The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Подсчет ftp трафика с помощью iptables"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"Подсчет ftp трафика с помощью iptables"  +/
Сообщение от ALex_hha (ok) on 16-Ноя-09, 18:06 
Собственно сабж, можно ли средствами iptables посчитать ftp трафик?

С активным режимом проблем вроде нет

# iptables -N FTP-ACTIVE
# iptables -A FORWARD -p tcp --sport 21 -j FTP-ACTIVE
# iptables -A FORWARD -p tcp --dport 21 -j FTP-ACTIVE
# iptables -A FORWARD -p tcp --sport 20 -j FTP-ACTIVE
# iptables -A FORWARD -p tcp --dport 20 -j FTP-ACTIVE

А вот как быть с пассивным? Вроде можно с помощью модуля ip_conntrack_ftp, но не пойму как.

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Подсчет ftp трафика с помощью iptables"  +/
Сообщение от Pahanivo_tmp email on 16-Ноя-09, 18:56 
>[оверквотинг удален]
>С активным режимом проблем вроде нет
>
># iptables -N FTP-ACTIVE
># iptables -A FORWARD -p tcp --sport 21 -j FTP-ACTIVE
># iptables -A FORWARD -p tcp --dport 21 -j FTP-ACTIVE
># iptables -A FORWARD -p tcp --sport 20 -j FTP-ACTIVE
># iptables -A FORWARD -p tcp --dport 20 -j FTP-ACTIVE
>
>А вот как быть с пассивным? Вроде можно с помощью модуля ip_conntrack_ftp,
>но не пойму как.

посчитай по логам

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Подсчет ftp трафика с помощью iptables"  +/
Сообщение от ALex_hha (ok) on 16-Ноя-09, 19:33 
>>А вот как быть с пассивным? Вроде можно с помощью модуля ip_conntrack_ftp,
>>но не пойму как.
>
>посчитай по логам

не совсем понял, по каким логам?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Подсчет ftp трафика с помощью iptables"  +/
Сообщение от Pahanivo_tmp email on 17-Ноя-09, 17:20 
>>>А вот как быть с пассивным? Вроде можно с помощью модуля ip_conntrack_ftp,
>>>но не пойму как.
>>
>>посчитай по логам
>
>не совсем понял, по каким логам?

любой фтп сервер ведет логи что куда закачено, скачено + объем

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Подсчет ftp трафика с помощью iptables"  +/
Сообщение от ALex_hha (ok) on 17-Ноя-09, 17:29 
>>>>А вот как быть с пассивным? Вроде можно с помощью модуля ip_conntrack_ftp,
>>>>но не пойму как.
>>>
>>>посчитай по логам
>>
>>не совсем понял, по каким логам?
>
>любой фтп сервер ведет логи что куда закачено, скачено + объем

И как ты предлагаешь получить доступ к логам ftp.freebsd.org например? :)

Мне надо учитывать ftp трафик, который проходит через роутер.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Подсчет ftp трафика с помощью iptables"  +/
Сообщение от Николай email(??) on 17-Ноя-09, 17:46 
>[оверквотинг удален]
>>>>
>>>>посчитай по логам
>>>
>>>не совсем понял, по каким логам?
>>
>>любой фтп сервер ведет логи что куда закачено, скачено + объем
>
>И как ты предлагаешь получить доступ к логам ftp.freebsd.org например? :)
>
>Мне надо учитывать ftp трафик, который проходит через роутер.

Fine.sbadba@yandex.ru

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Подсчет ftp трафика с помощью iptables"  +/
Сообщение от Pahanivo_tmp email on 17-Ноя-09, 18:26 
>[оверквотинг удален]
>>>>
>>>>посчитай по логам
>>>
>>>не совсем понял, по каким логам?
>>
>>любой фтп сервер ведет логи что куда закачено, скачено + объем
>
>И как ты предлагаешь получить доступ к логам ftp.freebsd.org например? :)
>
>Мне надо учитывать ftp трафик, который проходит через роутер.

для начала как ты предлагаешь догадаться в какую сторону тебе фтп трафик считать?
учимся правильно задавать вопросы и получать быстро советы

поставь на шлюз фтп прокси прозрачно и наслаждайся его логами

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Подсчет ftp трафика с помощью iptables"  +/
Сообщение от ALex_hha (ok) on 17-Ноя-09, 19:31 
>[оверквотинг удален]
>>>>не совсем понял, по каким логам?
>>>
>>>любой фтп сервер ведет логи что куда закачено, скачено + объем
>>
>>И как ты предлагаешь получить доступ к логам ftp.freebsd.org например? :)
>>
>>Мне надо учитывать ftp трафик, который проходит через роутер.
>
>для начала как ты предлагаешь догадаться в какую сторону тебе фтп трафик
>считать?

думал по аналогии с активным режимом будет понятно. Ведь цепочка FORWARD говорит о транзитном трафике, ну да ладно, сам виноват :)

>поставь на шлюз фтп прокси прозрачно и наслаждайся его логами

Вопрос был изначально можно ли средствами iptables.

З.Ы.
А что-нибудь кроме frox посоветуешь?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Подсчет ftp трафика с помощью iptables"  +/
Сообщение от Pahanivo_tmp email on 17-Ноя-09, 19:36 
>[оверквотинг удален]
>
>думал по аналогии с активным режимом будет понятно. Ведь цепочка FORWARD говорит
>о транзитном трафике, ну да ладно, сам виноват :)
>
>>поставь на шлюз фтп прокси прозрачно и наслаждайся его логами
>
>Вопрос был изначально можно ли средствами iptables.
>
>З.Ы.
>А что-нибудь кроме frox посоветуешь?

нет, сам так не делал - видел уже настроенные варианты и видел от них логи apache-подобные
вот как назывался проксик не подскажу

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Подсчет ftp трафика с помощью iptables"  +/
Сообщение от tux2002 email(ok) on 18-Ноя-09, 13:43 
>[оверквотинг удален]
>С активным режимом проблем вроде нет
>
># iptables -N FTP-ACTIVE
># iptables -A FORWARD -p tcp --sport 21 -j FTP-ACTIVE
># iptables -A FORWARD -p tcp --dport 21 -j FTP-ACTIVE
># iptables -A FORWARD -p tcp --sport 20 -j FTP-ACTIVE
># iptables -A FORWARD -p tcp --dport 20 -j FTP-ACTIVE
>
>А вот как быть с пассивным? Вроде можно с помощью модуля ip_conntrack_ftp,
>но не пойму как.

Конкретно на вопрос я ответа не знаю, но по правилам могу сказать что Вы немножко по BSD like мыслите
не забываем modprobe
iptables -A FORWARD -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT покрывает начало соединения
iptables -A FORWARD -p tcp --sport 20 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT

покрывают активный режим
iptables -A FORWARD -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT покрывает много чего в том числе и пассивный режим, если используется совместно с предыдущим правилом, то активный трафик как бы уже учтён. Может использоваться без предыдущего правила как более широкое. Понятно что RELATED может быть для многих протоколов, но с пассивным режимом оба порта клиента и сервера не угадаешь ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Подсчет ftp трафика с помощью iptables"  +/
Сообщение от ALex_hha (ok) on 18-Ноя-09, 14:49 
Ну мне не нужно прямо таки с точностью до байта, поэтому использовал без указания state
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Подсчет ftp трафика с помощью iptables"  +/
Сообщение от reader (ok) on 18-Ноя-09, 16:12 
modprobe ip_conntrack_ftp
iptables -A INPUT -m helper --helper ftp -j ACCEPT

не?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Подсчет ftp трафика с помощью iptables"  +/
Сообщение от ALex_hha (ok) on 18-Ноя-09, 16:18 
>modprobe ip_conntrack_ftp
>iptables -A INPUT -m helper --helper ftp -j ACCEPT
>
>не?

ты наверное имел ввиду

# iptables -A INPUT -m helper --helper ftp -j FTP-PASSIVE

?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Подсчет ftp трафика с помощью iptables"  +/
Сообщение от reader (ok) on 18-Ноя-09, 16:23 
>>modprobe ip_conntrack_ftp
>>iptables -A INPUT -m helper --helper ftp -j ACCEPT
>>
>>не?
>
>ты наверное имел ввиду
>
># iptables -A INPUT -m helper --helper ftp -j FTP-PASSIVE
>
>?

наверно можно и так :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Подсчет ftp трафика с помощью iptables"  +/
Сообщение от ALex_hha (ok) on 18-Ноя-09, 16:28 
>>ты наверное имел ввиду
>>
>># iptables -A INPUT -m helper --helper ftp -j FTP-PASSIVE
>>
>>?
>
>наверно можно и так :)

сейчас проверю

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру