Re: Traffic Accounting von Jails

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Mon, 16 Oct 2006 10:12:39 +0200 (CEST)



 > 


 > ich habe im moment folgendes vor: Ich moechte auf einem Server mehrere


 > Jails installieren, und in diesem dann Dienste nach aussen anbieten.


 > Das wird so aussehen, das der Server eine statische IP ins Internet


 > hat und die Jails bekommen private IPs, welche ich NATte - soweit so


 > gut.


 > 


 > Das Problem ist, das ich den Traffic der einzelnen Jails genau


 > aufzeichnen muss (via SNMP). Nun ist es ja so, das meine statische IP-


 > Adresse auf dem selben Interface liegt wie die IP-Adressen der jail,


 > und der SNMPd mir nur per-Interface, nicht per-IP Traffic ausspuckt.



Da muss man ein wenig basteln.  Erstmal musst Du für jede


Jail-IP eine Paketfilter-Regel schreiben, die den Traffic


(Bytes und Pakete) zählt.  Das geht sowohl mit IPFW als


auch mit PF, je nachdem, was Dir lieber ist.  Im Falle von


IPFW fragst Du sie mit »ipfw show« ab (jede beliebige Regel


hat automatisch Counter eingebaut).  Das sind übrigens in


beiden Fällen 64bit-Counter.



Dann schreibst Du Dir ein kleines Skript, das die Traffic-


Counter der betreffenden Regeln abfragt.  Da jedes Jail bei


Dir eine eigene (interne) IP-Adresse hat, geht das völlig


problemlos (Du musst nur aufpassen, ob Du die Regeln vor


oder nach dem NAT plazieren musst).  Benutze _NICHT_ das


»jail«-Regel-Pattern von IPFW, es hat diverse Nachteile.



Dann konfiguriere den snmpd, dass er bei der entsprechenden


MIB Dein Skript aufruft.  Der net-snmpd (Ports) unterstützt


das, soviel ich weiss; zumindest habe ich ähnliche Dinge


damit schonmal gemacht.



Einfacher ist es natürlich, wenn Du nicht unbedingt per


SNMP accounten musst.  Dann kannst Du einfach per cron alle


5 Minuten (o.ä.) die Counter bzw. Counter-Differenzen in


eine Datei (oder Datenbank) loggen, und das dann z.B. am


Monatsende summieren und auswerten.  Ist einfach nur ein


wenig Skripterei, aber nichts Schweres.



Gruß


   Olli



-- 
Oliver Fromme,  secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing
Dienstleistungen mit Schwerpunkt FreeBSD: http://www.secnetix.de/bsd
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"If you aim the gun at your foot and pull the trigger, it's
UNIX's job to ensure reliable delivery of the bullet to
where you aimed the gun (in this case, Mr. Foot)."
        -- Terry Lambert, FreeBSD-hackers mailing list.
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Mon 16 Oct 2006 - 10:14:48 CEST













search this site