netams+transparent squid

[GreenDay]

собссно, спасибо автору статьи на сайте schizoid... решился поставить нетамс..
усе разрулил по дефолтному конфигу, стал переделывать под себя - вылезли непонятные вилы
конфиг сейчас такой

Код: Выделить всё

#NeTAMS 3.4.0 (3146.1) root@freebsd.edinros.local / Tue Mar 11 12:04:13 NOVT 2008
#configuration built Wed Mar 12 17:54:41 2008
#begin
#global variables configuration
debug none
language ru
user oid 05E018 name admin real-name "Sergey" crypted *** email root@localhost permit all

#services configuration

service server 0
login local
listen 20001
max-conn 10

service processor
lookup-delay 60
flow-lifetime 180
policy oid 0A7F65 name ip target proto ip
policy oid 0DF92D name www target proto tcp port 80 81 8080 3128 8888
policy oid 0CA3BD name mail target proto tcp port 25 110 995 587
policy oid 0E938F name icq target proto tcp port 5190
restrict all pass local pass
auto-units 1 type user naming prefix1 ip-
unit net oid 00D2C4 name LAN ip 192.168.0.0/24 auto-units 1 acct-policy ip www mail icq
unit user oid 08D019 name ip-68 ip 192.168.0.68 acct-policy ip www mail icq
unit user oid 0AA9E7 name ip-88 ip 192.168.0.88 acct-policy ip www mail icq
unit user oid 0A9AB7 name ip-85 ip 192.168.0.85 acct-policy ip www mail icq
unit user oid 0D1B37 name ip-8 ip 192.168.0.8 acct-policy ip www mail icq
unit user oid 09CD39 name ip-71 ip 192.168.0.71 acct-policy ip www mail icq
unit user oid 0F81D8 name ip-56 ip 192.168.0.56 acct-policy ip www mail icq
unit user oid 0EC9E2 name ip-11 ip 192.168.0.11 acct-policy ip www mail icq
unit user oid 064480 name ip-79 ip 192.168.0.79 acct-policy ip www mail icq
unit user oid 038AFD name ip-95 ip 192.168.0.95 acct-policy ip www mail icq
unit user oid 0B5C04 name ip-62 ip 192.168.0.62 acct-policy ip www mail icq
unit user oid 04F51F name ip-98 ip 192.168.0.98 acct-policy ip www mail icq
unit user oid 00F5F6 name ip-92 ip 192.168.0.92 acct-policy ip www mail icq
unit user oid 028697 name ip-17 ip 192.168.0.17 acct-policy ip www mail icq
unit user oid 0A8EDE name ip-72 ip 192.168.0.72 acct-policy ip www mail icq
unit user oid 08A569 name ip-7 ip 192.168.0.7 acct-policy ip www mail icq
unit user oid 0B73A2 name ip-15 ip 192.168.0.15 acct-policy ip www mail icq
unit user oid 03D5D9 name ip-78 ip 192.168.0.78 acct-policy ip www mail icq
unit user oid 09390E name ip-81 ip 192.168.0.81 acct-policy ip www mail icq

service storage 1
type mysql
host localhost
user netams
password netams
accept all

service data-source 1
type ip-traffic
source divert 199
layer7-detect urls

service html
path /usr/local/www/data/stat
run 5min
url http://192.168.0.250/stat/
htaccess yes
client-pages all
display-top 10
account-pages none

service scheduler
oid 00ECF3 time 1hour action "save"
oid 08FFFF time 5min action "html"


#end

настройки ipfw такие

Код: Выделить всё

00451 fwd 192.168.0.250,3128 tcp from 192.168.0.0/24 to any dst-port 80,8888
00452 tee 199 ip from any to 192.168.0.0/24 in via rl1
00500 divert 8668 ip from any to any in via rl1
..................
03300 tee 199 ip from 192.168.0.0/24 to any out via rl1
03500 divert 8668 ip from any to any out via rl1

ну вот если по предложенной схеме работать, то трафик считается хм.. как то странно)
в графе www например вообще пусто, в графе ip килобайты всего(хотя по трафд там сотни метров).. почта не считается, аська тоже чет мелко считается...

короче, я так понимаю проблема в правильном построении правил ipfw, хотя данное построение кажется мне вполне логичным и адекватным...
подскажите плиз куда рыть

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[schizoid]

может в этом дело?

service data-source 1
type ip-traffic
source divert 199
layer7-detect urls

00452 tee 199 ip from any to 192.168.0.0/24 in via rl1
00500 divert 8668 ip from any to any in via rl1
..................
03300 tee 199 ip from 192.168.0.0/24 to any out via rl1
03500 divert 8668 ip from any to any out via rl1

это так, то что бросилось в глаза просто...

[GreenDay]

судя по документации с офф. сайта это не важно

Код: Выделить всё

# tee XXX
пакеты будут копироваться в программу и параллельно обрабатываться системой, номер divert-порта XXX
# divert XXX
пакеты будут заворачиваться в программу и она может отдать или не отдать их системе обратно, номер divert-порта XXX 

посчитать то он их посчитает, но вот куда возвращать будет не понятно))
сначала делал просто и в ipfw divert, но потом подумал что надо пока что сделать tee до окончательной отладки... хотя с дайвертом проблем в работе инета не наблюдал

[InventoR]

а может стоит правила раставить по номерам? ))))

[GreenDay]

ну вопрос как раз в том и был - правильно ли расставлены правила..
я вот считаю, что правильно

[schizoid]

а без прокси работает? считает?

[InventoR]

Вот как у меня раставлены, и вроде считает правильно.

00050 count ip from any to any in via rl0
00051 count ip from any to any out via rl0
00052 divert 199 ip from any to any in via fxp0
00053 divert 199 ip from any to any out via fxp0
00054 count ip from any 80,3128 to any in via rl0
00055 count ip from any to any dst-port 80,3128 out via rl0
00056 count ip from any 20,21 to any in via rl0
00057 count ip from any to any dst-port 20,21 out via rl0
00157 deny ip from table(0) to any
00300 deny tcp from any to me dst-port 113 setup
00301 deny tcp from any to me dst-port 139 setup
00303 deny tcp from any to me dst-port 445 setup
00304 deny udp from any 137 to any
00305 deny udp from any to any dst-port 137
00306 deny udp from any 138 to any
00307 deny udp from any 513 to any
00308 deny udp from any 525 to any
00650 fwd 192.168.0.1,3128 tcp from 192.168.0.0/24 to any dst-port 80,8080 via fxp0 in
00750 divert 8668 ip from any to 213.247.236.145 via rl0 in
00850 divert 8668 ip from 192.168.0.0/24 to any via rl0 out
00950 allow ip from any to me dst-port 22
01050 allow ip from me 22 to any
01150 allow ip from any to any via rl0
01250 allow ip from any to any via lo0

[Neteru]

Не могли бы мне посказать одну мелочь!
Я для пробы поставил НетАмс на отдельный сервак, который просто сам по себе, т.с. movie-server и с него народ смотрит фильмы.
вот мои настройки:

Код: Выделить всё

#NeTAMS 3.4.0 (3146.1) root@freebsd.eltra.ru / УТЕДБ, 12 НБТФБ 2008 З. 12:44:36 (MSK)
#configuration built Fri Mar 14 10:48:06 2008
#begin
#global variables configuration
debug none
language ru
user oid 000001 name admin real-name "Admin" crypted $1$$HpXmjtul/3i1.bf.B27bU. email root@freebsd.eltra.ru permit all

#services configuration

service server 0
login local
listen 20001
max-conn 6

service processor
lookup-delay 60
flow-lifetime 180
policy oid 000002 name ip target proto ip
restrict all pass local pass
unit group oid 000003 name myNETWORK acct-policy ip
unit net oid 000004 name LAN ip 192.168.0.0/24 acct-policy ip
unit host oid 07D427 name server ip 192.168.0.81 parent myNETWORK acct-policy ip
unit user oid 04716E name tony ip 192.168.0.209 password abc parent myNETWORK acct-policy ip
unit user oid 06DEF5 name sosnin ip 192.168.0.103 password abc parent myNETWORK acct-policy ip
unit user oid 03ED24 name tolyan ip 192.168.0.247 password abc parent myNETWORK acct-policy ip

service storage 1
type mysql
accept all

service data-source 1
type libpcap
source rl0 
rule 11 "ip"

service quota
policy ip
notify soft owner
notify hard owner
notify return owner

service alerter 0
report oid 06100 name rep1 type traffic period day detail simple
smtp-server localhost

service html
path /usr/local/www/stat
run 10min
url http://192.168.0.81/stat/
htaccess yes
client-pages all
account-pages none

service scheduler
oid 08FFFF time 10min action "html"

service login
relogin no

#end

Вопрос: при просмотре статистики есть два поля: получено и отправленно! Полученно всегда достаточно внушительные цифры, а отправленно нет. Так вот полученно - это тот обьем который был скачан пользователем или нет?

[ALF]

ну вот если по предложенной схеме работать, то трафик считается хм.. как то странно)
в графе www например вообще пусто, в графе ip килобайты всего(хотя по трафд там сотни метров).. почта не считается, аська тоже чет мелко считается...

короче, я так понимаю проблема в правильном построении правил ipfw, хотя данное построение кажется мне вполне логичным и адекватным...
подскажите плиз куда рыть

Попробуй вот так... в этом случае ничего дополнительного в фаирволе прописывать не надо. По идеи должно заработать

service data-source 1
type ip-traffic
source rl1
layer7-detect urls