Jump to content
Sign in to follow this  
Spank

ipacc

Recommended Posts

Может кому известна утилитка написанная еще под ядро 2.2, для детального учета трафика прошедшего через правила iptables. Ее то я и переделал, для того что бы она работала намано в ядрах 2.4, 2.6 и 64 битной архитектуре. Так же добавил несколько ключиков для команды ipacc. Кому интересно советую посмотреть. В ближайшее время есть мысли писать билинг с ее использованием, для того что бы можно было делать разные общеты на разные подсети и много других вкусностей.

Приемущества над чем то подобным, вообщем -j ULOG:

1. Пакеты не парсяться повторно

2. Если нестандартная длинна заголовка пакета он будет намано общитан.

3. На уровне ядра система работает быстрей.

Банальное использование это сделать детализацию трафика, что бы недовольные юзеры могли получить весь лог и сами разобраться что куда ушло...

Ознакомиться с проектом можно тут: http://litec.ru/wiki/index.php/Ipacc , там же есть и подробная документация как что делать.

Share this post


Link to post
Share on other sites

1. Они работают не на уровне ядра(соотв медленнее).

2. Библиотеки снифера не рулят, так как будут щитать трафик задропаный в iptables.

3. Про ULOG я уже писал.

4. Все они повторно разбирают пакет уже разобранный системой. Зачем делать 2 раза одно и тоже, к тому же это может быть критично на слабых роутерах.

Share this post


Link to post
Share on other sites

Spank писал(а) Mon, 10 July 2006 13:31

2. Библиотеки снифера не рулят, так как будут щитать трафик задропаный в iptables.

Это с чего они себя будут так вести?

Цитата:

4. Все они повторно разбирают пакет уже разобранный системой. Зачем делать 2 раза одно и тоже, к тому же это может быть критично на слабых роутерах.

На слабых роутерах критична в первую очередь обработка прерываний для сетевых карт, поэтому при достаточно большом потоке трафика о слабых машинах можно забыть. К тому же в случае логирования сведений о пакете согласно заголовка, сколько же должно быть пакетов, чтоб была видна разница в скорости между решениями ядерным и пользовательского уровня?

Share this post


Link to post
Share on other sites

Фильтрация пакетов IP идет на сетевом уровне, а как известно например tcpdump работает на канальном уровне. Тоесть если я пишу:

iptables -A FORWARD -d 1.1.1.1 -j ACCEPT то билланг основанный на libpcap это пощитает, а я не хочу. Ну и в таком же духе.

Share this post


Link to post
Share on other sites

Spank писал(а) Tue, 11 July 2006 09:00

Фильтрация пакетов IP идет на сетевом уровне, а как известно например tcpdump работает на канальном уровне. Тоесть если я пишу:

iptables -A FORWARD -d 1.1.1.1 -j ACCEPT то билланг основанный на libpcap это пощитает, а я не хочу. Ну и в таком же духе.

хм... tcpdump -i any dst not 1.1.1.1?

Share this post


Link to post
Share on other sites

А не изврат?? то что в таблесе например дропается придется и здесь не щитать, тоесть 2 раза одно правило писать в разных приложениях. Лишнее время и путаница получается.

Share this post


Link to post
Share on other sites

То есть ipacc считает то, что посчиталось бы по ULOG, будь он последним правилом в цепочке?

Share this post


Link to post
Share on other sites

для того что бы ipacc считал статистику добавляется правило например:

iptables -A FORWARD -i ppp+ -j ACC --mark 1

И будет вестись подсчет пакетов попавших под это правило.

Я те советую зайти на сайт и почитать, там все написано...

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
Sign in to follow this  

×
×
  • Create New...