Лимит по траффику...

[Urgor]

Наступил такой интересный момент - порнуха у пользователей зарезана, приличная часть сайтов развлекательного назначения тоже заразана, баннеры режутся, короче, зарезано очень и очень много. А вот потребление траффика больше не снижается Народ припугнутый "драконовскими" методами, типа по 200 мегабайт инета на каждого протянул недолго - месяца полтора - потом просекли, что если попросить то включают анлим

А можно отсюда подробнее? Как можно сделать лимит скажем 30 мег/сутки? Или хотя бы падение скорости устроить при привышении определенного лимита, как у провов?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

у меня сделано по 200 мег в месяц. Рубится тока по http - но можно и в фаер правила добалять

Код: Выделить всё

/usr/script/work/>cat traff_limit.sh
#!/bin/sh
#
#
#
db_user="ipacctd"
db_passwd="ipacctd"
db_name="ipacctd"
path_to_limit="/usr/home/lissyara/smb_share/all_of_sites/squid/limited_IP.conf"

year=`date '+%Y'`
month=`date '+%m'`


#
echo "192.168.20.253" > ${path_to_limit}
mysql_query="/usr/local/bin/mysql --user=${db_user} --password=${db_passwd} \
--database=${db_name}"

${mysql_query} --execute="SELECT \`to_IP\`, SUM(\`bytes\`) AS \`bytes\` FROM \`sk0_${year}\` WHERE \
\`to_IP\` LIKE '192.168.20.%' AND \`from_IP\` != '192.168.20.254' AND \
\`from_IP\` != '213.234.195.210' AND \`date\` LIKE '${year}-${month}-%' GROUP BY \`to_IP\` ORDER BY \`bytes\`" \
| grep -v "to_IP" | \
grep -v "192.168.20.142" | grep -v "192.168.20.30" | \
grep -v "192.168.20.152" | grep -v "192.168.20.31" | \
grep -v "192.168.20.123" | grep -v "192.168.20.158" | \
grep -v "192.168.20.141" | grep -v "192.168.20.148" |\
{
while read stroka
do
user_IP=`echo ${stroka} | awk '{print $1}'`
user_bytes=`echo ${stroka} | awk '{print $2}'`
if [ ${user_bytes} -ge 209715200 ]
then
    echo ${user_IP} >> ${path_to_limit}
fi
done
}
killall -1 squid

[Urgor]

Хм. Хм. А ипы у тебя статические??? При смене ипа по dhcp статистика по нему накроется... Надо как-то к именам хостов привязывать.

[Alex Keda]

Динамика.
Но, вообще-то, комп старается старый IP получить. По возможности.
Обычно ему это удаётся.

[Urgor]

Теоретически да, но вероятность все же есть... посему хотса сделать "как правильно"
А как будет выглядеть инетная статистика? Как частные адреса на внешнем интерфейсе?

[Alex Keda]

на внешнем адресе nat - там не может быть частных адресов, они на внутреннем интерфейсе.

[Urgor]

Т.е. мы смотрим на нутряном интерфейсе весь траффик, который адресован не самому серваку?

[Alex Keda]

точно
а что, из квери к mysql этого не видно?

[Urgor]

Неа Инет то еще не притащили, грят деньков через 10-15 буде... А прокся (мне нужен с авторизацией) отмечается как: '2006-03-26','12:16:00','192.168.0.200','3128','192.168.0.37','client','tcp','7464','8296'

[Urgor]

# Стираем пустые строки (а вот откуда они вылазиют я так и непонял....)
${sql_preffix} --execute="DELETE FROM \`traffic_tmp\` WHERE from_IP='' AND \
port_from_IP='' AND to_IP='' AND port_to_IP='' AND protocol=''"
# Стираем строки в которых полное число байт (вместе с технической инфой)
# равно нулю (тоже непойми откуда берутся - раз в статистику trafd попали -
# значит соединение было и байты должны были б быть...)

Наверное вот отсюда:

Код: Выделить всё

 (xl0) asu-002.mbfkk.spb.ru at Mar 22 15:46:56 - Mar 22 16:19:10
 Summary: 478306 data bytes, 674654 all bytes, 18 records
     From           Port         To            Port  Proto     Data       All

[Alex Keda]

э нет... там не отражено, но щас оно хитрее делается там на входе стит

Код: Выделить всё

grep "^[0-9]"

- т.е. левак сразу отсекается. а вот строки пустые есть ))

[Urgor]

Но все же где-то рядом, очень, очень близко. Бо у меня перлОвый нормально во временную базу пишет. Мдя, приходится учить "албанский"

[Alex Keda]

х.з.
Перловый подо что? trafd или ipacctd?

[Urgor]

Под trafd, но IMHO под ipacctd модифицировать будет не сложно (главное таблицы не трогать). Но у меня задумка грандиозная Сделать группы, квоты, рассылку предупреждений после ужимания канала и после отрубания (когда квоту на отдел выберут)... вообщем всю рутину возложить на сервак.
А заодно и язык еще один изучу.

[Alex Keda]

я тоже подобное начал - но времени не хватило доделать.
тока я с web мордой делать собирался.... на php и shell

[Urgor]

Начал делать... появилось несколько вопросов:
1. Правила пайпов обязательно писать всамом начале правил файрвола или мона к правилам ната опустить?
2. При перезагрузке правил скажем раз в 10 минут (сквиду конфиг тоже придется перечитывать) машинке не поплохеет?

[Alex Keda]

наскока я понял - нужно вверху. ссылку не дам, прямого утверждения не помню
а чё вдруг поплохеет-то?
Сквида я killall -1 squid заставляю перечитываться. Это лучше чем перезапуск.

[northern]

обрати внимание на переменную sysctl net.inet.ip.fw.one_pass:

net.inet.ip.fw.one_pass: 1 Когда установлено, пакет, выходящий из потока dummynet, не проходит через брандмауэр повторно, В противном случае, после обработки канала пакет повторно вводится в брандмауэр по следующему правилу.

то есть если у тебя она=1, то после выхода из pipe пакет покидает файер.

[Alex Keda]

Ага. Тока с фаером где по дефолту deny all from any to any нолик ставить не стоит... Ибо по возвращении в фаер применится последнее правило )) Сам нарывался ))

[northern]

ты имеешь ввиду если у тебя вего две строки в файере: pipe и deny ip from any to any? тогда да. А с другой стороны ты наваял фаер (точнее я, нарвался тоже ), вверху поставил pipe и думаешь, что у тебя защита, а пакетики-то после трубы уходят.

[Alex Keda]

хм... дело то в том, что я снаружи не лимитирую.
А замечание дельное.

[Alex Keda]

обрати внимание на переменную sysctl net.inet.ip.fw.one_pass:

net.inet.ip.fw.one_pass: 1 Когда установлено, пакет, выходящий из потока dummynet, не проходит через брандмауэр повторно, В противном случае, после обработки канала пакет повторно вводится в брандмауэр по следующему правилу.

то есть если у тебя она=1, то после выхода из pipe пакет покидает файер.

цитата знакомая... линк дай?
Чё-то меня сомнения затерзали...

[northern]

http://ipfw.ism.kiev.ua/ipfw.html

[Alex Keda]

несходится... если бы покидали то до диверта бы не доходило...
щас пробовал - divert срабатывает при любом раскладе - а он у меня после труб...

[northern]

не знаю... дома дивертов не было, я только по логу и понял, что что-то не так. Ставлю несколько pipe, смотрю ipfw show - как написано так и есть: если one_pass=1 после первой трубы уходит из фaйера. Ставлю 0 - проходит все трубы. Да по скорости видно, заходит в канал или нет, дома-то ADSL 8Mb. Надо разобраться. Смотрю ман 4.11, тоже - пишут, уходить должен после трубы:

Pass packet to a dummynet(4) ''pipe'' (for bandwidth limitation,
delay, etc.). See the TRAFFICSHAPER (DUMMYNET)CONFIGURATION
Section for further information. The search terminates; however,
on exit from the pipe and if the sysctl ( 8 ) variable
net.inet.ip.fw.one pass is not set, the packet is passed again to
the firewall code starting from the next rule.