Еще раз о ipcad+squid+lightsquid

strelok

Установил, спасибо.
Все пошло с 4 попытки,когда прочитал формум и понял что надо открыть  агрегацию портов и вуаля!)
Только одно НО-разве наормально что в логе есть порты с номером 0,я думал такие вообще не должны отображаться чтобы избежать двойного подсчета

Antip

@Antip:

Вопрос снимается, разобрался.

Теперь возник другой вопрос, ipcad записывает статистику почты как шттп трафик.
Например: скачиваю тундербёрдом письма с gmail.com, mail.ru смотрю как записал это ipcad:
  rsh localhost show ip accounting

   Source           Destination    Packets        Bytes  SrcPt DstPt Proto   IF
209.85.149.138   192.168.1.1       111       133586      0 64413     6 bge0

1. Скачал его я, а не сервер (Destination должен быть 192.168.1.55)
2. Порт должен быть 995 или 110 (0 это правило aggregate 3128 into 0)

В чём проблема? У меня фрибсд прописан шлюзом, сам проксисервер настроен прозрачно с редиректом pf
rdr inet proto tcp from $lan_net to any port www -> 127.0.0.1 port 3128

P.S. сейчас ещё заметил, аська по 5190 порту тоже никак не фиксируется, mirc по 6669 порту аналогично.
Что фиксируется?! 443 порт, 53, 2041, 5, 9999

• up -
  Подскажите пожалуйста, куда копать? я не могу посчитать и контролировать данный трафик, т.к. если уберу сортировку по порту 3128/80/8080? то трафик будет удваиваться, сквид + ipcad.

rubic

Всем, кто использует данное решение подсчета трафика, необходимо отредактировать файл tolog.sh
Причина: при ротации логов squid, возможна ситуация когда файл /var/squid/log/access.log уже переименован в access.log.0, а новый файл access.log еще не создан. Если в это время сработает tolog.sh (а он таки срабатывает в 00:00, как и ротация), то новый файл access.log будет создан самим tolog.sh с владельцем root. В результате squid не сможет писать в него и остановится. Если установлен SquidGuard, то остановится и он. Пользователи не смогут открывать странички.
Новый файл tolog.sh (добавлена проверка существования access.log):

#!/bin/sh

if [ -f "/var/squid/log/access.log" ]
then
net="192.168.0"
ttime=`/usr/bin/rsh localhost sh ip acco | grep 'Accounting data saved' | awk '{print ($4)}'`
rsh localhost clear ip accounting
rsh localhost show ip accounting checkpoint | grep $net | awk -v vtime=$ttime '{print (vtime".000",1,$2,"TCP_MISS/200",$4,"CONNECT",$1":"$5,"-","DIRECT/"$1,"-")}' >> /var/squid/log/access.log
fi

zar0ku1

сделай чтобы ротация лога сквида проходила в 00:05 и всего делов

rubic

Подозреваю (но не уверен, кто бы подсказал?), что при ротации LightSquid'ом новый access.log вообще не создается. А создается он только в момент первой записи в него. Тут уж кто раньше встал - того и тапки. Squid или tolog.sh

zar0ku1

@rubic:

Подозреваю (но не уверен, кто бы подсказал?), что при ротации LightSquid'ом новый access.log вообще не создается. А создается он только в момент первой записи в него. Тут уж кто раньше встал - того и тапки. Squid или tolog.sh

создается при ротации

rubic

Поторопился с определением причины такого поведения. Сегодня сбойнуло уже утром, далеко-далеко от ротации. У access.log владелец root, группа - proxy, и никакие проверки на существование файла естественно не помогают. Сам файл под 2 мега. Жаль не посмотрел содержимое, кто последний в него писал((
chown что ли в tolog.sh еще ставить?

NegoroX

а не хард ли подсбаивает перед гибелью? смарт посмотреть (вот только чем его глянуть?

forestman99

@rubic:

Поторопился с определением причины такого поведения. Сегодня сбойнуло уже утром, далеко-далеко от ротации. У access.log владелец root, группа - proxy, и никакие проверки на существование файла естественно не помогают. Сам файл под 2 мега. Жаль не посмотрел содержимое, кто последний в него писал((
chown что ли в tolog.sh еще ставить?

я так и сделал, в конце tolog.sh chown добавил, потому как два раза за полгода файл сменил владельца и сквид встал колом

Ilyuha

Чего-то на свеже установленном релизе 2.0 не могу наладить работу ipcad. Делал по инструкции с новым rsh. В access.log нет записей от ipcad. На бетах и РЦ работало. RSH в памяти висит, ipcad в установленных пакетах есть. Помогите ПЖЛ.

rubic

@Ilyuha:

Чего-то на свеже установленном релизе 2.0 не могу наладить работу ipcad. Делал по инструкции с новым rsh. В access.log нет записей от ipcad. На бетах и РЦ работало. RSH в памяти висит, ipcad в установленных пакетах есть. Помогите ПЖЛ.

а что показывает rsh localhost show ip accounting ?

Ilyuha

После 30 сек ожидания

localhost: Operation timed out

rubic

top | grep ipcad

Ilyuha

top | grep ipcad

нет его
в /cf/conf/config.xml запись есть```
<shellcmd>/usr/local/bin/ipcad -rds</shellcmd>

rubic

ну попробуйте руками запустить ipcad -rds и посмотрите, что напишет
нормальный запуск - это примерно вот так:

Opening bge0... [LCap] [ERSH] [4096] Initialized as 1
Configured RSH Server listening at 127.0.0.1
No valid entries found in /var/log/ipcad/ipcad.dump.
Daemonized.

Ilyuha

[2.0-RELEASE][root@srv.org.local]/root(2): ipcad -rds
/libexec/ld-elf.so.1: Shared object "libpcap.so.5" not found, required by "ipcad"

rubic

Надо попробовать удалить ipcad и compat6x-i386, сделать:
setenv PACKAGESITE ftp://ftp-archive.freebsd.org/pub/FreeBSD-Archive/old-releases/i386/8.1-RELEASE/packages/Latest/
и заново все по инструкции

Ilyuha

rubic
Спасибо большое.
Удалил старые пакеты.

setenv PACKAGESITE ftp://ftp-archive.freebsd.org/pub/FreeBSD-Archive/old-releases/i386/8.1-RELEASE/packages/Latest/

pkg_add -r compat6x-i386

pkg_add -r ipcad

reboot

И вуаля!!!

rubic

сделал шпаргалку для pfSense 2.0
http://ru.doc.pfsense.org/index.php/%D0%9F%D0%BE%D0%B4%D1%81%D1%87%D0%B5%D1%82_%D1%82%D1%80%D0%B0%D1%84%D0%B8%D0%BA%D0%B0_%D1%81_%D0%BF%D0%BE%D0%BC%D0%BE%D1%89%D1%8C%D1%8E_Squid_%D0%B8_ipcad_%D0%B2_pfSense_2.0

porych

Спасибо за нормальный мануал, всё работает. Только вопрос. Сейчас экспериментирую дома - локального DNS нету (для локальных машин). Вопрос - какой способ резолвинга имен хостов нормально работает? SMB не хочет (nmblookup нету). DNS - нету самого сервера. Пока только list (и то только после правки конфигурирующей XML-ки, по умолчанию опции в ней нету, а при перезагрузке она всё равно конфиг правит).