Nu te-ai complicat prea tare ? De ce sa te chinui tot timpul sa asociezi
ip-urile noi la mac-uri ? Daca Serverul e si DC faci niste policy-uri pt
statiile M$'98 din retea ca baietii sa nu "atinga" setarile de network si
daca mai sunt si statii cu M$2000 sau linux, atunci faci un acl in squid si
dai acces numai la IP-urile date initial de tine (daca n-ai squid, din
firewall) . Cine-si schimba IP-ul sa nu mai pupe acces internet ...
Totusi poti ramane la solutia contorizand pachetele in functie de mac cu
iptables/mrtg ...pana la urmatoarea rebootare :)
Tu incerci sa oferi solutii intr-o retea fara sa impui nici o regula ....
macar de bun simt pentru useri. Daca incep sa-si schimbe calculatoarele
intre ei atunci ce mai faci ? pierzi si identificatorul unic (MAC) pe care
te bazezi
Imi pare rau ca nu-ti mai pot oferi alte solutii mai bune ....
Andrei Stanescu
----- Original Message -----
From: "Radu Radoveneanu" <[EMAIL PROTECTED]>
To: <[EMAIL PROTECTED]>
Sent: Thursday, June 19, 2003 12:18 PM
Subject: [rlug] Re: mrtg / ipfm / mac mac chestie
> multumesc, eu am preferat solutia cu ipfm care pana la urma s-a dovedit
> buna si nu prea, am setat ipfm-ul sa reinnoiasca datele odata la un =
> minut
> dupa care am facut un script ceva de genul
> grep ^$1[^0123456789] /var/log/ipfm.log | awk '{ print $2 "\n" $3 "\n" 0 =
> "\n" $1}'
>
> script-ul il apelez cu ajutotul altui script deoarece ipfm
> colecteaza datele in functie de ip , cel de-al doi-lea script
> citeste dintr-un fisier cu nume si adrese mac , apoi din tabela arp
> si asociaza cu ip-ul (astfel daca individul isi schimba ip-ul o sa
> aiba acelsi nume graficul)
> problema este ca e un server "remote" si oamenii de acolo e maniaci
> le place sa dea reboot (chiar daca am scos firul de la botonu de reset)
> daca nu merge netul 2 min din diverse motive reboot
> problema e ca dupa un reboot graficele arata aiurea , aiurea adica
> nu mai reinnoiesc traficul pe respect user
> nu stiu daca sa fie de la ipfm sau de la mrtg
> mrtg-urile (ca ruleaza mai multe) le-am pus daemons tocmai ca sa
> le pot restarta si opri , ele functioneaza (insa nu pentru toti userii)
> deci inca un indiciu cum ca ar fii de la ipfm, insa si acesta =
> functioneaza, adica traficul se mareste in log-ul sau ... cred
> ca sa-l pun sa adune date-le la un interval mai mare ...
>
> ------
> save the ozone layer
>
> -----Original Message-----
> From: Andrei Stanescu [mailto:[EMAIL PROTECTED]
> Sent: Thursday, June 19, 2003 12:12 PM
> To: [EMAIL PROTECTED]
> Subject: [rlug] Re: mrtg / ipfm / mac mac chestie
>
>
> Faci 2 chain-uri acctin si acctout si in ele introduci reguli pentru =
> fiecare
> MAC. Mai jos e un exemplu, pentru cazul in care traficul se face =
> printr-un
> proxy pe portul 8080 si chainurile le leg de INPUT si OUTPUT. Daca tu =
> faci
> SNAT sau MASQUERADE trebuie sa contorizezi traficul in FORWARD si =
> regulile
> vor fi diferite
>
> Ex.1 ipacctstart
>
> Network=3D"192.168.1.0/24"
> Adrese_MAC=3D"xx:xx:xx:xx:xx:xx yy:yy:yy:yy:yy:yy"
> iptables -N acctin
> iptables -N acctout
> iptables -F acctin
> iptables -F acctout
> # legi de input respectiv output
> iptables -I input -p tcp -s $Network -d ip_server_intern --dport 8080 =
> -j
> acctin
> iptables -I output -p tcp -d $Network -s ip_server_intern --sport 8080 =
> -j
> acctout
> for i in $Adrese_MAC ; do
> iptables -A acctin -m mac --mac-source $i -d
> ip_server_intern --dport 8080 -p tcp
> iptables -A acctout -m mac --mac-source $i -s
> ip_server_intern --sport 8080 -p tcp
> done
>
>
> Citesti valorile la un interval definit (recomand 5 minute) si apoi le
> "versi" in /var sau unde vrei tu
> Ex.2 ipacctget
> iptables -L acctin -n -x -v >/var/ipacct/acctin
> iptables -L acctout -n -x -v >/var/ipacct/acctout
>
> faci un executabil getdata pe care il vei apela in mrt.cfg
> Ex.3 getdata
> grep -w $1 /var/ipacct/acctin |awk '{print $2}'
> grep -w $1 /var/ipacct/acctout |awk '{print $2}'
>
> Ex.4 mrtg.cfg
> Target[nt_server]: `/etc/mrtg/getdata xx:xx:xx:xx:xx:xx`
> Title[statia 1]: Trafic xx:xx:xx:xx:xx:xx
> PageTop[statia 1]: <H1>Trafic xx:xx:xx:xx:xx:xx</H1>
> MaxBytes[statia 1]: 32000
> Target[statia 2]: `/etc/mrtg/getdata yy:yy:yy:yy:yy:yy`
> Title[statia 2]: Trafic yy:yy:yy:yy:yy:yy
> PageTop[statia 2]: <H1>Trafic yy:yy:yy:yy:yy:yy</H1>
> MaxBytes[statia 2]: 32000
>
> apelezi in cron ipacctget si mrtg....
>
> Nu am facut niciodata contorizare dupa MAC si e posibil ca regula pentru
> acctout din ipacctget sa fie diferita
>
> O zi placuta,
> Andrei Stanescu
