[Abram]

Лучше что-либо посвежее. Можно даже bleeding edge, вроде Arch.

а mandriva centos или fedora ?

Слишком много надо будет движений.

Вообще, отучивайтесь делать маршрутизаторы на enterprise-дистрибутивах.

[skyb]

Лучше что-либо посвежее. Можно даже bleeding edge, вроде Arch.

а mandriva centos или fedora ?

Слишком много надо будет движений.

Вообще, отучивайтесь делать маршрутизаторы на enterprise-дистрибутивах.

а из известного что нибудь есть? а то чувствую я пока с осью разберусь....потом пока с lisg этож скока времени пройдет %)

[pchol]

debian ?

[Abram]

Лучше что-либо посвежее. Можно даже bleeding edge, вроде Arch.

а mandriva centos или fedora ?

Слишком много надо будет движений.

Вообще, отучивайтесь делать маршрутизаторы на enterprise-дистрибутивах.

а из известного что нибудь есть? а то чувствую я пока с осью разберусь....потом пока с lisg этож скока времени пройдет %)

Arch довольно-таки известный :).

На enterprise-дистрибутивах можно вполне наткнуться на проблемы вроде "нужно обновить ядро/glibc/какую-то либу/etc и при этом ничего не сломать". Дабы этого не случилось - есть смысл сразу ставить Arch. :)

На Debian lenny у меня какая-то заковырка была с lISG этого плана.

[skyb]

debian ?

О ну это куда не шло :)....на нем и развернусь :)

 

upd

 

ясно....попробую арх...да он известен...но я его даже не видел :( в отличае от остальных ....

Изменено 22 октября, 2010 пользователем skyb

[Abram]

debian ?

О ну это куда не шло :)....на нем и развернусь :)

 

upd

 

ясно....попробую арх...да он известен...но я его даже не видел :( в отличае от остальных ....

Выше:

На enterprise-дистрибутивах можно вполне наткнуться на проблемы вроде "нужно обновить ядро/glibc/какую-то либу/etc и при этом ничего не сломать". Дабы этого не случилось - есть смысл сразу ставить Arch. :)

На Debian lenny у меня какая-то заковырка была с lISG этого плана.

Арч, в принципе, довольно прост, если вы линуксы вообще готовить умеете :). У него практически нет никакой своей специфики.

[skyb]

debian ?

О ну это куда не шло :)....на нем и развернусь :)

 

upd

 

ясно....попробую арх...да он известен...но я его даже не видел :( в отличае от остальных ....

Выше:

На enterprise-дистрибутивах можно вполне наткнуться на проблемы вроде "нужно обновить ядро/glibc/какую-то либу/etc и при этом ничего не сломать". Дабы этого не случилось - есть смысл сразу ставить Arch. :)

На Debian lenny у меня какая-то заковырка была с lISG этого плана.

Арч, в принципе, довольно прост, если вы линуксы вообще готовить умеете :). У него практически нет никакой своей специфики.

Спасибо за разъяснения....готовить вроде умею...:)

[SNeon]

И еще как продвигается суммарный подсчет/полисинг для подсети ??

Окончательный срок - середина следующей недели.

Как продвигается? Ужо и конец недели (((

[pchol]

На Debian lenny у меня какая-то заковырка была с lISG этого плана.

У меня тоже была.

Всё решилось довольно просто. Нужно чтобы исходники ядра / хидеров были соответствующих версий.

Тоесть не заниматься дурью в духе "скачал ядро с kernel.org и скомпилил", а делать так как описано хандбуке =)

 

[allexch]

Я пользуюсь Gentoo, никаких проблем.

[EvilShadow]

На debian squeeze тоже никаких проблем. Достаточно было поставить build-essential, make, кажется и module-assistant. Проще, чем тащить перловые модули из CPAN'а.

 

[Abram]

На Debian lenny у меня какая-то заковырка была с lISG этого плана.

У меня тоже была.

Всё решилось довольно просто. Нужно чтобы исходники ядра / хидеров были соответствующих версий.

Тоесть не заниматься дурью в духе "скачал ядро с kernel.org и скомпилил", а делать так как описано хандбуке =)

С ядром - это понятно. Там что-то другое было, так уже не вспомню.

 

Я пользуюсь Gentoo, никаких проблем.

Тоже вариант, но лично я генту не люблю. Вообще не люблю любые дистрибутивы, в которых свои велосипеды накуекручены.

[EvilShadow]

Т.е. вообще все? В любом, даже самом что ни есть энтерпрайзе, по стопицот велосипедов.

[Lynx10]

Лучше что-либо посвежее. Можно даже bleeding edge, вроде Arch.

а mandriva centos или fedora ?

Слишком много надо будет движений.

Вообще, отучивайтесь делать маршрутизаторы на enterprise-дистрибутивах.

+1

на Slackware поднял за 5 минут!

[SHADR]

Как сделать что бы если идет обращение на реальный ИП из внешнки сработало правило такое же как и если реальник этот идет во внешнюю сеть?

Спасибо

[SHADR]

Правило "-A FORWARD -d x.x.x.x/29 -j ISG" нужно убрать. --session-init правила тоже умеют считать и ограничивать.

Если я убираю это правило то трафик считается в одну сторону

 

root@shluz:~# /opt/ISG/bin/ISG.pl |grep 194.213.122.40

XX.XX.XX.XX XX.XX.XX.XX Virtual83 4CC8A4C2D0EC867F 117 9894 0 5120000 5120000 Undefined A

 

[EvilShadow]

--session-init у Вас до этого в две стороны? У меня было именно так.

[SHADR]

было так

iptables -A FORWARD -s xx.xx.xx.xx/23 -j ISG --session-init

iptables -A FORWARD -d xx.xx.xx.xx/23 -j ISG

 

стало так

iptables -A FORWARD -s xx.xx.xx.xx/23 -j ISG --session-init

 

В итоге счетчик исходящего всегда 0 на реальнике

[EvilShadow]

Нет, вместо второго правило должен быть --session-init в обратную сторону. У меня вот так:

-A isg -s x.x.x.x/29 -j ISG --session-init --init-mode src

-A isg -d x.x.x.x/29 -j ISG --session-init --init-mode dst

[SHADR]

Спасибо, помогло

[pchol]

А у меня ругается

iptables v1.4.6: unknown option `--init-mode'
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.4.6: unknown option `--init-mode'
Try `iptables -h' or 'iptables --help' for more information.

# iptables -j ISG --session-init --help
ISG target options:
--session-init This rule match will be session initiator

[SHADR]

Я прописал так

iptables -A FORWARD -s x.x.x.x/23 -j ISG --session-init --init-mode src

iptables -A FORWARD -d x.x.x.x/23 -j ISG --session-init --init-mode dst

[pchol]

Я аналогично =)

iptables -A FORWARD -s x.x.x.x/19 -j ISG --session-init --init-mode src

iptables -A FORWARD -d x.x.x.x/19 -j ISG --session-init --init-mode dst

 

[Kaiser]

а вот есть возможность использовать больше одного айпишника, еще и не по порядку? например, хх.хх.хх.15 и хх.хх.хх.200. для одного пользователя, понятно. с общей на эти адреса полосой.

Изменено 25 октября, 2010 пользователем Kaiser

[jsmax]

Установил на CentOS 5.5 .. Работает прекрасно.

 

# uname -sr
Linux 2.6.18-194.17.4.el5

# iptables -V
iptables v1.3.5

 

Подправил немножко ISG.pl чтоб показывал "duration" и "Octets" в более дружелюбной форме:

 

# ./ISG.pl

User IP-address NAT IP-address Port number Uniq. Identifier Duration Octets-in Octets-out Rate-in Rate-out Service name Flags

XXX.XXX.20.50 0.0.0.0 Virtual1 2296884591C681F5 00:00:48 461.34 KB 34.00 MB 5000000 10000000 Undefined A

Изменено 28 октября, 2010 пользователем jsmax