Начну с самого шлюза, итак: RH7.1, ядро родное с дистрибутива 2.4.2-2, eth0 - смотрит наружу, eth1 - внутрь локалки. На шлюзе стоит Qmail, Squid, настроен ipchains, политика по умолчанию DENY, открыты только нужные порты. Все это дело недавно подключено к инету. Сразу же после подключения решил сделать хоть какой-то учет трафика, поставил Ipac(хотя там и говориться, что он не держит ядра 2.4, я посмотрел что он просто добавляет цепочки в правила, я его и поставил) и плюс к этому логи ВСЕХ правил ipchains'а( это совсем на крайний случай). При первом же сравнении трафика с трафиком прова, обнаружилось дикое расхождение, понятно в какую сторону :-). Ну я не сильно расстроился посчитал трафик по логам ipchains'а, он оказался = трафику который выдал ipac, плюс еще поставил netacct. Теперь уже мои три считалки выдавали одинаковый результат +-2%, а вот трафик по логам прова был больше на 40%.
И последняя ложка дегтя, недавно выключили свет, и сервак благополучно от упса задаунился и у меня появилась возможность понаблюдать за /proc/net/dev, так там в поле receive на eth0, обнаружилась цифирь примерно в 2 раза большая, чем мой трафик посчитанный как хочешь.Помогите, может я туп непроходимо, но не знаю куда теперь и глядеть.
>Начну с самого шлюза, итак: RH7.1,
>ядро родное с дистрибутива 2.4.2-2,
>eth0 - смотрит наружу, eth1
>- внутрь локалки. На шлюзе
>стоит Qmail, Squid, настроен ipchains,
>политика по умолчанию DENY, открыты
>только нужные порты. Все это
>дело недавно подключено к
>инету. Сразу же после подключения
>решил сделать хоть какой-то учет
>трафика, поставил Ipac(хотя там и
>говориться, что он не держит
>ядра 2.4, я посмотрел что
>он просто добавляет цепочки в
>правила, я его и поставил)
>и плюс к этому логи
>ВСЕХ правил ipchains'а( это совсем
>на крайний случай). При первом
>же сравнении трафика с трафиком
>прова, обнаружилось дикое расхождение, понятно
>в какую сторону :-). Ну
>я не сильно расстроился посчитал
>трафик по логам ipchains'а, он
>оказался = трафику который выдал
>ipac, плюс еще поставил netacct.
>Теперь уже мои три считалки
>выдавали одинаковый результат +-2%, а
>вот трафик по логам прова
>был больше на 40%.
>И последняя ложка дегтя, недавно выключили
>свет, и сервак благополучно от
>упса задаунился и у меня
>появилась возможность понаблюдать за /proc/net/dev,
>так там в поле
>receive на eth0, обнаружилась цифирь
>примерно в 2 раза большая,
>чем мой трафик посчитанный как
>хочешь.
>
>Помогите, может я туп непроходимо, но
>не знаю куда теперь
>и глядеть.попробуй вот это:
http://www.noolab.ru/downloads/proxystat.tar.gz
весьма неплохая прога.
Эта штука разгребает только логи squid'а, а меня интересует весь трафик. И не просто считалки, а сам факт где я неправ, где собака порылась. Мне провайдер говорит у меня это дело сертифицировано/проверено, а я не догоняю как так.
>Эта штука разгребает только логи squid'а,
>а меня интересует весь трафик.
>И не просто считалки, а
>сам факт где я неправ,
>где собака порылась. Мне провайдер
>говорит у меня это дело
>сертифицировано/проверено, а я не догоняю
>как так.Борись с провайдером. А правильность своих данных провайдер еще и доказать должен. У меня были тоже были большие проблеммы с несовпадением траффика. Я считаю при помощи iptraf. Сейчас достиг с провайдером полного консенсуса ;)
Слушай!
а не легче ли самому ниписать снималку траффика с интерфейса?... ведь это так просто :)
>Слушай!
>а не легче ли самому ниписать
>снималку траффика с интерфейса?... ведь
>это так просто :)
И дальше? У меня появится еще одна цифирь, которую я с "радостью" буду наблюдать. Меня волнует одно: почему у меня с провом такие расхождения в цифрах. Я не гордый, ткните меня носом, где я не прав и я буду считать как все правильные админы. В данный момент интересно откуда в /proc/net/dev берется такой огромный трафик. Или может быть перевод интерфейса в promiscuous mode, есть каки-либо грабли?
Umka если у Вас есть способность "так просто" написать считалку, так может Вы мне поможете разобрать ся с этими вопросами?
>И дальше? У меня появится еще
>одна цифирь, которую я с
>"радостью" буду наблюдать. Меня волнует
>одно: почему у меня с
>провом такие расхождения в цифрах.
>Я не гордый, ткните меня
>носом, где я не прав
>и я буду считать как
>все правильные админы. В данный
>момент интересно откуда в /proc/net/dev
> берется такой огромный трафик.
Начнем с того что в /proc/net/dev лежит не IP траффик (межсетевой уровень) а трафик на сетевом уровне (я рассматриваю модель TCP/IP, глянь еще модель OSI/ISO). И соответственно в этом файле еще оказываются и кадры Ethernet и трафик протокола ARP ... Вот и получается что при равном количестве информации по протоколу IP при использовании различных типов каналов связи трафик в /proc/net/dev будет различным, но при этом он всегда будет больше IP трафика.
А если у тебя договор с провайдером на трафик по IP так и считайте по IP. Могу скинуть на Е-мыл свою утилитку обработки логов от iptraf (на php).
А провайдера бояться не надо они ОБЯЗАНЫ давать тебе как покупателю их услуг ВСЮ информацию как они тебе насчитывают трафик и как ты их можешь контролировать. А фраза "У нас все сертифицировано и проверено еще ни о чем не говорит".
Попробуй NF_Billing!!! www.nf.ru
Помоему очень прикольная штучка!!
>Попробуй NF_Billing!!! www.nf.ru
>Помоему очень прикольная штучка!!
Спасибо за советы. Но дело немного в другом: несмотря на то, что я считаю трафик двумя разными способами, остается неясным одно. По моей просьбе провайдер выдал логи, которые очень похожи на логи netacct, примерно так: -время-источник-приемник-количество байт-. Так вот гружу я это дело в обычный dbf(простите, мне так проще), свои логи в другой dbf. Сравниваем статистику за день, группируем по адресу источника и наблюдаем замечательную картину. По большинству адресов трафик бьет байт-в-байт, а вот по некоторым может отличаться раза в два, плюс к этому у прова есть адреса на которых я по своим логам вообще не был.
Вот тут и есть самая главная проблема. И как ее решить?
У меня похожая фишка была, когда вдруг в сети мирно ужились две машины с одним IP - Win2000 и Linux - на виндовую машину(хозяина IP) трафик валился просто безумный,
>У меня похожая фишка была, когда
>вдруг в сети мирно ужились
>две машины с одним IP
>- Win2000 и Linux -
>на виндовую машину(хозяина IP) трафик
>валился просто безумный,
У меня только 1 IP реальный, все работают через маскарад. Так, что второго не может быть, тем более ip по dhcp раздаються.
Провайдер меряет интерфейс - ему так удобнее конечно, связь идет по frame-relay - то есть сумма траффика растет примерно так на 20 процентов.Как вариант решения проблемы - написать прогу чтобы играла со множителем и соответственно делила дополнительные множители между трафиков вышедшим от тебя и подсчитанным у провайдера.
ка другой вариант - добиться чтобы пров считал только конкретный ip раз он у тебя лишь один реальный, но боюсь он не пойдет на это -)
сам пользуюсь ntop - меряя траффик на интерфесе каждого клиента - тоже весь траффик пришедший с его стороны. А если хотят пользователи узнать кто сколько прокачал - на осно коэффициентов решаю.
Готового решения вроде как нет. По крайней мере ни у кого. Каждый обходитцца по-своему. Как результат может мерять по киске через NetFlow? Еще пока вопрос обдумываю..