April 3rd, 2008

Хот-споты

А есть какой-нибудь магический софт со следующими функциями, максимально просто организованными и доступными для компьютерно неграмотных девочек:

- быстрое заведение юзерского аккаунта для последующего доступа в интернет с этими учётными данными;

- быстрое получение информации о трафике данного аккаунта;

- быстрое отключение аккаунта;

Задача следующая -- в гостинице планируется раздавать интернет. Компьютерщиков в штате ujcnbybws нет вообще, только обычные девачки-амдинистраторы. Надо как-то организовать возможность доступа из номеров в интернет, с последующим выставлением счёта и блокированием аккаунта клиента. Но инфа должна оставаться, я так понимаю, хотя бы в течение месяца, чтобы можно было суммарный баланс потом подводить. Никакого оборудования специфического закупать не планируется, хочется это сделать средствами уже наличествующего гейта с FreeBSD на борту. Пока ничего в голову не приходит, кроме самостоятельной разработки скриптов и прописыванием аккаунтов в mpd.secret или радиус с помощью этих скриптов.
  • vesna

Кэширование потокового медиа ISA 2004

Ребята, всем добрый день! очень нужна консультация!

Есть ISA 2004, работающая в режиме SecureNAT.
Необходимо настроить кэширование потокового медиа (он-лайн радио, ютубы там всякие и т.п.)
Не понятно, есть ли такая возможность (кэширование streaming media) в ISA в принципе =\
Просто тупо забанить ресурсы нельзя, так как это интернет-рекламное агентство и доступ к сайтам нужен, даже к самым мега-трэшевым, (следить за размещениями, снимать скриншоты - к юзерам не прикопаешься )
Пыталась фильтровать по протоколам (MMS, PNM, RTSP) - безуспешно. Может технологии ушли вперёд и для передачи потокового медиа чего-то нового напридумывали?
Если кто-нибудь решал подобную проблему, поделитесь, пожалуйста, опытом.
120 Гб за месяц для 80 человек - это пипец =(


АПДЕЙТ. Всем спасибо. Никак нельзя и 120 это немного :)

ng_netflow, ng_tee: логистика

Начало: http://community.livejournal.com/ru_root/1401613.html
http://community.livejournal.com/ru_root/1402261.html

Господа. Я понимаю, что уже мог несколько надоесть вам :)
Однако.

На шлюзе под управлением ОС FreeBSD 7.0, на котором я пытаюсь посчитать статистику с помощью ng_netflow на данный момент работает три интерфейса - rl0,2,3. Хочу считать как входящий, так и исходящий трафик на каждом из них, поэтому (как я понял) без ng_tee-нод не обойтись. Ок, делаю три tee-ноды. На right2left хуках получаю, скажем, входящий трафик, а на left2right - исходящий. Отлично. А вот куда их теперь цеплять - на одну ли netflow-ноду или на три (с последующим сбором статистики тремя экземплярами коллекторов)[UPD]или вобще на шесть[/UPD]? Прицепил на одну:


/usr/sbin/ngctl -f- <<-EOF
mkpeer rl0: tee lower right
name rl0:lower rl0_tee
connect rl0: rl0_tee: upper left
mkpeer rl2: tee lower right
name rl2:lower rl2_tee
connect rl2: rl2_tee: upper left
mkpeer rl3: tee lower right
name rl3:lower rl3_tee
connect rl3: rl3_tee: upper left
mkpeer rl0_tee: netflow right2left iface0
name rl0_tee:right2left netflow
connect rl0_tee: netflow: left2right iface10
connect rl2_tee: netflow: right2left iface2
connect rl2_tee: netflow: left2right iface12
connect rl3_tee: netflow: right2left iface3
connect rl3_tee: netflow: left2right iface13
mkpeer netflow: ksocket export inet/dgram/udp
name netflow:export netflow_export
msg netflow:export connect inet/127.0.0.1:8787
EOF

Посмотрел на содеянное в .dot и "аж заколдобился" (с)
Теперь скажите мне, господа:
1. Где и почему я могу получить двойной подсчет. Ибо чую бесовщину, но обосновать не могу (с)
2. Как мне быть, если на машине к тому же реализован NAT средствами pf и уже сейчас пакет считается дважды - до NAT и после оного? Имеет ли порочное значение использование scrub в pf?


Приветствуются также общие соображения и высказывания в стиле "священных войн"

UPD: Может правильнее на каждую ether- и tee-ноды еще по one2many-ноде, чтобы избавится от пар iface0-iface10?

Collapse )
  • vesna

(no subject)

И можно еще вопрос :)

Снова ISA2004. Пытаюсь создать vpn соединение с нашей сетью. На удалённом клиенте при попытке установить vpn-соединение появляется сообщение об ошибке ("уд. комп. не отвечает.")
Я на исе вижу, что клиент инициирует связь, висит какое-то время, потом отваливается.
Во все необходимые группы юзер добавлен. Систем эвентс пишет вот такое:

"A connection between the VPN server and the VPN client xxx.xxx.xxx.xxx has been established, but the VPN connection cannot be completed. The most common cause for this is that a firewall or router between the VPN server and the VPN client is not configured to allow Generic Routing Encapsulation (GRE) packets (protocol 47). Verify that the firewalls and routers between your VPN server and the Internet allow GRE packets. Make sure the firewalls and routers on the user's network are also configured to allow GRE packets. If the problem persists, have the user contact the Internet service provider (ISP) to determine whether the ISP might be blocking GRE packets."

Весь трафик удалённого клиента уже идёт по VPN через лондон. Какой там тип VPN - не знаю. Мой клиент пытается создать PPTP соединение.
Отправляю этот месседж лондонскому админу. Отвечает:

"We do not block this but for any vpn to work from behind the firewall the remote vpn server has to support "Nat traversal". You need to check your settings."

У меня два клиента уже сидят по VPN на терминальном сервере. С настройками, аналогичными тем, что я делаю на этом, новом. Проверила со стороннего IP - всё нормал, VPN поднимается.

Внимание, вопрос: как вы думаете, действительно ли пакеты подрезаются где-то на промежуточном узле сети и аглицкие админы просто париться не хотят, или для VPN поднимаемому по другому VPN действительно нужно на моей ИСЕ Nat traversal настраивать, и... ээээ... что это такое? :) Необходим ли он для PPTP.
Спасибо. До свидания. :)
  • say_nt

ADSL-подключение

Локальная сеть. Доступ в интернет осуществляется через ADSL-модем, на всех машинах в качестве шлюза указан IP-адрес модема.
Не отправляется почта из TheBat! и невозможно подключиться к ftp в активном режиме (PORT).
На одну из машин поставили UserGate, чтобы использовать как прокси или настроить NAT, но через него не получается подключиться к интернету ни через SMTP, ни FTP, ни HTTP-прокси. Он как-будто вообще не видит, что у нас есть подключение к интернет через ADSL-модем
  • vvlad

SNMP симулятор

Уважаемые подскажите как решить такую задачу:
Нужно протестировать под нагрузкой софтинку для мониторинга оборудования по SNMP.
Требуемая нагрузка - 300 устройств, 15 000 метрик суммарно. В идеале - симулируемые устройства - должны быть Cisco железками.

Есть ли софтинка для подобной симуляции? Можно платную.
Я пока думаю в таких направлениях -
1) Поставить учебных Cisco 7200 Simulator и посмтреть эмулирует ли он также SNMP интерфейс.
2) Опрашивать рядом стоящие unix машины по snmp.

Подскажите плз куда еще стоит покопать.

w2k3 terminal server и group policy. Раскройте глаза.

Есть ли возможность нарезать разные политики на вход на локальный комп и на терминал сервер?

Т.е. хочу при входе юзера на терминал сервер от него прятались локальные диски сервера и подключались сетевые.
Так же эти (локальные) диски прятались в word'е, excel'е и проч. фигне.
А когда юзер входит на свой локальный комп, то он там сам себе хозяин.

Домен в mixed mode w2k-w2k3
podduvalo

(no subject)

отцы и братия,
а как вы делаете детализацию трафика для пользователей в спорных случаях?
я вот храню еще логи от днсов и разрезолвливаю их за нужное время чтобы найти имена сайтов к айпишникам..