LINUX.ORG.RU
ФорумAdmin

NAT + статистика пользователей


0

0

Всем здравствуйте! У меня такая стандартная проблема которую срочно надо решить, но за пару часов в google нашел только намеки на то, что мне надо.

Требуется NAT шлюз в интернет для офиса, такой, чтобы мог собирать статистику по пользователям, причем не просто IP и траффик, а кто какие сайты посещал (не по IP, а по dns имени), сколько с них загрузил.

Я бы поставил squid, говорят, он может подробно статистику собирать, но дело в том, что у нас есть программы, которые работают по http порту, а proxy в них не настраивается.

Сейчас у нас в офисе в качестве интернет-шлюза стоит windows2003+usergate4. Кроме того, что они не лицензионные, usergate4 (настроен nat), собирает статистику только по IP (я, честно, даже не знаю, может ли nat шлюз вообще собирать статистику по "на какие странички кто заходил", что требуется?)

Что я нашел, так это что вроде как squid настроенный как прозрачный прокси + iptables могут что-то такое... Я прав?

Еще нашлась программа TraffPro, которая всё что надо, вроде, может, но она платная, и вроде не дорого, но как-то ставить платную программу на linux...

Вобщем, нужен совет, в сторону чего смотреть вообще.


+ нужна возможность ограничивать определенных пользователей по определенным портам (например, разрешить только pop3 и smtp) и перенаправлять запросы с интернета по определенным портам на нужный комп внутри локальной сети (опубликовать почтовый, например, сервер).

Gogo
() автор топика

man iptables man transparent proxy man sams

disel
()
Ответ на: комментарий от Gogo

За пару часов вам это всё не решить, идите и читайте. Но я бы советовал поискать админа, который вам все настроит, хотя бы разово, за определенную сумму, а вы потом уже ломайте/чините/учитесь.

Думаю, что вам всё таки нужен squid, причем лучше сделать в браузерах настройку "работать через proxy", а все программы, которые не умеют заворачивать в squid в transparent'ом, но при это ограничивть порты/ip-адреса на которые они могут ходить.

>и перенаправлять запросы с интернета по определенным портам на нужный комп внутри локальной сети

это DNAT.

>+ нужна возможность ограничивать определенных пользователей по определенным портам

На уровне маршрутизации ip-протоколов нет понятия "пользователь", либо у вас там есть жёсткая привязка ip к пользователю, либо думайте как это можно сделать.

mky ★★★★★
()

я использую squid transparent proxy delay pools+ iptables DNAT Траффик я считаю с помощью демона trafd и самописного простейшего биллинга (на основе заметок лисяры). Кто куда лазил можно посмотреть по access.log у squid. единственное что вызывает вопросы на какой из двух интерфейсов вешать tc фильтры для указания скорости форвардинга.

guilder
()
Ответ на: комментарий от mky

>На уровне маршрутизации ip-протоколов нет понятия "пользователь", либо у вас там есть жёсткая привязка ip к пользователю, либо думайте как это можно сделать.

Есть nufw, который отлично интегрируется с PAM'ом. Но клиент под винду вроде как платный.

nnz ★★★★
()

могу посоветовать 3proxy, с его помошью можно и статистику вести, и ограничивать порты для каждого пользователя, аутентификацию можно производить по ip адресу пользовательского компа или по нику, можно как угодно зарезать скорость для любого пользователя, плюс можно пробросить порты с наружи в локалку, и конфиг прост, куча инфы пр русски, сайт http://3proxy.ru

но со сквидом всё тоже самое можно сделать (squid+sarg+firewall)

dik-m
()

>Я бы поставил squid, говорят, он может подробно статистику собирать, но дело в том, что у нас есть программы, которые работают по http порту, а proxy в них не настраивается.

freecap?

linux4ever
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin