Ja sam to radio na malo drugaciji nacin. Ne znam jesi li ogranicen samo na koriscenje tog PIX-a.
Svim korisnicima sam pokupio MAC adrese i na posebnom ruteru (MikroTik) podigao HotSpot sa MAC autetifikacijom. Korisnik i ne zna da je ulogovan.
Nakon toga iz analize accounting podataka (koji se salju u RADIUS bazu) se vidi koliko je odredjeni korisnik tj MAC adresa napravio saobracaja.

Za jednostavnije resenje ne znam :)

ISA server sa Bandwidth dodatkom...

A kako da ogranicim/zabranim korisnike da ne idu na sajtove tipa..youtube, sextube..xxxtube...znaci gomila sajtova koji sadrze video materijal? Stavio sam zabrane na neke IP adrese tipa rapidshare i youtube...ali toga ima gomila i prakticno je nemoguce na taj nacin to zabraniti.
Da li neko ima iskustvo sa ovim? Kako se boriti? "Pojedose" mi bandwidth....

Ako znaš web adrese tih stranica , postavi ih u HOSTS file. Mislim da tako radi i SpyBot S&D samo što on "reže" određene zlonamjerne web adrese

Imas li neki ruter u toj mrezi, ili samo taj PIX?

@Ivek
To nije resenje jer je poenta ogranicavati saobracaj sa centralne lokacije (rutera npr.).

Mada, ako ima DNS server koji klijenti koriste onda bi tako nesto mogao da uradi +da zabrani upite ka bilo kom drugom DNS-u. A ako ima DNS server, ne vidim sto ne bi imao i ISA i sl... :)

Kupovati ISA server je notorna glupost, bar po meni, da bi video ko trosi bandwith. Taj PIX sigurno moze da statistike o protoku pljucka externom syslog serveru. Instalira bilo gde u mrezi neki sitan comp sa Linux-om, BSD-om, Solarisom... i eto mu statistika. Uzme cacti da mu nacrta grafikone i imace sve statistike koje ga zanimaju.

Za content filtering, tu je google. Ima gomila resenja, pocev od onih cisco-vih koja su jako dobra, ali moguce skupa, pa do raznih proxy-ja koji mogu da rade na istom tom linuxu/solarisu.

Nisam radio sa PIX-om nikada ali pretpostavljam da moze:
napravis access listu koja zabranjuje saobracaj ka TCP 80 osim za jednu ip adresu.
Na toj IP adresi podesis MikroTik sa podesenim proxy-jem i na njemu mozes da definises
koji sajt ce biti blokiran. Korisnicima samo podesis da web saobracaj ide kroz taj proxy.

Zasto bi instalirao MT, kad moze da instalira neki normalan Linux, pa da uz proxy dobije i mrtg, i jos sta vec pozeli... ?

Za nadgledanje se slazem da mu ne treba, ali za kontrolu saobracaja ipak mora da ima jos neku spravu.

Ma slazem se da mu treba jos nesto - naravno zavisno da li hoce Cisco ili neko drugo resenje, ali ne mislim da je MT to resenje. Sve jedno ce mu trebati neki *nix za syslog i mrtg, pa kad ga vec ima, onda je po meni to najlogicnije mesto da radi i content filtering....

Ja imam slican problem ili isti problem. Dali je to moguce sa CISCO ASA 5505 Firewallom? Trebam napravit odedjeni content filtering. Dali to na mom Firewallu moze i kako??? Gdje to podesavam?

http://www.cisco.com/en/US/pro...ech_note09186a008084de0c.shtml

Ja sam cuo ovde na internetu da ima dude program sa mikrotika i on radi ako ga skines sve osim merenja bandwith-a. Ako hoces onda moras da imas taj ruter a on je oko mislim oko 200 evra ne vise. J asam imao problem sa tim dudeom da je pingovao i pokusavao telnet onako bez veze, ali je to mozda sto ja imam specijalno kolo.

Verovatno treba da se konfigurise. Neki momak n aovom forumu zna sve oko tog podesavanja i zadovoljan je.

Kupi lepo software Ca Gateway security, kao sto ga imamo u firmi i milina.
Nema sta nije u stanju da uradi.

ASA 5505 nema web filtering, treba ti sledeća platforma u seriji
U principu ja na juniper firewall-u npr. postavim korisnika (ip adresu) u posebnu polisu pa posmatram količinu saobraćaja po toj polisi - najelegantnije rešenje, sav predloženii dodatni hardver/softver je onda nepotreban :)

Hi, zasto ne uradis nesto ovako:

access-list 101 deny tcp host source-ip host destination-ip eq www
access-list 101 permit ip any any

Ako imas Cisco PIX i zelis nadgledati koje se internet stranice posjecuju...

Jedan od nacina je:

- postavi inspecting na interface koji je usmjeren na korisničku mrežu
- uključi "inspektiranje" dns requesta (alerts)
- usmjeri syslog promet na syslog server
- za svaki DNS request poslan van tvoje mreže, PIX izbaci syslog sa IPem DNS requesta
- postavi Kiwi syslog na server iz razloga što on ima u sebi mogućnost prevođenja adresa i izbacuje ti output u obliku klasičnih tekstualnih adresa, snima log po datumima
- inače syslog često izbacuje hrpetinu teksta... ovaj inspecting ti izbaci jednu liniju po jednom DNS requestu. Lako je čitljivo, nije jako velik problem snaći se čak i za veliki broj korisnika.

Možeš na taj način imati uvid u popis internet stranica koje se najviše posjećuju.

Instaliraj na nekoj linux mashini nms software koji odgovara tvojim zahtevima. Instaliraj netflow modul i zavrsio si sve sto ti treba.