Учет трафика

[TOPтыгин]

Подскажите как ограничить использование трафика сотрудниками. На сегодняшний момнет стот TA Billing, но он не совсем подходит так как не считает самую большую заразу squid . Так вот что у меня есть:
ASP Linux, Squid + transparent, NAT, Sendmail. Я хочу учитывать суммарный трафик по всем этим вещам и отключать (причем даже на середине файла) за превышение.

PS: Про файл был реальный инцидент. Один из пользователей возпользовался тем что у меня считалка по squid'у запускается помоему раз в 2-3 часа, выкачал 1 файлик объемом около 1 Гб. А это месяный расход всехй конторы за месяц.

[setar]

Есть на примете несколько пакетов:
бесплатные
http://www.netams.com/index-rus.html
http://traflinux.sourceforge.net

и коммерческий продукт
http://www.netup.ru


Все эти продукты требуют достаточно серьёзного знания linux чтобы поставить на ядро специальный патч продвинутого роутинга (patch-o-matic http://www.netfilter.org/)
Но после установки дают весьма исчерпываюoe. информацию по любым трафикам (интерфейсы, группы ip, протоколы и т.д.).

[TOPтыгин]

Спасибо гляну. Надеюсь знаний хватит ... если нет то приду сюда черпать

[dga]

А вот у меня другая проблемка - юзвери которые постоянных машин (и айпишников) не имеют. Как им траффик считать? Ну понятно, со сквидом проблем немного, а вот все остальное как? И желательно чтобы их также вот, на лету рубало...

[art]

А вот у меня другая проблемка - юзвери которые постоянных машин (и айпишников) не имеют. Как им траффик считать? Ну понятно, со сквидом проблем немного, а вот все остальное как? И желательно чтобы их также вот, на лету рубало...

1) принудительно VPN на всех, через NAT пускать только тех, кто зашел с VPN
2) закрыть прямой доступ, и всех - на сквид.

втрое, IMHO, самое правильное с точки зрения безопасности.
И method CONNECT разрешить тольку кому следует и КУДА следует.
И max http request size ограничить.

Не приходит в голову, что может быть нужно по работе, но не работает через SQUID.

[TOPтыгин]

Ну хорошо http, ftp я на сквида заверну не проблема хотя ftp рабоотает через .... А вот все остальное ... ICQ (для работы нужно), RealMedia и т.д.

[dga]

Угу, а у меня один гаврик за чем-то там ссашем к буржуям ходит (и ведь по работе!) как с ним быть? То есть с "фиксированными" пользователями проблем нету, а вот "бродяги"...

[art]

Ну хорошо http, ftp я на сквида заверну не проблема хотя ftp рабоотает через .... А вот все остальное ... ICQ (для работы

ICQ отлично работает через SQUID

нужно), RealMedia и т.д.

точно также.
Заодно закроете популярные средства для руления троянами, а именно

acl CONNECT method CONNECT
acl SSL_ports port 443 9100
acl HOST_TO_CONNECT_ALLOW dstdomain www.spb.mts.ru www.YourBank.com

http_access deny CONNECT !HOST_TO_CONNECT_ALLOW !SSL_ports

у меня в сети на 50 человек метод CONNECT нужен только для просмотра баланса телефона и работы с банком. Все остальное - от лукавого.

Угу, а у меня один гаврик за чем-то там ссашем к буржуям ходит (и ведь по работе!) как с ним быть? То есть с "фиксированными" пользователями проблем нету, а вот "бродяги"...

Не думаю, что по работе ему нужен доступ с любого IP.
Опять таки, если по работе, то ходит на определенный набор серверов.
Прописать на fw и порядок. Остается шанс, что на этих хостах у буржуев он настроит прокси и станет через них таскать, но это легко обнаружить и наказать. Да и буржуйские админы за такое накажут.

По любому, возможность изнутри LAN установить коннект с любым хостом в интеренет по любому протоколу, рано или поздно очень плохо кончается.