LINUX.ORG.RU
ФорумAdmin

Подсчёт трафа по пользователям AD


0

1

Есть маршрутизатор, на нём сквид + нат, сквид настроен на прозрачный прокси. То есть остальные(кроме http портов) порты идут напрямую через нат. Клиенты никак не авторизируются, dhcp всем направо и налево раздаёт ИПы.

На этой же машине есть виртуал бокс, на нём стоит win2003 в зачаточной роли домен-контроллера. В зачаточной потому что пока не все в домене, но это решается. Ещё на нём DNS-сервер(требуется для AD).

Хочется чтобы статистика трафа считалась не по ip, а по пользователям AD. Это реально?

Сейчас сквид считает, но есть 2 проблемы:

  • по ip неудобно, хоть они и фиксированы на каждую машину, но всё равно.
  • трафик, который прошёл НАТ тупо не считается.

Как всё это решить?

Хочется чтобы статистика трафа считалась не по ip, а по пользователям AD. Это реально?

Все, что через прокси - реально. squid+samba+ntlm+sams
Только прокси будет не прозрачный.

zgen ★★★★★
()
Ответ на: комментарий от zgen

авторизация в сквиде через ad... а раз делаем авторизацию, то прозрачный прокси сделать нельзя, правильно мыслю?

а что насчёт обычного ip трафика подсказть можете?

Gordon01 ★★
() автор топика

Насколько я знаю, единственный путь это сделать юзерам доступ в инет через предварительно устанавливаемое подключение PPPoE/PPTP/итд. Да и то не могу сказать, как при этом можно вести вменяемые логи с привязкой к имени юзера.

thesis ★★★★★
()

1. В серьезных компаниях такое понятие как НАТ вообще отсутствует. Всё через прокси. 2. Прокси не надо делать прозрачным, нужно просто использовать либо раздачу прокси через групповые политики AD напрямую, либо раздавать путь к WPAD-скрипту через DHCP и AD. Второе универсальнее, т.к. в таком случае проксёй может пользоваться не только IE, но и другой софт, вроде автообновлялщиков. Зависит от.

blind_oracle ★★★★★
()
Ответ на: комментарий от Gordon01

В основном - да. FTP нынче никто не использует почти, но и его сквид проксирует если нужно. Всякие скайпы-аськи, если разрешены, тоже работают либо через сквид, либо через сокс, всё с авторизацией в AD (группа, которой разрешена аська, к примеру).

blind_oracle ★★★★★
()
Ответ на: комментарий от blind_oracle

Логи без юзернеймов неудобно читать. Кроме того, «железно привязывать» айпишник к логину это тоже работа, которую нужно делать, а лень.

thesis ★★★★★
()
Ответ на: комментарий от thesis

Ну, если лень то забей. Больше никак не сделать. Самое верное решение - непрозрачный прокси плюс его форсирование на компах домена. Так сделано в большинстве случаев. ВПН с каждого компа это из разряда извращений.

blind_oracle ★★★★★
()
Ответ на: комментарий от blind_oracle

Я о том, что ВПН с каждого компа это единственный известный мне универсальный способ привязать не-проксированный трафик к юзернейму. Если бы был менее извращенный способ, было бы хорошо, но увы.

thesis ★★★★★
()
Ответ на: комментарий от Gordon01

авторизация в сквиде через ad... а раз делаем авторизацию, то прозрачный прокси сделать нельзя, правильно мыслю?

Правильно.

а что насчёт обычного ip трафика подсказть можете?

Если хочется именно по пользователям, а не по IP - давайте доступ через VPN pptp/pppoe/etc - все складываете в таблицу iptables с COUNT'ом, а потом выбираете из неё в базу.

Или ищите готовое решение.

zgen ★★★★★
()
Ответ на: комментарий от Gordon01

намёк на то что в серьёзных организациях кроме хттп-трафика больше никакой не ходит?

http/https/ftp

А какой еще трафик нужен? Почта - дык она либо web, либо локальная (nat, если далеко). Что-то еще? Например openvpn через proxy с инкапсуляцией всего и вся - как вариант (там железно весь трафик будет к пользователю привязан).

zgen ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin