» Traffic Inspector

для начала всех с праздником
ALmad
переставлять пробовал ?

lypky
решение: прямо в хелпе написано как запретить всё кроме почты
аналогично этому примеру делаешь для твоего сервера 1С тож самое.

Stendvik
это всё хорошо НО будут ли текущие лицушные ключи на нем работать ? насколько я знаю надо доплачивать

Цитата:

ALmad
переставлять пробовал ?

Пробовал переустанавливать
Пробовал Хрюшей разводить и 2003 - один перец.
Может у меня, что с самим ТИ не ладное твориться?

Доброго времени суток. У меня возникла следующая проблема: нужно ограничить в целом всю группу пользователем лимитом трафика. После превышения лимита все клиенты группы отключаются. Как это можно реализовать?
В справке не нашел. заранее спасибо)

Ребята помогите настроить ТИ на win.server 2008....сделал все как на сайте смарта....
все равно не идет....может еще что то надо .....
подскажите кто сталкивался.....???????

помогите, как в трафик инспекотре открыть порт, просто инте идет через него на мой комп, мне нужно открыть порт для utorrenta, чтобы была возможность не только качать но и отдавать инфу, как это сделать?

ALmad
жди кто компетентнее меня тут ответит

WildBeast
если в целом то пример: группа 5 человек на эти 5 человек гиг трафа т..е 1024/5=205 метровна одного. или как это получается тогда - если один в начале взял и выкачал весь гиг, а остальные даже асей не успели попользоваться - нехорошо получается. хотя завтра гляну могет там и есть на группу.чесно сказать я такого не припомню. я тока знаю точно что есть суммарная скорость на группу в целом

Kernell32
можешь поточнее меня ткнуть носом в раздел хелпа. Там много различных вариантов описано. Но я так и не понял следующие моменты: Как наиболее правильно раздавать пользователям по 30 мегабайт траффика на личные нужны. С привязкой по мак-адресу к примеру, но делать им безлимитную почту.

Нужно это делать через связку пользователи + фаирволл или лучше через контролируемые счетчики?

Потому что непонятно как штатными методами обнулять статистику ежесуточно. Только скриптами чтоле?

lypky
1)    Откройте Внутренние сети / Клиенты / Фильтры / До группы
2)    Создайте новый фильтр и укажите Имя фильтра для отображения в списке
3)    Закладка Тип


- Устанавливаем тип: «На разрешение+действие»

4)    Закладка IP
- Выберите протокол «TCP»
- Порт назначения 25 (SMTP)

5)    Создайте новый фильтр и укажите Имя фильтра для отображения в списке
6)    Закладка Тип

- Устанавливаем тип: «На разрешение +действие»

7)    Закладка IP
- Выберите протокол «TCP»
- Порт назначения 110 (POP3) (для IMAP нужно создать еще один фильтр с портом 143)

8)    Создайте новый фильтр и укажите Имя фильтра для отображения в списке
9) Закладка Тип

- Устанавливаем тип: «На запрещение»

Примечание 1: если внутреннего DNS сервера нет, то пропишите разрешения на исходящие запросы - добавьте 2 фильтра по TCP и UDP c портом назначения 53.

1)    Создайте новый фильтр и укажите Имя фильтра для отображения в списке
2)    Закладка Тип

- Устанавливаем тип: «На разрешение+действие»

3)    Закладка IP
- Выберите протокол «TCP»
- Порт назначения 53 (DNS)

4)    Создайте новый фильтр и укажите Имя фильтра для отображения в списке
5)    Закладка Тип


- Устанавливаем тип: «На разрешение+действие»

6) Закладка IP
- Выберите протокол «UDP»
- Порт назначения 53 (DNS)


Эти два фильтра поместите выше фильтра на запрещение с помощью стерлок.
.... стрелочками в самой панели перемещаещь их ввер\вниз что соответствует приоритетам их срабатывания(чем выше тем раньше сработал)
.....пример: если у тебя будет верхний фильтр на запрет а следующий на разрешение одного и тогоже - то Ti обработает первый фильтр а остальные даже трогать нестанет.

Примечание 2: для срабатывания фильтров у группы в Свойствах / Фильтрация должна быть включена галка Использовать общие фильтры, также можно перенести их в список фильтров для нужной группы.



Добавлено:

Цитата:

С привязкой по мак-адресу к примеру

свойства учетной записи твоего пользователя - Авторизация

Добавлено:
animatic
utorrent любит UpnP или перенаправление портов или ваще напрямую но обязательно чтоб порт был доступен. Ti такого не умеет.

Добавлено:

Цитата:

Потому что непонятно как штатными методами обнулять статистику ежесуточно. Только скриптами чтоле?

ответ в вопросе

ну можешь и руками кликаться
лучше так:
- загоняешь скрипт в планировщик заданий, выполнение ежедневно ну там в обед например и всё. хошь стандартный виндовый используй хошь cron аль своё собственное.

Добавлено:
lypky
чуть не забыл по поводу безлимита на почту !!!
почту пусть софтом заберают а то ч..з web толку не будет. траф также будет уходить.
а всё потому что у тебя халява в данном случае - почта, выставлена по ip по 25\110 портам. а на web во первых 80(HTTP) во вторых там всяка шляпа подгрузится успеет хоть как. + при созждании фильтра незабывай о том сколько он будет стоить

Ребята помогите при установке ТИ выдает ошибку 1402
на win server 2008.
Что делать помогите.

Kernell32
Ого. Вот спасибо за толковое объяснение. Все настроил. В процессе работы будет видно везде я галки ткнул те которые нужно или не везде.

DNS я локально поднял на той же машине на которой и сам ТИ стоит. Он уже форвардит запросы на DNS провайдера. Поэтому думаю правило на 53 TCP не понадобится.
Тут кстати опять таки вопрос. На филиалах по одному серверу. Он же АД, он же терминальный для 1C, он же шлюз. Надо будет щас еще сообразить как элегантно сделать так чтобы терминальные пользователи не могли выходить в инет по http и т.д. с самой rdp сессии.

Почту разумеется они через аутлуки получают по 25/110.

По поводу того сколько стоит трафик 25/110 - это нужно указывать его стоимость "ноль" рублей, что бы его исключало из статистики подсчета?

Добавлено:
Да кстати Kernell32, а вот в логах которые идут по умолчанию там уже нельзя вытащить подробные сведения.
К примеру я привык использовать лог анализатор Internet Access Monitor для ISA server или Kerio Winroute. Там в принцнипе так довольно прикольно ползать по человеку. Видно кто, когда и с какого айпишника, по какому протоколу где был.

А здесь я пока только общие мегабайты могу видеть.

lypky

Цитата:

Поэтому думаю правило на 53 TCP не понадобится.

понадобится. если они у тебя ч..з NAT ползают то как они будут знать какому ip принадлежит адреса сайтов ? у тебя кроме почты всё закрыто. так что сделай.


Цитата:

Он же АД, он же терминальный для 1C, он же шлюз

оч плохо. делай шлюз отдельную машину. чего хошь там поднимай но делай отдельную машину для шлюза.


Цитата:

это нужно указывать его стоимость "ноль" рублей

нужно указывать Действия изменить стоимость трафика оплата(%) на приём делай 0% и в твоём случае стоиомсть почтового трафика будет равнятся нулю.

Ребята помогите при установке ТИ выдает ошибку 1402
на win server 2008. как подчистить все хвосты при удалении ТИ.
И драйвер сетевой тож не удаляется.....
....замаялся уже....

Цитата:

как подчистить все хвосты при удалении ТИ

руками подчистить. и оборудование тоже руками удаляется

Kernell32, спасибо за диалог.
Ну у юзеров в настройках сети не внешние DNS провайдера стоят. А локальный DSN сервер. Который уже от своего имени форвардит запросы на DSN провайдера.

Поэтому почему это они не смогут через локальный DNS сервер резолвить внешние имена?

А по поводу:

Цитата:

чего хошь там поднимай но делай отдельную машину для шлюза.

в плане легализации не знаю что придумать. Отдельную машинку под шлюз собрать не сложно за те же 100 баксов, но вот ставить туда ХР вместо 2003го сервера как то палевно мне. А денег на еще одну серверную лицензию под вторые серваки точно никто не даст. Пытаюсь копаться в бесплатных шлюзах под линукс, типа кларк коннект, астаро и прочие ipcop'ы (что б хотя б под виртуалку их засунуть), но пока их функционал, в плане трафико резки меня крайне удручает + сложности в администрировании.

divik
В хелпе выполнял эти действия?

Драйвер программы уже установлен, требуется его удаление.



Программа установки обнаружила уже установленный драйвер. Он мог остаться из-за некорректного удаления ранее установленной программы (произошел сбой), а также если драйвер был установлен ранее вручную. Для предотвращения возможных проблем дальнейшая ее работа прекращается и удалить этот драйвер надо вручную.



1. Убедитесь, что программа ранее была удалена. Откройте Add/Remove Program (Установка/Удаление программ) и, если там есть Traffic Inspector, удалите и попробуйте установить программу заново. Если не получается, см. следующий пункт.

2. Откройте Add/Remove Program и найдите там компонент драйвера - Windows Driver Package - SMART-SOFT Traffic Inspector Driver. Если есть, удалите и попробуйте установить программу заново. Если не получается, см. следующий пункт.

3. В списке сетевых соединений откройте настройки любого интерфейса и в списке найдите драйвер Traffic Inspector. Если он там есть, удалите его. Также его можно удалить вручную, для этого в директории Winnt\inf (он скрытый и системный, включите показ скрытых и системных файлов) надо через поиск найти все *.inf файлы, где в тексте содержится имя файла драйвера ticap.sys, и удалить их.

4. Откройте редактор реестра и удалите раздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ticapdrv, а также раздел со строкой {2E2448C5-1ACC-41F3-A621-3285C23E904A}. Перегрузите систему. Попробуйте установить программу заново. Если не получается, см. следующий пункт.

5. Откройте список оборудования системы. Включите отображение скрытых устройств. В сетевых устройствах найдите все драйвера Traffic Inspector Miniport и удалите их. Перегрузите систему. Попробуйте установить программу заново.



После совершения действий по п.4 и 5 может получиться, что программа установится, но драйвера корректно не загрузятся. В этом случае удалите программу, перегрузите систему и поставьте ее заново.

lypky
СПАСИБО!!!!!
только видимо все хвосты подчистить не смог....
по пункту 3 выдает ошибку..не удаляется..как в win server 2008 выполнить поиск в самих файлах инф....

lypky

Цитата:

Ну у юзеров в настройках сети не внешние DNS провайдера стоят. А локальный DSN сервер. Который уже от своего имени форвардит запросы на DSN провайдера.

Поэтому почему это они не смогут через локальный DNS сервер резолвить внешние имена?

а блин чот я сам запарился. сорь я на другое подумал. тогда да им ток разрешение на указынный тообй ip мылосервака. правила для днс эт для другово.

p..s надо выспаться

Добавлено:
главное то что сам принцип блокировки ты понял, а дальше уже сам

Товарищи, на машину поставил Traffic Inspector. Через нее все ходят в нет. Настройки такие:
IP-адрес: 192.168.0.102
Маска подсети: 255.255.255.0
Основной шлюз: 192.168.0.2
DHCP-сервер: 192.168.0.2
DNS-сервер: 192.168.0.2

За машиной никаких серваков нет, сразу провайдер. Соответственно, его ДНС в том числе.
При построении сетевой статистики для пользователей поле хоста практически во всех случаях соответствует значению Ip адреса и не распознается.

В глобальных настройках Режим DNS стоит:
•Нормальный. Обычный режим использования DNS.
В настройках консоли:
Использовать DNS для преобразования имен и IP адресов в отчетах по статистике
Также для пользователей.

Техподдержка невнятно мотивировала это тем, что запросы проксиком напрямую уходят провайдеру, а у трафикинспектора есть некий таймаут, по которому, если ответ не пришел, эта инфа о домене игнорируется. Это обусловленно повышением скорости работы (типа пока отправится запрос на провайдерскую ДНСку, инспектор очухается).
Совершенно логично, что подобная схема неверна и вообще, узнать домен, соответствующий айпиадресу удастся лишь в том случае, если это дедикейтед сервер. Хотя местами чудесным образом хост все же определяется. В общем я совсем запутался.
Из-за подобной "фишки" смысл программы полностью теряется. Скажите, я сегодня туплю и это решаемо, или все так печально?

p..s и заканчивать бухать


Vasya Pupkin
а чего сложно на этой машине NAT поднять ?
если будешь его поднимать ставь две сетевухи в комп. далее все подключи. просто нат лучше но менее безопасный. и чтоб на сети твоей локалки и сеть прова в которой ты ч..з шлюз сидишь были маски подсети разные. я сижу на 255,255,255,252 - отсекаем лишнее + ставишь работу по нату и нет надобности у народа в их приложениях прописывать ip прокси(они это умеют но не знают как сделать) и порт. всё !


Цитата:

При построении сетевой статистики для пользователей поле хоста практически во всех случаях соответствует значению Ip адреса и не распознается.

и протокол там прописан и метод по которому работали и порт и время сеанса и ip клиента кто там был

Цитата:

3. В списке сетевых соединений откройте настройки любого интерфейса и в списке найдите драйвер Traffic Inspector. Если он там есть, удалите его. Также его можно удалить вручную, для этого в директории Winnt\inf (он скрытый и системный, включите показ скрытых и системных файлов) надо через поиск найти все *.inf файлы, где в тексте содержится имя файла драйвера ticap.sys, и удалить их.

-драйвер так и не удаляется-выдает ошибку... как win server в содержании файлов выполнить поиск....????
...совсем замаялся...помогите ребята....

Ребят а вот еще вопрос. А в логах TI, можно его как нибудь так настроить, чтобы потом можно было смотреть где именно когда и что скачивал пользователь? Ну примерно как в Internet Access Monitor реализовано?

А то просто смотришь пользователь насидел х мегабайт, а где и что он делал - непонятно.

lypky
всё там есть и время когда он что то делал

отчеты\сетевая статистика\Табличный

в нем выбираешь либо всех либо отдельно кого либо. ставишь интервал. правой мыхой по рабочей области таблица выбери Трафик в МБ

Добавлено:
уважаемые форумчане у меня вопрос такой возник:
сделал фильтрацию по контенту в качестве запрещенного контента выбрал
аудио видео

вопрос: какие расширения попадают в эти списки и где эти расширения можно пощупать ???

Добрый день!
Оlноранговая сетка 4 компа. Есть 2 провайдера интернет (1-й через LAN (Router D-Link DIR-120),(лимит 100Мб/мес), 2-й через 3G-модем SkyLink(безлимитный).
Вопрос 1: Как сделать с помощью ТИ чтобы все ходили через 1го провайдера, когда на нем лимит заканчивается, 1й блокируется, автоматом переходим на 2го провайдера. Сначала месяца, опять 1й провайдер, т.д.
Вопрос 2: Если это невозможно через ТИ, то как сделать раздачу инета по вышеуказанным правилам?

YurikS
есть такая приблуда как контролируемые счетчики, в них есьт возможность выставлять лимит на потребление трафика, пробуй там смотреть

Уважаемые, не уверен что это проблема связана с TI, но все же подскажите что можно сделать.

Есть сервер Win 2k3 SP2. На нем поднят NAT and TI, Версии 1.1.4.197.

Клиенты не могут получить почту по 25 и 110 порту с меил ру и других почтовых сервисов. Причем с самого сервера нормально работает почта.

Сейчас еще посмотрел даже при отключеной службе TI, когда у клиентов работает нормально интернет через http и нормально проходит пинг до любых сайтов - все равно не получается почта. Пишет к примеру: "загружается сообщение 1 из 27" и все - замирает.

Причем по Telnet pop.mail.ru 110 заходит на сервер. Но вот почта не получается. Что может быть? Куда попробовать покопать?

Может существуют какие то встроенные в саму винду дополнительные фильтры?

Сам сервер "шлюз" интернета мне в наследство остался от предыдущего сисадмина. Поэтому хрен знает кто что и где там наворотил.

lypky
а с самого сервера пробовал получать почту с других источников ?

С самого сервера нормально получает. Я тут еще понял что скорее всего я все яйца в одну корзинку положил. У меня же еще Kerio Mail Server на этом сервере-шлюзе стоит. Наверное вот они как то и конфликтуют. Только как это решить - мне пока непонятно.

Цитата:

Сейчас еще посмотрел даже при отключеной службе TI, когда у клиентов работает нормально интернет через http и нормально проходит пинг до любых сайтов - все равно не получается почта. Пишет к примеру: "загружается сообщение 1 из 27" и все - замирает.

копай ток не трафик тут виноват.

Добавлено:
lypky
кому как а мне керио мыло сервер непокатил. логов в него на порядок меньше чем в mdaemon. кста попробуй и его отрубить и почту принять на клиентах

Пробовал и Керио отрубать. А вот траффик инспектор не может нигде своих фильтров оставить которые и при выключенной службе ТИ продолжают действовать? Чтонибудь в службе NAT мог ведь изменить или типа того.