IPFW SQUID внутренняя сеть разный доступ и учет трафика

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
KaMa-CyTpA
мл. сержант
Сообщения: 127
Зарегистрирован: 2006-11-10 12:48:45
Откуда: Мурманск
Контактная информация:

IPFW SQUID внутренняя сеть разный доступ и учет трафика

Непрочитанное сообщение KaMa-CyTpA » 2008-05-07 18:05:56

В сети очень много компьютеров которые лезут в интернет.
Босс параноик - нужен трафик по всем.
Сеть - контроллер домена на 2003 Active Directory.
Всем компам нужен веб и мыло. [comp1,comp2,...]
Некоторым - ася.[comp10,comp11,...]
Очень некоторым фтп и ssh.[comp21,comp22,...]
Прокси - FreeBSD на ней SQUID.
Логи считает красиво, только понятно что многое идет "мимо кассы".
Ася понятно - метров 10 в месяц.
Мыло - не учитывается.
Делал IPFW по теме господина Лисяры.

Код: Выделить всё

 check-state
 allow ip from any to any via lo0
 deny ip from any to 127.0.0.0/8
 deny ip from 127.0.0.0/8 to any
 deny icmp from any to any
 deny ip from 122.64.0.0/10 to me
 deny ip from any to any dst-port 137,138,139,81 in via fxp0
 deny ip from any to any dst-port 5222,5223,7777 in via fxp0
 deny ip from any to me dst-port 22 via fxp0
 deny ip from any to any frag
 deny ip from any to 10.0.0.0/8 in via fxp0
 deny ip from any to 172.16.0.0/12 in via fxp0
 deny ip from any to 192.168.0.0/16 in via fxp0
 deny ip from any to 0.0.0.0/8 in via fxp0
 deny ip from any to 169.254.0.0/16 in via fxp0
 deny ip from any to 240.0.0.0/4 in via fxp0
 
 fwd 127.0.0.1,8080 tcp from 192.168.0.0/24 to any dst-port 80 via fxp0
 fwd 192.168.0.254,2121 tcp from 192.168.0.0/24 to any dst-port 21 via fxp0
 
 divert 8668 ip from 192.168.0.0/24 to any out via fxp0
 divert 8668 ip from any to 213.142.192.193 in via fxp0
 
 deny ip from 10.0.0.0/8 to any out via fxp0
 deny ip from 172.16.0.0/12 to any out via fxp0
 deny ip from 192.168.0.0/16 to any out via fxp0
 deny ip from 0.0.0.0/8 to any out via fxp0
 deny ip from 169.254.0.0/16 to any out via fxp0
 deny ip from 224.0.0.0/4 to any out via fxp0
 deny ip from 240.0.0.0/4 to any out via fxp0
 #DNS
 allow udp from any to any dst-port 53
 #MAIL SERVER
 allow ip from 213.142.213.45 to 192.168.0.0/24
 #INTERNAL DNS, CITRIX, SQL
 allow ip from any to 192.168.0.4,192.168.0.11,192.168.0.16
 #CS
 allow udp from any 27010-27025 to 192.168.0.0/24 in via fxp0
 allow udp from any 27010-27025 to 192.168.0.0/24 out via vr0
 allow udp from 192.168.0.0/24 to any dst-port 27010-27025 in via vr0
 allow udp from 213.142.192.193 to any dst-port 27010-27025 out via fxp0
 #TIME
 allow ip from any to any dst-port 123,37 via fxp0 setup
 allow udp from 192.168.0.0/24 to me dst-port 123,37 via vr0
 allow ip from any to any via vr0
 allow ip from any to 213.142.192.193 via fxp0 keep-state
 allow ip from 213.142.192.193 to any via fxp0
 allow ip from any to any established
 deny ip from any to any
Но насколько я понимаю с таким НАТ-ом Р2Р и всяка разна будут пролазить?
И то есть трафик будет неучтенным?
Как мне сделать чтобы учитывать трафик фтп и запрещать "левый"?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
f_andrey
майор
Сообщения: 2651
Зарегистрирован: 2007-12-26 1:22:58
Откуда: СПб
Контактная информация:

Re: IPFW SQUID внутренняя сеть разный доступ и учет трафика

Непрочитанное сообщение f_andrey » 2008-05-07 21:34:53

Я не специалист а токо учусь но все таки все запрещающие правила вида

Код: Выделить всё

deny ip from any to
лучше вконец списка, ибо список обрабатывается последовательно от начала к концу, до первого подходящего правила, ну и что бы что то считать надо это что то иметь, то есть должны быть правила вида

Код: Выделить всё

$cmd 00499 deny [b]log[/b] all from any to any
это только пример главное слово в нем выделено.
И вобше я бы порекомендовал поискать статью об учете трафика. на этом сайте они тоже есть. и все получится главное захотеть :)
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308