sslug-teknik team mailing list archive

Thread
Date

Re: Trafik statistik på boks med iptables ?

To: SSLUG teknik <sslug-teknik@xxxxxxxx>
From: Anders Nielsen <anielsen@xxxxxxx>
Date: 10 Nov 2002 14:59:41 +0100
Delivered-to: mailing list sslug-teknik@xxxxxxxx
In-reply-to: <aqlibp$hi7$1@www.sslug.dk>
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm

søn, 2002-11-10 kl. 13:10 skrev Brian Ipsen:
<snip>
>  For at få at vide hvor meget web-trafik, der har været skal jeg sikkert
> lave en
> 
> iptables -L -v
> 
> Kræver det så bare en ordentlig gang behandling af outputtet for at få
> statistikken ?? Og hvad hvis man tillader alt udgående trafik med en enkelt
> regel - så kan man vel ikke hvis statistik ud via iptables på de forskellige
> services?

Når jeg vil lave statistik over hvad der sker på min firewall laver jeg
en særlig statistik kæde og smider trafikken fra FORWARD-kæden igennem
denne.

I statistik kæden laver jeg forskellige regler, der som resultat har -j
RETURN. Hvis en regel passer returneres der til FORWARD-kæden efter der
hvor man hoppede til statistik kæden. Desuden bliver reglens bytes- og
pakketællere talt op. Man kan så se totalen med iptables -L -v som du
skriver.

Det er ikke særlig svært/avanceret.

Og man kan nemt lave nye regler i statistik kæden eller slå statistikken
til og fra.


> Næste punkt er top 10 source/destination adresser - hvordan pokker får man
> den information ud ? Man skal måske have sat det eksterne ethernet interface
> i promiscuous mode - og så have et eller andet til at samle statistik - men
> findes der noget færdigt (statistik pr. døgn er helt ok) ?

Det er nemt - du laver bare en anden kæde med en regel for samtlige
IP-adresser :-)

Det var naturligvis en joke, men metoden kan evt være brugbar mht. dine
interne adresser, hvis der ikke er for mange. Hvis du på forhånd har en
idé om hvilke adresser der vil være i top10 kan du sikkert også få det
til at virke. 

Evt. kan man starte med at inddele IP-adresserummet i nogle blokke. De
blokke der får mest trafik kan man så inddele yderligere indtil man
finder nogle adresser som får mere trafik end blokkene. Håber du forstår
idéen, selvom den er "Storm P"-agtig. 

Jeg tror ikke det er så lige til at klare dette problem med netfilter.
Jeg mener dog at der står noget i manualen om en særlig ULOG target, som
gør det muligt at kalde et eksternt brugerprogram (mysql nævnes som
eksempel). Jeg kan forestille mig at det vil kunne komme til at virke,
men jeg har ingen erfaringer og performance kan give problemer.

Venlig hilsen
 Anders

"Statistics are just like mini-skirts, they give you good ideas but hide
the most important thing" -- Ebbe Skovdahl

Follow ups

Re: Trafik statistik p�oks med iptables ?
From: Brian Ipsen, 2002-11-11

References

Trafik statistik p�oks med iptables ?
From: Brian Ipsen, 2002-11-10