Странности Border Manager

Обсуждение технических вопросов по продуктам Novell

Странности Border Manager

Сообщение Елена Лезгина » 06 сен 2004, 10:05

Добрый день!
За канал ADSL наше предприятие платит по трафику, поэтому проблема учета и контроля всегда стоит очень остро. Считаем сами статистику по логам Border Manager, сверяем со статистикой у провайдера. Почти всегда все было более-менее ok, а тут вот столкнулись с весьма нехорошей ситуацией. За пару дней в августе статистика у провайдера вдвое превосходила нашу, полученную с BM (у нас - ~400MB, у них - ~800MB). Запросили у них расширенную статистику за эти дни типа с какого IP на какой ходили. Естественно, у нас NAT, поэтому все идет от адреса BM, но вычислили, к какому сайту относится неучтенная BM информация. Стали опять смотреть логи BM, и получается, что на этот сайт (кстати, производственной тематики www.snecma.com) явно никто не заходил, но заходили на другой сайт, откуда брался (операция "GET") некий java script (файл .js), а потом запускался snecma.css файл, и так много раз за день. В статистике же провайдера явно присутствует IP-адрес www.snecma.com по 80 порту. Привожу строки из лога Border'a:
172.17.7.17- .ivanova.100.adv [09/Aug/2004:13:15:23 +0600] "GET http://www.turbomeca.com/public/en/nav/nav.js HTTP/1.0" 200 4861
172.17.7.17 - .ivanova.100.adv [09/Aug/2004:13:15:23 +0600] "GET http://www.turbomeca.com/public/en/nav/snecma.css HTTP/1.0" 200 8345

Вопрос: можно ли запустить какой-нибудь скрипт, а потом он перенаправит на другой сайт, запустится перекачка, а в лог ничего не запишется? Причем пользователь тут ни при чем, т.к. тематика сайта производственная, да и человек такой, что много не выдумает. Как бы обойти эту ситуацию?
Аватара пользователя
Елена Лезгина
 
Сообщения: 310
Зарегистрирован: 06 июн 2002, 08:42
Откуда: Пермь

Сообщение Бурылов Александр » 06 сен 2004, 12:08

А может пойти по более простому пути , отключить в IE выполнение Java Script и включить самый высокий уровень безопасности интернета
Кстати я так именно и защищаюсь в некотрых ситуациях от перенаправлений с открытием новых окон.
Аватара пользователя
Бурылов Александр
 
Сообщения: 302
Зарегистрирован: 13 окт 2003, 09:05
Откуда: Пермь

Сообщение Anton » 06 сен 2004, 14:39

также BM отдельно считает страффик через socks 5 и т.п., пожет вы не везде посмотрели?
Anton
 
Сообщения: 78
Зарегистрирован: 22 май 2003, 20:24

Сообщение Елена Лезгина » 06 сен 2004, 14:49

Anton писал(а):также BM отдельно считает страффик через socks 5 и т.п., пожет вы не везде посмотрели?


У меня открыт только HTTP- и FTP-прокси, по ним и идут логи.
Аватара пользователя
Елена Лезгина
 
Сообщения: 310
Зарегистрирован: 06 июн 2002, 08:42
Откуда: Пермь

Как профилактика (но не ответ почему)

Сообщение skoltogyan » 06 сен 2004, 17:02

1. Тут на форуме пробегала NLM-ка, что ведет подсчет ТРАФФИКА НА ИНТЕРФЕЙСЕ.
Возможно, что имеет смысл использовать и ее для ежедневного (ежечасного) контроля.

2. Мнение по событию
Если исходить из того, что:
От Вас НИКТО из пользователей не ходит через NAT в инет, а только обращаются к следующим прокси:
HTTP
FTP
(я так понял, что Ваш Прокси пробрасывает свои запросы к Прокси Провайдера)
И НИКАК ЭТО В АШИХ ЛОГАХ НЕТ (неужели нет первого захода с какой-то станции туда)
То смею предположить - возможно напоролись на некий глюк в BM (сам в себе зациклился)

Если Ваш Прокси действительно пробрасывает свои запросы к проксе провайдера, то - откажитес от этого и У ВАШЕЙ фирмы уменьшится траффик .
skoltogyan
 
Сообщения: 1939
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Сообщение Мещеряков Андрей » 07 сен 2004, 08:40

Хвораем этой же болезнью :) Если интересно, полистайте форум..
1. Тут на форуме пробегала NLM-ка, что ведет подсчет ТРАФФИКА НА ИНТЕРФЕЙСЕ.
Возможно, что имеет смысл использовать и ее для ежедневного (ежечасного) контроля.

WANSTAT дает правильную статистику :) Но ситуацию это не меняет, т.к. прокси может отчитаться только за 70% трафика :?
Если исходить из того, что:
От Вас НИКТО из пользователей не ходит через NAT в инет, а только обращаются к следующим прокси:

NAT в другой сети. Маршрутизация выключена.
(я так понял, что Ваш Прокси пробрасывает свои запросы к Прокси Провайдера)

Поигрался :) Выключил :D Верно, трафик меньше. Но 100% паритета не наблюдается :)
А вот теперь такая гипотеза :idea:
В локальной конференции я натолкулся на мысль, что появился софт, использующий для передачи данных пакеты DNS... Ваше мнение, кабальерос?!
Аватара пользователя
Мещеряков Андрей
 
Сообщения: 1999
Зарегистрирован: 19 сен 2002, 14:55
Откуда: lipetsk

Сообщение PavelKHTW » 07 сен 2004, 09:25

Мещеряков Андрей писал(а):1. Тут на форуме пробегала NLM-ка, что ведет подсчет ТРАФФИКА НА ИНТЕРФЕЙСЕ.
Возможно, что имеет смысл использовать и ее для ежедневного (ежечасного) контроля.

WANSTAT дает правильную статистику :) Но ситуацию это не меняет, т.к. прокси может отчитаться только за 70% трафика :?
В локальной конференции я натолкулся на мысль, что появился софт, использующий для передачи данных пакеты DNS... Ваше мнение, кабальерос?!

Может NLM и считает траффик на интерфейсе, но провайдер считает трафик на интерфейсе cisco - а туда включается весь траффик, в том числе и служебный cisc-и.
А по поводу DNS ваша мысль верна, особенно если у вас свой DNS и хреново настроен + если ваш DNS еще и является мастером для внешнего домена и вы не ограничили доступ к нему, то реальная ситуация до 20Мб в час только за счет трансфера зоны.
PavelKHTW
 
Сообщения: 1037
Зарегистрирован: 08 окт 2003, 13:02
Откуда: Украина

Сообщение Владимир Горяев » 07 сен 2004, 09:32

Мещеряков Андрей писал(а):В локальной конференции я натолкулся на мысль, что появился софт, использующий для передачи данных пакеты DNS... Ваше мнение, кабальерос?!
Запросто. Тот же CONNECT доставлял проблемы разным проксям.
Бардак автоматизировать невозможно!!!
_________________
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

Сообщение Мещеряков Андрей » 07 сен 2004, 10:07

PavelKHTW писал(а): А по поводу DNS ваша мысль верна, особенно если у вас свой DNS и хреново настроен + если ваш DNS еще и является мастером для внешнего домена и вы не ограничили доступ к нему, то реальная ситуация до 20Мб в час только за счет трансфера зоны.

Спасибо :oops: !
1. Свего DNS нет, только думаем создать локальный домен, трансляция которого, есно, невозможна. Пока проксируем провайдерский.
2. Можно подробнее про хреновую настройку? :)
3. А червяков, что используют DNS в своих целях - нет ?
Аватара пользователя
Мещеряков Андрей
 
Сообщения: 1999
Зарегистрирован: 19 сен 2002, 14:55
Откуда: lipetsk

И все-же

Сообщение skoltogyan » 07 сен 2004, 10:28

Попробуйте поработать Месяц без использования пркоси провайдера.
Статистика по интерфейсу у Вас и упровайдера всеравно будет различаться, но не так кошмарно.
Подобная трабла все-же, на мой взгляд, из-за взаимодействия Прокси Вашей и Провайдера..
skoltogyan
 
Сообщения: 1939
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк


Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2

cron