Hallo,
wie kann ich unter LInux den Traffic, der über eine bestimmte IP läuft (an die Netzwerkkarte sind mehrere IPs gebunden) messen? Ich habe ein paar Lösungen gesehen, doch es müßte auch irgend-wie ganz einfach gehen. Wie?
Alex
Ich habe ein paar Lösungen gesehen, doch es müßte auch
irgend-wie ganz einfach gehen. Wie?
Hehe, welche Lösungen hast du den gesehen, die dir nicht einfach genug sind? :o)
Ich verwende ipac (http://www.comlink.apc.org/~moritz/ipac.html) um den Traffic der einzelnen Benutzer meines LANs in Richtung Internet zu protokollieren. Ist ziemlich einfach zu installieren/konfigurieren.
Grüße, Robert
Ich habe ein paar Lösungen gesehen, doch es müßte auch
irgend-wie ganz einfach gehen. Wie?
Ums zusammenrechnen kommst du nicht drumherum, aber
net-acct war recht einfach.
Lutz
Ich habe ein paar Lösungen gesehen, doch es müßte auch
irgend-wie ganz einfach gehen. Wie?Hehe, welche Lösungen hast du den gesehen, die dir nicht
einfach genug sind? :o)
War zu faul, ipchains zu konigurieren…
Ich verwende ipac
(http://www.comlink.apc.org/~moritz/ipac.html) um den Traffic
der einzelnen Benutzer meines LANs in Richtung Internet zu
protokollieren. Ist ziemlich einfach zu
installieren/konfigurieren.
Ich muss den Trafic eines Webservers ueberwachen. Dieser hat je Benutzergruppe eine eigene IP, doch nur eine Netzwerkkarte. Nun habe ich ipac installiert und es scheint nur den Traffic insgesamt anzuzeigen. Kann ich den nicht nach IPs sortieren?
Ich dachte, olgende Konfig muesste es tun:
Fuer jede Gruppe bzw. Benutzer:
peter|both|62.116.aaa.bbb|all||
paul|both|62.116.ccc.ddd|all||
Oder fehlt da noch etwas?
Alex
Ich habe ein paar Lösungen gesehen, doch es müßte auch
irgend-wie ganz einfach gehen. Wie?Ums zusammenrechnen kommst du nicht drumherum, aber
net-acct war recht einfach.
Irgend-wie klappt das Aufschluesseln nach IPs nicht (siehe meine andere ANtwort in diesem Thread). Any Ideas?
ALex
peter|both|62.116.aaa.bbb|all||
paul|both|62.116.ccc.ddd|all||
Hallo!
Sollte er ansich schlucken, aber wenns so nicht geht, dann gib einfach als Interface die Karte (eth0 oder so) an, und als Destination die IP-Adresse, das müßte auch gehen.
peter|both||all||62.116.aaa.bbb
paul|both||all||62.116.ccc.ddd
Wennst nur für Webserver brauchst kannst auch wie folgt auf Port 80 beschränken:
peter|both||all||62.116.aaa.bbb 80
paul|both||all||62.116.ccc.ddd 80
Grüße, Robert
Sollte er ansich schlucken, aber wenns so nicht geht, dann gib
einfach als Interface die Karte (eth0 oder so) an, und als
Destination die IP-Adresse, das müßte auch gehen.peter|both||all||62.116.aaa.bbb
paul|both||all||62.116.ccc.ddd
So funktioniert es, zumindest erscheinen jetzt zu jedem EIntrag Werte. Ob diese stimmen, ist eine andere Frage. Ich habe in der Konfig gleichzeitig mehrere „rules“, die das gleiche bewirkten sollten - wirkt sich das eigentlich irgend-wie aus? Müßte ja nicht sein. Dann wundert mich aber:
die Zeile:
my1|both|eth1|all||
(diese Methode hat ja nicht funktioniert, alles wird bei der 1. IP angezeigt)
enthält deutlich mehr, als alle anderen Zeilen, wo das richtig nach IPs aufgeschlüsselt wird:
my2|both||all||62.116.aaa.bbb
Hast Du hierzu irgend-eine Erklärung?
Außerdem: was soll eigentlich source, was destination sein? Wenn eine Anfrage an den Webserver kommt, was ist source, und was destination? Oder liegt das Problem genau da? Müßte ich also zusätzlich noch die Zeilen
my2|both||all|62.116.aaa.bbb|
[…]
einfügen?
Wennst nur für Webserver brauchst kannst auch wie folgt auf
Port 80 beschränken:peter|both||all||62.116.aaa.bbb 80
paul|both||all||62.116.ccc.ddd 80
Das ist klar, doch ich brauche den kompletten Traffic, also inkl. Mail, ftp etc., d. h. Monitoring von allen Ports.
Alex
my1|both|eth1|all||
(diese Methode hat ja nicht funktioniert, alles wird bei der
- IP angezeigt)
enthält deutlich mehr, als alle anderen Zeilen, wo das richtig
nach IPs aufgeschlüsselt wird:
my2|both||all||62.116.aaa.bbb
Hmmm, die Frage verstehe ich nicht ganz, die oberste Zeile loggt ja auch alles mit, die untere nur für bestimmte IPs. Oder meinst du in Summe? Dann habe ich keine Erklärung. :o)
Außerdem: was soll eigentlich source, was destination sein?
Wenn eine Anfrage an den Webserver kommt, was ist source, und
was destination? Oder liegt das Problem genau da? Müßte ich
also zusätzlich noch die Zeilen
Das „both“ bezieht sich nur darauf ob die Regel in der input oder der output chain landet. D. h. für Traffic auf Webserver messen brauchst folgendes:
my2|out||all|62.116.aaa.bbb|
my2|in||all||62.116.aaa.bbb
Also, eine Regel die auf input chain auf Pakete mit Ziel Webserver und einer auf output chain mit Source Webserver.
Es hilft sehr bei dem ganzen die ipchains zu verstehen, da kannst dir dann auch anschauen wie er die Regeln dort einbaut und damit was wirklich durch die Regel läuft.
Grüße, Robert
Ums zusammenrechnen kommst du nicht drumherum, aber
net-acct war recht einfach.Irgend-wie klappt das Aufschluesseln nach IPs nicht (siehe
meine andere ANtwort in diesem Thread). Any Ideas?
Hast Du net-acct ausprobiert? Kann dir leider nicht mehr genaue
infos geben, da das schon was her ist, und ich nicht mehr in der
Firma bin, aber meines Wissens nach liefert netacct quell und ziel adresse. Wir haben den Traffic auf eht0 gemessen, auch der, der nicht in den Rechner selbst ging.
Lutz