Столкнулся с непонятной (для меня)ситуацией.
Имеем роутер , на нем крутится сквид (не прозрачный). Хочу посчитать ULOG'ом траффик от него к юзерам .
в iptables пишу:iptables -A OUTPUT -p TCP --sport 3128 -j ULOG
iptables -A OUTPUT -p ALL -s 192.168.1.1 (внутрений адрес роутера) -j ACCEPTполитика на OUTPUT - DROP
при таком раскладе, как я понимаю, пакеты исходящие с порта 3128 к клиентам должны учитываться, а затем спокойно отправляться в путь с внутреннего айпишника роутера.
ПРОБЛЕМА:очему-то в лог (ulogd работает нормально и кидает все в мускул) пишется только статистика для первого подключившегося к сквиду юзера. все остальные исходящие пакеты ULOG записывает на его счет, т.е. ip_daddr первого пользователя.
Где я намудрил?..
Спасибо
>iptables -A OUTPUT -p TCP --sport 3128 -j ULOG
>
>очему-то в лог (ulogd работает нормально и кидает все в мускул) пишется
>только статистика для первого подключившегося к сквиду юзера. все остальные исходящие
>пакеты ULOG записывает на его счет, т.е. ip_daddr первого пользователя.
>
>Где я намудрил?..На этот вопрос ответить невозможно, не зная как ты сконфигурил ULOG, т.е. какие поля ты используешь при записи в базу.
С таким правилом, как у тебя, в базу должны записываться ВСЕ TCP пакеты, имеющие sport 3128. Если в таблице базы есть daddr и saddr, то ты сможешь сделать выборку по ним, если нет - то задача нерешаема с таким правилом.Кстати, сам я отказался от использования ULOG, т.к. объём базыу меня получался более 700 метров в сутки при сравнительно небольшом траффике, поэтому реально было сохранять статистику за 3-4 дня. Поработав месячишко и сравнив статистику от провайдера, статистику, получаемую ддругими средствами iptables со статистикой от ULOG, пришел к выводу, что ULOG избыточен. Ведь он пишет в базу информацию О КАЖДОМ отдельном пакете, соответствующем цели ULOG. Или я поспешил, и есть другие варианты?
>>iptables -A OUTPUT -p TCP --sport 3128 -j ULOG
>>
>>очему-то в лог (ulogd работает нормально и кидает все в мускул) пишется
>>только статистика для первого подключившегося к сквиду юзера. все остальные исходящие
>>пакеты ULOG записывает на его счет, т.е. ip_daddr первого пользователя.
>>
>>Где я намудрил?..
>
>На этот вопрос ответить невозможно, не зная как ты сконфигурил ULOG, т.е.
>какие поля ты используешь при записи в базу.
>С таким правилом, как у тебя, в базу должны записываться ВСЕ TCP
>пакеты, имеющие sport 3128. Если в таблице базы есть daddr и
>saddr, то ты сможешь сделать выборку по ним, если нет -
>то задача нерешаема с таким правилом.
>
Ulog сконфигурирован по умолчанию. В базу пишется все, что можно. Дело в том, что пишется только относительно одного айпишника. Все остальные - по боку. ничего пока не понимаю....
>Кстати, сам я отказался от использования ULOG, т.к. объём базыу меня получался
>более 700 метров в сутки при сравнительно небольшом траффике, поэтому реально
>было сохранять статистику за 3-4 дня. Поработав месячишко и сравнив статистику
>от провайдера, статистику, получаемую ддругими средствами iptables со статистикой от ULOG,
>пришел к выводу, что ULOG избыточен. Ведь он пишет в базу
>информацию О КАЖДОМ отдельном пакете, соответствующем цели ULOG. Или я поспешил,
>и есть другие варианты?
А какие варианты используешь ты ? поделись ?