LINUX.ORG.RU
ФорумAdmin

Контроль сетевого трафика.

 ,


0

3

Приветствую. Дано: PON терминал с включенным в него маршрутизатором. Надо: Поставить между терминалом и маршрутизатором компьютер который будет контролировать проходящий трафик. Ограничение: Нельзя менять сетевые настройки маршрутизатора.

Подскажите как решить данную задачу? Я полный новичек в области настройки Linux.

Маршрутизатор - это что конкретно ? А так - вариантов есть.

1. Надо поставить коммутатор, а-ля ZyXEL ES-2108 и зазеркалировать трафик с одного из портов, либо с того, куда подключен маршрутизатор.

2. Если маршрутизатор позволит, можно обойтись без коммутатора.

Эти два пункта позволяют смотреть трафик без оказывания на него влияния, но требуют или коммутатор с возможностью зеркалирования портов, или коммутатор с аналогичной возможностью.

3. Поставить таки в разрыв компьютер с двумя сетевыми картами, собрать их в бридж и смотреть трафик. Но компьютер - лишняя обработка, а, значит, некоторое увеличение задержки (с коммутатором в п1 - аналогично, но от коммутатора можно ожидать меньшей задержки). Плюс зависимость от его работоспособности (коммутатор надёжнее c этой точки зрения).

AS ★★★★★ ()
Последнее исправление: AS (всего исправлений: 2)
Ответ на: комментарий от AS

Маршрутизатор - это какая-то Cisca. Изменять настройки терминала возможности тоже нет. Мне нужна возможность знать на какие сайты ходят юзеры, а также возможность запрещать посещения некоторых сайтов. На задержки мне повиг.

TetraGrammaTon ()

Поставить между терминалом и маршрутизатором компьютер который будет контролировать проходящий трафик. Ограничение: Нельзя менять сетевые настройки маршрутизатора.
Подскажите как решить данную задачу? Я полный новичек в области настройки Linux.

Интересно, кем вы работаете и сколько вам платят?

vlb ★★★ ()
Ответ на: комментарий от AS

Надо поставить коммутатор, а-ля ZyXEL ES-2108 и зазеркалировать трафик с одного из портов

Если это коммутатор, который свич, то ни хрена не выйдет, если это коммутатор, который хаб, то да. Но хабов в последнее время всё меньше и меньше.

Поставить таки в разрыв компьютер с двумя сетевыми картами, собрать их в бридж и смотреть трафик. Но компьютер - лишняя обработка, а, значит, некоторое увеличение задержки

Очень сложно эту задержку диагностировать. Мониторящий мост - это самое реальное решение, наверное. Не думаю, что там лавинные тонны траффика.

turtle_bazon ★★★★★ ()

Собирай мониторящий мост (компьютер с двумя сетевыми картами, собранными в мост). А как ограничивать - никогда не сталкивался в этом разрезе. :) Может, iptables? :)

turtle_bazon ★★★★★ ()
Ответ на: комментарий от TetraGrammaTon

Мне нужна возможность знать на какие сайты ходят юзеры, а также возможность запрещать посещения некоторых сайтов. На задержки мне повиг.

Если дело только в сайтах, то можно присосаться к циске одной сетевухой, организовать ЛВС и в неё сконфигурировать вторую сетевуху, настроить dhcp, squid и т.д. Чтобы компьютер сам был маршрутизатором.

turtle_bazon ★★★★★ ()
Ответ на: комментарий от turtle_bazon

Если это коммутатор, который свич, то ни хрена не выйдет, если это коммутатор,

Это коммутатор, который свич. И всё бы вышло, так как ZyXEL ES-2108 умеет зеркалирование портов. Но не выйдет по уточняющей идее «а также возможность запрещать посещения некоторых сайтов».

AS ★★★★★ ()
Ответ на: комментарий от turtle_bazon

Может, iptables? :)

iptables влияет на мост потому, что это недоработка с точки зрения логики. :-) И таки влияет в некоторых случаях. Но, по-правильному, тут надо блокировать на L2, посредством ebtables.

AS ★★★★★ ()
Ответ на: комментарий от TetraGrammaTon

Маршрутизатор - это какая-то Cisca.

Какая ? Почему нельзя менять настройки ? Там, по идее, всё должно быть можно сделать, если это не совсем дохлая домашняя Циска, которая Линксис.

AS ★★★★★ ()

Поставить в разрыв transparent firewall. Сотворить его или из linux с iptables (?) или из кого-нить старенького cisco asa (pix).

eabi ()
Ответ на: комментарий от AS

на L2, посредством ebtables.

Да, согласен. L3 тут вообще как бы не будет.

turtle_bazon ★★★★★ ()
Ответ на: комментарий от AS

Потому что эта циска предоставлена нам провайдером и находится на полном его обслуживании, и следовательно мы не имеем доступ к его настройкам.

TetraGrammaTon ()

shorewall или privoxy в зависимости от задачи

anonymous ()
Ответ на: комментарий от turtle_bazon

Не знал. Нужно себе один такой прикупить. :)

Кстати, есть ещё SNR-S2940-8G. У него, правда, корпус побольше, зато +2 GbE порта и чуть дешевле ES-2108, даже без G (есть ещё ES-2108G, +1 GbE). :-)
У D-Link тоже что-то появилось в этом классе. Несколько лет как.

AS ★★★★★ ()
Ответ на: комментарий от TetraGrammaTon

Потому что эта циска предоставлена нам провайдером и находится на полном его обслуживании

А забрать/поставить своё ? Или «дарёному коню...» ? Только вот вопрос, а что на Циске ? NAT есть ? Тогда в разрыве не будет внутрисетевых IP-адресов. И, вообще, с провайдером бы посоветовались, как вопрос решить. Это будет правильнее всего.

AS ★★★★★ ()
Ответ на: комментарий от AS

Несколько лет как.

Какой я тёмный, оказывается. :) Нужно будет поизучать вопрос.

turtle_bazon ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.