forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

OpenNews: IPFilter под Linux - вторая попытка., opennews (?), 02-Июн-04, (0) [смотреть все]

и зачем это надо лишняя работа только imho, gaf (?), 08:35 , 02-Июн-04, (1)
Мда Не, я FreeBSD люблю, и на рабочий сервер с почтой, апачем и т п линукс не , vitamin (?), 09:41 , 02-Июн-04, (2) //

Это предубеждение , uldus (ok), 09:56 , 02-Июн-04, (3) //

причем распространненое - poige, poige (??), 11:17 , 02-Июн-04, (8) //

Т е к предубеждению претензий нет , Deadgeny (??), 11:23 , 02-Июн-04, (10)

Извините, а на чем вы Оракл поднимать будете На винде Или на солярисе - , Ярослав (??), 11:32 , 02-Июн-04, (11)

На Ms-DOS 3 22, конечно Я как бы и не спорю -- плясать с бубном вокруг него на ф, Deadgeny (??), 11:42 , 02-Июн-04, (13)

от вас неподалеку пункт приема претензий к предубеждениям - poige, poige (??), 12:20 , 02-Июн-04, (16)

, Deadgeny (??), 14:37 , 02-Июн-04, (22)

Это мне пофиг Linux - is most self incompatible OS c автор cdrecordДля меня э, vitamin (?), 16:41 , 02-Июн-04, (29)

Как-то я вот не слышал про WF2Q, ALTQ и прочие радости под iptables Да и больш, cmhungry (?), 14:05 , 02-Июн-04, (19) //

В пингвиниксе отлично QoS реализован в ядре, уж с очередями там всё в порядке, н, vitamin (?), 16:38 , 02-Июн-04, (28)

Надеюсь, на Linux всё-таки будет когда-нибудь нормальный пакетный фильтр, а не э, Scott Tiger (?), 10:27 , 02-Июн-04, (4) //

идиот , bzzz (??), 10:30 , 02-Июн-04, (5) //

закономерный вопрос poige, poige (??), 11:17 , 02-Июн-04, (9)
Нет, не идиот iptables - однозначно помойка, хуже него разве что ipchains ipfi, Scott Tiger (?), 11:23 , 03-Июн-04, (40)

Почему у ще Это эмоции, а не аргумент Если хорошо разобраться с Iptables, том, Fantomas (??), 14:45 , 04-Июн-04, (47)

У меня роутером стоит фря, остольные службы на линухах И сказал бы что iptabl, tahion (ok), 10:39 , 02-Июн-04, (6)
iptables на сегодняшний день наиболее продвинутый фаервол Я имел дело с ipf pf , pF (?), 10:52 , 02-Июн-04, (7) //

Самый продвинутый - Cisco PIX IMHO , Ярослав (??), 11:33 , 02-Июн-04, (12) //

ошибаетесь, самый продвинутый - CheckPoint Firewall, anonymous (??), 11:55 , 02-Июн-04, (14) //

Угу И самый геморройный тоже , Deadgeny (??), 12:17 , 02-Июн-04, (15)

и чего в нем такого супер-пупер можно сделать, чего нельзя сделать iptables на к, anonymous (??), 16:03 , 02-Июн-04, (25)
pix - это ж пав топку его, vitamin (?), 16:35 , 02-Июн-04, (27)

Вот у меня есть вопрос Во фре я часто использую управление правилами на основе , Scoundrel (?), 13:37 , 02-Июн-04, (18) //

iptables -L -v -n -Z your_billing_chain 124 your_billing plДа, скрипт подсч, illi (?), 14:34 , 02-Июн-04, (20)
Читать iptables howto, Mr.Uef (??), 14:37 , 02-Июн-04, (21) //

Ой Какие мы умные Так бы и сказал, что не знаешь Нельзя в линуксе создать пра, Scoundrel (?), 14:55 , 02-Июн-04, (23)

Я, правда, имел в виду перловый хеш, с ключами вида DROP icmp -- , illi (?), 15:38 , 02-Июн-04, (24)
считать трафик правилами _firewall_ с философией типа count неправильнов пр-, poige (??), 16:28 , 02-Июн-04, (26)

почему я пытаюсь спорить, просто не понятно, раз уж пакет прошел через правило, , Michael (??), 17:07 , 02-Июн-04, (30)

firewall это ср-во защиты, , poige (??), 19:01 , 02-Июн-04, (35)

тут у меня опечатка, на самом деле я НЕ пытаюсь спорить, просто хочу понять сове, Michael (??), 10:01 , 03-Июн-04, (39)

- проблема на вашей стороне c Я ж не учебник пишу, вообще-то Так, де, poige (??), 15:07 , 03-Июн-04, (43)

1 Может, я неправильно понял, но - я не считаю трафик правилами Правила задают, illi (?), 17:11 , 02-Июн-04, (31)

специальными пакетами, которые заточены именно под это Кто-то пишет свое,, poige (??), 19:06 , 02-Июн-04, (36)

Тезис понятен, но не аргументирован Возможно, на специализированных биллинг-сис, illi (?), 19:42 , 02-Июн-04, (37)

кому нужно, тот понял, хотелось бы верить , poige (??), 16:37 , 03-Июн-04, (45)

Я не говорил, что для подсчёта трафика специально надо ставить firewall или раут, illi (?), 10:49 , 04-Июн-04, (46)

Scoundrel,Не надо льстить, просто я более внимательно читал HOWTO Знаю, просто с, Mr.Uef (??), 12:19 , 03-Июн-04, (41)

Извиняюсь я тоже читал его, но вот до того, чтобы создавать кучу цепочек, как, Scoundrel (?), 00:20 , 05-Июн-04, (48)

а в ман хоть раз заглянуть man iptables 124 grep rulenum-D, --delete chain ru, mod (?), 11:20 , 08-Июн-04, (49)

ну и раскажи что он умеет делать такого чего неможет iptablesP S у меня самого, Аноним (17), 13:10 , 02-Июн-04, (17)
к чему весь этот флейм ну юзаю линукс и что чем iptables плох меня например он, rost (?), 18:03 , 02-Июн-04, (32) //

mod_bandwidth, hehe (?), 18:28 , 02-Июн-04, (33) //

ну и юзал я это поделие после нескольких часов работы апач просто переставал, rost (?), 18:34 , 02-Июн-04, (34) //

http www snert com Software mod_watch , Алексей (??), 08:09 , 03-Июн-04, (38)

А попробуйте на freebsd при помощи ipf pf ipfw сделать то что делет ULOG iptable, Аноним (17), 15:06 , 03-Июн-04, (42) //

Нахрена, извините мой французский, считать это через файрвол Если уж считать - , Cyrill Malevanov (?), 15:11 , 03-Июн-04, (44)

Сообщения [Сортировка по времени | RSS]

18. "IPFilter под Linux - вторая попытка." +/–

Сообщение от Scoundrel (?), 02-Июн-04, 13:37

Вот у меня есть вопрос: Во фре я часто использую управление правилами на основе их номеров - очень удобно и гибко (например - хранить в базе номер правила очень просто)... Как мне в линуксе организовать создание/удаление/съем статистики с правил фаервола?

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

20. "IPFilter под Linux - вторая попытка." +/–

Сообщение от illi (?), 02-Июн-04, 14:34

iptables -L -v -n -Z [your_billing_chain] | your_billing.pl
Да, скрипт подсчёта будет сложнее, чем для ipfw с её нумерацией правил, но совершенно никаких принципиальных проблем нет. (Наверное, правильнее использовать IPTables::IPv4, но когда я писал эту считалку, ещё под ipchains, я про эти модули не знал). Хеш по src/dst/flags.
Кроме того, можешь посмотреть ULOG.
Сложность подсчёта - обратная сторона гибкости настройки. Оно того стоит.
А если вдруг тебе придётся вставить какие-то правила между считаемыми ? Как же твои ключи в базе ?

Ответить | Правка | Наверх | Cообщить модератору

21. "IPFilter под Linux - вторая попытка." +/–

Сообщение от Mr.Uef (??), 02-Июн-04, 14:37

>Как мне в линуксе организовать создание/удаление/съем статистики с
>правил фаервола?

Читать iptables howto

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

23. "IPFilter под Linux - вторая попытка." +/–

Сообщение от Scoundrel (?), 02-Июн-04, 14:55

>>Как мне в линуксе организовать создание/удаление/съем статистики с
>>правил фаервола?
>Читать iptables howto
Ой! Какие мы умные!!!
Так бы и сказал, что не знаешь!
Нельзя в линуксе создать правило с номером XYZ, которое после любых изменений в остально наборе правил не изменит своего номера... :-(
А вот с хешем правила - это хорошая идея... надо над ней подумать...

Ответить | Правка | Наверх | Cообщить модератору

24. "IPFilter под Linux - вторая попытка." +/–

Сообщение от illi (?), 02-Июн-04, 15:38

Я, правда, имел в виду перловый хеш, с ключами вида
"DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0          icmp type 8" и значением pkts. Эти ключи можно напрямую класть в базу вместо номеров правил, или сопоставлять каким-то номерам, или действительно брать от них какую-то хеш-функцию. Всё равно же номера правил в базе тебе ничего не говорят - или держишь в голове, что правило 625 - это трафик к юзеру "Вася" ?
PS. когда я первый раз после бейсика увидел C, я совершенно не догонял, как же можно жить без нумерации строк программы.

Ответить | Правка | Наверх | Cообщить модератору

26. ">>Как мне в линуксе организовать создание/удаление/съем стат..." +/–

Сообщение от poige (??), 02-Июн-04, 16:28

считать трафик правилами _firewall_ (с философией типа "count") неправильно
в пр-цпе, ибо firewall это ACL, а не accounting.
/poige

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

30. ">>Как мне в линуксе организовать создание/удаление/съем стат..." +/–

Сообщение от Michael (??), 02-Июн-04, 17:07

>считать трафик правилами _firewall_ (с философией типа "count") неправильно
>в пр-цпе, ибо firewall это ACL, а не accounting.
почему?
я пытаюсь спорить, просто не понятно, раз уж пакет прошел через правило, то что мешает счетчик прибавить?

Ответить | Правка | Наверх | Cообщить модератору

35. ">>Как мне в линуксе организовать создание/удаление/съем стат..." +/–

Сообщение от poige (??), 02-Июн-04, 19:01

>>считать трафик правилами _firewall_ (с философией типа "count") неправильно
>>в пр-цпе, ибо firewall это ACL, а не accounting.
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
== firewall это ср-во защиты, а не учета.
>почему?
см. выше.
>я пытаюсь спорить, просто не понятно, раз уж пакет прошел через правило,
>то что мешает счетчик прибавить?
Обычно ничего. Вот только масштабируемость у этого метода никакая:
https://www.opennet.ru/openforum/vsluhforumID1/35252.html#2
Да и вообще, "удобств" малова-то. :-)
/poige

Ответить | Правка | Наверх | Cообщить модератору

39. ">>Как мне в линуксе организовать создание/удаление/съем стат..." +/–

Сообщение от Michael (??), 03-Июн-04, 10:01

>>я пытаюсь спорить, просто не понятно, раз уж пакет прошел через правило,
>>то что мешает счетчик прибавить?
тут у меня опечатка, на самом деле я НЕ пытаюсь спорить, просто хочу понять.
>Обычно ничего. Вот только масштабируемость у этого метода никакая:
>
>https://www.opennet.ru/openforum/vsluhforumID1/35252.html#2
совет принял к сведению, но аргументации не вижу.
>Да и вообще, "удобств" малова-то. :-)
тем не менее, для многих простых случаев этого достаточно.
не вижу причин для настолько категоричных "нельзя".

Ответить | Правка | Наверх | Cообщить модератору

43. ">совет принял к сведению, но аргументации не вижу. " +/–

Сообщение от poige (??), 03-Июн-04, 15:07

[...]
>>Обычно ничего. Вот только масштабируемость у этого метода никакая:
>>
>>https://www.opennet.ru/openforum/vsluhforumID1/35252.html#2
>совет принял к сведению, но аргументации не вижу.
:-) "проблема на вашей стороне" (c).
Я ж не учебник пишу, вообще-то. Так, делюсь опытом.
>>Да и вообще, "удобств" малова-то. :-)
>тем не менее, для многих простых случаев этого достаточно.
>не вижу причин для настолько категоричных "нельзя".
опять "на вашей стороне". Я нигде не употребил категоричных нельзя --
перечитайте, если не верите:
  "Далее, несколько правил, которые я рекомендую соблюдать:"
  "считать трафик правилами _firewall_ (с философией типа "count")
   неправильно"
где-то написано "нельзя"? ;-)
/poige
--
http://www.i.morning.ru/~poige/

Ответить | Правка | Наверх | Cообщить модератору

31. ">>Как мне в линуксе организовать создание/удаление/съем стат..." +/–

Сообщение от illi (?), 02-Июн-04, 17:11

1. Может, я неправильно понял, но - я не считаю трафик правилами. Правила задают поведение роутера(или вырожденно - хоста)  при обработке пакетов определённыт типов, а побочный эффект - они считают количество пакетов/байт, через них проходящих.
2. И почему неправильно, даже в случае философии типа "count" ? Доступный, надёжный, дешёвый(по производительности) способ... А как правильно ?

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

36. ">>Как мне в линуксе организовать создание/удаление/съем стат..." +/–

Сообщение от poige (??), 02-Июн-04, 19:06

[...]
>надёжный, дешёвый(по производительности) способ... А как правильно ?
специальными пакетами, которые "заточены" именно под это.
Кто-то пишет свое, кто-то юзает готовое. Я года 3 назад реализовал 1-й вариант, в качестве источника данных выбрал libcap (API pcap()). Но в пр-цпе, можно было бы и тот же divert-like подход (на FreeBSD) применить.
/poige

Ответить | Правка | Наверх | Cообщить модератору

37. ">>Как мне в линуксе организовать создание/удаление/съем стат..." +/–

Сообщение от illi (?), 02-Июн-04, 19:42

>специальными пакетами, которые "заточены" именно под это.
Тезис понятен, но не аргументирован. Возможно, на специализированных биллинг-системах - оправдан. Т.е. конечно ясно, что специальные пакеты, которые "заточены" именно под это - удобнее, но это не значит, что они не могут снимать показания счётчиков iptables.
Может, и snmp-съём статистики с интерфейса роутера - неправильно, т.к. роутер - должен раутить, а не считать ? И каждому роутеру - по снифферу с каждой стороны, пусть считают ?

Ответить | Правка | Наверх | Cообщить модератору

45. ">Тезис понятен, но не аргументирован. Возможно, на специализ..." +/–

Сообщение от poige (??), 03-Июн-04, 16:37

>>специальными пакетами, которые "заточены" именно под это.
>
>Тезис понятен, но не аргументирован. Возможно, на специализированных
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
кому нужно, тот понял, хотелось бы верить. :-)
> биллинг-системах - оправдан. Т.е.
>конечно ясно, что специальные пакеты, которые "заточены" именно под это -
>удобнее, но это не значит, что они не могут снимать показания
>счётчиков iptables.
>
>Может, и snmp-съём статистики с интерфейса роутера - неправильно, т.к. роутер -
>должен раутить, а не считать ? И каждому роутеру - по
>снифферу с каждой стороны, пусть считают ?
Путаете.
1) Без раутера не будет передачи трафика в принципе, а вот учет
трафика без firewall -- запросто.
2) "SNMP-съем" с интерфейса это неправильно, да. Только не по той же причине, что и с правил firewall, хотя есть и общее: вы не сможете ответить пользователю на вопрос "а с какого IP и во сколько мне прилетело столько трафика", в общем случае. Можно, конечно, возразить, что дескать, таких вопросов не будет, считаю для себя и все, но от главного уйти не получится, а именно:
  _учет трафика это не то, для чего следует применять firewall_
Хотя, разумеется, можно. Я читал, можно и на матричном принтере
мелодию воспроизвести, не HiFi правда. ;-)
Насчет "SNMP-съема". Есть такое RFC 1156 "Management Information Base for Network Management of TCP/IP-based internets":
  OBJECT:
          -------
               ifOutOctets { ifEntry 16 }
          Syntax:
               Counter
          Definition:
               The total number of octets transmitted out of the
               interface, including framing characters.
ключевые слова "including framing characters".
По теме:
  https://www.opennet.ru/openforum/vsluhforumID10/528.html#4
/poige
--
http://www.i.morning.ru/~poige/

Ответить | Правка | Наверх | Cообщить модератору

46. ">Тезис понятен, но не аргументирован. Возможно, на специализ..." +/–

Сообщение от illi (?), 04-Июн-04, 10:49

>Путаете.
>
>1) Без раутера не будет передачи трафика в принципе, а вот учет
>
>трафика без firewall -- запросто.
>
Я не говорил, что для подсчёта трафика специально надо ставить firewall или раутер. Мы спорим о разных вещах. Для продажи ethernet traffic пользовалелям, где трафик = деньги, правильно использовать специализированные системы. А если у меня небольшой оффис, и в ДМЗ стоит почта и web, и трафик к ним в любом случае проходит сквозь файрвол, почему бы его там не посчитать ? Для отчёта руководству, как распределен по сервисам и по сотрудникам, больше ничего не надо.
>2) "SNMP-съем" с интерфейса это неправильно, да. Только не по той же
>причине, что и с правил firewall, хотя есть и общее: вы
>не сможете ответить пользователю на вопрос "а с какого IP и
>во сколько мне прилетело столько трафика", в общем случае. Можно, конечно,
>возразить, что дескать, таких вопросов не будет, считаю для себя и
>все, но от главного уйти не получится, а именно:
>
>  _учет трафика это не то, для чего следует применять firewall_
>
Думаю, для Вас это не новость, но всё же - "специализированный пакет" ipcad умеет (в том числе) считать с ULOG.
>
>Хотя, разумеется, можно. Я читал, можно и на матричном принтере
>мелодию воспроизвести, не HiFi правда. ;-)
>
У меня дисковод чижика-пыжика играл 8)
>Насчет "SNMP-съема". Есть такое RFC 1156 "Management Information Base for Network Management
>of TCP/IP-based internets":
>
>  OBJECT:
>          -------
>
>   ifOutOctets { ifEntry 16 }
>
>          Syntax:
>
>   Counter
>
>          Definition:
>
>   The total number of octets transmitted out of
>the
>
>   interface, including framing characters.
>
>ключевые слова "including framing characters".
>По теме:
>
>  https://www.opennet.ru/openforum/vsluhforumID10/528.html#4
Да, я что-то слышал пр RFC. Думаю, с 70-90% роутеров, однако, снимаются счётчики (MRTG, RRDtool, OpenView etc.), и складываются, обрабатываются - т.е. "подсчитывается трафик". Просто цели - разные.
Предлагаю закончить бесполезный спор, т.к. богу - богово, кесарю - кесарево. Я остаюсь при своём мнении, и согласен с Вашим. Они (почти) непротировечивы.

Ответить | Правка | Наверх | Cообщить модератору

41. "IPFilter под Linux - вторая попытка." +/–

Сообщение от Mr.Uef (??), 03-Июн-04, 12:19

Scoundrel,
>Ой! Какие мы умные!!!
Не надо льстить, просто я более внимательно читал HOWTO.
>Так бы и сказал, что не знаешь!
Знаю, просто соотв. ключи для снятия и обнуления статистки уже указали постом выше.
>Нельзя в линуксе создать правило с номером XYZ, которое после любых
>изменений в остально наборе правил не изменит своего номера... :-(
Нельзя, но если так уж нужны номера это легко исправить:
1. Создаешь новую цепочку с нужным идентификатором, если тебе удобнее - пусть с номером.
Ех: iptables -N 1
2. Добавляешь туда нужное правило (или группу правил)
Ex: iptables -A 1 -s 1.2.3.4 -j ACCEPT
3. Указываешь каким пакетам в эту цепочку ходить:
Ex: iptables -A INPUT -j 1
    iptables -A OUTPUT -j 1
     ...
Все. Получаешь полную аналогию с нумерацией правил во Фре, если она, конечно, тебе нужна ибо для снятия и.т.п статистки можно придумать и гораздо более простые и изящные способы.
ЗЫ. Прежде чем наезжать на нелюбимую систему, все же ознакомься подробнее с ее достоинствами и недостатками.

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

48. "IPFilter под Linux - вторая попытка." +/–

Сообщение от Scoundrel (?), 05-Июн-04, 00:20

>Scoundrel,
>>Ой! Какие мы умные!!!
>Не надо льстить, просто я более внимательно читал HOWTO.
Извиняюсь... я тоже читал его, но вот до того, чтобы создавать кучу цепочек, как-то не додумался... :-(
>>Нельзя в линуксе создать правило с номером XYZ, которое после любых
>>изменений в остально наборе правил не изменит своего номера... :-(
>Нельзя, но если так уж нужны номера это легко исправить:
<...skipped...>
>Все. Получаешь полную аналогию с нумерацией правил во Фре, если она,
>конечно,
>тебе нужна ибо для снятия и.т.п статистки можно придумать и гораздо
>более простые и изящные способы.
Спасибо за совет! Попробую воспользоваться!

Ответить | Правка | Наверх | Cообщить модератору

49. "IPFilter под Linux - вторая попытка." +/–

Сообщение от mod (?), 08-Июн-04, 11:20

>>>Как мне в линуксе организовать создание/удаление/съем статистики с
>>>правил фаервола?
>>Читать iptables howto
>
>Ой! Какие мы умные!!!
>
>Так бы и сказал, что не знаешь!
>Нельзя в линуксе создать правило с номером XYZ, которое после любых изменений
>в остально наборе правил не изменит своего номера... :-(
>
>А вот с хешем правила - это хорошая идея... надо над ней
>подумать...
а в ман хоть раз заглянуть ?
man iptables |grep rulenum
-D, --delete chain rulenum
-I, --insert chain [rulenum] rule-specification
...

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	18. "IPFilter под Linux - вторая попытка."	+/–
	Сообщение от Scoundrel (?), 02-Июн-04, 13:37
	Вот у меня есть вопрос: Во фре я часто использую управление правилами на основе их номеров - очень удобно и гибко (например - хранить в базе номер правила очень просто)... Как мне в линуксе организовать создание/удаление/съем статистики с правил фаервола?
	Ответить \| Правка \| К родителю #7 \| Наверх \| Cообщить модератору


	20. "IPFilter под Linux - вторая попытка."	+/–
	Сообщение от illi (?), 02-Июн-04, 14:34
	iptables -L -v -n -Z [your_billing_chain] \| your_billing.pl Да, скрипт подсчёта будет сложнее, чем для ipfw с её нумерацией правил, но совершенно никаких принципиальных проблем нет. (Наверное, правильнее использовать IPTables::IPv4, но когда я писал эту считалку, ещё под ipchains, я про эти модули не знал). Хеш по src/dst/flags. Кроме того, можешь посмотреть ULOG. Сложность подсчёта - обратная сторона гибкости настройки. Оно того стоит. А если вдруг тебе придётся вставить какие-то правила между считаемыми ? Как же твои ключи в базе ?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "IPFilter под Linux - вторая попытка."	+/–
	Сообщение от Mr.Uef (??), 02-Июн-04, 14:37
	>Как мне в линуксе организовать создание/удаление/съем статистики с >правил фаервола? Читать iptables howto
	Ответить \| Правка \| К родителю #18 \| Наверх \| Cообщить модератору


	23. "IPFilter под Linux - вторая попытка."	+/–
	Сообщение от Scoundrel (?), 02-Июн-04, 14:55
	>>Как мне в линуксе организовать создание/удаление/съем статистики с >>правил фаервола? >Читать iptables howto Ой! Какие мы умные!!! Так бы и сказал, что не знаешь! Нельзя в линуксе создать правило с номером XYZ, которое после любых изменений в остально наборе правил не изменит своего номера... :-( А вот с хешем правила - это хорошая идея... надо над ней подумать...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "IPFilter под Linux - вторая попытка."	+/–
	Сообщение от illi (?), 02-Июн-04, 15:38
	Я, правда, имел в виду перловый хеш, с ключами вида "DROP icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8" и значением pkts. Эти ключи можно напрямую класть в базу вместо номеров правил, или сопоставлять каким-то номерам, или действительно брать от них какую-то хеш-функцию. Всё равно же номера правил в базе тебе ничего не говорят - или держишь в голове, что правило 625 - это трафик к юзеру "Вася" ? PS. когда я первый раз после бейсика увидел C, я совершенно не догонял, как же можно жить без нумерации строк программы.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	26. ">>Как мне в линуксе организовать создание/удаление/съем стат..."	+/–
	Сообщение от poige (??), 02-Июн-04, 16:28
	считать трафик правилами _firewall_ (с философией типа "count") неправильно в пр-цпе, ибо firewall это ACL, а не accounting. /poige
	Ответить \| Правка \| К родителю #23 \| Наверх \| Cообщить модератору


	30. ">>Как мне в линуксе организовать создание/удаление/съем стат..."	+/–
	Сообщение от Michael (??), 02-Июн-04, 17:07
	>считать трафик правилами _firewall_ (с философией типа "count") неправильно >в пр-цпе, ибо firewall это ACL, а не accounting. почему? я пытаюсь спорить, просто не понятно, раз уж пакет прошел через правило, то что мешает счетчик прибавить?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	35. ">>Как мне в линуксе организовать создание/удаление/съем стат..."	+/–
	Сообщение от poige (??), 02-Июн-04, 19:01
	>>считать трафик правилами _firewall_ (с философией типа "count") неправильно >>в пр-цпе, ибо firewall это ACL, а не accounting. ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ == firewall это ср-во защиты, а не учета. >почему? см. выше. >я пытаюсь спорить, просто не понятно, раз уж пакет прошел через правило, >то что мешает счетчик прибавить? Обычно ничего. Вот только масштабируемость у этого метода никакая: https://www.opennet.ru/openforum/vsluhforumID1/35252.html#2 Да и вообще, "удобств" малова-то. :-) /poige
	Ответить \| Правка \| Наверх \| Cообщить модератору


	39. ">>Как мне в линуксе организовать создание/удаление/съем стат..."	+/–
	Сообщение от Michael (??), 03-Июн-04, 10:01
	>>я пытаюсь спорить, просто не понятно, раз уж пакет прошел через правило, >>то что мешает счетчик прибавить? тут у меня опечатка, на самом деле я НЕ пытаюсь спорить, просто хочу понять. >Обычно ничего. Вот только масштабируемость у этого метода никакая: > >https://www.opennet.ru/openforum/vsluhforumID1/35252.html#2 совет принял к сведению, но аргументации не вижу. >Да и вообще, "удобств" малова-то. :-) тем не менее, для многих простых случаев этого достаточно. не вижу причин для настолько категоричных "нельзя".
	Ответить \| Правка \| Наверх \| Cообщить модератору


	43. ">совет принял к сведению, но аргументации не вижу. "	+/–
	Сообщение от poige (??), 03-Июн-04, 15:07
	[...] >>Обычно ничего. Вот только масштабируемость у этого метода никакая: >> >>https://www.opennet.ru/openforum/vsluhforumID1/35252.html#2 >совет принял к сведению, но аргументации не вижу. :-) "проблема на вашей стороне" (c). Я ж не учебник пишу, вообще-то. Так, делюсь опытом. >>Да и вообще, "удобств" малова-то. :-) >тем не менее, для многих простых случаев этого достаточно. >не вижу причин для настолько категоричных "нельзя". опять "на вашей стороне". Я нигде не употребил категоричных нельзя -- перечитайте, если не верите: "Далее, несколько правил, которые я рекомендую соблюдать:" "считать трафик правилами _firewall_ (с философией типа "count") неправильно" где-то написано "нельзя"? ;-) /poige -- http://www.i.morning.ru/~poige/
	Ответить \| Правка \| Наверх \| Cообщить модератору


	31. ">>Как мне в линуксе организовать создание/удаление/съем стат..."	+/–
	Сообщение от illi (?), 02-Июн-04, 17:11
	1. Может, я неправильно понял, но - я не считаю трафик правилами. Правила задают поведение роутера(или вырожденно - хоста) при обработке пакетов определённыт типов, а побочный эффект - они считают количество пакетов/байт, через них проходящих. 2. И почему неправильно, даже в случае философии типа "count" ? Доступный, надёжный, дешёвый(по производительности) способ... А как правильно ?
	Ответить \| Правка \| К родителю #26 \| Наверх \| Cообщить модератору


	36. ">>Как мне в линуксе организовать создание/удаление/съем стат..."	+/–
	Сообщение от poige (??), 02-Июн-04, 19:06
	[...] >надёжный, дешёвый(по производительности) способ... А как правильно ? специальными пакетами, которые "заточены" именно под это. Кто-то пишет свое, кто-то юзает готовое. Я года 3 назад реализовал 1-й вариант, в качестве источника данных выбрал libcap (API pcap()). Но в пр-цпе, можно было бы и тот же divert-like подход (на FreeBSD) применить. /poige
	Ответить \| Правка \| Наверх \| Cообщить модератору


	37. ">>Как мне в линуксе организовать создание/удаление/съем стат..."	+/–
	Сообщение от illi (?), 02-Июн-04, 19:42
	>специальными пакетами, которые "заточены" именно под это. Тезис понятен, но не аргументирован. Возможно, на специализированных биллинг-системах - оправдан. Т.е. конечно ясно, что специальные пакеты, которые "заточены" именно под это - удобнее, но это не значит, что они не могут снимать показания счётчиков iptables. Может, и snmp-съём статистики с интерфейса роутера - неправильно, т.к. роутер - должен раутить, а не считать ? И каждому роутеру - по снифферу с каждой стороны, пусть считают ?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	45. ">Тезис понятен, но не аргументирован. Возможно, на специализ..."	+/–
	Сообщение от poige (??), 03-Июн-04, 16:37
	>>специальными пакетами, которые "заточены" именно под это. > >Тезис понятен, но не аргументирован. Возможно, на специализированных ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ кому нужно, тот понял, хотелось бы верить. :-) > биллинг-системах - оправдан. Т.е. >конечно ясно, что специальные пакеты, которые "заточены" именно под это - >удобнее, но это не значит, что они не могут снимать показания >счётчиков iptables. > >Может, и snmp-съём статистики с интерфейса роутера - неправильно, т.к. роутер - >должен раутить, а не считать ? И каждому роутеру - по >снифферу с каждой стороны, пусть считают ? Путаете. 1) Без раутера не будет передачи трафика в принципе, а вот учет трафика без firewall -- запросто. 2) "SNMP-съем" с интерфейса это неправильно, да. Только не по той же причине, что и с правил firewall, хотя есть и общее: вы не сможете ответить пользователю на вопрос "а с какого IP и во сколько мне прилетело столько трафика", в общем случае. Можно, конечно, возразить, что дескать, таких вопросов не будет, считаю для себя и все, но от главного уйти не получится, а именно: _учет трафика это не то, для чего следует применять firewall_ Хотя, разумеется, можно. Я читал, можно и на матричном принтере мелодию воспроизвести, не HiFi правда. ;-) Насчет "SNMP-съема". Есть такое RFC 1156 "Management Information Base for Network Management of TCP/IP-based internets": OBJECT: ------- ifOutOctets { ifEntry 16 } Syntax: Counter Definition: The total number of octets transmitted out of the interface, including framing characters. ключевые слова "including framing characters". По теме: https://www.opennet.ru/openforum/vsluhforumID10/528.html#4 /poige -- http://www.i.morning.ru/~poige/
	Ответить \| Правка \| Наверх \| Cообщить модератору


	46. ">Тезис понятен, но не аргументирован. Возможно, на специализ..."	+/–
	Сообщение от illi (?), 04-Июн-04, 10:49
	>Путаете. > >1) Без раутера не будет передачи трафика в принципе, а вот учет > >трафика без firewall -- запросто. > Я не говорил, что для подсчёта трафика специально надо ставить firewall или раутер. Мы спорим о разных вещах. Для продажи ethernet traffic пользовалелям, где трафик = деньги, правильно использовать специализированные системы. А если у меня небольшой оффис, и в ДМЗ стоит почта и web, и трафик к ним в любом случае проходит сквозь файрвол, почему бы его там не посчитать ? Для отчёта руководству, как распределен по сервисам и по сотрудникам, больше ничего не надо. >2) "SNMP-съем" с интерфейса это неправильно, да. Только не по той же >причине, что и с правил firewall, хотя есть и общее: вы >не сможете ответить пользователю на вопрос "а с какого IP и >во сколько мне прилетело столько трафика", в общем случае. Можно, конечно, >возразить, что дескать, таких вопросов не будет, считаю для себя и >все, но от главного уйти не получится, а именно: > > _учет трафика это не то, для чего следует применять firewall_ > Думаю, для Вас это не новость, но всё же - "специализированный пакет" ipcad умеет (в том числе) считать с ULOG. > >Хотя, разумеется, можно. Я читал, можно и на матричном принтере >мелодию воспроизвести, не HiFi правда. ;-) > У меня дисковод чижика-пыжика играл 8) >Насчет "SNMP-съема". Есть такое RFC 1156 "Management Information Base for Network Management >of TCP/IP-based internets": > > OBJECT: > ------- > > ifOutOctets { ifEntry 16 } > > Syntax: > > Counter > > Definition: > > The total number of octets transmitted out of >the > > interface, including framing characters. > >ключевые слова "including framing characters". >По теме: > > https://www.opennet.ru/openforum/vsluhforumID10/528.html#4 Да, я что-то слышал пр RFC. Думаю, с 70-90% роутеров, однако, снимаются счётчики (MRTG, RRDtool, OpenView etc.), и складываются, обрабатываются - т.е. "подсчитывается трафик". Просто цели - разные. Предлагаю закончить бесполезный спор, т.к. богу - богово, кесарю - кесарево. Я остаюсь при своём мнении, и согласен с Вашим. Они (почти) непротировечивы.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	41. "IPFilter под Linux - вторая попытка."	+/–
	Сообщение от Mr.Uef (??), 03-Июн-04, 12:19
	Scoundrel, >Ой! Какие мы умные!!! Не надо льстить, просто я более внимательно читал HOWTO. >Так бы и сказал, что не знаешь! Знаю, просто соотв. ключи для снятия и обнуления статистки уже указали постом выше. >Нельзя в линуксе создать правило с номером XYZ, которое после любых >изменений в остально наборе правил не изменит своего номера... :-( Нельзя, но если так уж нужны номера это легко исправить: 1. Создаешь новую цепочку с нужным идентификатором, если тебе удобнее - пусть с номером. Ех: iptables -N 1 2. Добавляешь туда нужное правило (или группу правил) Ex: iptables -A 1 -s 1.2.3.4 -j ACCEPT 3. Указываешь каким пакетам в эту цепочку ходить: Ex: iptables -A INPUT -j 1 iptables -A OUTPUT -j 1 ... Все. Получаешь полную аналогию с нумерацией правил во Фре, если она, конечно, тебе нужна ибо для снятия и.т.п статистки можно придумать и гораздо более простые и изящные способы. ЗЫ. Прежде чем наезжать на нелюбимую систему, все же ознакомься подробнее с ее достоинствами и недостатками.
	Ответить \| Правка \| К родителю #23 \| Наверх \| Cообщить модератору


	48. "IPFilter под Linux - вторая попытка."	+/–
	Сообщение от Scoundrel (?), 05-Июн-04, 00:20
	>Scoundrel, >>Ой! Какие мы умные!!! >Не надо льстить, просто я более внимательно читал HOWTO. Извиняюсь... я тоже читал его, но вот до того, чтобы создавать кучу цепочек, как-то не додумался... :-( >>Нельзя в линуксе создать правило с номером XYZ, которое после любых >>изменений в остально наборе правил не изменит своего номера... :-( >Нельзя, но если так уж нужны номера это легко исправить: <...skipped...> >Все. Получаешь полную аналогию с нумерацией правил во Фре, если она, >конечно, >тебе нужна ибо для снятия и.т.п статистки можно придумать и гораздо >более простые и изящные способы. Спасибо за совет! Попробую воспользоваться!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	49. "IPFilter под Linux - вторая попытка."	+/–
	Сообщение от mod (?), 08-Июн-04, 11:20
	>>>Как мне в линуксе организовать создание/удаление/съем статистики с >>>правил фаервола? >>Читать iptables howto > >Ой! Какие мы умные!!! > >Так бы и сказал, что не знаешь! >Нельзя в линуксе создать правило с номером XYZ, которое после любых изменений >в остально наборе правил не изменит своего номера... :-( > >А вот с хешем правила - это хорошая идея... надо над ней >подумать... а в ман хоть раз заглянуть ? man iptables \|grep rulenum -D, --delete chain rulenum -I, --insert chain [rulenum] rule-specification ...
	Ответить \| Правка \| К родителю #23 \| Наверх \| Cообщить модератору