Hallo alle zusammen,
wir haben ein Gemeinschaftsnetzwerk, wozu ich eine Software suche die folgende Eigenschaften od. zumindest einpaar dieser folgenden Eigenschaften wie z.B. Trafficshapping/Trafficristriction/Trafficaccoung unterstützt.
Unser Internetzugang ist monatlich auf 30GB Traffic begrenzt welchen wir mit unseren Server aufteilen bzw. verwalten wollen, wozu auch jeder die Möglichkeit besitzt diesen selbst über Webinterface auszulesen. Zum Beispiel: 6x 5GB!
Benötigte Eigenschaften:
1. Server Kontrollzentrum (Webinterface)
a. Option: Rechner herunterfahren/neustarten
b. Kontrolle über alle installierten Komponenten wie zum Beispiel Squid (z.B. Cache leeren, auswählen zwischen Normal und Transparent Modus), Contentfilter (auswählen der verschiedenen Filter wie z.B. Banner, Popup oder beides) oder Trafficverbrauch (Trafficusage) oder Benutzerkontrolle mit IP-Zuweisung
2. Trafficverbrauch (Trafficusage/accounting)
a. Trafficlimitierung pro Benutzer mit den Eigenschaften zwischen unlimitiert und limitiert zum Beispiel auf 5GB pro Monat.
b. Trafficstatistik über das ganze Jahr und von Monat zu Monat, von jedem Benutzer einzeln und eine Gesamtstatistik im Admincenter.
c. Zusätzlich zu der Statistik sollte der Traffic kontrolliert und bei Überschreitung des zur Verfügung stehenden Traffic die Internetverbindung für den jeweiligen Benutzer und für die restliche Laufzeit gesperrt werden.
d. Den Traffic wenn möglich auf ein ganzes Quartal zu beschränken oder die Möglichkeit, die Laufzeit selbst zwischen 1 Monat oder 1 Quartal (3 Monate) wählen zu können, aber die Statistik von jedem Monat einzeln auszugeben und zusätzlich für den Benutzer eine Gesamtstatistik für die gesamte Laufzeit auszugeben.
3. Trafficaccounting/Usercontrol
a. Pro Benutzer sollten mehr als nur eine IP zugewiesen werden können.
b. Die Benutzeridentifizierung bzw. Anmeldung am Netzwerk der Benutzer muss mindestens über die Plain-IP Methode erfolgen. Wenn möglich sollte man zwischen mehreren wie zum Beispiel Plain-IP, PPPoE, oder Ihrer Client-Software wählen können wählen können. Die Version mit Ihrer Client-Software allein, kann nicht verwendet werden.
c. Verwendung eines MAC-Filters. Jede verwendete IP-Addresse sollte an bestimmte MAC-Adressen zugewiesen werden können
4. Zusätzlich gewünschte Softwarekomponenten (More wished Softwarecommponents):
a. Wichtig (Important): Squid, Bandwith-Manager, Instrusion Detection
b. Nicht Wichtig (Not so Important): Contentfilter (Banner, Popup), Webproxy
5. Verbindung zum Internet (Connection to our Provider)
a. Um eine Verbindung zu unseren Provider herzustellen benötigen wir die Möglichkeit zwischen der Plain-IP und der PPPoE Methode auswählen zu können.
b. Interneteinwahl zu unseren Provider mindestens über die Plain-IP Methode.
Wie bereits erwähnt muss die Software nicht alle Features dieser Auflistung unterstützen, sondern in erster Linie die bereits im ersten Satz erwähnten Eigenschaften.
Sollte es doch bereits ein Tool geben, welches den Großteil unterstützt, würde ich mich darüber umso mehr freuen.
Auch ist es sicher möglich sich aus mehren Tools, sich daraus selbst eines zusammenzustellen.
Ich würde mich sehr über einpaar Tipps von euch freuen, vielleicht jemand von euch einen Tipp für mich!
Gruß
Bernhard
P.S.: Es gibt zwar schon einpaar Beiträge zu diesem Thema, doch leider war bisher nichts passendes dabei.
Bandwith+Traffic accounting/ristriction/logging
-
ckoepp
- Beiträge: 1409
- Registriert: 11.06.2005 20:11:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Nähe Heidelberg
Also eine eierlegende Wollmilchsau willst du haben? 
Nein, im Ernst. So eine (sepezielle) Software kenne ich nicht. Einige Features kannst du aber in 5 Minuten selbst erstellen.
Statistiken: rrdtools (komplett wartungsfrei wenn richtig angewendet), anzeigen tust du sie im Apache und das in statischen HTML Dateien. Musst dir nur per Cron alle 10 Minuten oder so nen Bild aus den aktuellen Daten erstellen.
Alleinige und sture userbasierte Trafficmessung macht meist nur (sehr) wenig Sinn und ist quasi nahezu unmöglich. Wie willst du erkennen ob nun User1 ssh nach draußen macht und schnell mal ne Zip auf nen Server läd? Allerhöchstens anhand der IP, aber selbst da musst du den "Traumzustand" annehmen das jeder sich am selben Rechner einlogt. Dann stellt sich aber wieder die Frage: wozu brauch ich dann ne Userverwaltung über Netzwerk?
Du kannst nur Dienste beschränken und dort User-Limits einrichten, wie z.B. Proxy als klassischer Fall.
Für den Apachen gibt es ein mod der nennt sich mod_cband. Dort kannst du virtuelle User einrichten und Traffic in diversen Arten begrenzen. Das lieste mit Cron aus und rechnest es mit den anderen trafficsystemen zusammen. Alle 10 Minuten und dann hast du nen Großteil (wahrscheinlich aber nicht alles) von dem User-Traffic.
Instrusion Detection würd ich dir empfehlen immer auf nen eigenen Rechner zu legen. Solltest du auch nur anwenden wenn du Ahnung von der Materie hast. Schlecht eingerichtete ID's bringen mehr Frust als Sicherheit. Und mal im Ernst: 80% der mittleren bis kleinen Firmen haben solche Systeme nur um ihr Gewissen zu beruhigen. "Wir ham ne ID im Keller, wir sind sicher!". Defacto ist es so das diese Kisten rein gar nichts bringen wenn sie nicht von einem erfahrenen Menschen direkt auf die Bedürfnisse des Unternehmens/Netzwerkes eingerichtet sind.
Man muss auch immer daran denken wie verdammt viel Arbeit eine ID macht. Sie muss immer und bei nahezu allen größeren Netzwerk-Änderungen angepasst werden um nicht einfach unwirksam zu werden bzw. falschen Alarm zu schlagen.
Nein, im Ernst. So eine (sepezielle) Software kenne ich nicht. Einige Features kannst du aber in 5 Minuten selbst erstellen.
Statistiken: rrdtools (komplett wartungsfrei wenn richtig angewendet), anzeigen tust du sie im Apache und das in statischen HTML Dateien. Musst dir nur per Cron alle 10 Minuten oder so nen Bild aus den aktuellen Daten erstellen.
Alleinige und sture userbasierte Trafficmessung macht meist nur (sehr) wenig Sinn und ist quasi nahezu unmöglich. Wie willst du erkennen ob nun User1 ssh nach draußen macht und schnell mal ne Zip auf nen Server läd? Allerhöchstens anhand der IP, aber selbst da musst du den "Traumzustand" annehmen das jeder sich am selben Rechner einlogt. Dann stellt sich aber wieder die Frage: wozu brauch ich dann ne Userverwaltung über Netzwerk?
Du kannst nur Dienste beschränken und dort User-Limits einrichten, wie z.B. Proxy als klassischer Fall.
Für den Apachen gibt es ein mod der nennt sich mod_cband. Dort kannst du virtuelle User einrichten und Traffic in diversen Arten begrenzen. Das lieste mit Cron aus und rechnest es mit den anderen trafficsystemen zusammen. Alle 10 Minuten und dann hast du nen Großteil (wahrscheinlich aber nicht alles) von dem User-Traffic.
Instrusion Detection würd ich dir empfehlen immer auf nen eigenen Rechner zu legen. Solltest du auch nur anwenden wenn du Ahnung von der Materie hast. Schlecht eingerichtete ID's bringen mehr Frust als Sicherheit. Und mal im Ernst: 80% der mittleren bis kleinen Firmen haben solche Systeme nur um ihr Gewissen zu beruhigen. "Wir ham ne ID im Keller, wir sind sicher!". Defacto ist es so das diese Kisten rein gar nichts bringen wenn sie nicht von einem erfahrenen Menschen direkt auf die Bedürfnisse des Unternehmens/Netzwerkes eingerichtet sind.
Man muss auch immer daran denken wie verdammt viel Arbeit eine ID macht. Sie muss immer und bei nahezu allen größeren Netzwerk-Änderungen angepasst werden um nicht einfach unwirksam zu werden bzw. falschen Alarm zu schlagen.
"Es gibt kein Problem, das man nicht mit einem doppelten Scotch lösen könnte!"
Ernest Hemingway
Ernest Hemingway
Hallo,
ja ich hätte gerne eine Software die das oder wenigstens einen Teil davon kann.
Aber erstmals danke für deine Tipps, ich finde diese sind wirklich sehr hilfreich.
Bei mir geht es allerdings nicht um ein Firmen oder Privatnetzwerk, indem wir uns unterenander eine DSL-Leitung teilen
und wozu nun gerne die Trafficstatistik u. bei einigen sogar eine Begrenzung möchte.
Hier hat sozusagen, jeder seinen eigenen Rechner, da wir unser Internet über Wlan verteilen.
Deshalb wäre für mich eine solche Lösung sehr hilfreich!
Ich habe auch im Netz Lösungen schon zwei gefunden, welche wiederum auch nicht wieder alles abdecken .
Deshalb hab ich mich nun auch auf deinen Tipp, dass man vieles innerhalb von 10 selbst machen kann entschieden mich Mal in die Materie einzuarbeiten u. einpaar Tools ausprobrieren u. mit den Ergebnissen (sollte mein Know/How reichen) selbst ein passendes System zusammenzustellen.
Ich habe z.B. gelesen, dass man z.B. eine Trafficbegrenzung von z.B. 5GB pro Monat sogar ohne Probleme als Regel in die Firewall schreiben kann. Demnach sollte es auch möglich sein den Trafficverbrauch über die Firewall zu protokollieren
und in eine MySQL-Datenbank zu schreiben, deren Statistik ich dann über ein Webinterface auslesen lassen könnte.
So zumindest meine Idee, da mir eigentlich schon länger bekannt ist, dass Trafficregulierunen über die Firewall laufen.
Eine zweite Möglichkeit wäre der Squid-Server wo es auch schon einige Tools gibt, die es einen ermöglichen den Traffic zu protokollieren (Z.. : über den Web-Proxy).
Zusätzlich bietet dieser allerdings funktionen wie Inhaltsfilter, Popup-Blocker usw.
Mal sehen vielleicht ist es mir Mal vorerst möglich ein Webinterface mit Trafficstatistiken zu ertellen, wo die User darauf zugriff habe, wie z.B. bei netacct! Die Kontrolle dieser Tools kann von mir aus auch ruhig über Webmin oder Konsole erfolgen.
Aber Mal sehen wie u. was sich ergibt! Vielleicht komme ich auf meiner suche nach Lösungen auch zu einem Erkenntnis, dass ich mir vielleicht doch mehr vorgenommen habe,als möglich ist oder es bereits eine andere Lösung gibt.
Auch habe ich schon daran gedacht, ein Addon für Cacti oder Mastershaper zu erstellen, welches diese Eigenschaften ermöglicht was vielleicht sogar leichter wäre. Allerdings ist das alles wiederum eine Zeitfrage, wo ich mit einer Lösung nicht vor Sommer rechnen kann.
Vielleicht hat jemand lust mir dazu einpaar Tipps oder Lösungsansätze zu liefern, oder vielleicht jemand von euch bereizts Tools die diese oder Teils dieser unterstützen.
Natürlich sollte es wenn möglich auch Debian unterstützen bzw. wenn schon keine .deb. Packete, wenigstens mit einen Script installierbar sein.
Über einpaar Tipps von euch wäre ich euch sehr dankbar!
Gruss,
Bernhard
ja ich hätte gerne eine Software die das oder wenigstens einen Teil davon kann.
Aber erstmals danke für deine Tipps, ich finde diese sind wirklich sehr hilfreich.
Bei mir geht es allerdings nicht um ein Firmen oder Privatnetzwerk, indem wir uns unterenander eine DSL-Leitung teilen
und wozu nun gerne die Trafficstatistik u. bei einigen sogar eine Begrenzung möchte.
Hier hat sozusagen, jeder seinen eigenen Rechner, da wir unser Internet über Wlan verteilen.
Deshalb wäre für mich eine solche Lösung sehr hilfreich!
Ich habe auch im Netz Lösungen schon zwei gefunden, welche wiederum auch nicht wieder alles abdecken .
Deshalb hab ich mich nun auch auf deinen Tipp, dass man vieles innerhalb von 10 selbst machen kann entschieden mich Mal in die Materie einzuarbeiten u. einpaar Tools ausprobrieren u. mit den Ergebnissen (sollte mein Know/How reichen) selbst ein passendes System zusammenzustellen.
Ich habe z.B. gelesen, dass man z.B. eine Trafficbegrenzung von z.B. 5GB pro Monat sogar ohne Probleme als Regel in die Firewall schreiben kann. Demnach sollte es auch möglich sein den Trafficverbrauch über die Firewall zu protokollieren
und in eine MySQL-Datenbank zu schreiben, deren Statistik ich dann über ein Webinterface auslesen lassen könnte.
So zumindest meine Idee, da mir eigentlich schon länger bekannt ist, dass Trafficregulierunen über die Firewall laufen.
Eine zweite Möglichkeit wäre der Squid-Server wo es auch schon einige Tools gibt, die es einen ermöglichen den Traffic zu protokollieren (Z.. : über den Web-Proxy).
Zusätzlich bietet dieser allerdings funktionen wie Inhaltsfilter, Popup-Blocker usw.
Mal sehen vielleicht ist es mir Mal vorerst möglich ein Webinterface mit Trafficstatistiken zu ertellen, wo die User darauf zugriff habe, wie z.B. bei netacct! Die Kontrolle dieser Tools kann von mir aus auch ruhig über Webmin oder Konsole erfolgen.
Aber Mal sehen wie u. was sich ergibt! Vielleicht komme ich auf meiner suche nach Lösungen auch zu einem Erkenntnis, dass ich mir vielleicht doch mehr vorgenommen habe,als möglich ist oder es bereits eine andere Lösung gibt.
Auch habe ich schon daran gedacht, ein Addon für Cacti oder Mastershaper zu erstellen, welches diese Eigenschaften ermöglicht was vielleicht sogar leichter wäre. Allerdings ist das alles wiederum eine Zeitfrage, wo ich mit einer Lösung nicht vor Sommer rechnen kann.
Vielleicht hat jemand lust mir dazu einpaar Tipps oder Lösungsansätze zu liefern, oder vielleicht jemand von euch bereizts Tools die diese oder Teils dieser unterstützen.
Natürlich sollte es wenn möglich auch Debian unterstützen bzw. wenn schon keine .deb. Packete, wenigstens mit einen Script installierbar sein.
Über einpaar Tipps von euch wäre ich euch sehr dankbar!
Gruss,
Bernhard