Вопрос по Trafd,подсчет трафика
3723
14
relax
veteran
Вообщем стоит Trafd
есть 2 интерфейса eth1 eth0
eth1 смотрит в внутрь и на нем сидит Trafd, eth0 наружу
так же на серваке стоит прокси, апач. Весь трафик по 80 порту завернут на проксятник.
собставенно ситуация вот в чем, пользвователи нормально считаются вопросов нет, но как только начинают работать активно с внутренним сайтом трафик тоже начинает считаться как за платный, хотя он просто локальный. Можно ли как нибудь просто завернуть локальный трафик на апач по другому порту минуя проксю, а в Trafd я уж в логах отброшу ненужный порт на котором вче это считалось.
идея как вроде следующая
в сквиде запретить доступ через прокси к локальному сайту
а в IPTABLESе если обращение идет к сайту (IP и домен) то заворачивать по другому порту и пулять на апач минуя прокси
можно ли так реализовать?
есть 2 интерфейса eth1 eth0
eth1 смотрит в внутрь и на нем сидит Trafd, eth0 наружу
так же на серваке стоит прокси, апач. Весь трафик по 80 порту завернут на проксятник.
собставенно ситуация вот в чем, пользвователи нормально считаются вопросов нет, но как только начинают работать активно с внутренним сайтом трафик тоже начинает считаться как за платный, хотя он просто локальный. Можно ли как нибудь просто завернуть локальный трафик на апач по другому порту минуя проксю, а в Trafd я уж в логах отброшу ненужный порт на котором вче это считалось.
идея как вроде следующая
в сквиде запретить доступ через прокси к локальному сайту
а в IPTABLESе если обращение идет к сайту (IP и домен) то заворачивать по другому порту и пулять на апач минуя прокси
можно ли так реализовать?
А в браузере отметить "Bypass proxy server for local addresses" не подойдет?
нет не как не подойдет
а если я наберу не http://192.168.0.1 а http://mydomen
вроде решение нашел, парсить логи сквида и весь трафик который не нужно заносить в базу и отнимать от траффика клиентов .....
но это геморойно :(, куча работы + отладка,а времени и так нету ....
может попроще предложите .....
а если я наберу не http://192.168.0.1 а http://mydomen
вроде решение нашел, парсить логи сквида и весь трафик который не нужно заносить в базу и отнимать от траффика клиентов .....
но это геморойно :(, куча работы + отладка,а времени и так нету ....
может попроще предложите .....
А чего парится с отладкой?
#!/bin/bash
awk '$0 !~ /mydomen/' /var/log/squid/access.log >/tmp/access.log
Написал такой скриптик и по крону его запускаеш перед тем, как запускаеш анализатор лога.
#!/bin/bash
awk '$0 !~ /mydomen/' /var/log/squid/access.log >/tmp/access.log
Написал такой скриптик и по крону его запускаеш перед тем, как запускаеш анализатор лога.
а добавить в iptables что-нибудь типа:
-A POSTROUTING -s mydomain.com -o eth0 -p 80 -j SNAT --to-source=192.168.0.1
не пойдет?
-A POSTROUTING -s mydomain.com -o eth0 -p 80 -j SNAT --to-source=192.168.0.1
не пойдет?
> а если я наберу не http://192.168.0.1 а http://mydomen
мля! ну дык подними локальный кэширующий DNS-cервер, BIND в смысле, и в браузерах клиентов его пропиши. PN тебе дело говорит - решение проблемы без лишнего мозго$бства.
мля! ну дык подними локальный кэширующий DNS-cервер, BIND в смысле, и в браузерах клиентов его пропиши. PN тебе дело говорит - решение проблемы без лишнего мозго$бства.
Либо тупо сделать запись "192.168.0.1 mydomain" в файл HOSTS на каждом клиенте. Если знакомо понятие админской шары, то даже ходить не надо будет до них.
неее на каждом клиенте прописывать понт ...
вот как у меня в фаире прописанно
НАТ
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/255.255.255.0 -j SNAT --to-source ххх.ххх.ххх.ххх
вот редирект на прокси
iptables -t nat -A PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp --dport 80 -j REDIRECT --to-ports 8080
так вот до редиректа как прописать правило если клиент рвется на 192.168.0.1 или ххх.ххх.ххх.ххх по 80 порту то весь траффик заворачивать на апач на 80 порт минуя прокси ..... а уж из правил счетчиков биллинга я исключу этот порт легко!
только вот как?
вот как у меня в фаире прописанно
НАТ
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/255.255.255.0 -j SNAT --to-source ххх.ххх.ххх.ххх
вот редирект на прокси
iptables -t nat -A PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp --dport 80 -j REDIRECT --to-ports 8080
так вот до редиректа как прописать правило если клиент рвется на 192.168.0.1 или ххх.ххх.ххх.ххх по 80 порту то весь траффик заворачивать на апач на 80 порт минуя прокси ..... а уж из правил счетчиков биллинга я исключу этот порт легко!
только вот как?
Мдя ;-)
так будет лучше - в прокси будет заворачиваться только внешний трафик
вот редирект на проксиiptables -t nat -A PREROUTING -s 192.168.0.0/24 -d \! 192.168.0.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080
iptables -t nat -A PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp --dport 80 -j REDIRECT --to-ports 8080
так будет лучше - в прокси будет заворачиваться только внешний трафик
п.9
не работает ...... в сквидовских логах появляются записи
не работает ...... в сквидовских логах появляются записи
внутренний сайт на каком ip висит?
можно вставить правило перед завертыванием в прокси:
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -d $int_site_ip -j ACCEPT, тогда оно точно не должно заворачивать ся в прокси. если появляются записи в сквидовых логах, значит прокси у клиента прописан.
можно вставить правило перед завертыванием в прокси:
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -d $int_site_ip -j ACCEPT, тогда оно точно не должно заворачивать ся в прокси. если появляются записи в сквидовых логах, значит прокси у клиента прописан.
внутренний сайт весит на 2х сетевухах тк смотрит и во внутрь и наружу
да верно на всех клиентах прописан прокси, тк сквид не прозрачный.
что посоветуете в такой ситуации?
да верно на всех клиентах прописан прокси, тк сквид не прозрачный.
что посоветуете в такой ситуации?
Сделай так, чтобы внутринние клиенты про обращении к внутренемму сайту не пользовали прокси.
галочка "Не использовать прокси сервер для локальных адресов" не помогает, в сквидовских логах появляются записи.
кхм ... помогите ..... кто как сможет ......