Отслеживание исх/трафика с пк в интернет.



  • Добрый день.

    Интересует следующее, руководство поставило задачу отслеживать весь трафик исходящий от внутрисетевых компьютеров в интернет, почта\http и т.д.  (В наличии локальная сеть с контроллером домена на Windows 2003, шлюз pfSense, с прокси сервером squid и фильтром для squid\a - squidguard).

    Возможно ли реализовать задачу средствами pfsense, может с помощью установки дополнительных пакетов?



  • @Azot:

    Добрый день.

    Интересует следующее, руководство поставило задачу отслеживать весь трафик исходящий от внутрисетевых компьютеров в интернет, почта\http и т.д.  (В наличии локальная сеть с контроллером домена на Windows 2003, шлюз pfSense, с прокси сервером squid и фильтром для squid\a - squidguard).

    Возможно ли реализовать задачу средствами pfsense, может с помощью установки дополнительных пакетов?

    это не биллинг



  • А чтонибудь можно придумать? Например установкой другой системы или покупкой hardware штуки какой нибудь?



  • @Azot:

    А чтонибудь можно придумать? Например установкой другой системы или покупкой hardware штуки какой нибудь?

    конечно можно, но я думаю эта тема для другого форума… если офис небольшой смотрите в сторону http://www.ideco-software.ru



  • Пакет pfflow транслирует информацию о трафике. Можно на сторонней машинке поднять регистрирующую программу и снимать показания с пакета. (гугл)
    Также в пакетах есть несколько других пакетов для сбора статистики потрафику (ntop darkstat и др).



  • @dvserg:

    Пакет pfflow транслирует информацию о трафике. Можно на сторонней машинке поднять регистрирующую программу и снимать показания с пакета. (гугл)
    Также в пакетах есть несколько других пакетов для сбора статистики потрафику (ntop darkstat и др).

    он же хочет исходящий и входящий ntop, darkstat ему такое не даст, про pfflow точно не скажу



  • в принципе интересует только исходящий трафик, разве нету "пакета", который показывает в реальном времени соединения с удалённым хостом в виде 192.168.1.65 -> имя хоста или на край ip адрес.



  • @Azot:

    в принципе интересует только исходящий трафик, разве нету "пакета", который показывает в реальном времени соединения с удалённым хостом в виде 192.168.1.65 -> имя хоста или на край ip адрес.

    если просто показывать - то trafshow



  • @Azot:

    в принципе интересует только исходящий трафик, разве нету "пакета", который показывает в реальном времени соединения с удалённым хостом в виде 192.168.1.65 -> имя хоста или на край ip адрес.

    States в меню.



  • Отлично, уже коечто, вооще у меня ведь настроена свзяка squid\squidlight\squidguard и с помощью этой связки можно отследитть посещение сайтов и количество переданной информации от хоста к хосту.

    Ребят а учёт\подсчёт трафика через почтовые порты pop\smtp можно каким либо образом организовать, как я понимаю squid\lightsquid\squidgaurd работает только с http?



  • @Azot:

    Отлично, уже коечто, вооще у меня ведь настроена свзяка squid\squidlight\squidguard и с помощью этой связки можно отследитть посещение сайтов и количество переданной информации от хоста к хосту.

    Ребят а учёт\подсчёт трафика через почтовые порты pop\smtp можно каким либо образом организовать, как я понимаю squid\lightsquid\squidgaurd работает только с http?

    ipcad прикрути



  • IPCAD (ищем по форуму), опять-же pfflow + внешний анализатор.



  • ok спс  \\ Блин ребят тормознул после шестичасового пяления в монитор, конечно же меня интересует исходящий трафик а не входящий, а моя связка squid\ов мониторит только входящий трафик???



  • Хотя по ходу функция This option enables the proxy server to forward requests to an upstream server. как раз отвечает за исх трафик, если да то вопрос по настройке, правда после этого в статике ничего не изменилось и UP трафика не появилось, может я ожидаю не тот результат?



  • @Azot:

    ok спс  \\ Блин ребят тормознул после шестичасового пяления в монитор, конечно же меня интересует исходящий трафик а не входящий, а моя связка squid\ов мониторит только входящий трафик???

    Сделать в файере правила и поставить галку log. (сам не проверял, не знаю насколько это эффективно)



  • 2 DasTieRR Хм, ведь файерволл только максимум отобразит исх хосты, а надо количество переданных мегабайт.



  • @Azot:

    2 DasTieRR Хм, ведь файерволл только максимум отобразит исх хосты, а надо количество переданных мегабайт.

    Посмотри описание ipcad, он слушает то, что ты ему укажешь и будет складывать в лог файл (списком), поищи по форуму, конфиг для входящего трафика там был, попробуй передлать его для записи исходящих соединений.



  • 2 DasTieRR

    мда если только конфиг найти, так как я почитал в инете как настраивается ipcad, и понял что мне его таким образом оч долго натраивать, так как с этим маршрутизатором я пока тока через web интерфейс понимаю как общаться.



  • @Azot:

    2 DasTieRR

    мда если только конфиг найти, так как я почитал в инете как настраивается ipcad, и понял что мне его таким образом оч долго натраивать, так как с этим маршрутизатором я пока тока через web интерфейс понимаю как общаться.

    Тогда лучше действительно смотри в сторону Идеко, довольно хорошая штука, и с биллингом там получше.

    там через веб интерфейс всё рулится.



  • ээээ посмотрел сколько это стоит, думаю что руководство предпочтёт просто ограничинить доступ к определённым сайтам, нежели покупать такую дорогущую тему )))  А какие нибудь пакеты pfsense всётаки есть позволяющие отслеживать не только http трафик ???

    Под пакетами pfsense понимается пакеты имеющие граф\настройку.



  • Вообще походу nTop как сборщик статики рулит!!!



  • ощщще!!!
    ntop теряет статистку периодически.



  • Поднял на ВендЕ триальный ManageEngine Net Flow Analyzer 8. С pfSense настроил pfflowd на адрес машинки (порт 9996), которая слушает netflow. Через 10 минут работы имею первую статистику по хостам/портам/протоколам.



  • Не понял сначала, что добавлять в Аналайзере (там на первой же странице это предлагают сделать) ничего не нужно. Как и сказал dvserg через 10 мин само появится. Софтина кстати существует и под nix.



  • @deutsche:

    Не понял сначала, что добавлять в Аналайзере (там на первой же странице это предлагают сделать) ничего не нужно. Как и сказал dvserg через 10 мин само появится. Софтина кстати существует и под nix.

    Да я сначала тыкал - оказалось просто в pfsense порт прописать нужный и подождать.
    Кстати под никс есть flow-reader с помощью которого можно ловить flowd сигнал. У меня в лог пишет, только теперь с концепцией лимитера разобраться. Логи есть, а что делать еще не совсем ясно.



  • ntop теряет статистку периодически.

    Вообще да, я сегодня с утра пришёл, думаю посмотрю чёго там за вчерашний день и … фиг по ходу он показывает статику только пока машина активна в сети.



  • Буду пробовать ManageEngine NetFlow Analyzer

    А при использовании  вышеуказанной программы proxy сервер на pfSense должен быть активен? А то он у меня отслеживает только шлюз и причём только по http (((



  • А скажите nTop можно настроить, чтобы он сохранял логи за предыдущие дни, чего то я не нашёл распределения по времени.



  • Опять по поводу nTop, в нём есть plugin NetFlow, он предназначен тоже для сбора и отображения статистики или только для сбора статистики?



  • Может кто обьяснить разницу? Прокси не позрачный.






  • не вместилось




  • @DasTieRR:

    Тогда лучше действительно смотри в сторону Идеко, довольно хорошая штука, и с биллингом там получше.
    там через веб интерфейс всё рулится.

    Оффтоп: Ставил идеко шлюз.Сделано извините за выраженние настолько просто и банально для идиотов,что после полутора лет сидения на ПФ,никак не смог его настроить и запустить в работу на тестовой машине.Видимо так привык к напильнику,такой то матери и ПФ,что не смог в простом разобраться=)))
    Но и в идеко есть свои недоработки…
    PFфилы всех стран объединяйтесь!!! ;D



  • Простота в ИТ  - это всегда значит в чем-то отсутвие гибкости и за деньги
    us6iae
    А почта у тебя тоже через squid? График на RRD похож на… IMAP
    статистика на интерфейсе и статистика сквида - вещи разные. Если есть расхождение, значит этот трафик не идет через сквид.



  • @Lexx:

    @DasTieRR:

    Тогда лучше действительно смотри в сторону Идеко, довольно хорошая штука, и с биллингом там получше.
    там через веб интерфейс всё рулится.

    Оффтоп: Ставил идеко шлюз.Сделано извините за выраженние настолько просто и банально для идиотов,что после полутора лет сидения на ПФ,никак не смог его настроить и запустить в работу на тестовой машине.Видимо так привык к напильнику,такой то матери и ПФ,что не смог в простом разобраться=)))
    Но и в идеко есть свои недоработки…
    PFфилы всех стран объединяйтесь!!! ;D

    Так я и не писал, что проще. Я сам на идеко не смог повторить, то что сделал на ПФ (но это не вина Идеко, просто к этому моменту я уже принял решение работать с ПФ и потратил много времени на изучения и продукта.) Ещё есть аттика или типа того, французский проект, жутко ужасная вещь :)



  • Так Ideco - отстой, который не заменит функциональностью и возможностями pfSense и его плагины?

    PS вообще я конечно сам больше скланяюсь к настройке *.nix через командную строку, а не интерфейс как у Ideco, с их не доработками, но хрен как к ней подступиться, думаю сделать образ с pfsense на другой комп или вирт\машину и изучать файлы конфигураций.



  • Поигрался на досуге с pfflowd+flowd - вполне реально сделать конвертер в логи сквида с последующим парсингом лайтсквидом. Хотя Лайт уже не то - скоро Free-SA придет на смену.



  • @Azot:

    Так Ideco - отстой, который не заменит функциональностью и возможностями pfSense и его плагины?

    PS вообще я конечно сам больше скланяюсь к настройке *.nix через командную строку, а не интерфейс как у Ideco, с их не доработками, но хрен как к ней подступиться, думаю сделать образ с pfsense на другой комп или вирт\машину и изучать файлы конфигураций.

    нуууу… тогда тебе, дорогой, нужно ставить голую freeBSD (а не глючные форки freebsd и linux) и пилить... гиря золотая... (с)
    и не мучай никого глупыми вопросам ;)



  • Offtop

    2 zar0ku1  Полюбому начинать надо с чего либо, с начала, win2003 rras, потом la2net, ms isa, Linksys hardware и наконец pfSense, надеюсь что дальше будет голая freebsd, но вот как раз таки там и будет куча вопросов, и боюсь что глупых …



  • Фря отлично документирована. Читайте хендбук.
    И на самом деле не важно с чего начинать, главное знать основы



  • /azot
    Причем тут linksys hardware, la2net?! что за бред? а pfsense для вас венец прям?в шоке


Locked