LINUX.ORG.RU
ФорумAdmin

Отслеживание трафика


2

1

Уже задавал этот вопрос, спрошу ещё раз.

Есть локалка и есть сервак, на серваке стоит Debian. Пользователи локалки выходят в интернет для чего в iptables cтоит правило SNAT. А в FORWARD стоят отдельно правила для каждой подсети, чтобы удобно было всех считать. 

adminko@gate:~$ sudo iptables -t filter -L FORWARD -v --line-numbers
[sudo] password for root:
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1    2656K  753M OUTFORWARD  all  --  any    eth0    anywhere             anywhere
2    1246K 1101M ACCEPT     all  --  eth1   eth1    10.10.10.0/24        10.10.10.0/24       /* заводская сеть через шлюз */
3        0     0 ACCEPT     all  --  eth0   eth1    union-tel.192.240.ru/29  union-tel.192.240.ru/29 /* внешние IP входящий */
4        0     0 ACCEPT     all  --  eth1   eth0    union-tel.192.240.ru/29  union-tel.192.240.ru/29 /* внешние IP исходящий */
5     2544  562K ACCEPT     all  --  eth0   eth1    anywhere             192.168.32.0/26     /* изолированые входящий */
6     3145  395K ACCEPT     all  --  eth1   eth0    192.168.32.0/26      anywhere            /* изолированые исходящий */
7     6213 6116K ACCEPT     all  --  eth0   eth1    anywhere             10.10.10.128/25     /* сервера входящий */
8     6305  382K ACCEPT     all  --  eth1   eth0    10.10.10.128/25      anywhere            /* сервера исходящий */
9    22245 9902K ACCEPT     all  --  eth0   eth1    anywhere             10.10.10.0/30       /* руководство входящий */
10   22844 2093K ACCEPT     all  --  eth1   eth0    10.10.10.0/30        anywhere            /* руководство исходящий */
11   52304   48M ACCEPT     all  --  eth0   eth1    anywhere             10.10.10.4/30       /* юр. отдел входящий */
12   45788 6293K ACCEPT     all  --  eth1   eth0    10.10.10.4/30        anywhere            /* юр. отдел исходящий */
13    386K  555M ACCEPT     all  --  eth0   eth1    anywhere             10.10.10.8/29       /* бухгалтерия входящий */
14    250K   45M ACCEPT     all  --  eth1   eth0    10.10.10.8/29        anywhere            /* бухгалтерия исходящий */
15    242K  232M ACCEPT     all  --  eth0   eth1    anywhere             10.10.10.16/30      /* отдел персонала входящий */
16    210K   36M ACCEPT     all  --  eth1   eth0    10.10.10.16/30       anywhere            /* отдел персонала исходящий */
17   24559   28M ACCEPT     all  --  eth0   eth1    anywhere             10.10.10.20/30      /* бюро пропусков входящий */
18   20886 2132K ACCEPT     all  --  eth1   eth0    10.10.10.20/30       anywhere            /* бюро пропусков исходящий */
19    6130 2460K ACCEPT     all  --  eth0   eth1    anywhere             10.10.10.24/29      /* оги входящий */
20    6445 1031K ACCEPT     all  --  eth1   eth0    10.10.10.24/29       anywhere            /* оги исходящий */
21       0     0 ACCEPT     all  --  eth0   eth1    anywhere             10.10.10.32/29      /* БКОиС входящий */
22       0     0 ACCEPT     all  --  eth1   eth0    10.10.10.32/29       anywhere            /* БКОиС исходящий */
23   67032   54M ACCEPT     all  --  eth0   eth1    anywhere             10.10.10.40/29      /* мужики входящий */
24   67654   12M ACCEPT     all  --  eth1   eth0    10.10.10.40/29       anywhere            /* мужики исходящий */
25    761K  772M ACCEPT     all  --  eth0   eth1    anywhere             10.10.10.48/28      /* личные входящий */
26    479K  434M ACCEPT     all  --  eth1   eth0    10.10.10.48/28       anywhere            /* личные исходящий */
27    763K  922M ACCEPT     all  --  eth0   eth2    anywhere             192.168.48.1        /* ДальМорРесурс входящий */
28    547K  132M ACCEPT     all  --  eth2   eth0    192.168.48.1         anywhere            /* ДальМорРесурс исходящий */
29   98291   49M ACCEPT     all  --  eth0   eth2    anywhere             192.168.48.2        /* Краски АКАН входящий */
30   93761   16M ACCEPT     all  --  eth2   eth0    192.168.48.2         anywhere            /* Краски АКАН исходящий */
31   1468K 1992M ACCEPT     all  --  eth0   eth2    anywhere             192.168.48.3        /* Галант входящий */
32    897K   66M ACCEPT     all  --  eth2   eth0    192.168.48.3         anywhere            /* Галант исходящий */
33      45  3173 REJECT     all  --  any    any     anywhere             anywhere            reject-with icmp-port-unreachable
Вот полюбуйтесь на счётчики. У подсети «Галант» входящий трафик 1992Мбайт с момента последней перезагрузки, а с хера ли.

Очень хочу заиметь какой-нибудь более продвинутый инструмент слежения за пользователями чем счётчики ipptables. Вот знаю, мне сейчас будут советовать Squid, а мне он не подойдёт, потому как я хочу отслеживать не только http-траффик, а вообще любой, в том числе от p2p.

Netflow пробовал. Ну сыпятся куча ft-* файлов в содержании которых куча ip-адресов, а вот как эту информацию расшифровывать не ясно.

★★★★★

коллектор - flow-tools
сенсор - выбери сам (softflowd - но он userspace, если не ошибаюсь)
обработка данных - FlowViewer - написан на perl

если чисто считать, посмотри netacct-mysql

uspen ★★★★★
()

Погуглил. И ntop, и tcpdump и wireshark являются снифферами с веб-мордой. Netflow - это не программа, а технология, но веб-морду там прикрутить тоже возможно.

Я не знаю что выбрать, для меня главное чтобы программа могла предоставить статистические данные следующего характера:
1.входящий трафик к пользователям локалки в виде таблицы с сортировкой по убыванию
2.исходящий трафик от пользователей локалки в виде таблицы с сортировкой по убыванию
3.входящий трафик от различных ресурсов Интернета в локалку с перечислением ресурсов по dns-именам и сортировкой по количеству трафика
4.входящий трафик от различных ресурсов Интернета к конкретному пользователю локалки с перечислением ресурсов по dns-именам и сортировкой по количеству трафика
5.если к пользователю идёт bittorrent-трафик, определить какой именно трекер юзается

sunny1983 ★★★★★
() автор топика

а с хера ли

твоё мнение я услышал, теперь хотелось бы услышать мнение начальства
пока что это выглядит как игра в господа бога админа, которому заняться нечем

zolden ★★★★★
()
Ответ на: комментарий от zolden

Начальство моё сюда не заходит. Если я предоставляю доступ в Интернет куче незнакомых людей, я по любому должен иметь инструмент для контроля трафика. А вообще, мы тут больше технические вопросы решаем, поэтому ваша реплика не по существу.

sunny1983 ★★★★★
() автор топика

Netflow пробовал. Ну сыпятся куча ft-* файлов в содержании которых куча ip-адресов, а вот как эту информацию расшифровывать не ясно.

Как сенсор можешь использовать NFSEN . Там и веб-морда и плагины можно до кучи дописывать.
Если нужно l7 инфу выдрать то используй ngrep .
Обьемы у тебя очень маленький так что любой инструмент подойдет.

pinachet ★★★★★
()
Ответ на: комментарий от pinachet

С сенсором-то я разобрался. Поставил softflowd, он слушает интерфейс eth0 (тот который смотрит в Интернет) и шлёт данные в 127.0.0.1:9995

Потом поставил пакет flow-tools, в состав которого входит демон flow-capture (коллектор), он слушает 127.0.0.1:9995 и сбрасывает данные в /var/flow/myflows

Остался анализатор. Написано, что flow-tools имеет достаточно текстовых инструментов для анализа, но я никак не разберусь как получить на экран требуюмую мне статистику. Или плюнуть на эти инструменты и поставить анализатор с веб-мордой? А мне в этом случае нужно будет удалить flow-tools и поставить другой коллектор или и этот сгодится?

sunny1983 ★★★★★
() автор топика
Ответ на: комментарий от sunny1983

Или плюнуть на эти инструменты и поставить анализатор с веб-мордой?

Nfsen - это вебморда. В качестве связки там в качестве сенсора юзается nfdump(аналог flow-tools)
Веб морда всяко лучше, ибо обьем большой записей надо просматривать.

pinachet ★★★★★
()
Ответ на: комментарий от pinachet

nfsen под Debian не собран. Но за совет спасибо, буду пытаться самостоятельно скомпилировать

sunny1983 ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin