Учёт трафика на iptables

1

2

День добрый!

Имеется сервер, работающий в режиме шлюза. В нём 2 интерфейса: eth0, смотрящий наружу, и eth1, смотрящий в 192.168.0.0/24. Трафик идёт через iptables.

Как можно организовать учёт трафика для каждого узла локальной сети?

Заранее спасибо.

Ссылка

←	iptables и удаленный сервер

PXE iscsi boot

→

http://bash.im/quote/33001

anonymous
(13.05.14 15:36:43 MSK)

Ссылка

vnstati пример http://akernel.ml/vnstat/

sin-ok ★
(13.05.14 15:43:31 MSK)

Ответ на: комментарий от sin-ok 13.05.14 15:43:31 MSK

Не совсем то: мне нужно знать трафик по каждому пользоватею локальной сети. Пока вижу единственный вариант - создать на каждого по правилу.

mailz
(13.05.14 15:48:15 MSK) автор топика

Ответ на: комментарий от mailz 13.05.14 15:48:15 MSK

pmacct + netflow(модуль на iptables - ipt_netflow) + гора скриптов.

Или взять готовый биллинг, типа Abills и прописать там всех пользователей как IPoE, через netflow соответственно считать

Pinkbyte ★★★★★
(13.05.14 15:50:49 MSK)

Ссылка

Ответ на: комментарий от mailz 13.05.14 15:48:15 MSK

trafd - маленькое удаленькое

smserg
(14.05.14 15:55:37 MSK)

Ссылка

Это пишется за пару часов на баше/перле/любом любимом языке с инвоками iptables -L и парсингом нужных столбцов. В целом - для каждого пользователя в -t filter -A FORWARD создаёшь цепь с красивым именем, в котором будут два правила на вход/исход по айпишнику, и дальше уже кроном собираешь стастистику. Проще сразу, после сбора делать -Z, чтоб не мудохаться с пересчётом по случаю перезагрузки и доп. расчетами, будешь получать данные за период, который выставлен в кроне.

В серьёзных проектах, с BRAS собирается статистика по snmp/netflow/etc и парсится на отдельной машинке.

nickleiten ★★★
(14.05.14 18:24:27 MSK)

Ответ на: комментарий от nickleiten 14.05.14 18:24:27 MSK

А какой смысл городить iptables правила всё такое прочее, если можно использовать darkstat + фильтры. - Вроде весьма гибко, и очень быстро. Не надо ничего писать, всё вроде готово.

Кроме приколов. Может есть какие-то приемущества? Я их вообще не вижу, разве что вижу большую нагрузку на CPU iptables ...

DALDON ★★★★★
(14.05.14 22:32:34 MSK)
Последнее исправление: DALDON 14.05.14 22:32:53 MSK (всего исправлений: 1)

Ответ на: комментарий от DALDON 14.05.14 22:32:34 MSK

Боги вас покарают за использование libpcap для сбора статистики. Из моих опытов, на средней навороченности железке libpcap даёт существенное проседание скорости прохождения пакетов уже на уровне 10-15мбит. То есть при скоростях выше он замедляет обмен и если человеку должно литься, например, 30мбит, он получает 15-20. А всё из-за того, что интерфейс в promiscious (в худшем случае, не знаю, как сейчас, года полтора назад он переводил его обязательно в этот режим) с дублированием всего потока в userspace, а это уже хорошая такая нагрузка на context switch ядра. Для домашнего применения, может быть, сойдёт, но торрентов тоже сильно не покачаешь с ним.

Оттого, лучше уж всё делать средствами ядра, тем более, что такая функциональность присутствует, и счётчик в iptables не грузит и не замедляет работу (доли процентов можно и не считать за нагрузку) ни на уровне драйверов, ни на уровне сетевой подсистемы.

nickleiten ★★★
(15.05.14 04:36:33 MSK)

Ответ на: комментарий от nickleiten 15.05.14 04:36:33 MSK

Спасибо. Постараюсь разобраться в вопросе более тщательно. Не думал, что всё столь плохо.

DALDON ★★★★★
(15.05.14 21:45:00 MSK)

Ответ на: комментарий от DALDON 15.05.14 21:45:00 MSK

простейший способ проверки - включить торрент, а на маршрутизаторе посмотреть интерфейс с помощью iptraf-ng и сравнить скорость скачивания торрента во время включения заказчки и после включения iptraf-ng. Я долго не мог понять, в чём проблема, пока не докопался до libpcap.

nickleiten ★★★
(16.05.14 00:13:49 MSK)