classic.ISPforum.cz

ahoj všem. v jedné nejmenované firmě mě požádali o kontrolování vytíženosti jejich sítě. někdo si vesele stahuje nebo dělá něco jiného a brzdí tím služby vzdálených ploch a jiných služeb důležitých pro provoz firmy. mám v plánu sestavit jim QOS abych tomu zamezil. požadavek je ale směřován tak že chtějí vědět kdo to dělá. vzal jsem tedy mikrotika a dal ho mezi jejich síť a hraniční router. porty jsem dal do bridge a zapnul firewall. když se podívám přes TORCH vidím aktuální provoz ale zrovna byli všichni hodní. ovšem to moji situaci neřeší. potřeboval bych něco co by mi třeba týden zapisovalo provoz a já si to pak mohl zpětně prohlédnout a identifikovat škůdce. nastavil jsem si tedy trafic-flow a tím jsem skončil. v síti mají DHCP takže mi to ještě komplikují změny ip (potřeboval bych zaznamenat i mac).

dotaz je tedy následující: navede mě někdo, jaký program použít ke zpracování flow dat a následné identifikaci záškodníka

nestačilo by udělat SQ a pak se jenom podivat kdo by měl nejvíc nastahováno?

to je sice jedna z možností, ale neřekne mi to čím byla linka vytížena a druhá a to podstatnější věc je, že když mu DHCP dá jinou adresu všechno se tím zkreslí a mohu obvinit někoho, kdo s tím nemá nic společného.

Kdybych se upjal na IP adresy konkrétních stanic, asi bych pro začátek nastavil DHCP, tak aby mi přiděloval podle MAC adres, nebo bych aspoň z nouze zvednul lease time.
S tím už by se dalo něco dělat.

přesně tak, jenomže podle toho jeho výkladu dhcp server je na nějaký pixle a ne na mikrotiku. Překopej si DHCP na mikrotika a tam vidíš v logách i zpětně od posledního rebootu jakou IP dal jaký MAC. Pak bych asi pro začátek nastrkal SQčka + grafování.

Přes traffic flow je to jistě řešení nicméně se budeš muset párat s instalací nějakýho softu.

přendat DHCP na mikrotik není problém, jen mi není úplně jasné jak to vyřeším se stanicemi u kterých neznám MAC (např. připojí se někdo s notebookem). nemá mikrotik např. funkci automatického uložení rezervace při připojení nového zařízení (nebo to řešit skriptem)? SQ si dám na jednotlivé IP daného rozsahu a hlavní problém by byl vyřešený. ovšem pořád mi to neřekne jaká služba problémy s linkou způsobila.
TraficFlow mi přišlo na mysl jako první kvůli problémům které teď řešíme. bylo mi jasné že bude potřeba nějaký program ale je to jen na krátkou dobu takže by stačil i nějaký trial. ale nenasel jsem ten vhodný. analýzu TraficFlow jsem zatím neřešil proto se ptám.
přemýšlel jsem o SQ na p2p sítě ale do toho mi zase nespadnou uloz.to a podobné servery na portu 80. nebo druhá varianta, nějak kontrolovat vyšší download např. delší 5min a zalogovat cílovou a zdrojovou adresu, počítám ale že tohle asi ani nejde nakonfigurovat. ještě vás něco napadá?

DHCP na MK
Dej si tam pool, s velkym rozsahem a lease time treba "365d 00:00:00" a nemusis resit, jestli se nekomu zmenila IP
Nebo si na vytipovane z toho udelej rovnou staticke zaznamy a tem se menit IP nebude nikdy > SQ > mas grafy pro vsechny
A muzes zacit vyvaret nejaky pekny papir, kde budes lidi drbat.

Vyfiltrovat ulozto apod. podle IP neni nic tezkeho, navic, kdyz uz to budes mit na MK a udelas si tam pekne Queue tree, tak stahovace resit ani nemusis, protoze uz ti linku proste nevytizi.

díky za podněty, nastavím DHCP kouknu kdo to dělá a služby zkontroluju až budu vědět o kterou stanici se jedná. aspoň si budu jistý že jdu po správné osobě

tak toto resim na jiste skole tak, ze mam lease time na 15 minut, a kazdych pet minut mam ve scheduleru script co:
najde vsechny dynamicky lease od serveru
udela z nich staticky
prida jim pravidlo do SQ
do komentu v dhcp jeste ulozi hostname

a pak uz je jednou pro vzdy na routeru evidovanej

Bylo by možné se o tento skript podělit? Něco takového by se mi právě hodilo a sám to budu dělat opravdu dlouho. Děkuji

Rudolf: jednou pro vzdy do doby, nez ho napadne zmenit si MAC adresu, ve windoze to je radek v registrech... A pro sichr i hostname..