Manfred Lotz <manfred.lotz(at)web.de> wrote:
> Oliver Fromme <olli(at)lurza.secnetix.de> wrote:
> > Manfred Lotz <manfred.lotz(at)web.de> wrote:
> > > Dabei geht es mir in der Hauptsache darum, die Summe Bytes über den
> > > Monat hinweg zu bekommen.
> >
> > Du könntest für beides IPFW-count-Regeln setzen:
> > a) count ip from any to not 192.168.0.0/16 out xmit rl0
> > b) count ip from not 192.168.0.0/16 to any in recv rl0
> > (Ich gehe davon aus, daß 127.0.0.0/8 bereits vorher durch-
> > gelassen wurde, so daß das nicht mehr gezählt wird.)
>
> Ja.
>
> Mit ist nur nicht ganz klar, wo man am besten die count Regeln
> unterbringt.
Da kann ich Dir jetzt nicht konkret helfen. Du mußt schon
selbst herausfinden, wie Du Deine Regeln orghanisierst, da-
mit das paßt.
Ohne mir jetzt Deine Regeln genauer anzusehen, könnte man
es z.B. so machen:
Als erstes localhost / 127.0.0.0/8 durchlassen, damit man
das schonmal vergessen kann. Dann die count-Regel für das
incoming -- diese sollte möglichst früh kommen, denn Du
willst ja alles zählen, was durch Deinen externen Router
ankommt, auch wenn es die FreeBSD-Kiste dann wegwirft.
Als nächstes dann alle üblichen Regeln, die Du hast, aber
bei regeln f[r ausgehende Pakete schreibst Du anstelle von
»allow« immer »skipto 30000« oder etwas ähnliches. Und als
Regel 30000 nimmst Du dann die count-Regel für das outgoing
und läßt dann schließlich alles durch. Die letzte Regel
vor 30000 sollte natürlich ein »deny any« sein.
Das war jetzt nur ein ganz grobes Kochrezept, aber ich
denke, daß man damit schon weiterkommt. Es gibt natürlich
noch andere Möglichkeiten.
Gruß
Olli
-- Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München Any opinions expressed in this message may be personal to the author and may not necessarily reflect the opinions of secnetix in any way. "Documentation is like sex; when it's good, it's very, very good, and when it's bad, it's better than nothing." -- Dick Brandon To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Fri 28 May 2004 - 20:59:04 CEST