vasek00

cat ip_conntrack cat nf_conntrack

Ну во первых тогда что показывает iftop и второе

Из entware программа - iftop даст информацию кто и что.

без разницы на чем они сидят, для них только смена IP будет = было в сегменте 192.168.1.х, а будет на роутере LAN1(vlan3)-192.168.3.х-------------клиенты х.х.3.2-254 LAN2(vlan4)-192.168.4.х-------------клиенты х.х.4.2-254 LAN3(vlan5)-192.168.5.х-------------клиенты х.х.5.2-254 LAN4----------192.168.1.х-------------клиенты х.х.1.2-254 в SNMP виден будет каждый интерфейс тогда. Тут вы уже сможете управлять более гибко сегментами и их правами. В течении суток или двое определите пропускную каждого сегмента. Другой вариант описан в разделе ниже если нужно чисто на время просто выявить кто и где, то можно попробовать.

Так получилось что данный вариант подсчета трафика попал в две темы и в обоих показаны его реализация для подсчета вида и кол-во трафика. Тут уже вопрос как обрабатывать данные из конечного файл для в вывода в WEB сумировать данные поля или нет.

Один из вариантов подсчет трафика от локального клиента если тип данного трафика (53, 80, 443 и т.д не трогая /proc/net/ip_conntrack) не важен. 1.Создать цепочку "AAIN" и включить ее в FORWARD iptables -N AAIN iptables -I FORWARD -j AAIN получиться ниже Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 325 19767 AAIN all -- * * 0.0.0.0/0 0.0.0.0/0 2.Добавить нужные IP для контроля (откуда) и "куда" при необходимости добавив критерии в два правила ниже grep 192.168 /proc/net/arp | while read IP TYPE FLAGS MAC MASK IFACE do iptables -nL AAIN | grep "${IP}[[:space:]]" > /dev/null if [ $? -ne 0 ]; then iptables -I AAIN -d ${IP} -j RETURN iptables -I AAIN -s ${IP} -j RETURN fi done получится например Chain RRDIPT (1 references) pkts bytes target prot opt in out source destination 0 0 RETURN all -- * * 192.168.1.99 0.0.0.0/0 0 0 RETURN all -- * * 0.0.0.0/0 192.168.1.99 0 0 RETURN all -- * * 192.168.1.254 0.0.0.0/0 0 0 RETURN all -- * * 0.0.0.0/0 192.168.1.254 325 19767 RETURN all -- * * 192.168.1.2 0.0.0.0/0 0 0 RETURN all -- * * 0.0.0.0/0 192.168.1.2 3.Любыми способами прочитать данные из цепочки "AAIN" или например так iptables -L AAIN -vnx -t filter | grep 192.168 | awk 'BEGIN { printf "{table::" } { if (NR % 2 == 1) printf "'\''%s'\'','\''%s'\'',",$8,$2; else printf "'\''%s'\'',",$2;}' >> /opt/tmp/traffic.dat вывод в traffic.dat {table::'192.168.1.99','0','0','192.168.1.254','0','0','192.168.1.2','25801','0','-','17:53:37'} Результат на клиенте источнике 192.168.1.2 получили 25801 bytes для получателя 0.0.0.0/0 Или второй клиент появился Chain RRDIPT (1 references) pkts bytes target prot opt in out source destination 0 0 RETURN all -- * * 192.168.1.99 0.0.0.0/0 0 0 RETURN all -- * * 0.0.0.0/0 192.168.130.99 814 49075 RETURN all -- * * 192.168.1.16 0.0.0.0/0 0 0 RETURN all -- * * 0.0.0.0/0 192.168.130.16 0 0 RETURN all -- * * 192.168.1.254 0.0.0.0/0 0 0 RETURN all -- * * 0.0.0.0/0 192.168.130.254 133 8152 RETURN all -- * * 192.168.1.2 0.0.0.0/0 0 0 RETURN all -- * * 0.0.0.0/0 192.168.130.2

Самое простое - это поделить сеть на сегменты и завернуть их в vlan, т.е. имеете 4LAN будете иметь 4VLAN ну или сколько надо 3, 2, а wi-fi вытащить из bridge (Home или всех клиентов перекинуть на гостевую), тогда в SNMP можно увидеть активность на данных vlan и wi-fi какой сегмент так активно работает и далее принять решение. Раз корпоративный то всех своих клиентов лучше привязывать IP с MAC для удобства контроля/учета и управления ими. Опять же повторюсь на безлимите - просмотр сериалов в онлайн режиме практикуется очень сильно в рабочее время, как и прослушивания онлайн музыки.

Но речь то идет об локальных клиентах из сетки 192.168.1.х, а уж как они выйдут с WAN порта в pppoe или pptp/l2tp без разницы

про то и речь.

Вопрос только, а зачем считать трафик локальных - типа тебе 10GB а потом то-то скорость урежем или кто больше прокачал или подключение соседей к своей точке доступа за N рубл. При нынешнем развитии в тарифных политиках их стоимости где скорости с 5Mb достигли 100Mb и выше - надо ли.

Статистику по клиентам можно попробовать использование - клиенты в /proc/net/arp трафик ip_conntrack дерганьем его и запись данных в файл. Встречал такой вариант сбора, цепочку например AAIN загоняете в нее в зависимости от /proc/net/arp правила ... while : do iptables -N AAIN 2> /dev/null iptables -L FORWARD --line-numbers -n | grep "AAIN" | grep "1" > /dev/null if [ $? -ne 0 ]; then iptables -L FORWARD -n | grep "AAIN" > /dev/null if [ $? -eq 0 ]; then iptables -D FORWARD -j AAIN fi iptables -I FORWARD -j AAIN fi grep 192.168 /proc/net/arp | while read IP TYPE FLAGS MAC MASK IFACE do iptables -nL AAIN | grep "${IP}[[:space:]]" > /dev/null if [ $? -ne 0 ]; then iptables -I AAIN -d ${IP} -j RETURN iptables -I AAIN -s ${IP} -j RETURN fi done ... Далее сами данные ... awk 'BEGIN { printf "{ip_conntrack::"} { gsub(/(src|dst|sport|dport|mark)=/, ""); printf "'\''%s'\'','\''%s'\'','\''%s'\'','\''%s'\'','\''%s'\'',%s,",$1,$1 == "tcp" ? $5 : $4,$1 == "tcp" ? $7 : $6,$1 == "tcp" ? $6 : $5,$1 == "tcp" ? $8 : $7,$(NF-1); } END { print "'\''-'\''}"}' /proc/net/ip_conntrack >> /opt/tmp/traffic.dat iptables -L AAIN -vnx -t filter | grep ${LAN_TYPE} | awk 'BEGIN { printf "{bw_table::" } { if (NR % 2 == 1) printf "'\''%s'\'','\''%s'\'',",$8,$2; else printf "'\''%s'\'',",$2;}' >> /opt/tmp/traffic.dat uptime | awk '{ printf "'\''-'\'','\''%s'\''}\n{uptime::%s}\n", $1, $0 } END { print "{ipinfo::<% show_wanipinfo(); %>}" }' >> /opt/tmp/traffic.dat mv -f /opt/tmp/traffic.dat /opt/tmp/traffic.asp примерный вывод файла asp, тут видно {arp::'192.168.1.2','00:хх:хх:хх:хх:0E'-'} {ip_conntrack::'tcp','192.168.1.2','56002','2хх.1хх.2хх.1хх','443',0,'tcp','192.168.1.2','55950','8х.1хх.1хх.4х','443',0,'tcp','192.168.1.2','56036','8х.1хх.1хх.5х','443',0,'udp','192.168.1.2','62311','8х.5х.1хх.2хх','53',0,'tcp','192.168.1.2','56003','2хх.1хх.2хх.1хх','443',0,'tcp','192.168.1.2','55888','8х.2хх.2хх.2х','443',0,'tcp','192.168.1.2','55817','192.168.1.100','22',0,'tcp','192.168.1.2',...'tcp','192.168.1.2','56027','8х.1хх.1хх.5х','443',0,'-'} {bw_table::'192.168.1.254','0','0','192.168.1.2','15956','0','-','13:28:03'} {uptime:: 13:28:03 up 2 days, 7:52, load average: 1.94, 1.44, 1.18} Далее файл обработать для вывода в WEB. При выводе статистики на экран готовой WEB страницы скорей всего будут нагружать проц, как и любая страница мониторинга роутера, но если раз в сутки то наверное будет нормально.

Использование ..... nexthop - для балансировки нагрузки по каналам либо "весом" или с "random". Тут же привязка к новым соединениям и маршрутам с последующем их использованием, т.е. в отличие от первого где один и тот же сервер может быть доступен по разным каналам с течением интервала времени. По поводу "натить проходящие мимо соединения" тут нужно очень аккуратно, так как разработчик использовал свои отдельные цепочки для сервисов.

В процентном соотношении это много всего 0.001% от числа проданного или если взять сутки данного форума то равно 0,8%

Покажите текущие маршруты и ip route show table main посмотрите ниже пример где 101 в данном случае пример, а нужно подставить нужная вам таблицу iptables -t mangle -I INPUT -i $IF_интерфейс -m state --state NEW,RELATED -j CONNMARK --set-mark 2 iptables -t mangle -I OUTPUT -m connmark --mark 2 -j CONNMARK --restore-mark echo "101 mynet1" >> /etc/iproute2/rt_tables ip route add default dev $IF_интерфейс table mynet1 ip rule add fwmark 2 table mynet1 ip route flush cache лишь бы номер для mark не был использован в системе

Вариант управления конфигом - точнее параметрами в данном файле. Все это делает WEB роутера, есть же параметр как включить канал (при этом настройки его остаются в конф файле) => в конфиге прописать нужное "up" на нужном интерфейсе. Тогда имеем в нужное время нужно данный параметр вписать в конфиг на модем и поставить на нем нужный приоритет, тогда система сама все сделает на данный канал. ip global 1000 up Выключить так же down в нужное время, т.е. нужно только контролировать основной канал, а при его потере инициировать подъем USB канала. Как это сделать с использованием Entware для управления и изменения конфиг.файла тут на форуме уже писалось.

Странно, выбор исходящего маршрута производится только для соединений, инициируемых самим хостом, а если соединение пришло из вне то по нему должно и вернуться. На вскидку можно попробовать так промаркируйте пакеты, раз даете на что-то доступ то используется порт От локальных процессов mangle - OUTPUT но не есть гуд, но для проверки можно попробовать iptables -t mangle -A OUTPUT -p tcp -m tcp --dport $P_port -j MARK --set-mark 0x4 ip route add default via $IP dev $IF table 10x ip rule add fwmark 0x4/0x4 lookup 10x Не проверял может где-то и ошибся. Или использовать цепочки connmark http://help.ubuntu.ru/wiki/ip_balancing

Тут вопрос не в насущности, а в нужности. Повторюсь если есть USB то это не значит что нужно к нему подключать все что есть на рынке.

Сейчас все кто производит роутеры в которых есть USB стараются придерживаться одинакового набора - модемы, принтеры и поддержка DLNA. Это стоило сделать давным давно.

Ответ находиться на странице Zyxel По поводу Наличие USB портов см. пункт выше. Так же на сег.день цена на данное устройство упала до 8400р если поискать (согласно графика падения цены по yandex 27.04.16 стоил 9500р) Как и говорил при наличие такой финансовой возможности для покупки роутера можно было купить в место U-II за 9500р. = роутер (5000р. справился бы с вашими задачами на ура)+wi-fi камеру(4500р.)

Без данной пищи для размышления ну ни как нельзя, если вы считаете что у вас нет времени то у других оно думаете есть, нужно знать ваше подключение, что установлено из Entware. В принципе готовое решение тут есть - думаю пользоваться командами "ifconfig, ip или route" вы умеете, проанализировать их вывод так же сумеете, а если нет то стандартный набор функционала в прошивке. Для начала прежде чем что-то писать (речь о скриптах) наверное надо было попробовать как это работает используя всего три строки, которые тут в данной ветки чуть ли не в каждом посте.

Для торрентов сильно и как сделать описано на форуме,так же можно разобраться и для IPOE подключения без проблем.

Мало вероятно, потом смысл при таких каналах в 100Мбит.

C entware понятно, жалко что не планируется в прошивке.

7621 должен справиться с такими клиентами да там по моему есть аппаратный QDMA. Другой вопрос может лучше для таких идей иметь клиентов на PPPoE с роутера, т.е. разместить его в прошивке.

Возможно ли в WEB добавить в разделе "Домашняя сеть" - монтирование разделов с устройств в домашней сети. Фактически одну команду например mount -t cifs //192.168.1.254/Toshiba2Tb/data /opt/data -o username=guest,iocharset=utf8