Server-Last / Zugriffszeiten ermitteln
Moin Liste !! Wir betreiben in der WG ein DSL-Gateway welches 5 Bewohnern das Surfen im Internet ermöglicht. Läuft (nach update auf 2.4.9) auch im Grunde ganz ordentlich. Nun möchte ich jedoch ein paar Kontrollen schaffen, um genau zu sehen, WER WANN WAS und vor allem WIEVIEL im Netz zieht. Gibt es einen Befehl, der die Netzlast innerhalb des Netzwerkes bzw. die Last nach draußen anzeigt ? Wie kann ich eine Zugriffskontrolle einrichten - in der Form, daß ein Bewohner, bevor er nach draußen kann, ein Paßwort eingeben muß und dieser Vorgang dann mit Zeit/Datum protokolliert wird ? (kann man dann auch im Nachhinein feststellen, auf welche Seiten der jenige zugegriffen hat - und wenn ja... wie ?) Mit freundlichen Grüßen Gordon -- GMX - Die Kommunikationsplattform im Internet. http://www.gmx.net
Hallo! * <ich.habe.post@gmx.net> schrieb: ^ richtiger Name -> richtige Antworten
Wir betreiben in der WG ein DSL-Gateway welches 5 Bewohnern das Surfen im Internet ermöglicht.
Hoffentlich nicht mit T-Online Flatrate...
Gibt es einen Befehl, der die Netzlast innerhalb des Netzwerkes bzw. die Last nach draußen anzeigt ?
iptraf?
Wie kann ich eine Zugriffskontrolle einrichten [...]
Du willst kein Gateway betreiben, sondern einen Proxy à la Squid. Gruß, Till. -- is a moebius signature. +++ This is a moebius signature. +++ This e-mail: wollenberg (at) web (dot) de (no spam)
Wir betreiben in der WG ein DSL-Gateway welches 5 Bewohnern das Surfen im Internet ermöglicht. Läuft (nach update auf 2.4.9) auch im Grunde ganz ordentlich. Nun möchte ich jedoch ein paar Kontrollen schaffen, um genau zu sehen, WER WANN WAS und vor allem WIEVIEL im Netz zieht.
iptables führt doch Buch darüber, wie viele Bytes und Pakete auf eine iptables-rule zutreffen (iptables -L -v; iptables -t nat -L -v). Wenn Du für jeden Computer in der WG eine eigene LAN->WAN und WAN -> LAN forward rule schreibst, dann müsste man doch einfach ablesen können, wie viel traffic von welchem Computer verursacht wird. (Hab' kein Rezept parat, aber diese Richtung scheint mir eine genauere Überlegung wert zu sein.)
Gibt es einen Befehl, der die Netzlast innerhalb des Netzwerkes bzw. die Last nach draußen anzeigt ?
Wie kann ich eine Zugriffskontrolle einrichten - in der Form, daß ein Bewohner, bevor er nach draußen kann, ein Paßwort eingeben muß und dieser Vorgang dann mit Zeit/Datum protokolliert wird ? (kann man dann auch im Nachhinein feststellen, auf welche Seiten der jenige zugegriffen hat - und wenn ja... wie ?)
Naja, Du kannst einen proxy auf dem gateway einrichten und mit der Firewall die ports, auf die via proxy zugegriffen werden soll (http,...) nach aussen dicht machen. Allerdings musst Du darauf gefasst sein, dass man das Umgehen kann, wenn man es wirklich darauf anlegt. Auf der SuSE-CD ist z.B. der Proxy `squid' drauf. Alle Benutzer brauchen dann ein Passwort, um über den Proxy surfen zu können. Der Proxy muss auch in der browser-config eingestellt sein. Und der Proxy protokolliert jede aufgerufene Seite und bietet gleichzeitig einen cache, der die DSL-Last vermindern kann. [ Eine andere Möglichkeit ist ein transparenter Proxy, bei dem Anfragen, die über den gateway laufen automatisch auf ein Programm, das auf dem gateway installiert ist (den proxy) umgelenkt werden. ] Wolly
Am Samstag, 15. September 2001 11:06 schrieb ich.habe.post@gmx.net: Eins vorweg, ich hoffe doch, dass diese Maßnahmen alle mit der WG abgesprochen sind, oder? Zu ermitteln, wer wieviel überträgt macht ja noch Sinn, aber zu kontrollieren, wer welche Seiten ansurft, halte ich für problematisch.
auch im Grunde ganz ordentlich. Nun möchte ich jedoch ein paar Kontrollen schaffen, um genau zu sehen, WER WANN WAS und vor allem WIEVIEL im Netz zieht.
Wer in welchem Zeitraum wieviel übertragen hat, kann man mit ipac ermitteln: http://freshmeat.net/redir/ipac/4512/url_homepage/ Allerdings basiert das afaik auf ipchains, unter Umständen bekommst Du da Probleme mit Deinem 2.4.9-Kernel.
Gibt es einen Befehl, der die Netzlast innerhalb des Netzwerkes bzw. die Last nach draußen anzeigt ?
Sieh Dir mal ntop an. Oder einfach tleds.
Wie kann ich eine Zugriffskontrolle einrichten - in der Form, daß ein Bewohner, bevor er nach draußen kann, ein Paßwort eingeben muß und dieser Vorgang dann mit Zeit/Datum protokolliert wird ?
Sollte mit Squid gehen. Stichwort transparent proxy, damit der nicht umgangen werden kann.
(kann man dann auch im Nachhinein feststellen, auf welche Seiten der jenige zugegriffen hat - und wenn ja... wie ?)
Steht im Squid-Logfile Martin ps: Ein Realname gleich im Header und nicht erst unter der Mail (und dann auch nur der halbe) erhöht Deine Chancen, Antworten zu bekommen, ungemein. -- when in danger or in doubt, run in circles, scream and shout! pgp-key: via wwwkeys.de.pgp.net, key id is 0x21eec9b0
Hallo, * On Sat, Sep 15, 2001 at 11:06 AM (+0200), ich.habe.post@gmx.net wrote:
Wir betreiben in der WG ein DSL-Gateway welches 5 Bewohnern das Surfen im Internet ermöglicht.
Auch wenn das nichts mit Deinem konkreten Problem zu tun hat: viele ISPs verbieten die Nutzung insbesondere von Flatrate-Zugaengen entweder ueber Router/Proxy-Server oder aber die Nutzung durch mehr als eine Person (wie z.B. T-Online es tut).
Nun möchte ich jedoch ein paar Kontrollen schaffen, um genau zu sehen, WER WANN WAS und vor allem WIEVIEL im Netz zieht.
Du koenntest einen transparenten Proxy (SQUID) aufsetzen und dann ein Tool wie http://freshmeat.net/projects/squid2mysql/ ausprobieren. Oder das IP-Masquerading komplett abschalten, dann kommt man nur noch ueber den SQUID-Proxy (der durch seine Caching-Funktionalitaeten die Leitung auch noch etwas entlasten duerfte) raus. Denn wenn Du die Firewalling-Rules fuer den transparenten Proxy z.B. so konfigurierst, dass Pakete mit Destination Port 80 an den SQUID weitergeleitet werden, koennten Deine User immer noch einen Proxy im Internet aufsetzen (oder einen bereits aufgesetzten nutzen), der auch auf andere Ports als Port 80 ansprechbar ist. Das wuerde dann von Deiner maskierenden Firewall "normal" maskiert und nach draussen geleitet werden (und vom SQUID nicht gezaehlt werden). Dasselbe Problem koenntest Du evtl. haben, wenn Du z.B. das Masquerading fuer alle Pakete aktivierst, aber fuer Pakete mit Dest.-Port 80 sperrst und Deinen Usern mitteilst, sie dass sie fuer HTTP Deinen SQUID-Proxy zu nutzen haben. Auch dann koennten sie einen Proxy im Internet nutzen, der z.B. auf Port 81 lauscht... ;-) D.h. wenn Du moechtest, dass man wirklich nur noch ueber den SQUID rauskommen kann, dann wirst Du wohl ein IP-Masquerading aus dem Router komplett verbieten muessen, womit aber andere Protokolle als die, die der SQUID beherrscht, nicht mehr funktionieren wuerden. Vielleicht waere es dann doch sicherer, das Accounting nicht via SQUID durchfuehren zu lassen...
Wie kann ich eine Zugriffskontrolle einrichten - in der Form, daß ein Bewohner, bevor er nach draußen kann, ein Paßwort eingeben muß und dieser Vorgang dann mit Zeit/Datum protokolliert wird ?
Hier waere SQUID natuerlich wieder ideal. Wenn Du Kontrolle ueber die Rechner Deiner User hast, waere auch ein dort laufender "identd" moeglich. Aber wenn Du keine Kontrolle ueber deren Maschinen hast, koennten die auch einen "identd" aufspielen, der dem SQUID irgend etwas Falsches mitteilt.
(kann man dann auch im Nachhinein feststellen, auf welche Seiten der jenige zugegriffen hat - und wenn ja... wie ?)
Mit Hilfe der SQUID-Logfiles wohl kein Problem. Wenn Du keinen Proxy einsetzt, koenntest Du durch die Logging-Funktionalitaet der Firewalling- Routinen des Linux-Kernels zumindest die kontaktierten Server protokollieren. Aus Datenschutzgruenden wirst Du so etwas mit Deinen Mitbenutzern vorher aber unbedingt absprechen muessen! Gruss, Steffen
participants (5)
-
ich.habe.post@gmx.net
-
Martin Borchert
-
Steffen Moser
-
Till Wollenberg
-
Wolly Wicyrek