Раздача инета в локалку - вопрос по решению под линукс

Соббсно - имеется VPN-туннель до одного из местных провайдеров. Требуется - раздавать инет на десяток компов, чтобы можно было еще мониторить соединения, определять доступ каждого пользователя к определенному списку сайтов, а так же иметь возможность перенаправлять запросы с нестандартных портов в инет.
Имеется - Mandriva One 2007, провод проложен, хаб. сейчас работают в сети протоколы HTTP, Socks, SSL, MySQL,HTTPS, необходимо сохранить фунционал

ну по доступу. .тут явно напрашивается сквид+какая-нить настройка над ним (я юзал SAMS), мониторить соединения чего? если сквида, то можно скрипт написать или взять готовый, если мониторить нужно более обширно, рекомендую такие пакеты как Ntop, Nagios. Перенаправление портов можно реализовать натами, а если заморачиваца не хочется, то и тупо маскарадить можно всю машину, а обратно форвардом по нужным портам.. тут курить документацию на Опеннете, там чертика можно построить и ещё полные карманы идей остануца.

Да, можно подробнее про "мониторить"?

счита, что сквид - костыли
если уж раздавать интернет, то полностью - чтобы и почтой можно было пользоваться и всеми отсальными протоколами.

ну это как классический вариант, а так пожалуйстаесть NETAMS, Stargazer.. и прочие штуки.. давайте чего-нить поставим и на RADIUS прикрутим. ИМХО.не вижу смысла изголяца для 10 АРМов.

Блин на 10 компов FreeBSD (ng_* модули ядра динамически грузятся в память при первом вызове - так же динамически выгружаются, но вот для IPFW придется ядро перебрать, но это плевое дело - это не в Лялихе изголятся, хотя народ говорит что можно юзать ng_ipfw, но... малоли что гворят =)) ng_nat, без применения mpd и прочей ppp ереси, считать траф ng_netflow (man ng_netflow) коллектор NetFlow v5 nfacctd, если есть желания веб морды - в зубы там что угодно php, perl, python... ВСЕ... работы на 1 час!

ЗЫ http://sysadmins.ru/viewtopic.php?t=102314...&highlight=

ЗЗЫ Есть все конфиги - будешь делать - пиши в личку - вышлю все на почту- только залей на сервак и вперед - фактически аналог циски по свойствам на обычном PC =). Ммм... у CISCO пожалуй надежность выше в железном плане.

ЗЗЗЫ Не вижу смысла колдыбаться с Лялихом - инопланетный iptables, для учета тарфика ULOG или для netflow ipcad (упоси от ndsad) или ещё какой костыль, DNAT/SNAT если ипник статика/динамика - ну а в остальном php, perl, python... далее по тексту

В конторах разрешать интернет без ограничений по протоколам -- архивредно для производительности труда </div>

Все поняли, что ты знаешь кучу умных слов. Но вот с тем, что они означают -- получилось полное попадалово ;-)

Во-первых, модули ng тут вообще ни при чём. Во-вторых, IPFW отлично работает модулем, без пересборки ядра. Соответсвенно, самым простым решением будет не ng_nat, а natd. А к чему ты про mpd и ppp к ночи вспомнил -- я вообще не понял.

<div class='quotetop'>Цитата</div><div class='quotemain'>ЗЗЗЫ Не вижу смысла колдыбаться с Лялихом - инопланетный iptables, для учета тарфика ULOG или для netflow ipcad (упоси от ndsad) или ещё какой костыль, DNAT/SNAT если ипник статика/динамика - ну а в остальном php, perl, python... далее по тексту[/quote]
Капец, и эти люди в соседнем топике агитируют за линух, который мега-крут, мега-функционален и мега-удобен </div></div>

Начну с ...IPFW отлично работает модулем, без пересборки ядра...
Не спорю... роутер на фряхе искаропки можно настроить только параметрами sysctl - давай уже все туда через sysctl грузить все необходимые модули - вот радости начинающему пользователю сидеть и курить сходу sysctl - не проще ему тогда CISCO сразу взять так ммм 2900 Catalyst м...???

Мда.. вот лучше б ты ничего и не писал.. я уже более полу года занимаюсь изчучением и написанием патчей к модулям сетевой подсистемы FreeBSD NetGraph. Ты вот просто ляпнул какую то фигню и доволен - я же предложил человеку свои конфиги, при необходимости могу объяснить и отдать исходный код дня некоторых модулей, хотя они нафиг не нужны в устанавливаемых задачах масштабах такой мсети (сейчас занимаюсь ng_car) - а предложить могу переписанный для более удобной работы интерфейс к MySQL модуля nfacctd входящий в состав пакета pmacct (уже лучше - больше удобсва и производительности при разработки собсвенных приложений при работе с таблицей, куда будет складываться raw траффик). Самым простым решением будет - залил конфиг - запускай, весь механизм давно отлажен и отработан.

PS Остальное даже комментирвоать не хочу - просто что то совсем несуразное, текст походу писался по правилу - что читаю то и пишу, не вдумываясь особо в смысл моего поста.

ЗЗЫ Вот так и не понимаю, почему люди считают, что если они чего то не знают и не понимают, то этого обязательно не должны знать и понимать другие?</div>

При чём тут sysctl вообще?!

echo firewall_enable=\"YES\" > /etc/rc.conf
echo natd_enable=\"YES\" > /etc/rc.conf
echo gateway_enable=\"YES\" > /etc/rc.conf

Вуаля -- получаем работающий файрвол и natd, остаётся только написать правила для файрвола.

<div class='quotetop'>Цитата</div><div class='quotemain'>Мда.. вот лучше б ты ничего и не писал.. я уже более полу года занимаюсь изчучением и написанием патчей к модулям сетевой подсистемы FreeBSD NetGraph.[/quote]
Трындеть -- не мешки ворочать. Ссылку на исходники во фре, подписанные твоим именем, приведёшь? Или щас начнётся что-нибудь в духе "вот ещё, тебе надо, ты и ищи" или "не могу разглашать..."?

<div class='quotetop'>Цитата</div><div class='quotemain'>ЗЗЫ Вот так и не понимаю, почему люди считают, что если они чего то не знают и не понимают, то этого обязательно не должны знать и понимать другие?[/quote]
Я бы задал вопрос по-другому -- почему ты считаешь возможным писать всякую псевдонаучную хрень, и уверен при этом, что никто не заметит, что это полная псевдонаучная хрень? </div></div></div>

На фряхе "искаропки" настраивается полный роутер написанием скрипта для ipfw и указанием необходимых директив в /etc/rc.conf.
Никаких лишних телодвижений там делать не требуется ваапсче.</div>

Вот готовое решение под Linux http://subbilling.info/
Там на сайте не самая свежая версия, если понравиться биллинг, то могу поделиться более свежей

at_hacker Зачем ты вообще все это понаписал, для своего самоутверждения, или ты себе доказал что в гугле искать умеешь?

Вот тебе, для примера, ссылка на переделанный мной интерфейс nfacctd к мускулю, давайка только ты собери демон с ним, протести и скажи что изменилось, а что нет. А то мне кажется, что за порой адекватными словами скрыватеся какой то человек, который 2 раза в гугл сходил и думать что он знает о данной системе все (лично я думаю, что я знаю о FreeBSD достаточно мало) http://92.241.102.36/mysql_plugin.c

ЗЫ Вот дайка ты мне плз ssh в Инете на хоть один свой сервак, который ты постоянно мониторишь? Я тебе ещё минимум один могу внешний предложить. А вообще у меня сейчас 8 cерваков на фряхе от 6.0 до 7.0 по разным организациям работает, на которых постоянно идет активная работа и все они уникальны по своим задачам и однотипны в базовой конфигурационной настройке, которую я и хотел предложить, как готовое решение топиксатртеру (это уже называется опыт).

ЗЫ Демон коллектора не собирался с модифицированным плугином - ошибка была - поправил в 23-45 перезалил рабочий. Все, тестируй давай...

<div class='quotetop'>Цитата</div><div class='quotemain'>at_hacker Зачем ты вообще все это понаписал, для своего самоутверждения, или ты себе доказал что в гугле искать умеешь?[/quote]
Давай вот тока не будем свои проблемы на меня проецировать, ага?

Н-да, батенька... Я такими правками по 15 раз на дню занимаюсь, однако не выдаю это за нечто из ряда вон выходящее Кстати, чо-та не заметил я твоих официальных коммитов в исходниках pmacct ;-) Ты какую версию pmacct правил-то? ;-)

Код:

/usr/home/at_hacker/diff diff1.txt diff2.txt
10,11d9
<       strncat(where[primitive].string, "FROM_UNIXTIME(%u) = ", SPACELEFT(where[primitive].string));
<     else
13d10
<     strncat(where[primitive].string, "stamp_inserted", SPACELEFT(where[primitive].string));
17,18d13
<       strncat(values[primitive].string, "FROM_UNIXTIME(%u), FROM_UNIXTIME(%u)", SPACELEFT(values[primitive].string));
<     else
27c22
< }
\ No newline at end of file
---
> }

diff1.txt -- функция MY_evaluate_history из исходников пора pmacct. diff2.txt -- функция из твоего файла. Капец, принципиальнейшие правки -- целых две строчки убрал

А поведай мне, дорогой друг, чо за параметр config.sql_history_since_epoch? ;-)

<div class='quotetop'>Цитата</div><div class='quotemain'>А то мне кажется, что за порой адекватными словами скрыватеся какой то человек, который 2 раза в гугл сходил и думать что он знает о данной системе все (лично я думаю, что я знаю о FreeBSD достаточно мало)[/quote]
Как самокритично -- афигеть просто Ты знаешь достаточно мало, но когда я тебе (в очередной, замечу, раз) намекаю прозрачно, что надо бы подучиться, а не сыпать пачкой умных слов, не зная их значения, ты становишься в позу и изображаешь из себе мега-гуру. Курям насмех -- патчи он пишет.

<div class='quotetop'>Цитата</div><div class='quotemain'>ЗЫ Вот дайка ты мне плз ssh в Инете на хоть один свой сервак, который ты постоянно мониторишь? Я тебе ещё минимум один могу внешний предложить. А вообще у меня сейчас 8 cерваков на фряхе от 6.0 до 7.0 по разным организациям работает, на которых постоянно идет активная работа и все они уникальны по своим задачам и однотипны в базовой конфигурационной настройке, которую я и хотел предложить, как готовое решение топиксатртеру (это уже называется опыт).[/quote]
Тебе, может, ещё ключи от квартиры, где деньги лежат, дать? ssh ему дай... С такими советами, какие ты даёшь, если тебе доступ по ssh дать, я потом <strike>зае</strike> утомлюсь сервера в порядок приводить </div></div></div></div>

<div class='quotetop'>Цитата</div><div class='quotemain'>не проще ему тогда CISCO сразу взять так ммм 2900 Catalyst м...???[/quote]
29 серия - L2.</div>

Все таки перечитал ещё раз... какие 2 строчки? Ты можешь сорцы сравнить оригинал и то что я исправил? В чем выражаетчся суть этих исправлений? Нет возможности поставить и запустить - скажи по коду, что изменится в работе демона?

PS http://ru.wikipedia.org/wiki/GNU_General_Public_License - это, если подзабыли...

[K.LAN]HAMMER, защитан

Мне тоже уже надоело бесполезность этих никому неныжных доказательсв непонятно чего... если есть желание применить свои знания на практике - прошу... я щас пишу на python морду для биллинга, Сорцы, проект, все что уже написано - на ящик. Пожелания, код, изменения проекта - с радостью принимаются... http://92.241.102.36 - форма логина, пароль логин вместе с сырцами - мой активный проект

От жеж тьма египетская... Я тебе привёл DIFF функции, правка которой заявлена в комментариях к твоему файлу. Насколько я вижу по сути кода, твой "патч" всего лишь изменяет формат вывода даты в базу.

И ты так и не ответил, что содержится в параметре config.sql_history_since_epoch. А также не ответил, какую версию pmacct ты правил.

Да, к тому же ты заявлял, что офигенно рубишь в модулях netgraph... Ну так pmacct к нетграфу никаким концом не относится. Так что, батенька, в очередной раз низачот </div>

Морда к чему?
Пароль-логин дашь посмотреть?

P.S.
Визифинг на лицо...</div>

Капец... Теперь у нас разработка простеньких страничек с парой SQL-запросов должна проканать как мега-квалификация в администрировании FreeBSD вообще и как знание структуры модулей netgraph в частности? Не смеши Такие биллинги на коленке рисуются за пару часов, и не говорят даже о наличии элементарных знаний в области какой-либо ОС. Тем более, что если этот "биллинг" на основе данных pmacct, то это ваще никуда -- pmacct данные уже готовые в базу кладёт -- вытащил запросом и вывел итог на страничке.</div>

Зашёл по ссылке... Начало афигеть многообещающее :clapping:
<img src="http://cyber-spider.net/phot/billing.jpg" border="0" class="linked-image" />

Форма ввода логина и пароля доставляет тоже... "DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN"
Ты не в курсе, что на дворе уже HTML 4 давно?

Я правильно понимаю, что ты мне предлагаешь исходники и логин-пароль от "биллинга" прислать? Если да, то уволь -- никакого желания чо-та детские поделки драть я не испытываю. Да и таких биллингов в интернете -- как нерезаных собак. Плюнуть некуда -- в биллинг попадёшь. Вон, например, vovaivanov свой биллинг написал Причём задооолго до того, как тебе даже пришла в голову эта светлая идея.</div>

может сейчас всяких биллингов уже хватает, но в 2003-м году я поискал немного и не нашел ничего толкового (тогда еще под ядро 2.2). Поэтому просто оформил скрипт из правил iptables -I FORWARD ... на каждый компьютер в сети и написал парсилку на перле, которая раз в 5 минут скидывала показания трафика в базу MySQL и проверяла баланс счета на предмет того чтобы были деньги. Если денег у пользователя стало меньше 0 - тогда просто закрывался доступ в интернет через iptables -I FORWARD ... -j DROP и отсылалось сообщение на e-mail юзеру. Если денег стало больше 0 - правило DROP удалялось.

Плюсы такой организации "биллинга" (неполноенный он, поэтому в кавычках) - знание того как оно работает и возможность расширения под свои нужды. Минусы - слабая масштабируемость. Ну т.е. для сотен и тысяч клиентов он не годится, но для десятка-другого компьютеров в локальной сети - вполне рабочий вариант.

Никого не агитирую за самоделку, серьезно исследованием готовых решений не занимался. Но если из готовых ничего не устраивает, то самодельный вариант - вполне себе решение.

Кстати более того - для такого биллинга совсем не обязательно поднимать отдельный линукс-сервер. На правилах iptables можно организовать "биллинг" в ADSL-модеме в который есть доступ через telnet.
Все что нужно - написать управляющую программу, которая будет снимать показания с модема и модифицировать правила, блокируя доступ неплательщикам. Т.е. если в сети уже есть виндовый сервер, то он вполне может справиться с этой задачей и совсем не обязатеьно ставить отдельный сервер на линуксе.

Ну, с самостоятельным написанием правил файрвола, считающих трафик, можно и не заморачиваться. Щас полно всяких утилей, которые считают трафик и без того. Типа ipcad или ng_ipacct. Ну или того же самого pmacct, "патчи" к которому один из ораторов выше пишет pmacct может сразу данные в базу класть. К ipcad и ng_ipacct можно простенький скрипт для этих же целей нарисовать, я это делал когда-то, форматы вывода у них, в принципе, одинаковые. По крону часто можно пускать один скрипт, который чисто складывает данные в базу, и чуть пореже -- скрипт, который будет подбивать итоги и добавлять запрещающие правила в файрвол.

А вообще да, если кроме веба ничего не надо раздавать, то можно всё это сделать на squid+SAMS. Там и интерфейс вебовый есть, можно ограничения по сайтам в нём задавать и ещё целой кучей параметров рулить.</div>

at_hacker, Ваш уровень квалификациия уже понял - походу Вам только на См форуме флуд гонять, даже если бы я Вам предложил исходники ng_car переделанный для динамического шейпирования, которое планируется применятся в данном биллинге, это было бы пустая трата времени, судя по тому как Вы 3 часа думали над простым плугом к мускулю и так (странно что хоть что то заметили)... и ещё... почитайте для начала хотя бы У.Р. Стивенса, Б. Феннера, Э.М. Рудоффа "UNIX разработка сетевых приложений", после чего с Вами можно будет вообще завести разговор о системном программировании на FreeBSD.
Жалею только что вообще завел с вами беседу на эту тему (и потратил свое время), потмоу что в ответ только вода да сопли, что то похожее на школьника, который узнали что сушесвует язык C, shell и там можно выполнить команду ls.
sql_history_since_epoch - прояви хоть чуточку осведомленности о предметной области, а не только пальцы гни (что выглядит глупо) - http://www.pmacct.net/ChangeLog-0.11.5
<div class='quotetop'>Цитата</div><div class='quotemain'>Ты не в курсе, что на дворе уже HTML 4 давно? [/quote]... не удержался и впоследний раз процетирую и отвечу тут на Ваши откровенно малограмотные и хулиганские сообщения - сразу видно, человек не знает(или не понимает), что HTML код, генерится не вручную, а уже готовыми фукциями фреймворка, хотя после прочитанного уже трудно чему то удивляться или возражать.. гг

ЗЫ at_hacker - cочувствую вашему работодателю, если такой вообще есть... =)

2 Георгий - данная поделка затачивается исключительно под нужды конкретной организации и ни шага в сторону. Только там же планируется использовать - это достаточно весомое основание для того, чтобы не ковырятся в чужом коде, в попытках достигнуть желаемого результата.</div>