On Fri, 28 May 2004 15:31:20 +0200
till toenges <tt(at)mail.isis.de> wrote:
> Manfred Lotz wrote:
> > Ich möchte also folgendes überwachen:
> >
> > a) Outgoing von meinem System über rl0 nach allem, was nicht
> > 192.0.0.0/8 ist.
> >
> > b) Incoming von allem was nicht 192.0.0.0/8 ist, zu meinem System.
>
> Ist zwar nicht die Frage gewesen, aber bist Du Dir sicher dass du
> 192.0.0.0/8 meinst? IMHO ist nur 192.168.0.0/16 für lokale Netze, der
> Rest ist "echtes Internet".
>
Ja natürlich 192.168.0.0/16
> > Dabei geht es mir in der Hauptsache darum, die Summe Bytes über den
> > Monat hinweg zu bekommen.
> >
> >
> > Was wäre ein geeignetes Tool für diese Aufgabe? Gibt es da was
> > möglichst einfaches?
>
> Hab keine Tools anzubieten, aber ein paar Scripts reichen völlig.
>
> Ich habe hier mit ipfw eine Count Rule eingesetzt, die alles Bytes
> ausser denen in mein eigenes Netz zählt. Den Zähler lasse ich ich mit
> einem Cron Job täglich auslesen, das Ergebnis in ein Logfile schreiben
>
> und dann den Zähler zurücksetzen. Dazu habe ich noch ein Script das
> mir aus dem Log den ein- und ausgehenden Traffic in einem bestimmten
> Zeitraum berechnet.
>
> Die ipfw rules sehen so aus:
>
> count ip from 10.0.1.4 to not 10.0.0.0/16
> count ip from not 10.0.0.0/16 to 10.0.1.4
>
Ja, wenn ich es schaffe, die count rules an die geeignete Stelle zu
pflanzen, ist das mit Scripts gut machbar.
> Hab das woanders in einer komplexeren Auswertung auch mit ipfilter
> umgesetzt, habe ich aber gerade nicht zur Hand. Auslesen geht mit:
>
> #!/bin/sh
>
> (ipfw -a list 10 ; ipfw -a list 20) | awk '{ if(s > 0) print "'"`date
> "+%Y-%m-%d"`"'", s + $3, s, $3 ; else s = $3 }' >>/var/log/ipc.log
> ipfw -q zero 10
> ipfw -q zero 20
>
> Der Bereich von (ipfw... bis ...ipc.log ist eigentlich eine Zeile, und
>
> 10 und 20 müssen durch die Nummern der ipfw count rules auf deinem
> System ersetzt werden. Das Script täglich mit einem Cron Job
> ausführen.
>
...
>
> Weitere interessante Spielereien sind Warnmails wenn der Traffic in
> einem bestimmten Zeitraum die übliche Grenze überschreitet, aber die
> Scripts dafür will ich nicht ungefragt auf die Liste schmeissen.
>
Danke für die Ideen. Kann ich gut verwenden.
-- Manfred To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Fri 28 May 2004 - 16:09:20 CEST