Автоматизированная система контроля трафика локально-вычислительной сети

Размещено на http://www.allbest.ru/

Введение

Трафик это основной и единственный ресурс сети Интернет с точки зрения транспорта. Как известно, любая информация в сети Интернет передается в виде отдельных пакетов - блоков данных сравнительно небольшого размера, каждый из которых имеет адрес отправителя и получателя и путешествует по сети самостоятельно. Так вот, трафик это суммарный объем пакетов, прошедших через точку наблюдения. Если бы Интернет был транспортной компанией, то трафик это суммарный вес грузов, перевезенных пакетами-грузовиками вне зависимости от конкретного содержания грузов. Когда выполняется работа с трафиком, абстрагируется содержимого пакетов, поскольку в этом контексте интересно не что именно передано, а сколько и откуда. Если говорить об учете трафика при работе компаний с Интернетом, то возникает понятие трафика входящего и исходящего. Контроль и учет трафика появился вместе с развитием коммерческого сегмента сети интернет. Как только появился платный ресурс, для любого пользователя, подключенного к провайдеру услуг интернет стало интересно учитывать потребление платного ресурса, чтобы контролировать провайдера и понимать на что расходуются деньги за связь. Точно также практически любой провайдер подключен к другому провайдеру для которого он выступает как клиент - т.е. платит за входящий трафик. Поэтому провайдеру необходимо не только учитывать трафик ушедший к клиентам, но и вести подсчет трафика, пришедшего в сеть провайдера снаружи - от других провайдеров. С резким увеличением количества пользователей в сети и появлением трафика разных приложений вопрос о необходимости введения автоматизированной системы контроля трафика локально - вычислительной сети стал чрезвычайно актуальным.

Таким образом, учет трафика необходим для того, чтобы, во-первых, тарифицировать использование Интернет ресурсов, а во-вторых, максимально сократить расходы и оптимизировать использование рабочего времени в организации клиенте. Есть еще один немаловажный аспект, связанный с использованием систем учета трафика - это ограждение пользователей клиента от ненужной или вредной информации из сети Интернет. Автоматизированная система контроля трафика локально-вычислительной сети включает в себя измерение трафика, текущий контроль трафика, измерение структуры трафика.

Данный проект представляет собой автоматизированную систему, помогающую отслеживать передачу данных на компьютере клиента и предавать данные на компьютер сервера. Программный продукт разработан на языке Object Pascal в среде программирования Borland Delphi 7, состоит из 2 приложений: Клиент и Сервер. Пояснительная записка представлена на 78 страницах, состоит из введения, аналитической части, проектной части, техники безопасности, заключения.

1. Аналитическая часть

1.1 Трафик

Трафик это основной и единственный ресурс сети Интернет с точки зрения протоколов транспортного уровня. Как известно, любая информация в сети Интернет передается в виде отдельных пакетов - блоков данных сравнительно небольшого размера, каждый из которых имеет адрес отправителя и получателя и путешествует по сети самостоятельно. Так вот, трафик это суммарный объем пакетов, прошедших через точку наблюдения. Если бы Интернет был транспортной компанией, то трафик это суммарный вес грузов, перевезенных пакетами-грузовиками вне зависимости от конкретного содержания грузов.

Когда выполняется работа с трафиком, системный администратор абстрагируемся от содержимого пакетов, поскольку в этом контексте становится интересным не что именно передано, а сколько и откуда. С другой стороны, для конечного пользователя сети Интернет интерес представляет не только сколько и откуда данных было получено, т.е. количество, но и качество, а именно - что содержалось в этих полученных данных. В общем случае задача учета трафика для операторов и для конечных потребителей отличается именно тем, что последним необходимо контролировать не только количество, но и качество трафика, т.е. в определенных пределах его содержимое.

Если говорить об учете трафика при работе компаний с Интернетом, то возникает понятие трафика входящего и исходящего. Входящий трафик это все пакеты, которые пересекли границу сети между вашей организацией и любой другой сетью в направлении «к вам». Это объем импортированных вами из Интернета данных. Исходящий - соответственно, объем экспортированных вами данных[23]. Наиболее важно понятие входящего трафика, потому что это тот трафик за который, как правило, приходится платить. Бывают, конечно, и исключения, когда платить приходится и за исходящий трафик, но это случается редко. Большинство поставщиков услуг связи берут с клиентов деньги именно за входящий к ним трафик, т.е. за объем данных, которые получил, а не отправил клиент. Это происходит потому, что именно за входящий к нему трафик платит вышестоящему провайдеру ваш провайдер, а при огромных размерах сети Интернет вероятность того, что нужные вам ресурсы находятся непосредственно в сети вашего оператора, стремится к нулю.

1.2 Внутренний учет трафика в организации

Внутри компании, подключенной к сети Интернет, имеется серьезнейшая мотивация для использования систем учета трафика. Интернет уже стал неотъемлемой частью бизнес процессов, тесно переплетаясь с информационными системами бизнеса. То, насколько компания контролирует информацию своего бизнеса, теперь зависит от того, насколько она контролирует Интернет подключение.

Каждый год Интернет удивляет нас скоростью своего роста. Растет не только количество пользователей, но и скорость подключений. Широкополосные подключения, уже повсеместно заменили собой низкоскоростные подключения на корпоративном рынке. Благодаря этому Интернет становится мощным инструментом, который, однако, требует существенно большего контроля. Миллионы новых пользователей появляются в сети, постоянно снижая средний уровень квалификации его пользователей. Бурное развитие технологии направлено в основном на получение большей скорости, в то время как разработка и внедрение механизмов, которые должны обеспечивать учет трафика, контроль и безопасность серьезно отстает от технологии, ответственной за скорость.

Уже очевидно, что средний уровень обычного пользователя совершенно недостаточен для обеспечения хотя бы собственной безопасности при высоких современных скоростях.

Вероятно, нельзя, да и несправедливо требовать от обычного пользователя Интернет высокой квалификации и способности самостоятельно решать все проблемы и избегать соблазнов, которые возникают при работе с сетью Интернет. Для того, что пользователь мог успешно решать свои задачи как сотрудник компании, имеющей интернет-подключение, сама компания должна принять ряд мер, направленных на учет и контроль Интернет трафика и тем самым избежать ряда возможных проблем, таких как нецелевое использование рабочего времени и перерасход трафика[24].

1.3 Нецелевое использование средств

Прямые затраты на Интернет зависят от объема потребленной информации. Создать потребление может как передача данных о новом продукте вашим поставщиком, так и увлечение сотрудников играми в сети. Таким образом, информация может быть как целевой, так и нецелевой. К сожалению, провайдеру все равно, какую информацию вы получили - платить придется за все виды трафика.

Во время потребления средств для Интернет прогулок (или прогулов) сотрудники также потребляют и рабочее время. Шутники от компьютерного мира нередко называют Интернет Всемирной Помойкой, и в чем-то они недалеки от истины. Помимо ресурсов, полезность которых очевидна и неоспорима, в Сети размещено фантастическое количество материалов сомнительного свойства, начиная "бородатыми" анекдотами и заканчивая порнографией, сайтами экстремистского толка и др. Причем "мусора" в процентном отношении к полезным данным значительно больше. Абстрагируясь от морально-этической стороны рассматриваемых материалов, следует отметить, что так или иначе они отвлекают внимание ваших сотрудников, а на их просмотре теряется значительное количество рабочего времени.

В материалах сайта http://www.iemag.ru приводятся данные ряда зарубежных исследователей относительно типа потребляемого трафика сотрудниками компаний на своих рабочих местах:

В опросе, проведенном SurfControl, 100% сотрудников, использующих веб-доступ на работе, сообщили, что они пользовались им в личных целях. А 18% сотрудников ежедневно используют Интернет в личных целях 10 и более раз.

Исследование, проведенное Yankelovich Partners, показало, что более 62% сотрудников ежедневно используют доступ в Интернет в личных целях хотя бы раз.

Исследование SANS Institute показало, что от 50 до 70% сайтов, которые посещают сотрудники во время работы, не связаны с бизнесом.

Исследование, проведенное в Великобритании показало, что 44% сотрудников, имеющих доступ в Интернет на работе, тратят в среднем по 3 часа в неделю на использование рабочего Интернета в личных целях.

Исследование Aberdeen Group показало, что сотрудники компаний тратят от 30 мин. до 3 часов ежедневно на нецелевой броузинг.

Исследование Dataquest показало, что 20% сотрудников используют рабочий Интернет в личных целях более 3 часов ежедневно.

Исследование SANS Institute показало, что потери времени на броузинг у 100 наиболее активных интернет-пользователей в компании составляют около 14% полного рабочего времени.

По результатам исследования, проведенного в США, сотрудники с интернет-доступом тратят около 15% своего рабочего времени на просмотр веб-сайтов, не связанных с их бизнесом.

По данным Websense 70% трафика на веб-сайтах для взрослых приходится на рабочее время (с 9 до 17 часов) и 30%-40% всей активности в онлайне в эти часы совершенно не связано с бизнесом. Кроме того, более 60% онлайновых покупок также совершается в рабочие часы.

Исследование Nielsen/NetRatings показало, что 60% сотрудников, имеющих Интернет на рабочем месте, посещают электронные магазины, а 54% - развлекательные сайты.

Кроме прямых потерь на оплату потребленного трафика есть потери скрытые, например, использование сотрудниками пропускной способности и сетевых функций для доступа к сайтам, несвязанным с их работой, снижает скорость доступа к критической бизнес-информации. Кроме этого, увеличивается время простоя систем в результате скачивания большого объема файлов и сбоев, связанных с недостатком системных ресурсов. Более того, простой систем и деятельность, не связанная с бизнесом, приводят к снижению производительности сотрудников[25].

Проблема нецелевого использования трафика существует в любой компании, предоставляющей сотрудникам доступ в Интернет в связи с выполнением ими их служебных обязанностей, например, продаж, поиска новых клиентов, поставщиков, осуществления Интернет рекламы и т.д. Проблема состоит не столько в самом факте нецелевого расходования, сколько в масштабе этого явления, поскольку полностью искоренить его вряд ли возможно. Основной риск, состоит в потерянном рабочем времени. Безусловно, существуют и прямые финансовые потери, связанные с расходами на доступ в Интернет, но этими потерями легко управлять, так как они имеют очевидное и измеряемое проявление. Другие риски нравственного или юридического характера, хотя и могут иметь место, но как правило не являются столь существенными. Обычно для контроля всех этих рисков доступ в Интернет в компании должен быть персонифицирован и должны предприниматься меры по мониторингу трафика. Этих мер вполне достаточно, как для контроля целесообразности использования Интернета, так и для управления затратами.

Второй важнейшей причиной являются вредоносные сетевые программы: вирусы, черви, так называемые троянские кони и т.д. Попавшие в сеть вирусы или черви будут стараться заразить другие компьютеры в Интернет, создавая огромное количество нецелевого паразитного трафика.

1.4 Предназначение контроля и учета трафика

Для того чтобы не растратить деньги попусту необходимо, во-первых, иметь точную и оперативную информацию о том, кто, сколько и каких ресурсов из Интернет потребляет, а во-вторых, иметь возможность запретить доступ неблагонадежным пользователям или доступ к явно бесполезным ресурсам. Эволюция сетей электроснабжения привела к появлению различных стандартизированных устройств, которые защищают пользователя от сети, и наоборот - сеть от пользователя. Это автоматы защиты - рубильники, электросчетчики, трансформаторы. В случае Интернета таких стандартных устройств пока нет, хотя они не менее необходимы. Представьте себе электрическую сеть без любого из этих устройств.

В чистом виде учет трафика - это только счетчик. Программные продукты, которые реализуют учет трафика в корпоративных сетях, должны также уметь управлять доступом пользователей, фильтровать содержимое данных, получаемых компанией из сети Интернет, обеспечивать защиту корпоративной сети, а также иметь различные дополнительные функции, облегчающие взаимодействие корпоративной сети с Интернетом. Такие серверы контроля корпоративного Интернет подключения в идеале должны полностью автоматизировать и управлять взаимоотношениями между корпоративной сетью и Интернетом. Эти требования позволяют четко разграничить требования к продуктам для учета трафика в сетях операторов связи и в корпоративных сетях, породив по сути две различные ветви эволюции в развитии таких систем[30].

компьютер трафик сервер архитектура

1.5 Две ветви систем контроля и учета трафика

Таким образом, и автоматизированные системы расчетов, используемые провайдерами, и серверы для контроля Интернет подключения в организациях клиентах строятся вокруг функции учета трафика, и это то главное, что их объединяет, но остальной функционал их сильно отличается.

Для автоматизированных систем расчетов характерен уклон в сторону бухгалтерии и автоматизации бизнес процессов оператора связи. Кроме того, провайдерские системы учета трафика не должны иметь большого числа функций, поскольку это замедляет их быстродействие, и для определения пользователя, достаточно знать IP адрес его сети.

С другой стороны, серверы для контроля Интернет подключения для компаний пользователей Интернет помимо учета трафика должны гибко управлять доступом пользователей к Интернету, обеспечивать защиту сети, и что особенно важно, обладать набором развитых механизмов авторизации пользователя. Ведь для провайдера с маршрутизируемой сетью даже авторизация на основе IP адреса будет вполне достаточной, а вот для организации, использующей Интернет, авторизация по IP адресу ненадежна и неудобна.

Именно поэтому пути развития программных продуктов для провайдеров и для корпоративных пользователей расходятся все дальше. Каждый из этих программных продуктов постоянно оптимизируется под задачи, характерные для своей области использования. Так что, если вы - Интернет провайдер - выбирайте автоматизированную систему расчетов, имеющую сертификат соответствия по системе сертификации в области связи, что дает вам право использовать данные автоматизированной системы расчетов для выставления счетов клиентам[26].

Если вы корпоративный пользователь, то вам нужен сервер контроля Интернет подключения. Кстати, для внутрикорпоративного использования сервер контроля Интернет подключения не обязан обладать сертификатом, напротив, наличие сертификата удорожает продукт и говорит о его приспособленности под совершенно другие задачи. Зато с другой стороны, ваш сервер контроля Интернет подключения должен обладать всеми необходимыми функциями для решения именно выше перечисленных задач.

1.6 Эволюция решений по контролю и учету трафика для корпоративных сетей

Существенная доля решений реализуется на базе компьютера или сервера, который либо маршрутизирует трафик, либо на нем имеется прокси сервер. В наиболее продвинутых решениях обе модели реализованы одновременно. Операционные системы решений - это Microsoft Windows Server, FreeBSD либо Linux. Решения, естественно, различаются как наборами основных, так и дополнительных функций. Лидеры отрасли имеют в своем арсенале максимальное количество взаимоувязанных сервисов, которые управляются из единого интерфейса.

Наиболее удобны для пользователя такие решения, дистрибутив которых устанавливает на компьютер все, включая операционную систему и все необходимые программы и утилиты. Это значительно удобнее, чем устанавливать все по отдельности. Естественно, что такие решения базируются на ОС Linux или FreeBSD. Кстати, решения на базе UNLX-подобных систем зачастую не требуют абсолютно никаких знаний этих операционных систем от пользователя, поскольку все функции управляются через веб или иные интерфейсы.

Все решения на базе Microsoft требуют не только установки, но и, подразумеваем, приобретения пользователем других компонентов решения -операционной системы, СУБД и т.д. Также Windows решения предъявляют высокие требования по знанию операционной системы к администратору такого решения. Чем более качественным является сервер контроля Интернет подключения, тем большее количество механизмов авторизации пользователей будет в нем присутствовать, позволяя гибко интегрировать систему в корпоративную сеть заказчика.

Если говорить о дальнейшем развитии серверов контроля корпоративного Интернет подключения, то можно выделить такие направления:

– Решения будут обзаводиться дополнительными сервисами, стремясь к обеспечению всех потребностей клиента по работе с Интернетом.

– Довольно много работы будет выполнено по интеграции корпоративного почтового сервера и решению задач контроля СПАМ рассылок и иных угроз, связанных с электронной почтой.

– Вообще компонент информационной безопасности в серверах контроля корпоративного Интернет доступа будет существенно усиливаться. Развитие пользовательских интерфейсов пойдет по пути упрощения и автоматизации, чтобы корпоративный Интернет доступ сравнялся по простоте настройки, скажем, с мобильным телефоном [27].

1.7 Методы контроля и учета трафика

В зависимости от архитектуры сервера контроля корпоративного Интернет доступа могут быть задействованы различные методы получения данных о потреблении трафика.

Для того чтобы полностью учитывать входящий в корпоративную сеть компании трафик, необходимо либо пропускать его через устройство учета, либо получать достоверные данные от системы, которая является маршрутизатором между корпоративной сетью клиента и сетью оператора связи. Причем, поскольку нас интересует распределение входящего трафика по конкретным пользователям, то такой учет должен вестись внутри сети по отношению к тому устройству, которое осуществляет функцию сетевой трансляции адресов (NAT), которая часто используется в сегменте Интернет. Это связано с тем, что система, ведущая учет трафика, должна точно знать внутренний адрес конечного потребителя, и следствием этого требования является тот факт, что оператор связи чаще всего не в состоянии предложить клиенту даже услугу детального анализа его трафика.

Второй вариант построения системы учета - это получение информации о транзитном трафике от маршрутизатора, через который этот трафик проходит. Опять же этот маршрутизатор должен либо сам осуществлять преобразование сетевых адресов клиента (NAT) и включать эту информацию в отчеты, либо находиться в топологии внутренней сети до того устройства, которое осуществляет функцию NAT. При использовании такой схемы необходимо, чтобы выполнялись несколько условий:

Данные, получаемые с маршрутизатора, должны иметь большую степень детализации, а именно, как минимум содержать в себе IP адреса узла отправителя и узла получателя, номера портов протоколов с обеих сторон, тип транспортного протокола, объем переданных данных. Причем речь может идти как об отдельных пакетах, так и об объединенных группах пакетов под определением «сессии» или «потока». Естественно, что во втором случае объем информации о транзитном трафике, который приходится обрабатывать и передавать как непосредственному маршрутизатору, так и серверу контроля Интернет доступа, будет существенно меньше.

Периодичность отправки этих данных на сервер контроля Интернет доступа должна позволять серверу ограничить перерасход трафика, связанный с превышением лимитов. Например, если маршрутизатор объединит в «поток», по которому отчитается только один раз - по окончании этого потока, скажем закачку фильма объемом 1 Гбайт, то перерасход трафика в самом неудачном сценарии составит 1 Гбайт. Поэтому отчитывающийся маршрутизатор должен дробить потоки на единицы сравнительно малого объема и передавать информацию о них серверу контроля Интернет доступа с соответствующей частотой.

Сервер контроля Интернет доступа в такой конфигурации не будет иметь возможности непосредственно влиять на проходящий трафик, например, вводя ограничения по исчерпанию квоты, поскольку он сам не оказывается на маршруте прохождения трафика. В этой связи необходимо наличие такой возможности опосредованно через управление сервером контроля Интернет доступа собственно устройством, осуществляющим маршрутизацию трафика.

Третьим способом получения данных о трафике, поступающем в корпоративную сеть компании, является мониторинг и анализ лог файлов различных программных шлюзов, обслуживающих корпоративную сеть компании. Наиболее явными представителями таких шлюзов являются прокси - сервер для обслуживания обращений пользователей к внешним серверам веб, а также корпоративный почтовый сервер, отправляющий и принимающий корпоративную электронную почту [28].

1.8 Общая архитектура серверов контроля корпоративного Интернет доступа

Для того чтобы лучше представить себе принципы работы систем, контролирующих Интернет доступ в корпоративной сети, в качестве примера рассмотрим сервер под управлением ОС LINUX.

Ядро системы на базе ОС LINUX осуществляет маршрутизацию IP пакетов между интерфейсами системы (в общем случае между внешним и внутренним интерфейсом) на основании статической настройки маршрутов с указанием маршрутизатора оператора связи в качестве маршрута по умолчанию.

В более сложных конфигурациях может применяться динамическая маршрутизация на основании протоколов RIPv2, OSPF. Кроме того, внутренние интерфейсы могут быть настроены в режиме поддержки VLAN (802.1Q). В этом случае для системы будет существовать несколько логических интерфейсов по одному на каждый VLAN.

При прохождении пакетов через интерфейсы система перехватывает копию каждого пакета для осуществления учета трафика.

В процессе обработки трафика необходимо связать данные каждого пакета с конкретным пользователем корпоративной сети и начислить на этого пользователя потребленный трафик. Причем нужно также избежать двойного начисления трафика, когда мы учитываем данные одновременно от перехвата пакетов и по запросам прокси - сервера. Статистика снимается как на внешнем, так и на внутреннем интерфейсах системы. Это сделано для того, чтобы учитывать трафик, чьим адресом назначения является сам сервер контроля корпоративного Интернет доступа.

Источниками данных для учетной системы являются также прокси - сервер и сервер электронной почты SMTP. Данные из журналов этих систем поступают процессу - обработчику статистики, который соотносит потребление трафика с конкретными пользователями сети компании. Этот же процесс обрабатывает «сырую» базу данных по трафику, которая содержит пары IP адресов и количество прошедших пакетов вместе с временной отметкой.

На входе в систему трафик поступает также в межсетевой экран операционной системы, правила фильтрации которому задает программное обеспечение сервера на основании целого ряда условий, указываемых для пользователя.

Межсетевой экран используется не только для предотвращения несанкционированного доступа извне, но и для управления правами самих пользователей корпоративной сети.

Для управления межсетевым экраном сервер контроля корпоративного Интернет доступа используют готовые блоки правил, которые подключаются и отключаются из пользовательского интерфейса. Для удобства продвинутых пользователей может существовать возможность работать с правилами межсетевого экрана на уровне системных команд и индивидуальных правил.

Сервер электронной почты настраивается автоматически на заносимых в интерфейсе управления пользователей. После этого сервер становится способным принять на себя функции корпоративного сервера электронной почты.

Поскольку сервер контроля корпоративного Интернет доступа работает с IP трафиком, то для того, чтобы соотнести IP адрес получателя с пользователем ему необходимо проделать ряд дополнительных действий, если не используется самая простая авторизация пользователя по IP адресам. Во всех остальных случаях информация о текущем IP адресе пользователя получается от встроенных механизмов авторизации: серверов VPN (PPPoE и PPTP), контроллера домена под управлением Microsoft Windows Server, например, посредством механизма Samba [28].

Сервер контроля корпоративного Интернет доступа может также содержать в себе классический HTTP proxy сервер, что позволяет ему отслеживать обращения пользователей к конкретным веб ресурсам (т.е. не ограничиваться ведением статистики только по IP адресам), а также управлять доступом к ресурсам Интернет помимо IP адресов также и по URL объектов. Кроме того, такой сервер сможет осуществлять кэширование содержимого веб - страниц и тем самым поспособствует снижению потребления веб трафика клиентом.

Для управления правами доступа пользователей к внешним ресурсам сервер использует данные по учет потребления трафика пользователями, которые обновляются практически в реальном времени, информацию по настроенным для пользователя лимитам на потребление услуг (в объемном или денежном выражении), а также данные по наличию средств на лицевом счете пользователя. Вся эта информация используется управляющим процессом сервера для динамического внесения изменений в настройки межсетевого экрана в ядре операционной системы, Squid прокси - сервера и SMTP сервера.

1.9 Пример простой системы контроля и учета трафика

У многих начинающих системных администраторов часто стоит вопрос организации системы контроля и учета трафика. Простая система контроля и учета трафика, должна отвечать следующими требованиям:

– Учет всего трафика проходящего через маршрутизатор работающий под ОС Linux;

– Возможностью быстрого изменения конфигурации без внесения изменений в код;

– Данные о трафике должны храниться в базе данных, в нашем случае мы в качестве сервера баз данных будем использовать MySQL.

Начнем с создания конфигурационного файла, назовем его billing.conf. Пусть он имеет следующий вид:

<******* billing.conf **************>

# Формируем список IP адресов машин или сетей, для которых мы будем считать

# трафик

# Рабочее место

WS1="192.168.0.1"

# Ceть нашего клиента

NET="192.168.1.0/24"

# Объединим все сети и адреса в один список.

ALLNETS="$WS1 $NET"

<**********************************>

В принципе формировать списки для каждого адреса или сети нет необходимости, т.к. рассматриваемая система использует только список ALLNETS, однако они могут понадобиться, в случае если нужно будет обрабатывать статистику о каждом пользователе.

Данный конфигурационный файл является единой для всей системы, состоящей как минимум из трех программ:

– Программы формирования правил учета для firewall, с использованием iptables;

– Программы снятия статистики;

– Программы отображения статистики;

Программа формирования правил учета для firewall, названная rc.firewall, которую нужно будет добавлять в один из файлов, который будет выполняться при загрузке системы. В ядрах Linux серии 2.4.X используется firewall NetFilter интерфейсом к которому является программа iptables. В NetFilter существуют несколько цепочек: INPUT - все входящие пакеты, адресованные маршрутизатору, OUTPUT - все исходящие из маршрутизатора пакеты, FORWARD - все пересланные маршрутизатором пакеты во внешнюю сеть.

<******* rc.firewall **************>

#!/bin/bash

# Подключаем конфигурационный файл

. /etc/lbiling.conf

IPTABLES="/sbin/iptables" # Задаем путь к программе iptables

###################################

# Учет трафика

###################################

# Функция для создания правила учета

addrule(){

$IPTABLES -N ACCT_IN_$1 # Создаем правило для учета входящего трафика

$IPTABLES -N ACCT_OUT_$1 # Создаем правило для учета исходящего трафика

$IPTABLES -F ACCT_IN_$1 # Обнулим полученные цепочки

$IPTABLES -F ACCT_OUT_$1

$IPTABLES -A INPUT -j ACCT_IN_$1 # Включим учет по цепочкам

$IPTABLES -A FORWARD -j ACCT_IN_$1

$IPTABLES -A FORWARD -j ACCT_OUT_$1

$IPTABLES -A OUTPUT -j ACCT_OUT_$1

$IPTABLES -A ACCT_IN_$1 -s $2 # Считать входящим трафик у которого источник

# адрес $2

$IPTABLES -A ACCT_OUT_$1 -d $2 # Считать исходящим трафик у которого получатель

# адрес $2

}

# Создаем правила для учета трафика

for NET in $ALLNETS; do

# Для всех сетей в списке $ALLNET создать правила учета трафика

addrule $NET $NET

done

<**********************************>

После программы rc.firewall, набрав в консоле:

# iptables -L

Отобразится нечто подобное:

Chain INPUT (policy ACCEPT)

target prot opt source destination

ACCT_IN_192.168.0.1 all -- anywhere anywhere

ACCT_IN_192.168.1.0/24 all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)

target prot opt source destination

ACCT_IN_192.168.0.1 all -- anywhere anywhere

ACCT_OUT_192.168.0.1 all -- anywhere anywhere

ACCT_IN_192.168.1.0/24 all -- anywhere anywhere

ACCT_OUT_192.168.1.0/24 all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)

target prot opt source destination

ACCT_OUT_192.168.0.1 all -- anywhere anywhere

ACCT_OUT_192.168.1.0/24 all -- anywhere anywhere

Chain ACCT_IN_192.168.0.1 (2 references)

target prot opt source destination

all -- 192.168.0.1 anywhere

Chain ACCT_IN_192.168.1.0/24 (2 references)

target prot opt source destination

all -- 192.168.1.0/24 anywhere

Chain ACCT_OUT_192.168.0.1 (2 references)

target prot opt source destination

all -- anywhere 192.168.0.1

Chain ACCT_OUT_192.168.1.0/24 (2 references)

target prot opt source destination

all -- anywhere 192.168.1.0/24

Создадим базу данных в MySQL с названием trafficbd, для этого необходимо будет выполнить следующий SQL запрос:

<********* База данных trafficbd.sql *****>

CREATE DATABASE IF NOT EXISTS trafficbd;

use trafficbd;

#

# Структура таблицы `traffic`

#

CREATE TABLE traffic (

id int(11) NOT NULL auto_increment,

date datetime NOT NULL default '0000-00-00 00:00:00',

ip varchar(20) NOT NULL default '',

inb int(11) NOT NULL default '0',

outb int(11) NOT NULL default '0',

KEY id (id)

) TYPE=MyISAM;

<**********************************>

Теперь используем код программы, которая снимает полученную статистику, заносит её в базу данных и после этого обнуляет счетчики.

<**********************************>

#!/usr/bin/perl

# Функция занимающаяся сбором и внесением данных в БД.

sub account{

$name=$_[0]; # Имя правила

$IP_IN=0; # Инициализация счетчиков

$IP_OUT=0;

# Командная строка MySQL для внесения данных в таблицу.

$mysqlcommand="/usr/bin/mysql -hlocalhost trafficbd -e";

# Снимем данные со счетчика входящего трафика и обнулим

$ipstuff=`/sbin/iptables -L -Z ACCT_IN_$name -v -x`;

# Выделим из вывода предыдущей команды значение счетчика

@IPTBMASS=split(/\n/,$ipstuff);

chomp $IPTBMASS[2];

$string=$IPTBMASS[2];

$string=~ s/\s{1,}/ /g;

@INFOMASS=split(/ /,$string);

$IP_IN=$INFOMASS[2];

# Снимем данные со счетчика исходящего трафика и обнулим

$ipstuff=`/sbin/iptables -L -Z ACCT_OUT_$name -v -x`;

# Выделим из вывода предыдущей команды значение счетчика

@IPTBMASS=split(/\n/,$ipstuff);

$string=$IPTBMASS[2];

$string=~ s/\s{1,}/ /g;

@INFOMASS2=split(/ /,$string);

$IP_OUT=$INFOMASS2[2];

# Получим текущее время

($min, $hours, $day, $mounth,$year) = (localtime)[1,2,3,4,5];

$time=$hours.":".$min.":00";

$mounth=$mounth+1;

$year=$year+1900;

$date=$year."-".$mounth."-".$day;

# Формируем SQL запрос

$sql="insert into traffic values('','".$date." ".$time."','".$name."','".$IP_IN."','".$IP_OUT."');";

# Выполняем его

`$mysqlcommand "$sql"`;

} # На этом функция account заканчивается:)

# Основая программа

$config=`./lconfreader.sh`; # Прочитаем конфигурационный файл.

# Ниже приводится текст скрипта lconfreader.sh:

# #!/bin/bash

# . ./lbiling.conf # Включить конфигурационный файл

# echo $ALLNETS # Вывести в stdout список всех сетей, по которым ведется учет

chomp $config;

@NETMASS=split(/ /,$config);

foreach $nets(@NETMASS)

# Для каждого элемента списка, выполнить функцию account

account $nets [29];

2. Проектная часть

2.1 Среда программирования «Delphi 7»

Среда программирования «Delphi 7» была выбрана потому что, она имеет специфику создания приложений абсолютно любого направления и сложности на доступном языке Object Pascal

«Delphi 7» - это введение новых технологий, облегчающих и упрощающих создание программ для баз данных и Интернета.

Речь идёт, прежде всего, об инструменте CASE (Computing Assisted Software Engineering - средство автоматизированного программирования) под названием ModalMaker. Задача ModalMaker традиционна для средств подобного рода. Он позволяет программисту сосредоточиться на решении смысловых задач, возложив на ModalMaker всю черновую работу. Существенно изменены технологии создания приложений для Интернета.

С помощью нового набора компонентов IntraWeb можно готовить приложения, которые не будут требовать обязательного посредничества Web-сервера между созданным вами приложением и браузером пользователя (только для режима Stand Alone Application; для остальных типов приложений наличие промышленных серверов обязательно). Введена поддержка промышленного сервера «Apache 2». Устранены любые отличия в версиях языка «Delphi» для собственно «Delphi 7» и «Kylix 3», что в ещё большей степени упрощает процесс создания кроссплатформенных приложений. Однако попытка унификации VCL и CLX привела к тому, что из VCL исчезли компоненты Quick Report и Fast Net, которые следует заменять компонентами вкладок Rave и Indy.Если не считать небольших изменений среды разработчика, библиотеки компонентов и т.п., то следует признать, что основная нацеленность версии - улучшенная поддержка кроссплатформенных приложений (в режиме разработки кроссплатформенных приложений на 21 вкладке помещаются 274 компонента против 211 предыдущей версии), а также введение CASE-средств.

Программист использует специальное окно, которое называется окном формы, как прототип будущего окна программы и наполняет его компонентами, реализующими нужные интерфейсные свойства (списки, кнопки, полосы прокрутки и так далее). Библиотека визуальных компонентов представляет программисту огромное разнообразие созданных разработчиками «Delphi» программных заготовок, которые немедленно или после несложной настройки готовы к работе в рамках вашей программы.

Использование компонентов не только во много раз уменьшает сроки разработки программ, но и существенно снижает вероятность случайных программных ошибок, от которых, увы, не защищён ни один крупный программный проект. В результате даже не сложные программы, созданные в «Delphi», редко имеют объём меньше сотен килобайт [8].

2.2 Структура программ Delphi

Любая программа в Delphi состоит из файла проекта (файл с расширением dpr) и одного или нескольких модулей (файлы с расширениями pas). Каждый из таких файлов описывает программную единицу Object Pascal.

Структура проекта

Файл проекта представляет собой программу, написанную на языке Object Pascal и предназначенную для обработки компилятором. Эта программа автоматически создается Delphi и содержит лишь несколько строк. Чтобы увидеть их, запустите Delphi и щелкнуть по опции Project | View Source главного меню.

Delphi покажет окно кода с закладкой Project1, содержащее такой текст:

program Projecti;

uses

Forms, Unit1 in 'Unit1.pas' {fmExample};

{$R *.RES}

Begin

Application.Initialize;

Application.CreateForm(TfmExample, fmExample);

Application.Run;

end.

В окне кода жирным шрифтом выделяются так называемые зарезервированные слова, а курсивом - комментарии. Текст программы начинается зарезервированным словом program и заканчивается словом end с точкой за ним. Сочетание end со следующей за ней точкой называется терминатором программной единицы: как только в тексте программы встретится такой терминатор, компилятор прекращает анализ программы и игнорирует оставшуюся часть текста.

Зарезервированные слова играют важную роль в Object Pascal, придавая программе в целом свойство текста, написанного на почти естественном английском языке. Каждое зарезервированное слово (а их в Object Pascal несколько десятков) несет в себе условное сообщение для компилятора, который анализирует текст программы слева направо и сверху вниз.

Комментарии, наоборот, ничего не значат для компилятора, и он их игнорирует. Комментарии важны для программиста, который с их помощью поясняет те или иные места программы. Наличие комментариев в тексте программы делает ее понятнее и позволяет легко вспомнить особенности реализации программы, которую вы написали несколько лет назад. В Object Pascal комментарием считается любая последовательность символов, заключенная в фигурные скобки. В приведенном выше тексте таких комментариев два, но строка

{$R *.RES}

на самом деле не является комментарием. Этот специальным образом написанный фрагмент кода называется директивой компилятора (в нашем случае - указание компилятору на необходимость подключения к программе так называемого файла ресурсов). Директивы начинаются символом $, который стоит сразу за открывающей фигурной скобкой.

В Object Pascal в качестве ограничителей комментария могут также использоваться пары символов (*, *) и //. Скобки (*...*) используются подобно фигурным скобкам т. е. комментарием считается находящийся в них фрагмент текста, а символы // указывают компилятору, что комментарий располагается за ними и продолжается до конца текущей строки:

{Это комментарий}

(*Это тоже комментарий*)

//Все символы до конца этой строки составляют комментарий

Слово Program со следующим за ним именем программы и точкой с запятой образуют заголовок программы. За заголовком следует раздел описаний, в котором программист (или Delphi) описывает используемые в программе идентификаторы. Идентификаторы обозначают элементы программы, такие как типы, переменные, процедуры, функции. Здесь же с помощью предложения, которое начинается зарезервированным словом uses (использовать) программист сообщает компилятору о тех фрагментах программы (модулях), которые необходимо рассматривать как неотъемлемые составные части программы и которые располагаются в других файлах. Строки

Uses

Forms, Unit1 in 'Unitl.pas' {fmExample};

указывают, что помимо файла проекта в программе должны использоваться модули Forms И Unit1. модуль Forms является стандартным (т. е. уже известным Delphi), а модуль Unit1 - новым, ранее неизвестным, и Delphi в этом случае указывает также имя файла с текстом модуля (in 'uniti.pas') и имя связанного с модулем файла описания формы {fmExample}.

Собственно тело программы начинается со слова begin (начать) и ограничивается терминатором end с точкой. Тело состоит из нескольких операторов языка Object Pascal. В каждом операторе реализуется некоторое действие - изменение значения переменной, анализ результата вычисления, обращение к подпрограмме и т. п. В теле нашей программы - три исполняемых оператора:

Application.Initialize;

Application.CreateForm(TfmExample, fmExample);

Application.Run;

Каждый из них реализует обращение к одному из методов объекта Application. Объектом называется специальным образом оформленный фрагмент программы, заключающий в себе данные и подпрограммы для их обработки. Данные называются полями объекта, а подпрограммы - его методами. Объект в целом предназначен для решения какой-либо конкретной задачи и воспринимается в программе как неделимое целое (иными словами, нельзя из объекта “выдернуть” отдельное поле или метод). Объекты играют чрезвычайно важную роль в современных языках программирования. Они придуманы для того, чтобы увеличить производительность труда программиста и одновременно повысить качество разрабатываемых им программ.

Два главных свойства объекта - функциональность и неделимость - делают его самостоятельной или даже самодостаточной частью программы и позволяют легко переносить объект из одной программы в другую. Разработчики Delphi придумали сотни объектов, которые можно рассматривать как кирпичики, из которых программист строит многоэтажное здание программы. Такой принцип построения программ называется объектно-ориентированным программированием (ООП). В объекте Application собраны данные и подпрограммы, необходимые для нормального функционирования Windows-программы в целом. Delphi автоматически создает объект-программу Application для каждого нового проекта.

Строка

Application.Initialize;

означает обращение к методу Initialize объекта Application. Прочитав эту строку, компилятор создаст код, который заставит процессор перейти к выполнению некоторого фрагмента программы, написанного для нас разработчиками Delphi.

После выполнения этого фрагмента (программисты говорят: после выхода из подпрограммы) управление процессором перейдет к следующей строке программы, в которой вызывается метод CreateForm и т. д.[21].

2.3 Структура модуля

Модули - это программные единицы, предназначенные для размещений фрагментов программ. С помощью содержащегося в них программного кода реализуется вся поведенческая сторона программы. Любой модуль имеет следующую структуру: заголовок секция интерфейсных объявлений секция реализации терминатор Заголовок открывается зарезервированным словом Unit за которым следует имя модуля и точка с запятой. Секция интерфейсных объявлений открывается зарезервированным словом Interface, a секция реализации - словом implementation. Терминатором модуля, как и терминатором программы, является end с точкой. Следующий фрагмент программы является синтаксически правильным вариантом модуля:

unit Unit1;

interface

// Секция интерфейсных объявлений

Implementation

// Секция реализации

end.

В секции интерфейсных объявлений описываются программные элементы (типы, классы, процедуры и функции), которые будут “видны” другим программным модулям, а в секции реализации раскрывается механизм работы этих элементов. Разделение модуля на две секции обеспечивает удобный механизм обмена алгоритмами между отдельными частями одной программы. Он также реализует средство обмена программными разработками между отдельными программистами. Получив откомпилированный “посторонний” модуль, программист получает доступ только к его интерфейсной части, в которой, как уже говорилось, содержатся объявления элементов. Детали реализации объявленных процедур, функций, классов скрыты в секции реализации и недоступны другим модулям.

Щелкнув по закладке Unit1 окна кода, можно увидеть такой текст:

unit Unit1;

interface

uses

Windows, Messages, SysUtils, Classes, Graphics, Controls,

Forms, Dialogs, StdCtrls, Buttons, ExtCtrls;

Type

TfmExample = class(TForm)

Panel1: TPanel;

bbRun: TBitBtn;

bbClose: TBitBtn;

edinput: TEdit;

IbOutput: TLabel;

mmOutput: TMemo;

private

{ Private declarations } public

{ Public declarations } end;

Var

fmExample: TfmExample;

implementation

$R *.DFM}

end.

Весь этот текст сформирован Delphi, но в отличие от файла проекта программист может его изменять, придавая программе нужную функциональность. В интерфейсной секции описан один тип (класс - fmExample) и один объект (переменная fmExample).

Вот описание класса:

Type

TfmExample = class(TForm)

Panell: TPanel;

bbRun: TBitBtn;

bbClose: TBitBtn;

edinput: TEdit;

IbOutput: TLabel;

mmOutput: TMemo;

private

{ Private declarations } public

{ Public declarations } end;

Классы служат основным инструментом реализации мощных возможностей Delphi. Класс является образцом, по которому создаются объекты, и наоборот, объект - это экземпляр реализации класса. Образцы для создания элементов программы в Object Pascal называются типами, таким образом, класс TfmExamplel -это тип. Перед его объявлением стоит зарезервированное слово type (тип), извещающее компилятор о начале раздела описания типов.

Стандартный класс TForm реализует все нужное для создания и функционирования пустого Windows-окна. Класс TfmExamplel порожден от этого класса, о чем свидетельствует строка

TfmExample = class(TForm)

в которой за зарезервированным словом class в скобках указывается имя родительского класса. Термин “порожден” означает, что класс TfmExample унаследовал все возможности родительского класса TForm и добавил к ним собственные в виде дополнительных компонентов, которые, вставлены в форму fmExample. Перечень вставленных компонентов и составляет значительную часть описания класса.

Свойство наследования классами-потомками всех свойств родительского класса и обогащения их новыми возможностями является одним из фундаментальных принципов объектно-ориентированного программирования. От наследника может быть порожден новый наследник, который внесет свою лепту в виде дополнительных программных заготовок и т. д.

В результате создается ветвящаяся иерархия классов, на вершине которой располагается самый простой класс TObject (все остальные классы в Delphi порождены от этого единственного прародителя), а на самой нижней ступени иерархии - мощные классы-потомки, которым по плечу решение любых проблем.

Объект fmExampie формально относится к элементам программы, которые называются переменными. Вот почему перед объявлением объекта стоит зарезервированное слово var (от англ. variables - переменные).

Текст модуля доступен как Delphi ,так и программисту. Delphi автоматически вставляет в текст модуля описание любого добавленного к форме компонента, а также создает заготовки для обработчиков событии; программист может добавлять свои методы в ранее объявлённые классыйнаполвять обработчики событий конкретным .содержа,нием, вставлять собственные переменные, типы, константы и т. д. Совместное с Delphi владение текстом модуля будет вполне успешным, если программист будет соблюдать простое правило , он не должен удалять или изменять строки которые вставлены не им, а Delphi. [21].

2.4 Элементы программы

Элементы программы - это минимальные неделимые ее части, еще несущие в себе определенную значимость для компилятора. К элементам относятся:

- зарезервированные слова;

- идентификаторы;

- типы;

- константы;

- переменные;

- метки;

- подпрограммы;

- комментарии.

Зарезервированные слова это английские слова, указывающие компилятору на необходимость выполнения определенных действий. Зарезервированные слова не могут использоваться в программе ни для каких иных целей кроме тех, для которых они предназначены. Например, зарезервированное слово begin означает для компилятора начало составного оператора. Программист не может создать в программе переменную с именем begin, константу begin, метку begin или вообще какой бы то ни было другой элемент программы с именем begin.

Идентификаторы - это слова, которыми программист обозначает любой другой элемент программы, кроме зарезервированного слова, идентификатора или комментария. Идентификаторы в Object Pascal могут состоять из латинских букв, арабских цифр и знака подчеркивания. Никакие другие символы или специальные знаки не могут входить в идентификатор. Из этого простого правила следует, что идентификаторы не могут состоять из нескольких слов (нельзя использовать пробел) или включать в себя символы кириллицы (русского алфавита).

Типы - это специальные конструкции языка, которые рассматриваются компилятором как образцы для создания других элементов программы, таких как переменные, константы и функции. Любой тип определяет две важные для компилятора вещи: объем памяти, выделяемый для размещения элемента (константы, переменной или результата, возвращаемого функцией), и набор допустимых действий, которые программист может совершать над элементами данного типа. Замечу, что любой определяемый программистом идентификатор должен быть описан в разделе описаний (перед началом исполняемых операторов). Это означает, что компилятор должен знать тот тип (образец), по которому создается определяемый идентификатором элемент.

Константы определяют области памяти, которые не могут изменять своего значения в ходе работы программы. Как и любые другие элементы программы, константы могут иметь свои собственные имена. Объявлению имен констант должно предшествовать зарезервированное слово const (от англ. constants - константы). Например, мы можем определить константы

Const

Kbyte = 1024;

Mbyte = Kbyte*Kbyte;

Gbyte = 1024*Mbyte;

чтобы вместо длинных чисел

1048576 (1024*1024) и 1073741824

(1024*1024*1024) писать, соответственно, Mbyte и Gbyte. Тип константы определяется способом ее записи и легко распознается компилятором в тексте программы, поэтому программист может не использовать именованные константы (т. е. не объявлять их в программе явно).

Переменные связаны с изменяемыми областями памяти, т. е. с такими ее участками, содержимое которых будет меняться в ходе работы программы. В отличие от констант переменные всегда объявляются в программе. Для этого после идентификатора переменной ставится двоеточие и имя типа, по образу которого должна строиться переменная. Разделу объявления переменной (переменных) должно предшествовать слово var. Например:

Var

inValue: Integer;

byValue: Byte;

Здесь идентификатор inValue объявляется как переменная типа integer, а идентификатор byValue - как переменная типа Byte. Стандартный (т. е. заранее определенный в Object Pascal) тип integer определяет четырехбайтный участок памяти, содержимое которого рассматривается как целое число в диапазоне от -2 147 483 648 до+2 147 483 647, а стандартный тип Byte - участок памяти длиной 1 байт, в котором размещается беззнаковое целое число в диапазоне от 0 до 2554.Все сведения относительно диапазона возможных значений и объема памяти стандартных типов относятся к Delphi 32. Для 16-разрядной версии 1 эти величины имеют другие значения, например, тип Integer в версии 1 занимает 2 байта и имеет диапазон значении от -32 768 до+32 767.

Метки - это имена операторов программы. Метки используются очень редко и только для того, чтобы программист смог указать компилятору, какой оператор программы должен выполнятся следующим. Метки, как и переменные, всегда объявляются в программе. Разделу объявлений меток предшествует зарезервированное слово label (метка). Например:

Label

Loop;

Begin

Goto Loop;

// Программист требует передать управление

// оператору, помеченному меткой Loop. .....

// Эти операторы будут пропущены

Loор:

// Оператору, идущему за этой меткой,

.....

// будет передано управление

end;

Подпрограммы - это специальным образом оформленные фрагменты программы. Замечательной особенностью подпрограмм является их значительная независимость от остального текста программы. Говорят, что свойства подпрограммы локализуются в ее теле. Это означает, что, если программист что-либо изменит в подпрограмме, ему, как правило, не понадобится в связи с этим изменять что-либо вне подпрограммы. Таким образом, подпрограммы являются средством структурирования программ, т. е. расчленения программ на ряд во многом независимых фрагментов. Структурирование неизбежно для крупных программных проектов, поэтому подпрограммы используются в Delphi-программах очень часто.