Раздача инета в локалку - вопрос по решению под линукс

[Дядька бородатыЙ]

Соббсно - имеется VPN-туннель до одного из местных провайдеров. Требуется - раздавать инет на десяток компов, чтобы можно было еще мониторить соединения, определять доступ каждого пользователя к определенному списку сайтов, а так же иметь возможность перенаправлять запросы с нестандартных портов в инет.
Имеется - Mandriva One 2007, провод проложен, хаб. сейчас работают в сети протоколы HTTP, Socks, SSL, MySQL,HTTPS, необходимо сохранить фунционал

[leo]

ну по доступу. .тут явно напрашивается сквид+какая-нить настройка над ним (я юзал SAMS), мониторить соединения чего? если сквида, то можно скрипт написать или взять готовый, если мониторить нужно более обширно, рекомендую такие пакеты как Ntop, Nagios. Перенаправление портов можно реализовать натами, а если заморачиваца не хочется, то и тупо маскарадить можно всю машину, а обратно форвардом по нужным портам.. тут курить документацию на Опеннете, там чертика можно построить и ещё полные карманы идей остануца.

[Harmer]

Да, можно подробнее про "мониторить"?

[Георгий]

счита, что сквид - костыли
если уж раздавать интернет, то полностью - чтобы и почтой можно было пользоваться и всеми отсальными протоколами.

[leo]

ну это как классический вариант, а так пожалуйстаесть NETAMS, Stargazer.. и прочие штуки.. давайте чего-нить поставим и на RADIUS прикрутим. ИМХО.не вижу смысла изголяца для 10 АРМов.

[at_hacker]

Цитата(Георгий @ 23.1.2009, 23:16) счита, что сквид - костыли
если уж раздавать интернет, то полностью - чтобы и почтой можно было пользоваться и всеми отсальными протоколами.

В конторах разрешать интернет без ограничений по протоколам -- архивредно для производительности труда

[at_hacker]

Цитата([K.LAN]HAMMER @ 24.1.2009, 0:53)
Блин на 10 компов FreeBSD (ng_* модули ядра динамически грузятся в память при первом вызове - так же динамически выгружаются, но вот для IPFW придется ядро перебрать, но это плевое дело - это не в Лялихе изголятся, хотя народ говорит что можно юзать ng_ipfw, но... малоли что гворят =)) ng_nat, без применения mpd и прочей ppp ереси, считать траф ng_netflow (man ng_netflow) коллектор NetFlow v5 nfacctd, если есть желания веб морды - в зубы там что угодно php, perl, python... ВСЕ... работы на 1 час!

Все поняли, что ты знаешь кучу умных слов. Но вот с тем, что они означают -- получилось полное попадалово

Во-первых, модули ng тут вообще ни при чём. Во-вторых, IPFW отлично работает модулем, без пересборки ядра. Соответсвенно, самым простым решением будет не ng_nat, а natd. А к чему ты про mpd и ppp к ночи вспомнил -- я вообще не понял.

ЦитатаЗЗЗЫ Не вижу смысла колдыбаться с Лялихом - инопланетный iptables, для учета тарфика ULOG или для netflow ipcad (упоси от ndsad) или ещё какой костыль, DNAT/SNAT если ипник статика/динамика - ну а в остальном php, perl, python... далее по тексту[/quote]
Капец, и эти люди в соседнем топике агитируют за линух, который мега-крут, мега-функционален и мега-удобен

[at_hacker]

Цитата([K.LAN]HAMMER @ 25.1.2009, 17:48)
Начну с ...IPFW отлично работает модулем, без пересборки ядра...
Не спорю... роутер на фряхе искаропки можно настроить только параметрами sysctl - давай уже все туда через sysctl грузить все необходимые модули - вот радости начинающему пользователю сидеть и курить сходу sysctl - не проще ему тогда CISCO сразу взять так ммм 2900 Catalyst м...???

При чём тут sysctl вообще?! :crazy:

echo firewall_enable=\"YES\" > /etc/rc.conf
echo natd_enable=\"YES\" > /etc/rc.conf
echo gateway_enable=\"YES\" > /etc/rc.conf

Вуаля -- получаем работающий файрвол и natd, остаётся только написать правила для файрвола.

ЦитатаМда.. вот лучше б ты ничего и не писал.. я уже более полу года занимаюсь изчучением и написанием патчей к модулям сетевой подсистемы FreeBSD NetGraph.[/quote]
Трындеть -- не мешки ворочать. Ссылку на исходники во фре, подписанные твоим именем, приведёшь? Или щас начнётся что-нибудь в духе "вот ещё, тебе надо, ты и ищи" или "не могу разглашать..."?

ЦитатаЗЗЫ Вот так и не понимаю, почему люди считают, что если они чего то не знают и не понимают, то этого обязательно не должны знать и понимать другие?[/quote]
Я бы задал вопрос по-другому -- почему ты считаешь возможным писать всякую псевдонаучную хрень, и уверен при этом, что никто не заметит, что это полная псевдонаучная хрень?

[vovaivanov]

Цитата([K.LAN]HAMMER @ 25.1.2009, 17:48)
Не спорю... роутер на фряхе искаропки можно настроить только параметрами sysctl - давай уже все туда через sysctl грузить все необходимые модули - вот радости начинающему пользователю сидеть и курить сходу sysctl - не проще ему тогда CISCO сразу взять так ммм 2900 Catalyst м...???

На фряхе "искаропки" настраивается полный роутер написанием скрипта для ipfw и указанием необходимых директив в /etc/rc.conf.
Никаких лишних телодвижений там делать не требуется ваапсче.

[legion]

Вот готовое решение под Linux http://subbilling.info/
Там на сайте не самая свежая версия, если понравиться биллинг, то могу поделиться более свежей ;)

[at_hacker]

Цитатаat_hacker Зачем ты вообще все это понаписал, для своего самоутверждения, или ты себе доказал что в гугле искать умеешь?[/quote]
Давай вот тока не будем свои проблемы на меня проецировать, ага?

Цитата([K.LAN]HAMMER @ 25.1.2009, 22:46)
Вот тебе, для примера, ссылка на переделанный мной интерфейс nfacctd к мускулю, давайка только ты собери демон с ним, протести и скажи что изменилось, а что нет. http://92.241.102.36/mysql_plugin.c

Н-да, батенька... Я такими правками по 15 раз на дню занимаюсь, однако не выдаю это за нечто из ряда вон выходящее Кстати, чо-та не заметил я твоих официальных коммитов в исходниках pmacct Ты какую версию pmacct правил-то?

Код: Выделить всё

/usr/home/at_hacker/diff diff1.txt diff2.txt
10,11d9
<       strncat(where[primitive].string, "FROM_UNIXTIME(%u) = ", SPACELEFT(where[primitive].string));
<     else
13d10
<     strncat(where[primitive].string, "stamp_inserted", SPACELEFT(where[primitive].string));
17,18d13
<       strncat(values[primitive].string, "FROM_UNIXTIME(%u), FROM_UNIXTIME(%u)", SPACELEFT(values[primitive].string));
<     else
27c22
< }
\ No newline at end of file
---
> }

diff1.txt -- функция MY_evaluate_history из исходников пора pmacct. diff2.txt -- функция из твоего файла. Капец, принципиальнейшие правки -- целых две строчки убрал

А поведай мне, дорогой друг, чо за параметр config.sql_history_since_epoch?

ЦитатаА то мне кажется, что за порой адекватными словами скрыватеся какой то человек, который 2 раза в гугл сходил и думать что он знает о данной системе все (лично я думаю, что я знаю о FreeBSD достаточно мало)[/quote]
Как самокритично -- афигеть просто Ты знаешь достаточно мало, но когда я тебе (в очередной, замечу, раз) намекаю прозрачно, что надо бы подучиться, а не сыпать пачкой умных слов, не зная их значения, ты становишься в позу и изображаешь из себе мега-гуру. Курям насмех -- патчи он пишет.

ЦитатаЗЫ Вот дайка ты мне плз ssh в Инете на хоть один свой сервак, который ты постоянно мониторишь? Я тебе ещё минимум один могу внешний предложить. А вообще у меня сейчас 8 cерваков на фряхе от 6.0 до 7.0 по разным организациям работает, на которых постоянно идет активная работа и все они уникальны по своим задачам и однотипны в базовой конфигурационной настройке, которую я и хотел предложить, как готовое решение топиксатртеру (это уже называется опыт).[/quote]
Тебе, может, ещё ключи от квартиры, где деньги лежат, дать? ssh ему дай... С такими советами, какие ты даёшь, если тебе доступ по ssh дать, я потом зае утомлюсь сервера в порядок приводить

[Harmer]

Цитатане проще ему тогда CISCO сразу взять так ммм 2900 Catalyst м...???[/quote]
29 серия - L2.

[at_hacker]

[K.LAN]HAMMER, защитан

[at_hacker]

Цитата([K.LAN]HAMMER @ 26.1.2009, 0:38)
Все таки перечитал ещё раз... какие 2 строчки? Ты можешь сорцы сравнить оригинал и то что я исправил? В чем выражаетчся суть этих исправлений? Нет возможности поставить и запустить - скажи по коду, что изменится в работе демона?

От жеж тьма египетская... Я тебе привёл DIFF функции, правка которой заявлена в комментариях к твоему файлу. Насколько я вижу по сути кода, твой "патч" всего лишь изменяет формат вывода даты в базу.

И ты так и не ответил, что содержится в параметре config.sql_history_since_epoch. А также не ответил, какую версию pmacct ты правил.

Да, к тому же ты заявлял, что офигенно рубишь в модулях netgraph... Ну так pmacct к нетграфу никаким концом не относится. Так что, батенька, в очередной раз низачот

[vovaivanov]

Цитата([K.LAN]HAMMER @ 26.1.2009, 1:00)
Мне тоже уже надоело бесполезность этих никому неныжных доказательсв непонятно чего... если есть желание применить свои знания на практике - прошу... я щас пишу на python морду для биллинга, Сорцы, проект, все что уже написано - на ящик. Пожелания, код, изменения проекта - с радостью принимаются... http://92.241.102.36 - форма логина, пароль логин вместе с сырцами - мой активный проект

Морда к чему?
Пароль-логин дашь посмотреть?

P.S.
Визифинг на лицо...

[at_hacker]

Цитата([K.LAN]HAMMER @ 26.1.2009, 1:00)
Мне тоже уже надоело бесполезно что то доказывать... если есть желание применить свои знания на практике - прошу... я щас пишу на python морду дял биллинга, Сорцы, проект, все что уже написано - на ящик.

Капец... Теперь у нас разработка простеньких страничек с парой SQL-запросов должна проканать как мега-квалификация в администрировании FreeBSD вообще и как знание структуры модулей netgraph в частности? Не смеши Такие биллинги на коленке рисуются за пару часов, и не говорят даже о наличии элементарных знаний в области какой-либо ОС. Тем более, что если этот "биллинг" на основе данных pmacct, то это ваще никуда -- pmacct данные уже готовые в базу кладёт -- вытащил запросом и вывел итог на страничке.

[at_hacker]

Цитата([K.LAN]HAMMER @ 26.1.2009, 1:00)
Мне тоже уже надоело бесполезность этих никому неныжных доказательсв непонятно чего... если есть желание применить свои знания на практике - прошу... я щас пишу на python морду для биллинга, Сорцы, проект, все что уже написано - на ящик. Пожелания, код, изменения проекта - с радостью принимаются... http://92.241.102.36 - форма логина, пароль логин вместе с сырцами - мой активный проект

Зашёл по ссылке... Начало афигеть многообещающее :clapping:


Форма ввода логина и пароля доставляет тоже... "DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN"
Ты не в курсе, что на дворе уже HTML 4 давно?

Я правильно понимаю, что ты мне предлагаешь исходники и логин-пароль от "биллинга" прислать? Если да, то уволь -- никакого желания чо-та детские поделки драть я не испытываю. Да и таких биллингов в интернете -- как нерезаных собак. Плюнуть некуда -- в биллинг попадёшь. Вон, например, vovaivanov свой биллинг написал Причём задооолго до того, как тебе даже пришла в голову эта светлая идея.

[Георгий]

может сейчас всяких биллингов уже хватает, но в 2003-м году я поискал немного и не нашел ничего толкового (тогда еще под ядро 2.2). Поэтому просто оформил скрипт из правил iptables -I FORWARD ... на каждый компьютер в сети и написал парсилку на перле, которая раз в 5 минут скидывала показания трафика в базу MySQL и проверяла баланс счета на предмет того чтобы были деньги. Если денег у пользователя стало меньше 0 - тогда просто закрывался доступ в интернет через iptables -I FORWARD ... -j DROP и отсылалось сообщение на e-mail юзеру. Если денег стало больше 0 - правило DROP удалялось.

Плюсы такой организации "биллинга" (неполноенный он, поэтому в кавычках) - знание того как оно работает и возможность расширения под свои нужды. Минусы - слабая масштабируемость. Ну т.е. для сотен и тысяч клиентов он не годится, но для десятка-другого компьютеров в локальной сети - вполне рабочий вариант.

Никого не агитирую за самоделку, серьезно исследованием готовых решений не занимался. Но если из готовых ничего не устраивает, то самодельный вариант - вполне себе решение.

Кстати более того - для такого биллинга совсем не обязательно поднимать отдельный линукс-сервер. На правилах iptables можно организовать "биллинг" в ADSL-модеме в который есть доступ через telnet.
Все что нужно - написать управляющую программу, которая будет снимать показания с модема и модифицировать правила, блокируя доступ неплательщикам. Т.е. если в сети уже есть виндовый сервер, то он вполне может справиться с этой задачей и совсем не обязатеьно ставить отдельный сервер на линуксе.

[at_hacker]

Цитата(Георгий @ 26.1.2009, 1:55) Никого не агитирую за самоделку, серьезно исследованием готовых решений не занимался. Но если из готовых ничего не устраивает, то самодельный вариант - вполне себе решение.

Ну, с самостоятельным написанием правил файрвола, считающих трафик, можно и не заморачиваться. Щас полно всяких утилей, которые считают трафик и без того. Типа ipcad или ng_ipacct. Ну или того же самого pmacct, "патчи" к которому один из ораторов выше пишет pmacct может сразу данные в базу класть. К ipcad и ng_ipacct можно простенький скрипт для этих же целей нарисовать, я это делал когда-то, форматы вывода у них, в принципе, одинаковые. По крону часто можно пускать один скрипт, который чисто складывает данные в базу, и чуть пореже -- скрипт, который будет подбивать итоги и добавлять запрещающие правила в файрвол.

А вообще да, если кроме веба ничего не надо раздавать, то можно всё это сделать на squid+SAMS. Там и интерфейс вебовый есть, можно ограничения по сайтам в нём задавать и ещё целой кучей параметров рулить.

[at_hacker]

Цитата([K.LAN]HAMMER @ 26.1.2009, 7:47)
судя по тому как Вы 3 часа думали над простым плугом к мускулю и так (странно что хоть что то заметили)...

Т.е. я должен был мониторить форум и с трепетом ожидать твоего очередного сообщения, чтобы как можно быстрее на него ответить? Есть, как бы, ещё и более другие дела

Цитатаи ещё... почитайте для начала хотя бы У.Р. Стивенса, Б. Феннера, Э.М. Рудоффа "UNIX разработка сетевых приложений", после чего с Вами можно будет вообще завести разговор о системном программировании на FreeBSD.[/quote]
Пока что "разговор о системном программировании на FreeBSD" закончился тем, что ты заявил, что ты афигенный разработчик модулей netgraph, а на мою просьбу привести исходники ты привёл "патч" одного файлика из pmacct. Который а) никакого отношения к нетграфу не имеет и б) состоит из удаления пары строчек для всего лишь изменения формата даты, заливаемой в базу. Если это "системное программирование под FreeBSD", то я -- артист балета

Цитатаsql_history_since_epoch - прояви хоть чуточку осведомленности о предметной области, а не только пальцы гни (что выглядит глупо) - http://www.pmacct.net/ChangeLog-0.11.5[/quote]
Знанием предметной области у нас теперь считается знание о назначении некоего параметра в исходниках некоей (не самой распространённой, замечу!) системы подсчёта трафика? Ну-ну...

Цитатасразу видно, человек не знает(или не понимает), что HTML код, генерится не вручную, а уже готовыми фукциями фреймворка, хотя после прочитанного уже трудно чему то удивляться или возражать.. гг[/quote]
Т.е. ты даже HTML выучить не асилил?.. Нуянезнаю...

ЦитатаЗЫ at_hacker - cочувствую вашему работодателю, если такой вообще есть... =)[/quote]
Уже много лет, дорогой друк, как я работаю сам на себя. Так что можешь мне посочувствовать, да

[leo]

А теперь, Господа Мега-Супер-Пупер админы!!! скажите какое отношение имеет флуд, который вы тут развели к этой теме???!!! Ответ: НИКАКОГО!! Человек пришёл на форум, спросил и хочет получить ответ, состоящий из нескольких альтернативных методов решения его проблем.. ИМХО совершенно неинтересно читать переписку 2х IT-шников.. на околосабжевую тему

[at_hacker]

Цитата([K.LAN]HAMMER @ 26.1.2009, 14:49)
Вот это да.... ты так и не осилил 20 строк кода изменений... вот это даааа...

Да не надо тщиться запудрить мне мозги У тебя в каментах к файлу написано, что изменена одна функция. Ну ладно, убалтал, я посмотрел полный дифф исходного модуля из версии pmacct 0.11.5 с твоим "патчем". Твои "20 строк кода" -- элементарная правка строк в части сборки SQL-запроса. Такие "патчи" я в squidguard вносил ещё два года назад, никогда не программируя толком на C/C++. И заметь -- я не заявляю на этом основании, что шарю в программировании под FreeBSD

ЦитатаЯ уже все про тебя понял, когда ты начал из плуга к мускулю эпопею строить (никакого отношения к нетграфу не имеет - с этим конечно соглашусь, он даже к pcap отношения не имеет, чтобы ты дальше тему не поднимал, но не для этого и давался - хотя... это едисвенная твоя фраза, которая верна из кучи написанной тобой слов, хотя вообще не понимаю, как этого можно было сразу то не заметить=) )[/quote]
Не делайте мне смешно Это Я начал эпопею строить? Я тебя просил подписанные тобой исходники модулей netgraph, в разработке которых ты якобы участвуешь, а ты мне что прислал?

ЦитатаВот привиди мне кусок кода использование таких функций tcp_connect с пояснениями и что касается разрешения race condition при приеме широковещательных сообщений, каким бы ты способом выполнил блокировку и разблокировку сигнала (нужна ли она и для чего, если да и если идти по пути pselect, то почему) и почему вообще возникает данное состояние. И пример реализации потокового SCTP сервера и его эхо-клиента, ну тип один ко многим, скажем. Если да, то я буду уверен, что ты хоть что то понимаешь в базовом сетевом програмировании в FreeBSD. Ответь хотя бы на это тогда и про netgraph поговорим...[/quote]
Во-первых, батенька, я не заявлял, в отличие от, что являюсь мега-программистом модулей нетграф. Это ты заявлял. Вот и будь добр ответить за базар теперь. А во-вторых, изначально речь шла о раздаче интернета, причём на линухе, и тут появился в белых одеждах ты, и начал говорить что-то про фрю, про модули netgraph, и про то, что файрвол во фре включается только перекомпиляцией ядра. Затем версия изменилась -- оказывается, что файрвол надо включать через sysctl. Ну признайся, что ты просто не знаешь, что файрвол модулем включается из rc.conf, да и всё.

А то развёл тут -- начал всех убеждать, что в netgraph'е шаришь и прочее. Во-первых, это к делу отношения не имеет, а во-вторых, ты так и не смог подтвердить свои слова, что дописал хоть строчку кода в нетграфе вообще или в ng_car в частности. А страшных слов типа SCTP я и сам до хрена знаю. Только в отличие от тебя, знаю, в каком контексте их надлежит применять.