Nicola Tiling <nti(at)w4w.net> wrote:
> Ich versuche mit ipfw den Traffic auf einer Maschine zu erfassen. Das
> gelingt auch weitestgehenst (jedenfalls sieht es schlüssig aus...) - bis
> auf den Traffic der über einen squid-proxy (Port 3128) geht.
>
> Ich habe da die regeln
>
> ipfw add 13128 count tcp from any to me 3128
> ipfw add 13128 count tcp from me 3128 to any
Hmm, zweimal die gleiche Regelnummer halte ich für keine
gute Idee. Nimm besser zwei verschiedene.
> Aber was da "gezählt" wird ist mir viel zuwenig - das kann nicht sein:
> "Webalizer" sagt mir über den Proxy wäre im Februar ~13 GB gegangen (was
> auch ein realistischer Wert ist) - ipfw spricht nur von 400 MB.
> Stattdessen habe ich mit ipfw ca. 13 MB Verkehr locker verteilt auf
> Ports von 1024-5000. Was mache ich falsch?
Bist Du sicher, daß die Squid-Pakete nicht schon von einer
vorhergehenden Regel »erwischt« werden? Denk daran, daß
alle Regeln sequentiell abgearbeitet werden, und bei der
ersten, die paßt, fliegt er raus.
Und noch was anderes: Geht über den Squid hauptsächlich
HTTP- oder FTP-Traffic? Er kann ja beides. Der entschei-
dende Unetrschied ist, daß bei FTP nur die Steuerkommandos
über den Service-Port gehen (hier 3128), aber die eigent-
lichen Daten gehen üebr eine separate Verbindung auf einem
andern Port, der aus einem bestimmten Bereich ausgewählt
wird.
Gruß
Olli
-- Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München Any opinions expressed in this message may be personal to the author and may not necessarily reflect the opinions of secnetix in any way. Encrypting transactions on the Internet is the equivalent of arranging an armored car to deliver credit-card information from someone living in a cardboard box to someone living on a park bench. -- Eugene Spafford (computer scientist, Purdue Univ.) To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Tue 04 Mar 2003 - 13:32:11 CET