Как настроить анализ и фильтрацию на компьютере с Bridge?
 

Ситуация такая:

Есть витая пара от провайдера. Она входит в сетевую#1 на сервере. Сетевая#2 этого сервера подключена к свичу, из которого кабели расходятся по всей сети.
Сетевая#1 и Сетевая#2 собраны в мост. Т.е. через этот комп проходят все пакеты, идущие из интернета в сеть и обратно.

Как мне реализовать следующе:

1) Подсчёт траффика
2) Защиту оного (если возможно)
3) Статистику по каждому внутресетевому IP?

-Менять какие либо настройки на клиентах невозможно
-Пробовал CommView. Обалденно удобная штука, но справляется только с (1) и то не полностью. Виснет намертво после часа работы (Клиенты используют торенты итд).

В идеале - я хотел бы видеть статистику по каждому клиенту: Что, куда и сколько. Так же интересует, кто в данный момент сильнее всех грузит канал :)

Реально ли эти задачи осуществить и с помощью чего, если реально?

Заранее спасибо за ответы.

splash666, это будет возможно, если разбить мост и организовать нормальный NAT средствами самой ОС или сторонних программ (которые заодно делают обсчет трафика, статистику, разрешения/запрещения, организуют шейпер). К таким относится, например TMeter.

вот в чём затык. если такой монстр как UTM не может считать трафик на мосту, то думаю, но могу ошибаться, на мосту нельзя считать трафик по IP, только за весь канал.
Если знаете *никс, советую NeTAMS.

Реально работающие системы очень дорогие.
Это так назаваемые, прозрачные фаерволы.
Система должна разбирать Ethernet фреймы, склеивать из них IP-пакеты, затем собрать из них UDP/TCP и произвести анализ.
(Самые навороченные разбирают и клеют дальше)
Затем обратный процес.

В итоге очень затратно и крайне медленно.

по поводу внутрисетевого трафика, если стоят Циски-коммутаторы - можно попробовать по NetFlow собирать трафик с портов.
Не которые Длинки тоже NetFlow поддерживают.
А с моста внутрисетевой точно не посчитаете, т.к. трафик до моста и не будет ходить.
а зачем вы вообще там мост настроили ?

На коммутаторах 3-го уровня Cisco NetFlow отрабатывает на модуле маршрутизации.
Вообще NetFlow как технология работает только при процессе маршрутизации.
На 2-м уровне NetFlow работать не может по определению.

ну это да... Если Кошки 3-го... но есть не только нетфлоу... и на Кошках 2-го как-то снимали трафик.

SNMP. Но это информация по интерфейсам.

не. там что-то из трёх букв. загоняло инфу в FreeBSD

Ммм.. Почему пришёл к мосту - объясняю.

У нас в сети все клиентские машины имеют "Белые" IP. И шлюзом для них является сервер провайдера.
М.б. в силу своего незнания я и пришёл к варианту с мостом, как к варианту, для которого не требуется перенастраивать клиентские компьютеры.

Angry Demon, можно чуть подробнее? Как мне "пустить интернет с кабеля провайдера через мой сервер в свич" ?

Правда, тут останется только один белый адрес - адрес шлюза.

splash666, всё остальное можно опубликовать, к примеру все запросы на другой белый адрес - перенаправлять на серый алрес вашего сервера.
если сеть посзволяет - её можно разбить. Таже вместо моста можно было просто свитч поставить.

exo, я вообще сильно сомневаюсь в острой необходимости белых адресов у всех компов в этой сети. ИМХО. :)

splash666 ваши белые адреса, на какие числа начинаются?
Angry Demon, я начинаю сомневаться, что они вообще белые.

exo, вариант не невозможный. :)

194.84.*.*

Сорри, хоть и недоучка, но разницу понимаю:)

Насчёт целесообразности - тут не мне решать:( Так сложилось.

Angry Demon, так в конечном итоге?
Еще какие либо исходные данные нужны?

splash666, я ужо высказался.

Для Ethernet устройств существует RMON.
Но данный протокол поддерживает лишь девять типов счетчиков.
Наиболее подходящий это по порту. Однако, тогда вам необходимо будет выделить каждому клиенту по собственной сетевой карте.
Ни о какой статистике кроме Ethernet и речи быть не может (общий размер трафика, входящий, исходящий, с разбивкой по группам размера пакетов, широковещательный, "неправильный" и т. п.).

маска сети какая ? 255.255.255.0 ? а если разбить сеть на 2 ?
одну из 4 адресов - будет приходить со стороны прова, а другую - все оставшиеся, будете раздавать своим.
126 адресов хватит?
это пример, можно и другое разбиение придумать.

exo, маска 255.255.255.192

Angry Demon, так придётся тогда клиентские машины перенастраивать :( Ставить шлюзом ту машину, на которой NAT поднимаю. Этот вопрос рассматривался. И откинулся.

128 - делит сеть на 2 равные подсети...