| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
Dimasm
Зарегистрирован: 25.04.2005
Сообщения: 454
|
 Добавлено: Пн Сен 17 2007 14:27 Заголовок сообщения: IPTABLES... LOG... подскажите |
 |
|
подкажите
командой LOG получил такую вот строку в журнал
| Код: | May 9 15:19:00 localhost kernel: ###IN=eth1 OUT=eth0 SRC=88.212.202.11 DST=192.168.120.18 LEN=40 TOS=0x00 PREC=0x00 TTL=46 ID=43441
May 9 15:19:02 localhost kernel: ###IN=eth1 OUT=eth0 SRC=205.188.8.36 DST=192.168.120.10 LEN=165 TOS=0x00 PREC=0x00 TTL=98 ID=19096
May 9 15:19:02 localhost kernel: ###IN=eth0 OUT=eth1 SRC=192.168.120.10 DST=205.188.8.36 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=23132
|
здесь поле LEN - это размер пакета в байтах?
у роутера два интрефейса, один в инет другой в сеть
вот таким правилом
$iptables -A FORWARD -p tcp -j LOG --log-level info --log-tcp-option
я смогу весь трафик между двумя интерфейсами считать?
_________________
С уважением Dimasm |
|
| Вернуться к началу |
|
 |
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Пн Сен 17 2007 14:35 Заголовок сообщения: |
|
|
| Нет. Так ты считаешь только TCP-трафик. А UDP кто считать будет? А ICMP? |
|
| Вернуться к началу |
|
|
Dimasm
Зарегистрирован: 25.04.2005
Сообщения: 454
|
| Добавлено: Пн Сен 17 2007 15:07 Заголовок сообщения: |
|
|
точно.. блин..
а так?
$iptables -A FORWARD -p tcp -j LOG --log-level info --log-prefix "TCP"
$iptables -A FORWARD -p udp -j LOG --log-level info --log-prefix "UDP"
$iptables -A FORWARD -p icmp -j LOG --log-level info --log-prefix "ICMP"
_________________
С уважением Dimasm |
|
| Вернуться к началу |
|
|
Dimasm
Зарегистрирован: 25.04.2005
Сообщения: 454
|
| Добавлено: Пн Сен 17 2007 15:32 Заголовок сообщения: |
|
|
можно ли на основании данных логов, привязать пакет к одной сессии? что значат поля ID? WINDOW?
или подкиньте ссылки где это описывается
_________________
С уважением Dimasm |
|
| Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Пн Сен 17 2007 16:41 Заголовок сообщения: |
|
|
| Найди сайт разработчиков iptables и почитай. По моему это www.netfilter.org |
|
| Вернуться к началу |
|
|
Dimasm
Зарегистрирован: 25.04.2005
Сообщения: 454
|
| Добавлено: Чт Сен 20 2007 09:26 Заголовок сообщения: |
|
|
| and3008 писал(а): | | Найди сайт разработчиков iptables и почитай. По моему это www.netfilter.org |
нет там ничего... верней есть единственная ссылка
Netfilter Log Format by Unknown.
http://logi.cc/linux/netfilter-log-format.php3
воторой день гуглю и здравого ничего найти не могу...
подскажите кто в курсе, можно ли такими правилом
| Код: | | $iptables -A FORWARD -p tcp -j LOG --log-level info |
и получеными логом
| Код: | May 9 15:19:00 localhost kernel: IN=eth1 OUT=eth0 SRC=88.212.202.11 DST=192.168.120.18 LEN=40 TOS=0x00 PREC=0x00 TTL=46 ID=43441
May 9 15:19:02 localhost kernel: IN=eth1 OUT=eth0 SRC=205.188.8.36 DST=192.168.120.10 LEN=165 TOS=0x00 PREC=0x00 TTL=98 ID=19096
May 9 15:19:02 localhost kernel: IN=eth0 OUT=eth1 SRC=192.168.120.10 DST=205.188.8.36 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=23132 |
считать трафик?.. если да то что здесь есть килобайты?
пробую суммировать LEN - получается слишком мало
пробую суммировать WINDOW - слишком много
и в UDP пакетах 2 поля LEN...
_________________
С уважением Dimasm |
|
| Вернуться к началу |
|
|
je-die
Зарегистрирован: 10.08.2007
Сообщения: 39
Откуда: Россия, Ростовская область, г. Морозовск
|
| Добавлено: Чт Сен 20 2007 10:52 Заголовок сообщения: |
|
|
Подсчитывать траффик можно проще. iptables сам считает байты которые прошли через правило. Вот пример | Цитата: | # iptables -L -v
Chain INPUT (policy DROP 1438 packets, 106K bytes)
pkts bytes target prot opt in out source destination
1069 80698 LOG all -- ppp0 any anywhere anywhere state NEW LOG level info |
Первая цифра - это число пакетов совпавших с правилом, вторая это количество байт. Все просто 
Но я для этого использую natmonitor, это гораздо удобнее. |
|
| Вернуться к началу |
|
|
Dimasm
Зарегистрирован: 25.04.2005
Сообщения: 454
|
| Добавлено: Пн Сен 24 2007 12:09 Заголовок сообщения: |
|
|
да, это удобно... так можно считать, а если надо, уже по собранным пакетам разбираться...
а как можно сбросить на ноль эти данные? перезапустить iptables?
_________________
С уважением Dimasm |
|
| Вернуться к началу |
|
|
C37
Зарегистрирован: 09.03.2005
Сообщения: 311
|
| Добавлено: Пн Сен 24 2007 12:14 Заголовок сообщения: |
|
|
| man iptables ... читаем про -Z |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
