.

Так что ввести «белый список» кроме как по закону или взаимной договоренности с клиентом мы не имеем права.

Да и в чём проблема - вот у вас есть информация что клиент в указанное время ходил на указанный адрес OpenVPN-сервиса. Пусть органы трясут дальше клиента, если им так угодно - это не ваша сфера ответственности и головная боль тоже не ваша.

Опять проприетарное говно на уютном пиарят.

Зато traffpro обосрется против stunnel. Ничего кроме ssl он не покажет.

Надо Eddy_Em он обожает таких унтерменш провайдеров.

Если предпринимать такие меры, то штатных средств вместе с кальмаром хватит с головой. Но в целом молодцы, реализуете решения насущных задач.

man stunnel

//И да, по ходу у нас тут сейлсмен TraffPro в комментариях.

TraffPro имеет несколько версий

начинают протаскивать левый трафик

можно блокирнуть и ip и порты, оставить 80й и пару ip для доступа

А можно просто не ограничивать доступ в интернет. Вообще. Это такая неожиданная идея, столь свежая и возмутительная, что не до всех ещё дошла. Трафик у него левый. Это не трафик левый, это мозги левые у запрещаторов.

Если предпринимать такие меры, то штатных средств вместе с кальмаром хватит с головой. Но в целом молодцы, реализуете решения насущных задач.

Антоша, ты меня позоришь. Или это gavru себе цену набивает?

не только сейлсмен, но и любитель тотальтарного режима.

Можно не ограничивать конечно, только у меня такое ощущение, что вы ни когда не сталкивались в организации например с любителями торрентов, забивающими весь канал.

Если организация платит, за трафик (канал) значит он должен использоваться по назначению, а если один человек, очень умный типа Вас, начнёт сажать канал, и начнут жаловать другие пользователи вы что делать будете? Костыли лепить очередные? Правильно, костыли, скрипты навешивать, трафик делить, пытаться поймать засранца :) То есть если по русски выполнять работу сис. админа, делать вид работы :)

Я брошу взгляд на монитор на стене с комплексным экраном zabbix, на котором есть график с загрузкой канала. Если там что-то не так, я узнаю об этом еще до того, как начнут жаловаться пользователи. Потом секунд за 15-20 найду виновного в анализаторе netflow. Еще несколько секунд на поиск номера виновного в телефонной книге, и минута на разъяснительную беседу.

Можно не ограничивать конечно, только у меня такое ощущение, что вы ни когда не сталкивались в организации например с любителями торрентов, забивающими весь канал.
Если организация платит, за трафик (канал) значит он должен использоваться по назначению, а если один человек, очень умный типа Вас, начнёт сажать канал, и начнут жаловать другие пользователи вы что делать будете? Костыли лепить очередные? Правильно, костыли, скрипты навешивать, трафик делить, пытаться поймать засранца :) То есть если по русски выполнять работу сис. админа, делать вид работы :)

Зачем качать торренты на работе, если это можно делать дома? Как можно торрентами «начать сажать канал»? Что это за сказки для младшего школьного возраста? У вас там в Ростове-на-Дону до сих пор все 56.6к модемами пользуются?

traffpro.enterprise.1.4.7-02+ATSLoger/ $ head -n 2 license/license.txt
ЛИЦЕНЗИОННОЕ СОГЛАШЕНИЕ С КОНЕЧНЫМ ПОЛЬЗОВАТЕЛЕМ НА ИСПОЛЬЗОВАНИЕ ПРОГРАММНОГО 
ОБЕСПЕЧЕНИЯ разработанного ИП Галеева Рустама Рифовича далее компания "UpIt-Systems"

Это многое объясняет.

при выполнении команд замены маршрута вы просто лишитесь интернета.

Ну не просто же так в лоб делать команды. В начале прокладывается маршрут до VPN сервера через шлюз провайдера, затем маршрут по умолчанию (шлюз) заменяется на IP адрес VPN сервера, всё и Internet есть и провайдер не видит трафик. Ещё VPN сервер можно поднять на нестандартном порту, скажем 80.

А вот это уже интересно, конечно жизнь усложнить можно. Но что TraffPro сделает против DHT, LTEP, шифрования торрент траффика и того факта, что многие торрент клиенты по умолчанию используют каждый раз cлучайный порт, а если порты заблокированы, то используют любой свободный имеющийся порт.

Имхо это не так работает. Проблему надо решить словами и делом, а не файрволами всякими.

И что за админ такой, который в организации даёт ставить торрентокачалки на компьютеры?

GAleeVRUstam

Костыли лепить очередные

QoS уже отменили?

route del default

Запрошенная операция требует повышения.

Ещё идеи, хакир?

вы ни когда не сталкивались в организации например с любителями торрентов, забивающими весь канал.

Был такой случай: Коллега, работающий в США, дома поставил качаться сериал с торрентов. На ноутбуке. Сериал не докачался. Он пришел на работу с этим же ноутбуком, и ничего не подозревая, подключился к корпоративной сети. Он даже не вспомнил об этом, но сериал докачался :).

Через некоторое время кто то на кого то там нажаловался так, что кому то пришлось даже деньги какие то куда то заплатить. Подробнее не могу сказать.

Вот куда мы все идем.

Должна быть культура работы в сети. А это далеко не сразу воспитывается, если вообще воспитывается. Пока не будет культуры и понимания своих действий - меры будут все жестче и жестче.

Но я понимаю, что говорю сейчас про единорога.

Запрошенная операция требует повышения.

Ещё идеи, хакир?

Нет рута на своём компьютере? А от станка отстёгивают и погулять хоть иногда дают, ламир?

Нет рута на своём компьютере? А от станка отстёгивают и погулять хоть иногда дают, ламир?

на работе всё своё ты сдаешь в шкафчик на входе. Всё что внутри уже дядино. Пойдёшь работать, расскажут.

на работе всё своё ты сдаешь в шкафчик на входе. Всё что внутри уже дядино. Пойдёшь работать, расскажут.

Любишь крепкую руку, да? Я вот такие места на дух не переношу. Ценю свободу, интересные задачи и хорошую оплату труда. Неприлично такое спрашивать, но всё же, хотя бы 200k$ в год за шкафчик и «всё дядино» платят?

А вот это уже интересно, конечно жизнь усложнить можно. Но что TraffPro сделает против DHT, LTEP, шифрования торрент траффика и того факта, что многие торрент клиенты по умолчанию используют каждый раз cлучайный порт, а если порты заблокированы, то используют любой свободный имеющийся порт.

Всё очень просто, даже если будет качать ему TraffPro не даст прыгнуть выше полки своей скорости выставленной ему в шейпере по какому порту бы он не просачивался, в отличии от сквидов и прочего TrffPro весь трафик по любым протоколам контролирует.

Я брошу взгляд на монитор на стене с комплексным экраном zabbix, на котором есть график с загрузкой канала. Если там что-то не так, я узнаю об этом еще до того, как начнут жаловаться пользователи. Потом секунд за 15-20 найду виновного в анализаторе netflow. Еще несколько секунд на поиск номера виновного в телефонной книге, и минута на разъяснительную беседу.

То есть тебе придётся дневать и ночевать на работе не отрывая взгляд от монитора, а кушать и спать когда? ;) Зачем себе жизнь усложнять если можно просто настроить один раз и забыть?

Матерь божья какой *****... За такой ui нужно ссылать на урановые рудники - пожизненно..

Как биллинг говно, проверенно.

ЗЫ. Оператор связи

Нет, не придётся. Я не беру работу на дом. Если что-то сломается без меня — это не мои проблемы. Даже zabbix не имеет права писать мне писем в нерабочее время. Но если вдруг появится такая необходимость, я прикручу к zabbix еще один триггер и разрешу ему слать уведомления.