Re: Netzverkehr überwachen

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Fri, 28 May 2004 15:26:28 +0200 (CEST)



Manfred Lotz <manfred.lotz(at)web.de> wrote:


 > Ich werde bald einen DSL Zugang mit Mengenbeschränkung haben und würde


 > gerne überwachen, was so über die Leitung geht, um nicht am Ende des


 > Monats eine böse Überraschung zu erleben. Da ich einen DSL-Router habe


 > (Drayrek Vigor 2200X), der dies offensichtlich nicht kann, würde ich


 > dies von meinem FreeBSD System überwachen wollen.


 > 


 > Ich möchte also folgendes überwachen:


 > 


 > a) Outgoing  von meinem System über rl0 nach allem, was nicht


 > 192.0.0.0/8 ist.


 > 


 > b) Incoming von allem was nicht 192.0.0.0/8 ist, zu meinem System.



.. und jeweils nicht 127.0.0.0/8, nehme ich an.  ;-)



Außerdem meinst Du vermutlich eher 192.168.0.0/16.



192.167.0.0/16 zum Beispiel gehört nämlich dem »Consiglio


Nazionale delle Ricerche« in Pisa, Italien.  ;-)



 > Dabei geht es mir in der Hauptsache darum, die Summe Bytes über den


 > Monat hinweg zu bekommen.



Du könntest für beides IPFW-count-Regeln setzen:


a)  count ip from any to not 192.168.0.0/16 out xmit rl0


b)  count ip from not 192.168.0.0/16 to any in recv rl0


(Ich gehe davon aus, daß 127.0.0.0/8 bereits vorher durch-


gelassen wurde, so daß das nicht mehr gezählt wird.)



»ipfw show« zeigt Dir dann jeweils Byte-Counter für diese


beiden Rules an.  Du kannst sie z.B. loggen, in einem eige-


nen Skript sammeln und aufsummieren, oder sie mit einem


geeigneten Tool weiterverarbeiten (z.B. MRTG / RRD aus der


Ports-Collection).



Alternativ kannst Du's auch per SNMP machen, aber das emp-


finde ich eher als umständlich.



Gruß


   Olli



-- 
Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"... there are two ways of constructing a software design:  One way
is to make it so simple that there are _obviously_ no deficiencies and
the other way is to make it so complicated that there are no _obvious_
deficiencies."        -- C.A.R. Hoare, ACM Turing Award Lecture, 1980
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Fri 28 May 2004 - 15:26:50 CEST













search this site