Учет трафика : Linux

Pyatak · █ 22.06.2010 16:07

А что у нас с учетом проходящего через NAT и входящего/исходящего трафика?
Сейчас озадачился вопросом и понял, что с наскоку не решить. Кто-нибудь уже сталкивался? Какой софт использовали?
Нужно что-то простое, например, если за сутки трафик превышает Х мегабайт, то на почту мне приходило письмо с расшифровкой откуда, куда, сколько за эти самые сутки.

John Doe · █ 22.06.2010 16:37

Не заморачивался, если честно, а машин, за которыми надо следить, много? ipcad, может?

baggio · █ 22.06.2010 16:43

Цитата:

Pyatak ➤ А что у нас с учетом проходящего через NAT и входящего/исходящего трафика?
Сейчас озадачился вопросом и понял, что с наскоку не решить. Кто-нибудь уже сталкивался? Какой софт использовали?
Нужно что-то простое, например, если за сутки трафик превышает Х мегабайт, то на почту мне приходило письмо с расшифровкой откуда, куда, сколько за эти самые сутки.

Нифига не понял ... кто натит? комп? железный роутер? Сиська? откуда данные сниматьто? как это работает сейчас?

Pyatak · █ 22.06.2010 16:44

В большинстве мест всего парочка, но есть одна точка с 40 машинами. Про ipcad читаю как раз сейчас.

John Doe · █ 22.06.2010 16:47

Цель какая? По рукам за серф бить? Так то лучше в squid смотреть... Статистику.

Pyatak · █ 22.06.2010 16:53

Цитата:

baggio ➤ Нифига не понял ... кто натит? комп? железный роутер? Сиська? откуда данные сниматьто? как это работает сейчас?

В качестве маршрутизатора обычный комп с парой сетевых карт и ОС Linux на базе ядра 2.6.32
Сейчас нет ни какого подсчета трафика, есть только

Код:

iptables -A POSTROUTING -t nat -o $IF_INET -j SNAT --to-source $IP_INET

и пару правил, разрешающих FORWARD'ing определенных клиентов на определенные внешние адреса и порты.

Просто нужно перейти на лимитные тарифы, но с максимально возможной скоростью для комфортного удаленного управления. Но в таком раскладе нужно мониторить трафик, чтоб в конце месяца не заплатить кругленькую сумму провайдеру.

John Doe · █ 22.06.2010 16:59

Я бы настоятельно не рекомендовал переходить на лимитные тарифы. А про приоритеты сетевых потоков почитать, тут было. Удаленка тоже иногда хорошо кушает. В общем, есть масса доводов против уплаты по лимитке и куча способов придавить качалки и пр., имея тыл в виде безлимитного плана. Если кто-то обойдет твои лимиты, оно у тебя просто затормозит. Если вытащат по лимитке - попадешь на деньги.

Pyatak · █ 22.06.2010 17:09

Цитата:

John Doe ➤ Я бы настоятельно не рекомендовал переходить на лимитные тарифы. А про приоритеты сетевых потоков почитать, тут было. Удаленка тоже иногда хорошо кушает. В общем, есть масса доводов против уплаты по лимитке и куча способов придавить качалки и пр., имея тыл в виде безлимитного плана. Если кто-то обойдет твои лимиты, оно у тебя просто затормозит. Если вытащат по лимитке - попадешь на деньги.

У нас есть статистика уже за годы работы, трафик на точку 1~3 Гб/мес. Да даже если и не перейдем, то всё равно хочу наладить систему мониторинга трафика. Был случай, выкачали 35 Гб с точки, хочется знать кто, куда и когда, а то на данный момент не прикрыт у меня этот вопрос.

John Doe · █ 22.06.2010 17:28

В том и прикол, что на лимитке получишь либо смс утром, что ты должен провайдеру 500000 руб. (был случай в практике), либо маты, что ночная инвентаризация не прошла, они что-то не докачали из-за твоего срезания.
Рекомендация - поставить squid с обычным и прозрачным проксей, ипстолами на эту прозрачную заворачивать стандартный 80, например, и 443. Т.е. обязательно выпускать народ через прокси с перечнем разрешенных портов. NAT - для админов, остальным нечего делать в сети напрямую. Разрулить приоритеты - заработает удаленка нормально. А линк на статистику squid ( или sarg) дать шефам и в публичный доступ. Дисциплинирует хорошо и рулить содержимым выкачиваемым в разы легче.

Pyatak · █ 23.06.2010 15:26

И всётаки по теме.
ipcad - это действительно то что нужно.
После того как он установлен и запущен, например, с такими настройками:

Код:

capture-ports enable;

interface eth0;

netflow export version 5;	# NetFlow export format version {1|5}
netflow timeout active 30;	# Timeout when flow is active, in minutes
netflow timeout inactive 15;	# Flow inactivity timeout, in seconds
netflow engine-type 73;		# v5 engine_type; 73='I' for "IPCAD"
netflow engine-id 1;		# Useful to differentiate multiple ipcads.

netflow ifclass eth mapto 0-99;		# i.e., "eth1"->1, "eth3"->3
netflow ifclass fxp mapto 0-99;		# i.e., "fxp4"->4, "fxp0"->0
netflow ifclass ppp mapto 100-199;	# i.e., "ppp32"->532, "ppp7"->507
netflow ifclass gre mapto 200-299;
netflow ifclass tun mapto 300-399;	# i.e., "tun0"->300

rsh enable at 127.0.0.1;

rsh root@127.0.0.1 admin;
rsh staff@127.0.0.1 backup;
rsh yourself@127.0.0.1;
rsh luser@127.0.0.1 deny;
rsh 127.0.0.1 view-only;

rsh ttl = 3;
rsh timeout = 30;

dumpfile = ipcad.dump;
chroot = /var/ipcad;
pidfile = /run/ipcad.pid;
memory_limit = 1m;

Посмотреть сумму трафика в Мб можно так:

Код:

rsh localhost show ip accounting | awk '{s+=$4} END {print((s/1024)/1024)}'

Сбросить счетчик трафика так:

Код:

rsh localhost clear ip accounting

Не забываем, что подсчет ведется в памяти и нужно настроить сохранение дампа раз в N минут на случай аварийных выключений компьютера.
Подробней читаем тут.