Registrando o acesso à Internet por usuário

Navegue suas respostas
2

Deixe-me começar por dizer que tenho uma rede estranha.

Roteador LAN 1: 10.0.0.254/24, Internet via DSL em 10.0.0.254. Roteador LAN 2: 172.16.2.254/24, gateway padrão: 10.0.0.254 (LAN 2 é um link privado para outro local, que usa nosso feed para Internet)

O roteador na LAN 2 infelizmente todo o tráfego da NAT é de 172.16.2.0/24. Não consigo alterar este roteador - o NAT não pode ser desativado.

Supondo que o único roteador sobre o qual tenho controle é a LAN 1 (é uma caixa linux): Como posso registrar o uso (IP de destino + Porta) em relação a um usuário? Eu costumava associar usuários pelo endereço MAC, mas com esse outro roteador agora o MAC original será obscurecido - da mesma forma que o IP original é perdido.

Eu não vi nenhuma evidência de que a autenticação 802.1X funcione em qualquer coisa, exceto na camada de rede, de modo que também pareça estar fora.

A única opção que aparece para mim é usar um proxy SOCKS e exigir que todos os clientes se configurem para usá-lo, mas isso também tem suas armadilhas (suporte limitado ao cliente, apenas trata TCP e UDP, aumenta a utilização da CPU no roteador ).

Existe alguma coisa que eu perdi? Como posso abordar esse problema?

    
por Mike 15.11.2011 / 12:22

2 respostas

1

Este é um problema complicado.

A melhor solução seria substituir o LAN2 Router por algo que você realmente tenha um grau de controle de gerenciamento. Se você não pode desabilitar o NAT, provavelmente há outros locais em que esse roteador está aquém. No entanto, meu palpite é que você não pode substituir este roteador por algo mais apropriado por motivos políticos (caso contrário, você já teria feito isso ...).

Minha primeira sugestão seria colocar um proxy do Squid em algum lugar e usá-lo para acessar a Internet por usuário. O lugar melhor para colocá-lo seria na LAN1, mas então todo o tráfego da Web de clientes na LAN2 aparecerá como originado do LAN2 Router, cortesia do NAT. Você poderia colocá-lo a jusante do roteador LAN2, mas então você terá que portar o fowrard através de seu NAT para que os clientes da LAN1 possam alcançá-lo. Fazer isso é meio feio.

Outra ideia seria confiar em algo como Netflow, SFlow ou RMON se sua infra-estrutura de switching em LAN2 (e LAN1) for compatível. Apenas encaminhe as portas apropriadas através do seu roteador LAN2 e coloque seu coletor de fluxo na LAN1. Infelizmente, a análise de fluxo é em grande parte inconsciente, portanto, embora você possa medir estatísticas de tráfego, uso e contagem, não obterá os detalhes centrados em HTTP que um proxy da Web forneceria. Ainda assim, pode ser melhor que nada.

    
por 01.12.2011 / 21:55
0

Parece que as ferramentas de rede típicas não funcionam neste cenário. Até mesmo o websense usa um agente DC para mapear um IP para uma conta de usuário para transparência. Sem um identificador único (mac ou IP) para cada cliente, acho que você está no caminho certo para ter que autenticá-los via proxy.

    
por 01.12.2011 / 21:00

Tags

Acessar vários sites do ambiente de teste usando o arquivo hosts [closed] A entrega do Gmail às vezes falha no domínio1, mas nunca no domínio2, ambos os domínios têm o mesmo MX, etc.