© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
On Fri, 28 May 2004 15:26:28 +0200 (CEST)
Oliver Fromme <olli(at)lurza.secnetix.de> wrote:
> Manfred Lotz <manfred.lotz(at)web.de> wrote:
> > Ich werde bald einen DSL Zugang mit Mengenbeschränkung haben und
> > würde gerne überwachen, was so über die Leitung geht, um nicht am
> > Ende des Monats eine böse Überraschung zu erleben. Da ich einen
> > DSL-Router habe(Drayrek Vigor 2200X), der dies offensichtlich nicht
> > kann, würde ich dies von meinem FreeBSD System überwachen wollen.
> >
> > Ich möchte also folgendes überwachen:
> >
> > a) Outgoing von meinem System über rl0 nach allem, was nicht
> > 192.0.0.0/8 ist.
> >
> > b) Incoming von allem was nicht 192.0.0.0/8 ist, zu meinem System.
>
> .. und jeweils nicht 127.0.0.0/8, nehme ich an. ;-)
>
Ja, klar.
> Außerdem meinst Du vermutlich eher 192.168.0.0/16.
Ja, natürlich. 192.168.0.0/16 steht ja auch so in meinen IPFW Regeln.
:-)
> > Dabei geht es mir in der Hauptsache darum, die Summe Bytes über den
> > Monat hinweg zu bekommen.
>
> Du könntest für beides IPFW-count-Regeln setzen:
> a) count ip from any to not 192.168.0.0/16 out xmit rl0
> b) count ip from not 192.168.0.0/16 to any in recv rl0
> (Ich gehe davon aus, daß 127.0.0.0/8 bereits vorher durch-
> gelassen wurde, so daß das nicht mehr gezählt wird.)
>
Ja.
Mit ist nur nicht ganz klar, wo man am besten die count Regeln
unterbringt.
Ich habe am Anfang dummynet-Zeug.
Dann kommt:
${fwcmd} add 00100 allow all from any to any via lo0
${fwcmd} add 00105 deny all from any to any dst-port 0
${fwcmd} add 00110 deny all from any to 127.0.0.0/8
${fwcmd} add 00120 deny all from 127.0.0.0/8 to any
${fwcmd} add 00130 check-state
Nun kommt einiges mit
${fwcmd} add ... allow ...
...
Und ganz am Ende habe ich:
${fwcmd} add 25000 deny log tcp from any to any setup
${fwcmd} add 34000 deny log ip from any to any
${fwcmd} add 65535 deny ip from any to any
Wenn ich nun die beiden count-Regeln zwischen 120 und 130 plaziere, kann
es doch sein, dass hier was mitgezählt wird, was aber in 25000, 34000
oder 65635 abgewiesen wird. Oder übersehe ich hier was?
> »ipfw show« zeigt Dir dann jeweils Byte-Counter für diese
> beiden Rules an. Du kannst sie z.B. loggen, in einem eige-
> nen Skript sammeln und aufsummieren, oder sie mit einem
> geeigneten Tool weiterverarbeiten (z.B. MRTG / RRD aus der
> Ports-Collection).
>
Das hört sich gut an.
> Alternativ kannst Du's auch per SNMP machen, aber das emp-
> finde ich eher als umständlich.
Finde ich auch eher overkill.
-- Manfred To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Fri 28 May 2004 - 16:06:26 CEST