|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Kirill Frolov 2:5020/400 03 Sep 2007 03:51:41
To : Zahar Kiselev
Subject : Re: подсчет трафика?
--------------------------------------------------------------------------------
On Sat, 01 Sep 2007 01:40:08 +0400, Zahar Kiselev wrote:
> Есть роутер с NAT и за ним сетка из нескольких машин.
> Hужно писать в файл каждый вечер сколько трафика какая из машин скушала.
> При этом трафик, адресованный самому этому роутеру, а не транзитный -
> считаться не должен.
Есть замечательная программа ipcad. И есть замечательный iptables.
Далее нужные пакеты в нужных цепочках направляются в ULOG, откуда
беруться и считаются в ipcad.
Из iptables:
># входящий траффик:
iptables -t mangle -A FORWARD -i $INET_IFACE \
-j ULOG --ulog-nlgroup 1 --ulog-cprange 64 --ulog-qthreshold 8
iptables -t mangle -A INPUT -i $INET_IFACE \
-j ULOG --ulog-nlgroup 1 --ulog-cprange 64 --ulog-qthreshold 8
># исходящий траффик:
iptables -t mangle -A FORWARD -o $INET_IFACE \
-j ULOG --ulog-nlgroup 1 --ulog-cprange 64 --ulog-qthreshold 8
iptables -t mangle -A OUTPUT -o $INET_IFACE \
-j ULOG --ulog-nlgroup 1 --ulog-cprange 64 --ulog-qthreshold 8
Из /etc/ipcad/ipcad.conf:
interface ulog group 1 netflow-disable;
ну и что-то вроде aggregate 10.1.2.0/22 strip 32;...
В данном случае считается всё. Можно конечно считать не всё ещё на
уровне iptables. Hо ipcad сам даёт достаточно хорошо различимую картину
чего где и сколько, откуда можно вычленить именно то что надо. Для
некоторых адресов (операторами aggregate в конфигурации) траффик можно
объединить, для других считать по-отдельности...
Отдельно надо сказать на счёт ulog. Вот именно так траффик считается
более-менее приемлемо. Другие методы (promiscious mode) предлагаемые
программами вроде net-acct иногда недосчитываются реально проходящего
траффика. Вобщем если точность критична -- надо иметь на уме.
> Понимаю, что для этого можно написать правила iptables и скрипты для их
> обработки, но уверен, что кто-то уже эту задачу решал и решение доступно в
> готовом виде. Вот его и ищу.
Да, ipcad по крону раз в 5 минут делает rsh localhost dump.
Чтоб при аварийном выключении не остаться без счётчиков. При загрузке
загружает. Т.е. раз в день ничего в файл не пишется. Есть счётчики
доступные постоянно. Которые в нужный момент времени (раз в месяц)
смотрятся и обнуляются:
rsh localhost clear ip accounting
rsh localhost show ip accounting checkpoint
> Вобщем-то _показать_ это может программа ntop, только она в файл результаты
> писать не умеет, на нее надо каждый вечер смотреть, а мне бы - раз в месяц.
Hо тут есть минус. ipcad даёт сумму за период, но не даёт детальной
информации. Hачинаю думать, варианты с mysql не так уж и плохи...
(хотя можно раз в час в csv-файл дописывать и в ехеле потом смотреть
без всяких там sql)
--- ifmail v.2.15dev5.4
* Origin: FidoNet Online - http://www.fido-online.com (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
