В нашем городке есть домовая сеть ~200ПК, решил своим близким открыть доступ в internet
Поднял abills в связке с Mpd5 (pptp) + NAT, пришлось включить шифрование посколько на некоторых роутера
не хорошие дяди поставили сниффер. Всё работает, всё замечательно...
Но вот теперь возникла задача, вести детализированную статистику кто(ip) - куда(ip) заходил.1. У abills на этот счёт есть модуль Ipn (http://abills.net.ua/wiki/doku.php?id=abills:docs:ipn:ru), но скрестить его c mpd5
не получилось....
2. Тогда я пошёл на компрамис и через траффик коллектор решил собирать информацию с интерфейсов...Может быть кто нибуть посоветует...
- траффик коллектор с поддершкой nat (если есть такой в природе существует)
- настроить Ipn для mpd5 (слышал комуто удалось скрестить с ppoe)
- предложить другой биллинг/решение
>В нашем городке есть домовая сеть ~200ПК, решил своим близким открыть доступ
>в internet
>Поднял abills в связке с Mpd5 (pptp) + NAT, пришлось включить шифрование
>Но вот теперь возникла задача, вести детализированную статистику кто(ip) - куда(ip) заходил.Если FreeBSD, то связка ipfw tee и ipcad дает netflow, который можно скормить любому коллектору, биллингу или просто сохранять на диске.Нагрузка на систему невелика.
>>В нашем городке есть домовая сеть ~200ПК, решил своим близким открыть доступ
>>в internet
>>Поднял abills в связке с Mpd5 (pptp) + NAT, пришлось включить шифрование
>>Но вот теперь возникла задача, вести детализированную статистику кто(ip) - куда(ip) заходил.
>
> Если FreeBSD, то связка ipfw tee и ipcad дает netflow, который
>можно скормить любому коллектору, биллингу или просто сохранять на диске.Нагрузка на
>систему невелика.neetflow : сенсор на ваш выбор, коллектор - очень хороша весчь flow-tools (гибкий быстрый)
юзайте поиск местный по теме netflow - есть очнь хорошие статьи
>>В нашем городке есть домовая сеть ~200ПК, решил своим близким открыть доступ
>>в internet
>>Поднял abills в связке с Mpd5 (pptp) + NAT, пришлось включить шифрование
>>Но вот теперь возникла задача, вести детализированную статистику кто(ip) - куда(ip) заходил.
>
> Если FreeBSD, то связка ipfw tee и ipcad дает netflow, который
>можно скормить любому коллектору, биллингу или просто сохранять на диске.Нагрузка на
>систему невелика.Если FreeBSD, то зачем ipcad, если можно самим ядром считать? man ng_netflow
>Если FreeBSD, то зачем ipcad, если можно самим ядром считать? man ng_netflowс помощью правильного ipfw tee можно значительно сэкономить в обьеме netflow, да и для меня это проще и гибче оказалось...
> с помощью правильного ipfw tee можно значительно сэкономить в обьеме netflow,
>да и для меня это проще и гибче оказалось...а можно немного по-подробней?
>
>> с помощью правильного ipfw tee можно значительно сэкономить в обьеме netflow,
>>да и для меня это проще и гибче оказалось...
>
>а можно немного по-подробней?Ок, допустим у вас нету ng_netflow. Пробовано несколько способов, наиболее легким оказался
именно ipfw tee + ipcad. А уменьшение обьема флоу - все дело в правилах ipfw tee, где можно указать что именно гнать в tee, исключить напр ms-network, служебные сети и пр... и еще можно гнать в один tee с разных правил ipfw. А чем меньше flow - тем легче биллингу :)
>[оверквотинг удален]
>>
>>а можно немного по-подробней?
>
> Ок, допустим у вас нету ng_netflow. Пробовано несколько способов, наиболее легким
>оказался
>именно ipfw tee + ipcad. А уменьшение обьема флоу - все дело
>в правилах ipfw tee, где можно указать что именно гнать в
>tee, исключить напр ms-network, служебные сети и пр... и еще можно
>гнать в один tee с разных правил ipfw. А чем
>меньше flow - тем легче биллингу :)ну это смотря какая задача ))
иногда лучше собрать как можно подробнее - а же потом фильтрами самого пакета фло-тулз обсчитать как требуется
приколись если в правиле фаревола ошибся - стату уже не вернеш )
>>>а можно немного по-подробней?
>> Ок, допустим у вас нету ng_netflow. Пробовано несколько способов, наиболее легким
>ну это смотря какая задача ))
>иногда лучше собрать как можно подробнее - а же потом фильтрами самого
>пакета фло-тулз обсчитать как требуетсяГорячие биллинги любят нетфлоу на лету, а нормальные фильтры у коллекторов почти не бывают :)
>приколись если в правиле фаревола ошибся - стату уже не вернеш )
Ну, кто-ж на грабли ipfw не наступал, тут думать надо...
>>>>а можно немного по-подробней?
>>> Ок, допустим у вас нету ng_netflow. Пробовано несколько способов, наиболее легким
>>ну это смотря какая задача ))
>>иногда лучше собрать как можно подробнее - а же потом фильтрами самого
>>пакета фло-тулз обсчитать как требуется
>
> Горячие биллинги любят нетфлоу на лету,c "налету фильтрацией" это да, проблема
> а нормальные фильтры у коллекторовс пост фильтрацией все нормально )
>почти не бывают :)
>
>>приколись если в правиле фаревола ошибся - стату уже не вернеш )
>
> Ну, кто-ж на грабли ipfw не наступал, тут думать надо...ога
Сливать нетфлоу с mpd5[12:28][dubolom][/home/mike]#cat /usr/local/etc/mpd5/mpd.conf
startup:
set global enable tcp-wrapper
set user admin parol admin
set console self 127.0.0.1 5005
set console open
#set web self 0.0.0.0 5006
#set web open
#set ippool add pool1 10.15.0.1 10.15.4.1
set netflow peer 172.16.0.128 9997
set netflow self 172.16.0.128 9996
set netflow hook 9000set netflow timeouts 60 120
default:
load pptp_server
load pppoe_serverpptp_server:
create bundle template B_pptp
set iface idle 0
set iface enable tcpmssfix proxy-arp netflow-in netflow-out
set ipcp no vjcomp
set iface up-script "/usr/abills/libexec/linkupdown mpd up"
set iface down-script "/usr/abills/libexec/linkupdown mpd down"
set ipcp ranges 172.16.0.128 ippool pool1
set ipcp dns 172.16.0.1# The five lines below enable Microsoft Point-to-Point encryption
# (MPPE) using the ng_mppc(8) netgraph node type.
set bundle enable compression
set ccp yes mppc
set mppc yes e40
set mppc yes e128
set mppc yes statelesscreate link template L_pptp pptp
set link action bundle B_pptp
set pptp disable windowing
# Multilink adds some overhead, but gives full 1500 MTU.
set link enable multilink
set link yes acfcomp protocomp
set link no pap chap
set link enable chap
set link keep-alive 10 60
# We reducing link mtu to avoid GRE packet fragmentation
set link mtu 1460load server_common
pppoe_server:
create bundle template B_pppoe
set iface idle 0
set iface enable tcpmssfix proxy-arp netflow-in netflow-out
set ipcp no vjcomp
set iface up-script "/usr/local/etc/mpd5/mpd-script.pl up"
set iface down-script "/usr/local/etc/mpd5/mpd-script.pl down"
set ipcp ranges 172.16.0.128 ippool pool1
set ipcp dns 172.16.0.1# The five lines below enable Microsoft Point-to-Point encryption
# (MPPE) using the ng_mppc(8) netgraph node type.
set bundle enable compression
set ccp yes mppc
set mppc yes e40
set mppc yes e128
set mppc yes statelesscreate link template L_pppoe pppoe
set link action bundle B_pppoe
set pppoe acname "bras1"
set pppoe iface le0
set pppoe service "*"load server_common
server_common:
set link no pap eap
set link yes chap-md5
set link keep-alive 20 60
set link mtu 1492
set link enable incoming
set link no acfcomp protocompset auth acct-update 60
set auth timeout 21
set auth disable internalload radius
radius:
set radius config /etc/radius.conf
set auth acct-update 60
set radius retries 3
set auth enable radius-auth
set auth disable internal
set auth enable radius-acct
set auth disable internal
[12:28][dubolom][/home/mike]#cat /etc/rc.conf
hostname="dubolom.local"
ifconfig_le0="DHCP"
keyrate="fast"
[some text skipped]
mpd_enable="YES"
flow_capture_enable="YES"
flow_capture_datadir="/usr/abills/var/log/ipn/"
flow_capture_port="9997"
flow_capture_flags="-S 5 -n 1300 -N 0 -d 5"# /etc/crontab - root's crontab for FreeBSD
#
# $FreeBSD: src/etc/crontab,v 1.32.32.1 2008/11/25 02:59:29 kensmith Exp $
#
SHELL=/bin/sh
PATH=/etc:/bin:/sbin:/usr/bin:/usr/sbin
HOME=/var/log
[some text skipped]
* * * * * root /usr/abills/libexec/traffic2sql 1 flowdir=/usr/abills/var/log/ipn
mr_gfd подскажи, в abills какие нужно ещё в нести изменения?
Народ, если кто то знает ответ...напишите пожалуйста...