Re: Netzverkehr überwachen

On Fri, 28 May 2004 20:58:40 +0200 (CEST)
Oliver Fromme <olli(at)lurza.secnetix.de> wrote:

> Manfred Lotz <manfred.lotz(at)web.de> wrote:
> > Oliver Fromme <olli(at)lurza.secnetix.de> wrote:
> > > Manfred Lotz <manfred.lotz(at)web.de> wrote:
> > > > Dabei geht es mir in der Hauptsache darum, die Summe Bytes über
> > > > den Monat hinweg zu bekommen.
> > >
> > > Du könntest für beides IPFW-count-Regeln setzen:
> > > a) count ip from any to not 192.168.0.0/16 out xmit rl0
> > > b) count ip from not 192.168.0.0/16 to any in recv rl0
> > > (Ich gehe davon aus, daß 127.0.0.0/8 bereits vorher durch-
> > > gelassen wurde, so daß das nicht mehr gezählt wird.)
> >
> > Ja.
> >
> > Mit ist nur nicht ganz klar, wo man am besten die count Regeln
> > unterbringt.
>
> Da kann ich Dir jetzt nicht konkret helfen. Du mußt schon
> selbst herausfinden, wie Du Deine Regeln orghanisierst, da-
> mit das paßt.
>
> Ohne mir jetzt Deine Regeln genauer anzusehen, könnte man
> es z.B. so machen:
>
> Als erstes localhost / 127.0.0.0/8 durchlassen, damit man
> das schonmal vergessen kann. Dann die count-Regel für das
> incoming -- diese sollte möglichst früh kommen, denn Du
> willst ja alles zählen, was durch Deinen externen Router
> ankommt, auch wenn es die FreeBSD-Kiste dann wegwirft.
>

Ja, das hatte ich auch bisher so.

> Als nächstes dann alle üblichen Regeln, die Du hast, aber
> bei regeln f[r ausgehende Pakete schreibst Du anstelle von
> »allow« immer »skipto 30000« oder etwas ähnliches. Und als
> Regel 30000 nimmst Du dann die count-Regel für das outgoing
> und läßt dann schließlich alles durch. Die letzte Regel
> vor 30000 sollte natürlich ein »deny any« sein.
>
> Das war jetzt nur ein ganz grobes Kochrezept, aber ich
> denke, daß man damit schon weiterkommt. Es gibt natürlich
> noch andere Möglichkeiten.
>

Danke, das hilft mir sehr weiter.

-- 
Manfred
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message