Доброго дня всем !
В общем вопрос такой, в связи с тем что периодически на машинах появляется вирусня(так получается) и начинает в инет слать кучу пакетов - провайдер рубает доступ. Грят у вас спам пошёл или что то в этом духе. Собственно вопрос такой - каким средствами можно подсчитать трафик на внешнем интерфейсе, причём интересует как входящий и исходящий трафик. Т.е. необходимо чтобы каждый день, к примеру, создавался файлик, и там было написано - входящий стока то, исходящий стока то. Конечно было б неплохо прикрутить это к вебморде, ну чтоб не на саму тачку заходить и смотреть, а просто зарулил по адресу на машину (там сейчас подняты SASM+SQUID+Rejik+NTLM), на страничку stat.html к примеру, и там просто содржимое файлика того.
Сам во фряхе не разбираюсь, ну так, чуть чуть, я виндузятник, но виндовые средства контроля трафа мне перестали нравиться. Решил попробовать. Собрал по мануалу с лиссяры.су всё это дело - заработало. но вот такой момент как подсчёт ежедневного вх. и исх. трафика по интерфейсу хотелось бы иметь.
Конечно, если есть такое, чтоб и по айпишникам внутренним считал - было б вообще здорово, ну определять с какого внутреннего ипа идёт спам в инет.
Кто что знает, помогите чем можите, сами мы не местные :) Мош ссылочками де копать, мош словом, мош делом ! в общем кто чем сможет. Заранее благодарен.
NETAMS тебе в помощь или LanBilling
А не проще 25 порт исходящий зафильтровать?
Биллинг конечно бы пригодился но также есть такой способ.Можно поднять мртг по всем интерфейсам и клиентам и по графикам смотреть активность как увидеш что от когото прет трафик так и будеш его фиксить.Также непомешало бы поставить через фаер лимиты на 25 порт,полностью блакировать я бы несоветовал но ограничение по количеству пакетов в секунду я бы поставил.У меня работает подобная система на Linux в связке pmacctd+mrtg+самописные мелкие скрипты+iptables.C pmacctd+mrtg магу помочь и вылажить сюда данную связку,все должно работать и на фре а вот с фаиром советую почитать мануалы.Самый простой способ снимать сколько прошло трафика через интерфейс это использовать маленькую прогу vnstat.
>Биллинг конечно бы пригодился но также есть такой способ.Можно поднять мртг по
>всем интерфейсам и клиентам и по графикам смотреть активность как увидеш
>что от когото прет трафик так и будеш его фиксить.Также непомешало
>бы поставить через фаер лимиты на 25 порт,полностью блакировать я бы
>несоветовал но ограничение по количеству пакетов в секунду я бы поставил.У
>меня работает подобная система на Linux в связке pmacctd+mrtg+самописные мелкие скрипты+iptables.C
>pmacctd+mrtg магу помочь и вылажить сюда данную связку,все должно работать и
>на фре а вот с фаиром советую почитать мануалы.Самый простой способ
>снимать сколько прошло трафика через интерфейс это использовать маленькую прогу vnstat.
>мужики, а попроще ничего нету ? требуется просто посчитать исходящий траф на внешнем интерфейсе и всё. и складировать результат каждый день в файлике. это задача минимум. как хотелось бы видеть - считать исходящий траф(точность путь хоть до 10 метров плюс-минус - неважно) и складировать общий результат в файлик, только чтобы там ещё были ИП локальных машин, ну ип машины и рядом скока исходящего трафа.
неужели нет простого решения какого нибудь ?
>[оверквотинг удален]
>>снимать сколько прошло трафика через интерфейс это использовать маленькую прогу vnstat.
>>
>
>мужики, а попроще ничего нету ? требуется просто посчитать исходящий траф на
>внешнем интерфейсе и всё. и складировать результат каждый день в файлике.
>это задача минимум. как хотелось бы видеть - считать исходящий траф(точность
>путь хоть до 10 метров плюс-минус - неважно) и складировать общий
>результат в файлик, только чтобы там ещё были ИП локальных машин,
>ну ип машины и рядом скока исходящего трафа.
>неужели нет простого решения какого нибудь ?ipa - смотри порты )
>В общем вопрос такой, в связи с тем что периодически на машинах
>появляется вирусня(так получается) и начинает в инет слать кучу пакетов -Я сделал так: на ipfw поднял правила, разрешающие ходить только с определенных IP
# Managers
ipfw add 210 allow ip from 192.168.50.21 to any
ipfw add 210 allow ip from any to 192.168.50.21
ipfw add 220 allow ip from 192.168.50.22 to any
ipfw add 220 allow ip from any to 192.168.50.22
ipfw add 230 allow ip from 192.168.50.23 to any
ipfw add 230 allow ip from any to 192.168.50.23
ipfw add 240 allow ip from 192.168.50.24 to any
ipfw add 240 allow ip from any to 192.168.50.24Это позволяет запретить ходить наружу левым IP. В конце
# Deny not registered IP's
ipfw add 64000 deny ip from any to 192.168.50.0/16
ipfw add 64000 deny ip from 192.168.50.0/16 to anyОднако перед этими правилами
# Deny 25 port from viruses
ipfw add 15 allow tcp from any to mail-server-ip 25
ipfw add 16 allow tcp from 192.168.50.45 to any 25
ipfw add 18 allow tcp from 192.168.50.46 to any 25
ipfw add 19 deny tcp from any to any 25То есть разрешаем обращение к почтарю, паре юзеров в инет, остальным запрещаем 25-ый порт, по которому чаще всего спамит вирусня.
Далее, раз в день в /etc/crontab
# Stat daily script
51 23 * * * root /home/admin/stat/statзапускается скрипт
#!/usr/local/bin/bash
F=/home/admin/stat/stat-$(date +%d%m%Y) #OF - Output File
#ipfw show > $OF
ipfw show > $F
ipfw zeroОн скидывает статистику за день в файл. Потом его можно закинуть на веб. Однако я сделал выгрузку на сайт каждые 15 мин:
в кроне
# Online ipfw stat
*/15 * * * * root /usr/home/admin/stat/ipfw2webcd /usr/local/www/apache22/data/stat/
ipfw show > index.txt
cp index.txt index.htmlтак что можно смотреть всё в реальном времени, кто сколько чего отправил ...