подсчет трафика...

[Mif]

в недавном времени возникла проблема с подсчетом трафика:))) решили для начал использовать iptables

но сразу же возникла другая проблема что необходимо разделить трафик сетевой и интернет..

я тут кое-что изобразил но не знаю верно ли :

 

 

iptables -N local

iptables -N inet_in

iptables -N inet_out

iptables -A FORWARD -s 172.18.0.0/16 -d 172.18.0.0/16 -j local

iptables -A FORWARD -s 172.18.0.0/16 -d 172.19.0.0/16 -j local

iptables -A FORWARD -s 172.18.0.0/16 -d 192.168.0.0/24 -j local

iptables -A FORWARD -s 172.19.0.0/16 -d 172.18.0.0/16 -j local

iptables -A FORWARD -s 172.19.0.0/16 -d 172.19.0.0/16 -j local

iptables -A FORWARD -s 172.19.0.0/16 -d 192.168.0.0/24 -j local

iptables -A FORWARD -s 192.168.0.0/24 -d 172.19.1.0/16 -j local

iptables -A FORWARD -s 192.168.0.0/24 -d 172.18.1.0/16 -j local

iptables -A FORWARD -s 192.168.0.0/24 -d 192.168.0.0/24 -j local

iptables -A FORWARD -s 172.18.0.0/16 -d ! 172.18.0.0/16 -j inet_out

iptables -A FORWARD -s 172.18.0.0/16 -d ! 172.19.0.0/16 -j inet_out

iptables -A FORWARD -s 172.19.0.0/16 -d ! 172.18.0.0/16 -j inet_out

iptables -A FORWARD -s 172.19.0.0/16 -d ! 172.19.0.0/16 -j inet_out

iptables -A FORWARD -s ! 172.18.0.0/16 -d 172.18.0.0/16 -j inet_in

iptables -A FORWARD -s ! 172.18.0.0/16 -d 172.19.0.0/16 -j inet_in

iptables -A FORWARD -s ! 172.19.0.0/16 -d 172.18.0.0/16 -j inet_in

iptables -A FORWARD -s ! 172.19.0.0/16 -d 172.19.0.0/16 -j inet_in

 

iptables -A inet_in -d 172.19.1.2 -j ACCEPT

iptables -A inet_in -d 172.19.1.3 -j ACCEPT

iptables -A inet_in -d 172.19.1.4 -j ACCEPT

 

iptables -A inet_out -s 172.19.1.2 -j ACCEPT

iptables -A inet_out -s 172.19.1.3 -j ACCEPT

iptables -A inet_out -s 172.19.1.4 -j ACCEPT

 

iptables -A local -d 172.19.1.2 -j ACCEPT

iptables -A local -d 172.19.1.3 -j ACCEPT

iptables -A local -d 172.19.1.4 -j ACCEPT

 

iptables -A local -s 172.19.1.2 -j ACCEPT

iptables -A local -s 172.19.1.3 -j ACCEPT

iptables -A local -s 172.19.1.4 -j ACCEPT

 

трафик на 192.168 учитывать не нада:)

правильно ли я всё сделал??? я в линухе полный нуль:)) так что не бейте сильно и укажите на ошибки если есть...

за рание спасибо.

[f13]

http://ipstat.motorzavod.com/

[Mif]

f13,

спасибо большое за ссылочку :))) оч интересно:)

но дело немножко не в этом:))))))))

дело в том что мне нужно разделить трафи... подсчитать то я всегда сумею:))))

[UncoNNecteD]

Mif, я так понимаю ты в лог пишеш эти цепочки (inet_in.....) у меня вот вопрос - как сделать чтоб все писалось в отдельный лог, не в кернеловый?

[Kornet]

Mif, сделай проще. Предоложим у тебя несколько сетевых плат, одна на интернет, остальные на локальные сети, вот ты и оперируй названиями интерфейсов, получится что то типа:

iptables -A FORWARD -i eth0 -o eth1 -j inet_in

iptables -A FORWARD -i eth1 -o eth0 -j inet_out

 

далее,

iptables -A FORWARD -s 192.168.0.0/24 -d 192.168.0.0/24 -j local - бесмыслена, эти пакеты не попадут сюда, это не форвардинг.

[Kornet]

Mif, я так понимаю ты в лог пишеш эти цепочки (inet_in.....) у меня вот вопрос - как сделать чтоб все писалось в отдельный лог, не в кернеловый?

iptables -A FORWARD -j LOG --log-level info

для того что бы лог ввести в другом файле, то можно подправить syslog. Добавь или измени строку kern.=info /var/log/iptables в файле /etc/syslog.conf. Однако в этот файл попадут и другие сообщения от программ использующих уровень журналирования info. Для разделения можно использовать префикс:

iptables -A FORWARD -p tcp LOG --log-prefix "IPTABLES", к примеру.

[Igor Trofimov]

Что касается разделения логов - мне очкень понравился заменитель стандартного syslogd под названием "syslog-ng". Ищется по названию на freshmeat.net

 

Умеет разделать логи по обычным критериям, по имени процесса, по регекспу из самого текста сообщения... Ну и много других вкусностей имеется, настраивается поочевиднее...