Как сделать квоты на доступ в сеть интернет, для рабочих станций локальной сети?

Question

[Dmitry]

Здравствуйте! Есть такая задача:
Настроить прозрачный прокси + веб интерфейс для мониторинга кто куда ходил
Квотирование трафика для рабочих станций + веб интерфейс для мониторинга и статистики + настройки квот под каждый компьютер.
Определять компьютер по netbios имени, либо по маку, но в интерфейсе (веб морде) должен отображаться по netbios имени.

Что я планирую использовать: ubuntu server, dnsmasq, squid, netfilter

Как я это себе представляю: настроить перенаправление портов 80 и 443 на squid, весь остальной трафик натить. Весь трафик, считать по каждому клиенту, и с помощью правил, под каждого клиента, ограничивать доступ в интернет, при превышении квот на загрузку.

У кого какие есть идеи с реализацией данной задачи?

Answer 1

[Dmitry]

Вообщем, решил использовать Kerio Control. Все умеет из коробки, да и стоит не дорого. Всем спасибо!

Comments

[Ульрих]

Хорошо, когда деньги есть :)

Answer 2

[Spetros]

Как я это себе представляю: настроить перенаправление портов 80 и 443 на squid, весь остальной трафик натить. Весь трафик, считать по каждому клиенту, и с помощью правил, под каждого клиента, ограничивать доступ в интернет, при превышении квот на загрузку.

У кого какие есть идеи с реализацией данной задачи?

Хорошо. Можете реализовывать.

Comments

[Dmitry]

В моем посте озвучено два конкретных вопроса, ваш ответ, не отвечает ни на один из них. Для чего вы это написали? Внимания хочется?

[Spetros]

В вашем вопросе содержится ответ на него.
В противном случае у вас не вопрос, а задание.
Вот возникнут сложности с реализацией отдельных частей - тогда спрашивайте вполне определенные вещи.

[Dmitry]

Spetros: Если вы не знаете как помочь, или не хотите, то зачем вообще писать?

Answer 3

[Дмитрий Александров]

Определять компьютер по netbios имени, либо по маку, но в интерфейсе (веб морде) должен отображаться по netbios имени.

Бред, обязательно найдется хитрая задница которая ненапрягаясь под видам шефа будет смотреть порнушку.
Если нужен контроль за пользователями то поднимайте контролер домена, на проксе авторизация по доменному юзверю с прописанными для него правилами.
Если стоит проблема в том что трафик не резиновый и канал дохлый то намного проще пускать в инет тупо по "белому" списку, поверьте список будет не таким большим(главное бухам открыть полный доступ на все их клиентбанки).
Если просто неистово хочется смотреть за пользователями куда они там ходят, с учетом что домена у вас нет, то намного проще будет все это сделать через любой девайс микротика или ROS в полном составе все что вы хотите.
Вопросов у вас не увидел, вы просто гдето краем уха слышали о убунте\сквиде и даже не понимаете толком особо за чем оно и как все это реализовать.
Первый же пункт в гугле решает большую часть вашей....
Если вы надеетесь что сейчас кто то кинется и скинет готовые конфиги идеально подходящие для вас да еще и напишет всю вебморду со всеми хотелками то сильно ошибаетесь.
Начинать надо было с того чтобы сделать хоть что то и если упретесь в проблему которые не можете решить или не понимаете идете на тостер.

Comments

[Dmitry]

Ребятки, вы че такие озлобленные? Есть конкретная здача, есть поверхностное представление о ее решение, но с пробелами. Вопрос заключался в заполнение пробелов или в других идеях по реализации. Касательно обхода ограничений, накладываемых на пользователей - это в задаче не стоит. Ни кто не просит сделать это за меня или скидывать какие либо конфиги. Вопрос стоит в том, какие есть идеи по реализации, может есть уже какой-то комбайн, который все это может, и т.д.

[Дмитрий Александров]

Janus74: для того чтобы была проблема надо сначало ее найти, начните с малого, поднимите сквид, сделайте детализацию, получилось? Прикручивай к полученному шейпинг? снова получилось? Иди дальше пока не упрешься в конкретную проблему и уже с этой проблемой и конкретикой того что уже есть тебе подскажут как его решить, возможно будет проще попробовать что то совсем другое.
Сейчас ваш текст выглядит как: "Братва, мне вот тут хочется машину купить, хочу чтобы была тонированая, неверное мерин, обязательно хочу в нее панель от жигулей и надо бы еще кузов ибо навоз периодически вывожу, ах да еще надо пульт радиоуправления прикрутить через блютуз но от моего телевизора сони старого потому что там очень удобно сделаны стрелочки".
Будет конкретика, будет и совет, пока я не вижу ничего. Где топология сети, какие операционки юзаются, кто выступает шлюзом, какая конкретная цель все этого, кто будет пользоваться всей этой статистикой, куда вы там что натить собрались, что уже есть на данный момент и в чем проблема?

[Dmitry]

Дмитрий Александров: Я не понимаю, в чем проблема, прочитать то, что я написал. Вопрос стоит таким образом: есть задача, отслеживать, на какие сайты ходят пользователи локальной сети, и ограничить дневной лимит загружаемого трафика в день. Есть требование к реализации, это должно быть на ubuntu server. Какие есть идеи по реализации? И мне не понятно, зачем вы отвечаете, если не хотите отвечать? Если не понятен вопрос, что мешает задать уточняющие вопросы? Зачем катать эти простыни бессмысленного текста?

[АртемЪ]

Janus74: Никто не озлобленный, вы задали вопрос и сами на него ответили. Что вам нужно еще?
Конкретизируйте вопрос - и будут вам нормальные ответы.

[Dmitry]

АртемЪ: Боже мой, откуда вы понабежали? в посте два конкретных вопроса 1. Как сделать квоты на доступ в сеть интернет, для рабочих станций локальной сети? дальше идет описание задачи, и мое представление о решение, а потом второй вопрос 2. У кого какие есть идеи с реализацией данной задачи?

[Дмитрий Александров]

Janus74: 1. Боже мой, открой гугл и набери "squid квотирование трафика". Какой вопрос такой и ответ.
2. Купи циску или джуниора. Удовлетворен?
Я не могу понять либо ты слишком глуп и не понимаешь о чем тебе говорят либо не хочешь понимать и ждешь готового.
"Доктор у меня болит! Где болит? Ну болит, вы же доктор! Где болит!? Ну там вот доктор, я рукой показываю же !!! Пациент, вы мне позвонили и я не вижу и не понимаю где и что у вас болит. Ой все, вы все такие, сидят там дармаеды я ему говорю и показываю а они не помогают!!" (Рассказал реальный случай знакомый хирург)

[Dmitry]

Дмитрий Александров: 1. нужно делать квоты на весь трафик, а не только на http/https (если бы вы прочитали вопрос, то поняли это)
2. Только софтварное решение нужно.
Для чего вы все это пишите? Если не читали вопрос, и не собирались как-то помогать? Вы хотите, за счет других, самоутвердиться?

[Дмитрий Александров]

Janus74: 1) Про весь трафик у вас нет ни слова.
2) Софтварное, ок. Ставите на сервер mikrotik ROS, покупаете лицензию на него по необходимости.
- Делаете ограничения по трафику через очереди, топорно через скрипт который дергаете шедулером.
Пример
- Для визуализации кто куда ходил и возможности ограничивать доступ к ресурсам и добавить кэширование, включаете штатный микротиковский вебпрокси, и указываете ip удаленного syslog сервера (к примеру WebProxy Log для просмотра, и WebProxy Log catcher как syslog сервер).
Если хочется заморочиться и написать под это все единую вебморду то вперед, у микротика есть штатный хороший api, работать с syslog одно удовольствие. Дело на недельку неторопливого быдлокода на коленке.

Answer 4

[CityCat4]

Настроить прозрачный прокси + веб интерфейс для мониторинга кто куда ходил

Squid. Только учтите, что веб-морды у сквида нет, не было и скорее всего и не будет. Sams, Sarg - что-то из этого возможно еще живое. Или велосипед.

Квотирование трафика для рабочих станций + веб интерфейс для мониторинга и статистики + настройки квот под каждый компьютер.

Готового софта я не знаю, возможно поможет какой-нибудь opensource billing - в принципе задача схожая.

Определять компьютер по netbios имени, либо по маку, но в интерфейсе (веб морде) должен отображаться по netbios имени.

Ээээ, годите, а Вы что квотить будете по IP??? Защиту от смены IP сотрудниками (или кто у вас там будет) - уже продумали?

Comments

[Dmitry]

Должно быть какое-то универсальное правило, создает квоту, для каждого компьютера, на весь трафик направленный в интернет. И возможность создавать исключения. А определять компьютеры, по маку или netbios имени. Касательно защиты от смены ip, мака, или имени компьютера - такой задачи не стоит, т.к. это будет решаться ограничением прав на самом компьютере. Касательно веб интерфейса, это скорей пожелание, главное наличие возможности получать статистику. Касательно квот, я выяснил что это можно сделать с помощью netfilter. Но из того, что я узнал, там делается квота на весь канал, либо маркировать трафик и на маркировки делать квоты - я пока не уверен, что дела обстоят именно так.

[CityCat4]

Janus74: Проверять квоты по компьютерам умеет биллинг - по крайней мере раньше, когда трафик был не анлим, любой биллинг это умел. Наверняка найти можно.

[Dmitry]

CityCat4: я тут подумал, возможно это и не нужно, сделать только квоты на проксе