On Mon, Jan 31, 2005 at 05:40:59PM +0100, Piotr Frejowski wrote:
przydadzą to proszę bardzo, są tutaj: http://barman.brzeziny.net/lms-scripts/scripts.tar.gz
PS. Nie jestem biegły w perlu więc większość skryptów to przeróbki oryginałów (najczęściej lms-makearp Alec'a), niektóre moje metody mogą wydawać się śmieszne, ale działają :)
print RULESFILE $fwcmd." add ".($reg_pocz + $counter * $offset + $count)." fwd 127.0.0.1,3128 tcp from 10.0.12.0/24 to not 10.0.12.0/24 dst-port 80,8080,3128 via ".$iif."\n";
A nie raczej 'to not me dst-port 80' ?
Chyba że masz tam jakoś dużo sieci/interfejsów i w/w przykład to tylko mały wierzchołek góry lodowej.
Ja to bardziej widzę tak: 0-9999 masz regółki pre-lms, ot takich kilka liczników czy blokady np portów 135,137,139,445. Można dać dynamiczne pipy limitujące np sesje smtp/pop3 i zachęcające do użycia tych ISP-provided...
10180 pipe 10180 ip from 192.168.1.18 to any in 10181 pipe 10181 ip from any to 192.168.1.18 out
Oczywiście 0 i 1 są przykładem (dość kiepskim) i lepiej dać np 3 i 6, zawsze wtedy można dopisać 3 regółki przed (0,1,2) oraz 3 po (7,8,9) nie licząc 2 w środku (4,5). (np dodatkowe cięcie do 32 kbps coponiekturych ssaczy/wysyłaczy)
60000-65535 regółki nata, transparentne: pop3 antywirus, smtp antywirus, squida, dnsmasq,
Zakładam też milcząco że więcej niż 5 interfejsów tam nie będzie (1xxxxx-5xxxxx), albo mając wiele interfejsów (vlany rulez, na epiach trza uważać bo vr nie umie (przynajmniej tagowanych)) 10yyyy-50yyyy ale wtedy kosztem ilość ip w sieci (zakładam że jest ich do 100).
Regułki wyglądają _przejżyście_, prosty ipfw | grep coś może powiedzieć, a i skrypt rrd jest miły i zużywa mało CPU. W wersji wyszukaj ip, potem zaloguj to można owszem raz na 10-20 minut odpalać, a rrdtoola wypada mieć uruchamianego co 3-6 minnut. (z perla rrdtool śmiga o wiiiiiele lepiej niż awk/grep).
kd.