Локализация и Free-SA
-
Подсчет общего трафика есть тут: http://forum.pfsense.org/index.php/topic,21394.0.html
просто вместо LS юзаем free-sa;) И это тоже.
Но хотелось использовать возможности pfflowd. -
netflow формат уж предпочтительнее давно устаревшего ipcad.
-
Однозначно нужно с netflow уметь снимать информацию. правда…. обычно этим коллекторы занимаются, т.к. поток данных достаточно велик, напрягать на это сам pfsense не очень хороший вариант, но иногда просто нет выбора.
Я вот так и не смог подружить free-sa c логами netflow.:(
Но если вдруг пойдет разработка, готов поучавствовать в тестировании:)
-
а зачем? генерируйте отчеты c помощью flow-tools. Там даже есть модуль анализа лога на предмет атак.
-
netflow формат уж предпочтительнее давно устаревшего ipcad.
Там тоже свои заморочки. Вы никогда не узнаете пришел ли трафик из инета или из кэша squid если последний установлен.. Ну я так понимаю по крайней мере. Попрвьте если что не так..
-
как раз таки узнаешь :)
Будет 2 соединения
клиент-сквид
сквид-сайтДа и netflow, как и ipcad можно настроить на прослушивание определенного трафика. Но гораздо лучше я считаю фильтровать сами логи.
-
как раз таки узнаешь :)
Будет 2 соединения
клиент-сквид
сквид-сайтДа и netflow, как и ipcad можно настроить на прослушивание определенного трафика. Но гораздо лучше я считаю фильтровать сами логи.
Я как-то пытался написать коллектор для pfflowd на сях. Могу ошибаться, но ничего подобного в случае с прозрачным прокси нету. Слушается ведь LAN, а на нем уже нету никакой инфы, что pfSense ваш трафик с 80-го порта перекинул на squid.
-
Если вести речь о серьезных нагрузках, то вообще не стоит заморачиваться с free-sa на pfsense.
Должен быть отдельный хост с коллектором и агрегатором.
Иначе как вы будете считать трафик с двух параллельных pfsense? ;-)
А если нагрузки высокие, это подразумевает требования к отказоустойчивости/балансировке. А это уже пара pfsense+CARP.
Соответственно, каждый отчитывается на сервер-коллектор.
free-sa можно подружить с flow-tools.PS: Только для таких случаев IMHO лучше пихать в SQL-базу и использовать какую-нибудь обертку для нужных "select" из нее.
Потому что отчеты free-sa будут статичны. И если нужна будет аналитика, с ними неудобно работать. А в SQL написал новый запрос и получил нужный срез ;-)
С другой стороны, если хранить историю в искомом виде, то гораздо меньше места понадобится. А нужные отчеты строить чз "flow-cat | flow-filter | flow-print | awkчто угодно
" ;)PS2: по кешу верное замечание. В netflow инфу по кешу не получишь. Тут без логов squid не обойтись. Тут нужно придумать костыль - или логи squid упихать по какому-то принципу в netflow (например для кеша указывая определенный source tag), или еще какой способ их передачи думать…
Мне вот стало интересно еще и user name из captive portal прикрутить к netflow… нужно подумать =)
-
ipcad разве считает трафик по сквиду?
-
ipcad разве считает трафик по сквиду?
Имеется ввиду, что из ipcad скриптом закидывают инфу в логи squid, а отчеты строят уже по логам squid ;-)