Підрахунок трафіку через iptables

[Praporshic]

Маю наступну проблему:
локальна мережа з 10-15 компів, має підключатись до Інету. Налаштування сквіда та фільтарції через сквидгард вже закінчені, але там рахується лише вхідний трафік, а мені треба підраховувати загальний (але не рахуючи кеш - тому все що на INPUT рахувати не годится, треба на OUTPUT сквіда, але знову ж таки, як тоді дізнатись хто скільки відправив?). Чи може хтось порадити щось дійсно працююче, найголовніше - щоб було полегше (бо на так діло більше целерона 600 128 RAM ніхто не дасть)?

[hse]

На DLOU зсилки на разні рахувальні речі з iptables, є також дуже примітивний приклад підрахунку трафіка у monitoring.sf.net Прямо їх у Вашому випадку не застосуєш, але використати для рішення можна.

[old]

Загальний вихідний трафік сквіда можна без проблем порахувати скориставшить у iptables перевіркою owner. Тобто, якщо squid стартує від якогось окремого псевдоюзера, його трафік зняти зовсім не проблема.
А от з "покористувацькою" розбивкою, ще й з урахуванням кешуваних даних -- справді цікава задача. Очевидно, що відштовхуватись слід від логів сквіда. Але готових рішень я особисто не знаю

[UA_Igor]

 Ось, може допоможе http://iptables-tutorial.frozentux.net/
                                     http://www.netfilter.org/documentation/

[Praporshic]

Дякую за поради. От вигадав власне рішення:
У iptables зберігаємо куди сквід ліз, та скільки куди відправив. У логах сквіда дивимось куди хто його посилав. З цього можемо підрахувати який користувач скільки навідправляв. От зараз намагатимусь створити справді працюючий скрипт для автоматизації підрахунку.

[old]

Хм. Якщо я правильно роузмію Вашу ідею, то Ви хочете брати за основу кількість байт які сквід послав на ресурс X за час k а потім по логах сквіда дивитись який користувач в цей час ходив на той сайт. Але що Ви плануєте робити, коли за проміжок часу k більше одного користувача сиділо на ресурсі? Наприклад чат чи гровий ресурс якийсь?

[Praporshic]

Ну ігрові ресурси та чати будуть просто заборонені (працювати треба). А все інше буде вантажитись лише 1 раз (для цього й сквід ). Взагалі, щось не уявляю жодного ресурсу з динамічним контентом який потрібен у роботі.

[old]

Та мені ідеться власне не про те, як зарубати користувача, щоб він не ходив куда не тра. Мені цікаво як вирішити задачкe обрахунку вихідного траіку сквіда в "покористувацькій" розбивці. Виглядає так, що ніяк. Бо запропонований Вами варіант -- часткове вирішення для конкретно взятої конфігурації. Я власне думав в подібному керунку і нічого кращого не надумав Ще по ір-адресі клієнтського компутера -- куди не йшло. А з користувачами сутужно

[Praporshic]

Ще по ір-адресі клієнтського компутера -- куди не йшло.

Так воно мабуть і буде. Бо кожен користувач має свій окремий комп...

[PAL]

Єдине рішення, що я знаю - обробка логів сквіду. Щодо "по кожному користувачу" у випадку роботи на терміналах - допоможе авторизація. Але дуже серьозна проблема - рахувати вихідний трафік, сквід цього не вміє, у логах нема.

Через iptables - все легко й красиво, але немає кешування та фільтраціі.

Залишається єдине - transparent proxy. Але тоді тут точно не вирахувати, хто взяв с кешу, а хто - з інету.

[old]

Через iptables - все легко й красиво, але немає кешування та фільтраціі.

Власне кажучи, я особисто також вирішував би подібну проблему не через iptables, а через наприклад NeTraMet просто рахуючи трафік від користувацього компа до сквіда (NeTraMet запускається прямо на проксі сервері). Це не важко ні у сенсі ресурсів ні у сенсі налаштування. Але це суб'єктивні вподобання