vnstat - статистика трафика по интерфейсам

Случайно нашел vnstat и теперь не могу нарадоваться, его можно настроить и следить за трафиком сети, usb-модема, wi-fi подключения.

Ставим:

sudo apt-get install vnstat

Указываем какой интерфейс слушать:

sudo vnstat -u -i eth0

вместо eth0 может быть что угодно: ppp0, eth1, у меня это wimax0.

Ключ -l даёт возможность в реалтайме смотреть нагрузку на интерфейс.

Смотреть статистику можно по месяцам, неделям, дням, часам в хелпе все расписано.

vnstat -m -i eth0

DNS+DHCP

После изучения некоторых манов и интернетах пришел к выводу, что для не большой организации dnsmasq более чем достаточно: DNS, DHCP, TFTP в одной коробке, к тому же маловесен и легок в настройке.

Ставим:

sudo apt-get install dnsmasq

все настройки храняться в одном файле /etc/dnsmasq.conf

Принимать запросы только из внутренней сети.

listen-address=127.0.0.1, 192.168.0.1

Задаем диапазон выдаваемых адресов с 192.168.0.20 по 192.168.0.150, маску сети 255.255.255.0 и срок аренды ip адреса.

dhcp-range=192.168.0.20,192.168.0.150,255.255.255.0,24h

Задаем выдачу постоянных адресов с привязкой по mac адресу. последняя запись по большей части для собственного порядка что и кому даешь.

dhcp-host=00:11:AA:BB:22:CC,192.168.0.50,glavbuh

Открываем /etc/resolv.conf

nameserver 127.0.0.1

nameserver 8.8.8.8

Вместо 8.8.8.8 можно/нужно указать DNS сервер своего провайдера.

Если провайдер дает тебе адреса по DHCP то открываем /etc/dhcp3/dhclient.conf

и снимаем комментарий с записи

prepend domain-name-servers 127.0.0.1, 8.8.8.8;

Теперь нужно перезапустить dnsmasq и сеть.

sudo /etc/init.d/dnsmasq restart

sudo /etc/init.d/networking restart

Второй сервер в организации. Что на него повесить?

Концепция интернет-шлюза из обычной офисной машины.

1. Раздача инета через NAT.

2. DNS+DHCP через dnsmasq.

3. Кэширование трафика через squid3.

4. Антивирус clamav.

5. Cрезание прона и банеров rejik или squidguard.

6. Статистика http трафика lightsquid.

7. Статистика трафика по интерфейсам vnstat.

8. Пиление iptables в сторону максимальной защиты сети.

9. openVPN сервер для удаленных сотрудников с доступом к основному серваку-файлохранилищу.

10. терминальный доступ для баловства xthtp freeNX

Ubuntu/Debian NAT

Задача организовать интернет-шлюз из машины с 2 сетевухами (usb-модемом, wimax-модемом) под Ubuntu/Debian Linux для раздачи инета в сеть БЫСТРО.

настраиваем сетевухи.

# открываем настройки сети 
sudo nano /etc/network/interfaces

# в нем пишем настройки сети
auto eth0
iface eth0 inet static
address 192.168.189.5
netmask 255.255.255.0

если сетевух  2, то вторую настраиваем подобным способом только с другой подсетью.
#перегружаем сеть - читаются новые конфиги.
sudo /etc/init.d/networking restart

Включаем ip форвардинг в ядре - иначе работать не будет.

# добавляем эхом в ядро, тогда не надо будет перегружаться.

sudo echo "1" > /proc/sys/net/ipv4/ip_forward

Теперь надо, что бы после ребута все работало как ни чего и не было. 

sudo nano /etc/sysctl.conf

в нем надо раскомментировать стороку
net.ipv4.ip_forward=1

Теперь собственно заставим работать NAT. самым простым и не замороченным спобом. Защищать будем позже) 
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Вместо eth0 нужно указывать интерфейс через который мы получаем инет (ppp0, wimax0, eth1). iptables не сохраняет настройки при перезагрузке по сему надо каждый раз надо подкидывать правила для iptables. Это можно делать несколькими способами, но мне ближе следующий способ: создать исполняемый скрипт и включить его в автозагрузку. 
Готово!
sudo reboot

Этого достаточно для того что-бы кленты согли получать инет, но это вариант для дома, для офиса надо значительно наращивать функционал.

Как минимум ужен: DNS, proxy, ACL (контроль).

1.5 Клиенты

Клиентам вручную назначаем ip адреса, указываем адрес шлюза (тот который мы только что завели), и DNS сервера (можно поставить адреса провайдера или Google Public DNS 8.8.8.8 или 8.8.8.4 ).