LostSoul Posted May 24, 2009 Posted May 24, 2009 Требования: 1) Внятный веб или win32 интерфейс управления для неквалифицированного оператора 2) возможность гибкого ограничения доступа к интернету ( например выборочно закрыть доступ к www.site.ru , http://*/post.php ) используя transporent squid. Так же возможность выборочно открыть доступ к комбинации host/port ( например по 25/110 порту конкретных серверов ) и все это используя морду 3) учет трафика и блокирования пользователей по трафику Что желательно: справочник расстановки компов по комнатам , справочник расшивки патч-панелей. ( то есть в идеале хочется реализовать привязку IP-адресов к конкретным сетевым розеткам , а к ним - правила доступа в интернет и квоты на трафик - все свитчи уровня доступа - DES-3028 ) Что не нужно : -Тарификация , тарифные планы, шейпинг. Сейчас попробовал traffpro. сразу не нравится: 1) работа через механизм QUERE. Хочу через ULOG. 2) убогие возможности фильтрации Жутко обидно, неужели то что практически есть уже в каждой "мыльнице" типа домашнего роутера, нету в виде продукта под linux? Вставить ник Quote
mousus Posted May 24, 2009 Posted May 24, 2009 http://www.redwall-firewall.com/ http://www.clarkconnect.com/ и гугль Вставить ник Quote
photon Posted May 24, 2009 Posted May 24, 2009 (edited) http://www.ipcop.org/ и дополнения к нему. В частности, для учета трафика есть http://firewalladdons.sourceforge.net/trafcontrol.html. Для управления коммутаторами (через telnet или ssh) придется писать свой веб-интерфейс. Edited May 24, 2009 by photon Вставить ник Quote
gavru Posted August 27, 2010 Posted August 27, 2010 Сейчас попробовал traffpro.сразу не нравится: 1) работа через механизм QUERE. Хочу через ULOG. 2) убогие возможности фильтрации Уважаемый, вы похоже не в теме :) ULOG это прога которая хапает из QUEUE здесь вы слегка лохонулись, тем более что traffpro перешёл уже на более современные модули, да и многопоточность в отличии от ULOG позволяет получить большую производительность, в совокупности с Radius и Netflows встроенных в TraffPro ULOG просто в сравнение лучше не ставить. Вот по поводу фильтрации подробнее :) если вы странички собираетесь фильтровать то сквид вам в руки :) но как и любой прокся он не умеет фильтровать( ни управлять) другие порты TCP протокола кроме 80 го и его братьев. А вот TraffPro умеет не только управлять всеми протоколами и портами но ещё и регулировать скорости, устанавливать приоритеты на сети, протоколы и так далее. Так что Ваша статейка скорее всего просто из за того что вы не захотели читать вообще ни чего и у вас не хватило сил прочитать даже сравнительную характеристику версий. Все ваши требования до одного TraffPro выполняет, а вы почему то сразу его отправили в урну :))))))) Вставить ник Quote
Ivan_83 Posted August 27, 2010 Posted August 27, 2010 Иса не ведёт учёта трафика и тем более не блокирует по превышению. Учёт в ней кривой - нужно парсить логи, и там не учитывается размер заголовков IP+TCP/UDP а только переданные в них данные. Смотреть на всякие pfsence и иже с ними. Вставить ник Quote
LostSoul Posted August 31, 2010 Author Posted August 31, 2010 Уважаемый, вы похоже не в теме :)ULOG это прога которая хапает из QUEUE здесь вы слегка лохонулись, тем более что traffpro перешёл уже на более современные модули, да и многопоточность в отличии от ULOG позволяет получить большую производительность, в совокупности с Radius и Netflows встроенных в TraffPro ULOG просто в сравнение лучше не ставить. Вот по поводу фильтрации подробнее :) если вы странички собираетесь фильтровать то сквид вам в руки :) но как и любой прокся он не умеет фильтровать( ни управлять) другие порты TCP протокола кроме 80 го и его братьев. А вот TraffPro умеет не только управлять всеми протоколами и портами но ещё и регулировать скорости, устанавливать приоритеты на сети, протоколы и так далее. Так что Ваша статейка скорее всего просто из за того что вы не захотели читать вообще ни чего и у вас не хватило сил прочитать даже сравнительную характеристику версий. Все ваши требования до одного TraffPro выполняет, а вы почему то сразу его отправили в урну :))))))) Похоже "не в теме" вы. Вдобавок похоже ваш ответ сразу двум людям оказался адресован мне одному. ULOG это механизм ядра, передающий ( зеркалирующий ) содержимое того что в него направлено в буфер, который читает программа на userspace. В отличии от механизма QUEUE который ПРОПУСКАЕТ трафик через userspace , механизм ULOG его копирует. При этом в случае тормозов или выпадания программы, читающей буфер ULOG трафик продолжает бодро бегать на обычной скорости форвардинга. В случае механизма QUEUE трафик не вылезает обратно , пока обработчик его не прожует. Или не вылезает вовсе никуда , если обработчик умер. То есть "инет ломается". В отличии от ipt_NETFLOW который собственно не для того предназначен, в ULOG передаются не только агрегированные сведения о адресах и портах источника и назначения пакета, а передается еще и его содержание ( или часть ). Теперь насчет функционала. Если вы "не в теме", то поставьте Microsoft ISA и посмотрите. Как там в едином интерфейсе управления задаются как просто IP-правила ( на какие адреса-порты IP по каким протоколам пользователь может бегать ) , так и для протокола HTTP задается расширенная L7 фильтрация. Типа там черный список сайтов, шаблоны URL которые разрешены-запрещены . Кроме того ISA ведет как лог "в духе сквида" ( откуда какой файл кто тянул, используя какие http headers ) , так и составляет отчеты сколько трафика на какой хост и порт отправил пользователь "прочего IP" Как-бы хочется иметь в TrafPro функционал SAMS ++ нормальные механизмы исследования проходяшего трафика. Это или ULOG или на худой конец libpcap. Так понятнее? Вставить ник Quote
gavru Posted September 12, 2010 Posted September 12, 2010 (edited) Уважаемый, вы похоже не в теме :)ULOG это прога которая хапает из QUEUE здесь вы слегка лохонулись, тем более что traffpro перешёл уже на более современные модули, да и многопоточность в отличии от ULOG позволяет получить большую производительность, в совокупности с Radius и Netflows встроенных в TraffPro ULOG просто в сравнение лучше не ставить. Вот по поводу фильтрации подробнее :) если вы странички собираетесь фильтровать то сквид вам в руки :) но как и любой прокся он не умеет фильтровать( ни управлять) другие порты TCP протокола кроме 80 го и его братьев. А вот TraffPro умеет не только управлять всеми протоколами и портами но ещё и регулировать скорости, устанавливать приоритеты на сети, протоколы и так далее. Так что Ваша статейка скорее всего просто из за того что вы не захотели читать вообще ни чего и у вас не хватило сил прочитать даже сравнительную характеристику версий. Все ваши требования до одного TraffPro выполняет, а вы почему то сразу его отправили в урну :))))))) Похоже "не в теме" вы. Вдобавок похоже ваш ответ сразу двум людям оказался адресован мне одному. ULOG это механизм ядра, передающий ( зеркалирующий ) содержимое того что в него направлено в буфер, который читает программа на userspace. В отличии от механизма QUEUE который ПРОПУСКАЕТ трафик через userspace , механизм ULOG его копирует. При этом в случае тормозов или выпадания программы, читающей буфер ULOG трафик продолжает бодро бегать на обычной скорости форвардинга. В случае механизма QUEUE трафик не вылезает обратно , пока обработчик его не прожует. Или не вылезает вовсе никуда , если обработчик умер. То есть "инет ломается". В отличии от ipt_NETFLOW который собственно не для того предназначен, в ULOG передаются не только агрегированные сведения о адресах и портах источника и назначения пакета, а передается еще и его содержание ( или часть ). Теперь насчет функционала. Если вы "не в теме", то поставьте Microsoft ISA и посмотрите. Как там в едином интерфейсе управления задаются как просто IP-правила ( на какие адреса-порты IP по каким протоколам пользователь может бегать ) , так и для протокола HTTP задается расширенная L7 фильтрация. Типа там черный список сайтов, шаблоны URL которые разрешены-запрещены . Кроме того ISA ведет как лог "в духе сквида" ( откуда какой файл кто тянул, используя какие http headers ) , так и составляет отчеты сколько трафика на какой хост и порт отправил пользователь "прочего IP" Как-бы хочется иметь в TrafPro функционал SAMS ++ нормальные механизмы исследования проходяшего трафика. Это или ULOG или на худой конец libpcap. Так понятнее? 1 - Ну вот опять ulog :) ulog точно так же использует netfilter как и все остальные, ни чего нового пока не придумали :) простой сбор статистики, тем более что если он копирует и агрегирует (как вы описываете) то моментального отключения при привышении баланса у вас не будет, когда обработка ведётся в userspace это не означает что будут тормоза, всё зависит как написанно приложение, к тому же как вы собираетесь вводить правила шейпера в ulog? 2 - при учёте трафика вам требуется его посчитать, а если система УПАЛА весь траф который пошёл наружу не будет учитываться, что соответсвенно приравнивается к потере учёта, вам это нужно? 3 - на счёт агрегации, а кто сказал что traffpro его не агрегирует? При чём агрегация идёт как на уровне посещений так и на уровне статистики трафика. 4 - По поводу isa, traffpro это всё тоже делает тот же чёрны список сайтов, к тому же ещё и обратная фильтрация по белым спискам, к тому же вы говорите что иса ведёт лог посещений, а traffpro не ведёт? у меня складывается такое впечатления, что вы о traffpro знаете столько же сколько я о isa :) только шаблоны типа *odnoklass* ещё не допилили. Теперь ещё посмотрим на isa :) особенно на стоимость и ежегодное продление. возможность гибкого ограничения доступа к интернету ( например выборочно закрыть доступ к www.site.ru , http://*/post.php ) используя transporent squid -- а кто мешает использовать transparent squid параллельно с traffpro?5 - libpcap как и ulog теряют пакеты и часть трафика :) опять таки вы хотите просто посмотреть куда юзер пошёл или всё же вам нужен контроль? 6 - почему все люди думают что уровень ядра не нагружает процессор? :) 7 - : Как-бы хочется иметь в TrafPro функционал SAMS ++ нормальные механизмы исследования проходяшего трафика. Это или ULOG или на худой конец libpcap. Так понятнее?Как я уже писал, это не учёт это смех и только, если вы хотите иметь контроль вы должны именно контролировать, а не кушать объедки со стола pcap и ulog каждый из модулей хорош своим, ulog можно парсить или сливать в базу,а pcap классно справляется с перехватом пакетов, вот для этого их и нужно использовать, ну собственно всё зависит от ваших потребностей. Кстати вот анонс последней версии в виде рекламы :) : Анонс версии учёта трафика (биллинг) TraffPro UpIt-Systems на 14.09.2010 намечен выпуск версии 1.3.8 системы учёта трафика ( биллинга ) Traffic and Protection. * Переход на новый модуль ядра (c QUEUE на NFQUEUE ) * Переадресация на авторизацию в случае если клиент не авторизован. * Переадресация на авторизацию в случае если у клиента отрицательный баланс на счёте. * Переадресация на авторизацию в случае если клиент пытается зайти на запрещённый ресурс. * Изменено формирование отчётов по посещению. ускорено построение отчёта с нескольких минут до нескольких секунд. * Встроена очистка хранящихся данных по истечению устанавлеваемого в параметрах, очистка посещений, учёта трафика (основная), учёт Radius и VPN, учёт каналов и шлюзов интернет. * Исправлена ошибка защиты сервера которая возникала в некоторых случаях. * Изменён скрипт автоматического отключения пользователей ввёдено 2 параметра 1 - использовать автоматическое отключение 2 - задержка перед отключением не активного клиента, введён параметр для отдельных клиентов о автоматическом отключении. * Разделение пользователей по каналам входящего трафика, изменён способ разделения каналов, применена новая технология динамического разделения, отличная от статической маршрутизации описанной во множестве документации по iproute + 2 провайдера, динамическое изменение маршрутов в случае аварийных ситуаций, одновременная работа динамической маршрутизации и статической. (добавлен функционал: разделение по каналам входящего интернет трафика на основании тарифного плана, разделение и автоматическая балансировка без поддержания сессионности наиболее подходит для торрентов, гибрид с работой одновременно и первого и второго варианта) * WIN информер, добавлен вывод не только остаток на счёте в мегабайтах для офис клиентов, но вывод в деньгах для комерческих клиентов. * Встроенный Radius сервер, настройка за один клик, достаточно просто включить и он готов к работе! * Radius авторизация клиентов (PAP CHAP). * Radius учёт трафика соглассно тарифному плану. * Radius учёт по времени соглассно тарифному плану. * Radius отключение клиентов по окончании положительного баланса на тарифах по времени. * Radius поддержка MikroTik RouterOS. * VPN,Radius,PPP,pppoe введена поддержка поминутной тарификации с автоматическим отключением не зависимо от сессий и текущей сессии клиента, наиболее подходит для интернет клубов, образовательных учереждений, кафе с доступом по wifi. * Добавлена функция отдельной скорости на определённые IP адреса или на Подсети для офис версии. * Добавлена платёжная система WEB Money. * Добавлена платёжная система Liqpay. * Множественные изменения во внутренней структуре системы, увеличение производительности системы * Улучшения агрегации данных * Улучшения работы шейпера системы Edited September 12, 2010 by gavru Вставить ник Quote
LostSoul Posted September 15, 2010 Author Posted September 15, 2010 Продолжаем лохматить бабушку. 1 - Ну вот опять ulog :) ulog точно так же использует netfilter как и все остальные, ни чего нового пока не придумали :) простой сбор статистики, тем более что если он копирует и агрегирует (как вы описываете) то моментального отключения при привышении баланса у вас не будет, когда обработка ведётся в userspace это не означает что будут тормоза, всё зависит как написанно приложение, к тому же как вы собираетесь вводить правила шейпера в ulog?2 - при учёте трафика вам требуется его посчитать, а если система УПАЛА весь траф который пошёл наружу не будет учитываться, что соответсвенно приравнивается к потере учёта, вам это нужно? 3 - на счёт агрегации, а кто сказал что traffpro его не агрегирует? При чём агрегация идёт как на уровне посещений так и на уровне статистики трафика. 4 - По поводу isa, traffpro это всё тоже делает тот же чёрны список сайтов, к тому же ещё и обратная фильтрация по белым спискам, к тому же вы говорите что иса ведёт лог посещений, а traffpro не ведёт? у меня складывается такое впечатления, что вы о traffpro знаете столько же сколько я о isa :) только шаблоны типа *odnoklass* ещё не допилили. Теперь ещё посмотрим на isa :) особенно на стоимость и ежегодное продление. возможность гибкого ограничения доступа к интернету ( например выборочно закрыть доступ к www.site.ru , http://*/post.php ) используя transporent squid -- а кто мешает использовать transparent squid параллельно с traffpro?5 - libpcap как и ulog теряют пакеты и часть трафика :) опять таки вы хотите просто посмотреть куда юзер пошёл или всё же вам нужен контроль? 6 - почему все люди думают что уровень ядра не нагружает процессор? :) 7 - : Как-бы хочется иметь в TrafPro функционал SAMS ++ нормальные механизмы исследования проходяшего трафика. Это или ULOG или на худой конец libpcap. Так понятнее? Как я уже писал, это не учёт это смех и только, если вы хотите иметь контроль вы должны именно контролировать, а не кушать объедки со стола pcap и ulog каждый из модулей хорош своим, ulog можно парсить или сливать в базу,а pcap классно справляется с перехватом пакетов, вот для этого их и нужно использовать, ну собственно всё зависит от ваших потребностей. Реклама поскипана. 1. Еще раз. ULOG про прохождении пакета через netfilter откусывает заголовок и направляет его в буфер ядра, который читает userspace. Проходяшему трафику не холодно и не жарко , в него не вносятся задержки или изменения от того, читает кто-то буфер ULOG или нет. 2. Вот тут у нас с вами фундаментальное противоречие в постановке задачи. В моем случае если часть трафика на клиента не была посчитана -- это досадное недоразумение. Если у клиента возник перебой в предоставлении услуги - это катастрофа. 3. я не помню что я там говорил на тему агрегации) 4. Еще раз) У вас появилась возможность в единой учетной карточке пользователя задать что ему нельзя посещать сайты *odnokla* , включая все их regexp вариации типа %0c ? И в той-же единой учетной карточке задатть что этому пользователю разрешен доступ по портам 443 к группе серверов mail-agent? Если появилось - хорошо. Когда я смотрел этого не было. 5. Еще раз!!!! Хрен бы с ним что оно теряет часть трафика. Она просто не будет посчитана. Но ваша система ПРОПУСКАЕТ ТРАФИК ЧЕРЕЗ СЕБЯ. То есть пока ваша самописная хрень пакеты на выходе не выплюнет, они не проследуют дальше к пользователю и от него!!! Вот что страшно. А если ваша скриптовина зависает то работа парализуется вообще. Заметьте, парализуется не учет, а парализуется РАБОТА ПОЛЬЗОВАТЕЛЕЙ. Что недопустимо. 6. Они таки смотрят на практические результаты. ipt_Netflow , pptp-acel и другие вещи. которые как бы говорят сами за себя) Вставить ник Quote
Zaqwr Posted September 15, 2010 Posted September 15, 2010 (edited) чем плох Squid с sams ? Edited September 15, 2010 by Zaqwr Вставить ник Quote
LostSoul Posted September 15, 2010 Author Posted September 15, 2010 чем плох Squid с sams ? Тем, что в нем нельзя доступом к СIDR и портам рулить из той-же вебморды. Одним клиент-банк открыть, другим аську, третим маил-агент.... тока тщательно заточенные костыли самому писать Вставить ник Quote
gavru Posted September 15, 2010 Posted September 15, 2010 (edited) Реклама поскипана.1. Еще раз. ULOG про прохождении пакета через netfilter откусывает заголовок и направляет его в буфер ядра, который читает userspace. Проходяшему трафику не холодно и не жарко , в него не вносятся задержки или изменения от того, читает кто-то буфер ULOG или нет. Если нет задержек и какого либо управления о каком можно говорить шейпере? вы ше сами шейпер первым пунктом поставили? :)2. Вот тут у нас с вами фундаментальное противоречие в постановке задачи. В моем случае если часть трафика на клиента не была посчитана -- это досадное недоразумение. Если у клиента возник перебой в предоставлении услуги - это катастрофа. А как вы собиратесь тады блокировать клиентиа на выход на тот же *одноклассники.ру если вы тупо пакеты пропускаете и просто считаете тарфик ;) 4. Еще раз) У вас появилась возможность в единой учетной карточке пользователя задать что ему нельзя посещать сайты *odnokla* , включая все их regexp вариации типа %0c ? И в той-же единой учетной карточке задатть что этому пользователю разрешен доступ по портам 443 к группе серверов mail-agent? Если появилось - хорошо. Когда я смотрел этого не было.Ну как бы вы внимательно не читали, я сказал что варинты *odnoklass* не прокатят можно блокирнуть odnoklassniki.ru только в полном выражении, ну а порты для каждоого пользователя в отдельности прописывайте сколько угодно. При чём блокировка ресурсов по на уровне групп происходит а порты и всё остальное как на уровне групп так индивидуально на клиента. Сейчас попробовал traffpro.сразу не нравится: Когда я смотрел этого не было Интересная разница :))) 5. Еще раз!!!! Хрен бы с ним что оно теряет часть трафика. Она просто не будет посчитана. Но ваша система ПРОПУСКАЕТ ТРАФИК ЧЕРЕЗ СЕБЯ. То есть пока ваша самописная хрень пакеты на выходе не выплюнет, они не проследуют дальше к пользователю и от него!!! Вот что страшно. А если ваша скриптовина зависает то работа парализуется вообще. Ну начнём что ни одна скриптовина с такими скоростями не справится, с таким объёмом может справится только скриптовина на скриптовом языке под названием си :) (при чём моё мнение только чистый си, но это только моё мнение) :) почему вы считаете что она паккеты будет 2 секунды держать а потом отдавать? :) пожалуй не в одной из версий задержек не было :)))) По поводу самописной х...ны :) самое интересное что эта самописная х..на пишется 4мя программистами постоянными, 6ю тестерами тестится, включая специальные тесты на стенде (ну не считая лояльных клиентов, на которых мы можем ещё в боевых условиях прогонять предверсионные выпуски), перед выпуском копирайтером проверяется и переводится на английский переводчиком, вот такая вот самописная скриптовина ;) найдём ещё такую самописку? :) Интересно когда софт для магазина пишется 1 программером то это не самописка (привести примеры? VAMSHOP например, а кто написал ту же Гарант Вам рассказать? :) ) , а интересно когда софт становится НЕсамописным? :))))) Заметьте, парализуется не учет, а парализуется РАБОТА ПОЛЬЗОВАТЕЛЕЙ. Что недопустимо. Есть хорошая идея для Вас :) любой свичь поддерживающий слив флоусов :) кстати traffpro их тоже принимает и 5е и 9е :) там и посещение и кто куды ходил :) и блокировки не будет :)))) 6. Они таки смотрят на практические результаты. ipt_Netflow , pptp-acel и другие вещи. которые как бы говорят сами за себя)А вы думаете что загрузив правила на 3 листа на уровень ядра не будет тормозов? :) Вы здесь очень ошибаетесь :) не будет просто нагрузки на проц (вернее вы её не увидите), ну а то что не нагружается процессор тут вы ошибаетесь :) давайте згарузим базу 3Гб в ядро и начнём её обрабатывать и Вы хотите сказать что нагрузки не будет? Пускай хоть супер ядро оно всё равно обрабатывается теми же процессорами используется тот же СИ и теже алгоритмы что и у приложений любых, единственное время в nf то что затрачивается на передачу юзер пространство, но это совсем не говорит что вы на скорости 1000 мегабит получите тормоза. Edited September 15, 2010 by gavru Вставить ник Quote
LostSoul Posted September 15, 2010 Author Posted September 15, 2010 А как вы собиратесь тады блокировать клиентиа на выход на тот же *одноклассники.ру если вы тупо пакеты пропускаете и просто считаете тарфик ;)Ох и зря я ввязался в ваш троллинг жуткий))Есть понимаете разница пропускать тока веб-трафик через сквид ( относительно кстати стабильный в сравнении с вашей разработкой ) или пускать ваще весь трафик на вашу юзерспец тулзу Ну начнём что ни одна скриптовина с такими скоростями не справится :) почему вы считаете что она паккеты будет 2 секунды держать а потом отдавать? :) пожалуй не в одной из версий задержек не было :))))Пусть не 2 , а 0.2 . Зачем? Вам так писать проще? Есть хорошая идея для Вас :) любой свичь поддерживающий слив флоусов :) кстати traffpro их тоже принимает и 5е и 9е :) там и посещение и кто куды ходил :) и блокировки не будет :))))Ага. Уже много лет широко практикую вашу идею при подключении корпоративных клиентов особо важных, с оплатой по трафику. Когда надежность многократно превыше всего.Но в целом пользователей надо и блокировать и шейпить. Только делать это можно не костылем на юзерспейсе , а нормальными ядерными штуками. Смотрите lISG by Умник. У меня на тестах 2 гигабита полисит) Казалось бы причем тут ядро? А вы думаете что загрузив правила на 3 листа на уровень ядра не будет тормозов? :) Вы здесь очень ошибаетесь :) не будет просто нагрузки на проц (вернее вы её не увидите), ну а то что не нагружается процессор тут вы ошибаетесь :) давайте згарузим базу 3Гб в ядро и начнём её обрабатывать и Вы хотите сказать что нагрузки не будет? Пускай хоть супер ядро оно всё равно обрабатывается теми же процессорами используется тот же СИ и теже алгоритмы что и у приложений любых, единственное время в nf то что затрачивается на передачу юзер пространство, но это совсем не говорит что вы на скорости 1000 мегабит получите тормоза. Я смотрю на результаты производительности снаружи шайтан-коробки) А не скока попугаем внутри она показывает. Если через коробку по наружним наблюдениям при одной технологии ( юзерспейс ) пролезает X PPS/мегабит, а при другой ( kernel-space) Y PPS / мегабит и Y >= 2 X , то для меня это доказывает что ядерные реализации обычно быстрее и оптимальнее чем юзерспайс. Я уже не говорю про то, что вовсе не только "Затрачивается время на передачу в юзерспейс пространство" , а значительное количество тактов уходит на переключение контекстов и прочие накладные расходы. Ядро "в себе" выполнятся быстрее, ввиду монолитности программы и адресного пространства. А если вы не знаете как трассировать загрузку работы ядра ("вернее вы не увидите" ) откройте для себя perf-tools :-) Вставить ник Quote
gavru Posted September 15, 2010 Posted September 15, 2010 (edited) Ох и зря я ввязался в ваш троллинг жуткий))Есть понимаете разница пропускать тока веб-трафик через сквид ( относительно кстати стабильный в сравнении с вашей разработкой ) или пускать ваще весь трафик на вашу юзерспец тулзу Вы забываете что только WEB трафик идёт через SQUID :) и я считаю, что я понимаю, что такое пускать трафик через сквид и пускать весь траыфик через userspace. Пусть не 2 , а 0.2 . Зачем? Вам так писать проще? 0.2 секунды вы очень ошибаетесь :) эта задержка равна уже ой какими недостатками скорости, померяйте на досуге. Кстати прогоняя через squid задержки вас почемуто совершенно не интересуют, странно как то :)) Ага. Уже много лет широко практикую вашу идею при подключении корпоративных клиентов особо важных, с оплатой по трафику. Когда надежность многократно превыше всего.Но в целом пользователей надо и блокировать и шейпить. Только делать это можно не костылем на юзерспейсе , а нормальными ядерными штуками. Смотрите lISG by Умник. У меня на тестах 2 гигабита полисит) Казалось бы причем тут ядро? А вы кстати не забыли что шейпитьпо разному то можно вот большенство использует шейпер со сбросом пакетов и при этом думает что всё в поряде ;) Да моментик, вы это на 2 ГБ собираетесь одноклассников отрезать у людей регулярными выражениями? :) А какже задержки если блек лист 5000 сайтов? Как же задержки? У нас по ip идёр резка, так что хоть 10 хоть 50000 нет разницы проверятся будет с одинаковой скоростью, а вот с регулярками думаю будет небольшая засада на 2х то ГБ :) Я смотрю на результаты производительности снаружи шайтан-коробки) А не скока попугаем внутри она показывает. Если через коробку по наружним наблюдениям при одной технологии ( юзерспейс ) пролезает X PPS/мегабит, а при другой ( kernel-space) Y PPS / мегабит и Y >= 2 X , то для меня это доказывает что ядерные реализации обычно быстрее и оптимальнее чем юзерспайс.При передаче в на счёт скорости может я и соглашусь но вот на счёт оптимальности можно поспорить, у вас там был вопро про блокировки *odnoklass*? и как же вы собираетесь на уровне ядра это делать?? Я уже не говорю про то, что вовсе не только "Затрачивается время на передачу в юзерспейс пространство" , а значительное количество тактов уходит на переключение контекстов и прочие накладные расходы. Ядро "в себе" выполнятся быстрее, ввиду монолитности программы и адресного пространства.А если вы не знаете как трассировать загрузку работы ядра ("вернее вы не увидите" ) откройте для себя perf-tools :-) При всей скорости ядра (большой плюс конечно) но есть большое но :) вы когда нить считали такты переключения ядра? :) а по поводу профилировки, я вам уже говорил в первом сообщении, загрузите несколько тыщь (согласно тем требованиям которые вы выдвигали в первом посте) в iptables и проверьте как быстро это будет работать :) PS: личная неприязнь к traffpro совсем не означает что можно его функционал переместить на уровень ядра ;) кстати нет ядерного функционала который позволяет сделать то с чего собственно начался Ваш пост :) Зато вы ухитрились сразу сказать что traffpro говно которое ни чего не умеет :) ну собственно с этого свестопляска и началась :) Кстати тут забыл дописать, вы предъявляете требование что это должен быть аналог ISA, а вот мне интересно ISA то вашим требованиям подойдёт которые Вы здесь изложили про задержки, про то, что если иса отказала должен учёт продолжится, вообще интересно на 2ГБ иса как себя чувствует? :) Edited September 15, 2010 by gavru Вставить ник Quote
ZiX Posted September 16, 2010 Posted September 16, 2010 Жутко обидно, неужели то что практически есть уже в каждой "мыльнице" типа домашнего роутера, нету в виде продукта под linux? Возвращаясь к Вашему первому посту. Если такое есть в каждой "мыльнице", то не проще ли поставить эту самую мыльницу и не заморачиваться? Вставить ник Quote
LostSoul Posted September 16, 2010 Author Posted September 16, 2010 Возвращаемся. Не тянет мыльница нужные задачи по быстродействию, надежности, возможностям мониторинга, удобству аудита и так далее. Вставить ник Quote
gavru Posted September 17, 2010 Posted September 17, 2010 (edited) Хехе, вот и звёздочки прилетели :))) Новостиhttp://traffpro.ru/ Произведены подверсионные изменения версии 1.3.8-05, расширен функционал блокировки ресурсов. (blacklist) Произведена доработка системы учёта трафика версии 1.3.8 TraffPro сборка 05. Введены дополнительные правила блокировки ресурсов для трафика, введена возможность использовать * (звёздочку) для замены части домена, данная функция доступна только для коммерческих версий TraffPro. odnoklassniki.ru *odnoklassniki.ru Блокирует как основной домен odnoklassniki.ru так и поддомены. Edited September 17, 2010 by gavru Вставить ник Quote
Ivan_83 Posted September 17, 2010 Posted September 17, 2010 Глазников и контакт проще по IP подсетям блочить. Вставить ник Quote
MESB Posted September 17, 2010 Posted September 17, 2010 Гм, меня щас наверное чем-нибудь забросают, но существует такое чудо: Kerio Control Software Appliance На сайте помоему местами неочевидно, но посути дела это тотже керио винроут только натянутый на дебиан. Так как у топикстартера про платность ничего не сказано, то сразу скажу что продукт платный, зато помоему все основные требования проходит на ура. Вставить ник Quote
gavru Posted September 17, 2010 Posted September 17, 2010 (edited) Глазников и контакт проще по IP подсетям блочить. Ну начнём с того что traffpro блочит и по ip и по домену, ну а по поводу блокировки по ip то вконтакте может ещё и да, а вот с одноклассниками такой финт не проходит, они ухитрились уже больше 100 поддоменов на разных ip накрутить и каждый деньих количество всё прибовляется, так что nslookup odnoklassniki.ru даёт только верхушку айсберга, по этому остаётся только правило *odnoklassniki.ru что бы и поддомены перекрыть. Edited September 17, 2010 by gavru Вставить ник Quote
s.lobanov Posted September 17, 2010 Posted September 17, 2010 Ну начнём с того что traffpro блочит и по ip и по домену, ну а по поводу блокировки по ip то вконтакте может ещё и да, а вот с одноклассниками такой финт не проходит, они ухитрились уже больше 100 поддоменов на разных ip накрутить и каждый деньих количество всё прибовляется, так что nslookup odnoklassniki.ru даёт только верхушку айсберга, по этому остаётся только правило *odnoklassniki.ru что бы и поддомены перекрыть. На счёт одноглазников ничего не скажу, но у вконтактика можно тупо посмотреть все сетки из их автономки и тупо их заблокировать. В этом смысле, они очень удобно сделали. Вставить ник Quote
Paparoot Posted January 31, 2012 Posted January 31, 2012 Гм, меня щас наверное чем-нибудь забросают, но существует такое чудо: Kerio Control Software Appliance На сайте помоему местами неочевидно, но посути дела это тотже керио винроут только натянутый на дебиан. Так как у топикстартера про платность ничего не сказано, то сразу скажу что продукт платный, зато помоему все основные требования проходит на ура. Поддерживаю, если есть отдельная машинка или виртуальная среда, то проще развернуть Kerio Control, который идет вместе с Linux, в нем есть все необходимое. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.