Freesco, NND, CDN, EOS

jak sprawdzic jakie ip (tzn. jaki user) kiedy korzystal z netu? podobno named robi jakies wpisy w logu, ale u mnie zadnych nie ma. tzn sa, ale nie bardzo chyba o te chodzi:

Sep 12 20:57:09 - named[173]: starting. named 4.9.3-BETA26 Sun Nov 26 20:58:49 CST 1995 ^Iro
Sep 12 20:57:09 - named[173]: cache zone "" loaded (serial 0)
Sep 12 20:57:09 - named[173]: primary zone "domain" loaded (serial 1999317)
Sep 12 20:57:09 - named[173]: primary zone "10.in-addr.arpa" loaded (serial 1999317)
Sep 12 20:57:09 - named[173]: primary zone "16.172.in-addr.arpa" loaded (serial 1999317)
Sep 12 20:57:09 - named[173]: primary zone "168.192.in-addr.arpa" loaded (serial 1999317)
Sep 12 20:57:09 - named[173]: primary zone "0.0.127.in-addr.arpa" loaded (serial 1999317)
Sep 12 20:57:09 - named[174]: Ready to answer queries.

pozniej sa jeszcze takie:

Sep 12 20:59:55 - named[174]: sysquery: no addrs found for NS (ns3.hotmail.com)
Sep 12 20:59:55 - named[174]: sysquery: no addrs found for NS (ns4.hotmail.com)
Sep 12 20:59:55 - named[174]: sysquery: no addrs found for NS (ns1.hotmail.com)
Sep 12 20:59:55 - named[174]: sysquery: no addrs found for NS (ns2.hotmail.com)
Sep 12 20:59:55 - named[174]: sysquery: no addrs found for NS (ns3.hotmail.com)
Sep 12 20:59:55 - named[174]: sysquery: no addrs found for NS (ns4.hotmail.com)
Sep 12 20:59:57 - named[174]: sysquery: no addrs found for NS (mx12.hotmail.com)
Sep 12 20:59:57 - named[174]: sysquery: no addrs found for NS (mx13.hotmail.com)
Sep 12 20:59:57 - named[174]: sysquery: no addrs found for NS (mx14.hotmail.com)
Sep 12 20:59:57 - named[174]: sysquery: no addrs found for NS (ns1.hotmail.com)
Sep 12 20:59:57 - named[174]: sysquery: no addrs found for NS (ns2.hotmail.com)
Sep 12 20:59:57 - named[174]: sysquery: no addrs found for NS (ns3.hotmail.com)
Sep 12 20:59:57 - named[174]: sysquery: no addrs found for NS (ns4.hotmail.com)
to tylko kawalek, a jest tego calkiem sporo w ciagu krotkiego czasu...

mam iptrafa i traffic-visa ale z tego pierwszego niewiele wiem, a drugi wyswietla wuchta roznych innych ip i tez jest kaszana kurde, ja tylko potrzebuje wiedziec ktory komp i kiedy korzystal z netu...

Traffic-vis pokazuje jedynie kto ile ściągnął, ogólnie pokazuje cały ruch w sieci lecz nie pokazuje daty kiedy było ściągane. Jak masz dobrze ustawiony ARP to zobaczysz ile ściągneli (trzeba znaleść ich IP). I to wszystko.

_________________
Pozdrowienia
Bolo

w hosts.arp mam cos takiego:
# IP MAC
192.168.0.2 00:00:E8:62:66:83
# next komp
192.168.0.3 00:00:B4:C4:D3:8B

rozumiem ze musze wpisac kolejno
ip kompa mac z karty
jeden komp pod drugim, tak jak w przykladzie?

Nie dokładnie mi o to chodziło Jeżeli pakiet arp (no i wpisy ipfwadm)dobrze pilnuje IP'ków w sieci to sie nikt nie podszyje za kogoś. W podsumowaniu traffic-report.html wypisane są wszystkie komputery jakie brały udział w przesyłaniu danych. Najczęściej ci co najwięcej ściągają są na samej górze. Jednak traffic-vis czasami szaleje i źle wypisuje, gubi hostów lub wypisuje 1970 rok Ja mam ustawione na 15 min i najczęściej jak sie sknoci to po 30 min pokazuje poprawnie
Jak znasz IP kolesi z sieci to napewno będąmieli swojąramke w podsumowaniu i ile ściągneli z jakiego adresu. U mnie działa od 4 dni i wszystko jest ok.oto moje podsumowanie:
http://bobolo.prv.pl/traffic/traffic-report.html
10.1.1.2, 10.1.1.3, 10.1.1.4 to łebki z dostępem do netu a 10.1.1.5 ma dostęp do serwera a odcięty do netu (wysyła ale nie odbiera)

_________________
Pozdrowienia
Bolo

no fajnie, a jak ustawic te ipfwadm, co? moglbys moze mi napisac zdeka jasniej, bo ja jeszcze nie za bardzo sie w tym wszystkim orientuje i jakis przyklad moze by mi cos tam rozjasnil...

W pliku rc_user znajdujacy się w katalogu /mnt/router/rc mam wpisane:
rc_arp start
ipfwadm -I -i reject -P tcp -W ppp0 -S 0/0 -D 213.76.220.236 81 #blokada 2 www z netu gdzie mam podsumowanie trafiic-vis(w moim przypadku)
ipfwadm -I -i reject -S $NETWORK0/$NETMASK0 #blokada wszystkich adresów z sieci eth0
ipfwadm -I -i accept -S 10.1.1.2 #odblokowanie poszczególnych userów
ipfwadm -I -i accept -S 10.1.1.3
ipfwadm -I -i accept -S 10.1.1.4
należy zachować taką a nie inną kolejność wpisów bo nie zadziała - nikt nie będzie miał internetu.
Oczywiście należy wykonać reboot lub powpisywać każddą komende ręcznie w lini poleceń
życzę miłej zabawy

_________________
Pozdrowienia
Bolo

oczywiście w pliku rc_user musi się znajdować wpis:
. /etc/system.cfg
a wszystkie nowe wpisy muszą być pomiędzy:
if [ "$1" = firewall ]; then
a
exit; fi

_________________
Pozdrowienia
Bolo

no wlasnie, wlasnie dzieki serdeczne.. a chodzi mi jeszcze o to zeby tylko okresleni userzy mieli dostep do netu (tzn. chce zrobic takie cos zeby zaden inny koles nie podlaczyl sie bez mojej wiedzy) - to wlasnie te wpisy:

one wystarcza czy potrzeba jeszcze wpisac te numery MAC z kart sieciowych w ARP?

wpisy ipfwadm pilnują tylko adresu IP czyli jak jest accept dla 10.1.1.2 to koleś co ma IP 10.1.1.2 ma net. Ale ktoś może sobie wpisać sam adres IP (ukraść go ) to wtedy działa arp - sprawdza autentyczność MAC z IP jeżeli sie zgadza to puszcza jeżeli nie to odcina do serwera. Oczywiście adresy 10.x.x.x to przykład z mojego kompa, można to tak samo zastosować dla 192.188.x.x lub 172.16-31.x.x to kwestia upodobania jakie IP zastosujemy w podsieci.

_________________
Pozdrowienia
Bolo