Как можно подсчитать трафик незаметно для пользователей?

[Dark Smoke]

Добрый день.
поставили задачу подсчитать трафик, и выяснить кто качает. Но тут схема подключения не стандартная.
Есть сервер служит шлюзом он подымает pppoe и на нем почтовый сервер. Этот сервер соединен с другим сервера на котором стоит самба с шарами и контроллер домена. Эти два сервера соединены между собой витой парой из сетевой карты в сетевую карту, без свича.

Т.е. если выключить сервер с шарами, то инетета не будет.
Как в таких условиях считать трафик?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Miguel]

так у вас на домен контроллере наверное просто интерфейсы в бридж загнаны. если так, то разница между сервером контроллера домена и свичом только в том, что на свиче нет FreeBSD.

или все ж таки на втором сервере как-то хитрее все устроено? тогда просветите, а то сложно гадать...

[Dark Smoke]

Вот схема, На шлюзе Фря 8,2 На контролере домена, тоже 8,2

[snorlov]

rc.conf с контроллера домена и все станет понятно...
У вас наверняка на шлюзе прозрачный нат, ну так поставьте туда сквид и сарж и будете иметь статистику по ip-адресам. Если надо по именам пользователей с прозрачной авторизацией, то тогда ставится сквид с ntlm-авторизацией в домене, клиенты будут использовать windows авторизацию, но на машинах в офисе придется указывать адрес(доменное имя) компа где стоит сквид и его порт...

[Dark Smoke]

rc.conf шлюза

Код: Выделить всё

$ cat /etc/rc.conf
defaultrouter="192.168.100.250"
gateway_enable="YES"
hostname="mail.remi.dp.ua"
ifconfig_em0="inet 192.168.200.250  netmask 255.255.255.0"
keymap="ua.koi8-u"
keyrate="fast"
saver="green"
sshd_enable="YES"
sendmail_enable="NONE"
exim_enable="YES"
dovecot_enable="YES"
apcupsd_enable="YES"
snmpd_enable="YES"

slapd_enable="YES"
slapd_flags='-h "ldapi://%2fvar%2frun%2fopenldap%2fldapi/ ldap://0.0.0.0/ ldap://127.0.0.1/"'
slapd_sockets="/var/run/openldap/ldapi"

rc.conf контроллера домена

Код: Выделить всё

# cat /etc/rc.conf
#keymap="ru.koi8-r"
font8x14="cp866-8x14"
font8x16="cp866b-8x16"
font8x8="cp866-8x8"
scrnmap="koi8-r2cp866"

hostname="PDC.local"

gateway_enable="YES"
sshd_enable="YES"
samba_enable="YES"
winbindd_enable="YES"
rsyncd_enable="YES"

clear_tmp_enable="YES"

named_enable="YES"
named_program="/usr/sbin/named"
named_flags="-u bind -c /etc/namedb/named.conf"

cloned_interfaces="vlan6 vlan7"
ifconfig_em0_alias0="inet 192.168.100.250/24"
ifconfig_em1="inet 192.168.200.1/24"
ifconfig_vlan6="inet 172.16.16.16/24 vlandev em0 vlan 6"
ifconfig_vlan7="inet 172.17.17.17/24 vlandev em0 vlan 7"
defaultrouter="192.168.200.250"

dhcpd_enable="YES"
dhcpd_conf="/usr/local/etc/dhcpd.conf"
dhcpd_ifaces="em0"
dhcpd_flags="-q"

slapd_enable="YES"
slapd_flags='-h "ldapi://%2fvar%2frun%2fopenldap%2fldapi/ ldap://127.0.0.1/ ldap://192.168.100.250"'
slapd_sockets="/var/run/openldap/ldapi"

[Ikinoki]

Включить ipfw count правила на маки?

[Dark Smoke]

а можно подробнее?

[Ikinoki]

Код: Выделить всё

em="em1" наша сетевуха для внутренней сети
macs=`arp -an | grep $em | sed -e 's/.*at \([a-z0-9:]*\).*/\1/g' | sort -u | grep -v '''^$''' | grep -v '''ff:ff:ff:ff:ff:f[1-9]'''` тут вписать маки своих сетевух
s=100 начало правил
for i in $macs
do
	ipfw add ${s} count ip from any to any MAC ${i} any out via em1
	s=`expr ${s} + 1`
	ipfw add ${s} count ip from any to any MAC any ${i} in via em1
	s=`expr ${s} + 1`
done

Добавляет правила (русские комменты надо убрать)
На маках лучше не делать, лучше делать на вланах.
Не забудьте включить layer2 для ipfw

[Ikinoki]

vlanах или tun (создаются при пптп в некоторых случаях)

[Dark Smoke]

Так это мне надо знать маки всех устройств зарание??? Если да, то это не подходит, потому что ноуты приходят и уходят мобильные6 устройства всякие и тп

[Ikinoki]

Ну так скрипт по крону или статик арп.
Или еще вариант arpwatch (или самому на питоне написать, примеры отлова АРП в гугле есть.)

[sadchok]

rc.conf с контроллера домена и все станет понятно...
У вас наверняка на шлюзе прозрачный нат, ну так поставьте туда сквид и сарж и будете иметь статистику по ip-адресам. Если надо по именам пользователей с прозрачной авторизацией, то тогда ставится сквид с ntlm-авторизацией в домене, клиенты будут использовать windows авторизацию, но на машинах в офисе придется указывать адрес(доменное имя) компа где стоит сквид и его порт...

Можно принудительно завернуть нужный трафик на Squid средствами ipfw.

[Ikinoki]

И весь траффик по 443 порту будет идти мимо

[Dark Smoke]

IPFW на какой машине надо делать? На шлюзе или на контроллере домена?

[Ikinoki]

А где клиенты подсоединяются и гоняют траффик?

[Dark Smoke]

Клиенты подсоединены как на схеме. Т.е. сначала к контроллеру домена, а контроллер домена второй сетевой картой через пачкорд соединен со шлюзом который подымает PPPoe

[Miguel]

дык может считать трафик там, где нат поднят?

[Dark Smoke]

Значит на шлюзе