URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 87296
[ Назад ]

Исходное сообщение
"Подсчет ftp трафика с помощью iptables"
Отправлено ALex_hha , 16-Ноя-09 18:06

Собственно сабж, можно ли средствами iptables посчитать ftp трафик?
С активным режимом проблем вроде нет
# iptables -N FTP-ACTIVE
# iptables -A FORWARD -p tcp --sport 21 -j FTP-ACTIVE
# iptables -A FORWARD -p tcp --dport 21 -j FTP-ACTIVE
# iptables -A FORWARD -p tcp --sport 20 -j FTP-ACTIVE
# iptables -A FORWARD -p tcp --dport 20 -j FTP-ACTIVE
А вот как быть с пассивным? Вроде можно с помощью модуля ip_conntrack_ftp, но не пойму как.

Содержание

Подсчет ftp трафика с помощью iptables,Pahanivo_tmp, 18:56 , 16-Ноя-09
- Подсчет ftp трафика с помощью iptables,ALex_hha, 19:33 , 16-Ноя-09
  - Подсчет ftp трафика с помощью iptables,Pahanivo_tmp, 17:20 , 17-Ноя-09
    - Подсчет ftp трафика с помощью iptables,ALex_hha, 17:29 , 17-Ноя-09
      - Подсчет ftp трафика с помощью iptables,Николай, 17:46 , 17-Ноя-09
      - Подсчет ftp трафика с помощью iptables,Pahanivo_tmp, 18:26 , 17-Ноя-09
        
        Подсчет ftp трафика с помощью iptables,ALex_hha, 19:31 , 17-Ноя-09
        
        Подсчет ftp трафика с помощью iptables,Pahanivo_tmp, 19:36 , 17-Ноя-09
Подсчет ftp трафика с помощью iptables,tux2002, 13:43 , 18-Ноя-09
- Подсчет ftp трафика с помощью iptables,ALex_hha, 14:49 , 18-Ноя-09
Подсчет ftp трафика с помощью iptables,reader, 16:12 , 18-Ноя-09
- Подсчет ftp трафика с помощью iptables,ALex_hha, 16:18 , 18-Ноя-09
  - Подсчет ftp трафика с помощью iptables,reader, 16:23 , 18-Ноя-09
    - Подсчет ftp трафика с помощью iptables,ALex_hha, 16:28 , 18-Ноя-09

Сообщения в этом обсуждении

"Подсчет ftp трафика с помощью iptables"
Отправлено Pahanivo_tmp , 16-Ноя-09 18:56

>[оверквотинг удален]
>С активным режимом проблем вроде нет
>
># iptables -N FTP-ACTIVE
># iptables -A FORWARD -p tcp --sport 21 -j FTP-ACTIVE
># iptables -A FORWARD -p tcp --dport 21 -j FTP-ACTIVE
># iptables -A FORWARD -p tcp --sport 20 -j FTP-ACTIVE
># iptables -A FORWARD -p tcp --dport 20 -j FTP-ACTIVE
>
>А вот как быть с пассивным? Вроде можно с помощью модуля ip_conntrack_ftp,
>но не пойму как.
посчитай по логам

"Подсчет ftp трафика с помощью iptables"
Отправлено ALex_hha , 16-Ноя-09 19:33

>>А вот как быть с пассивным? Вроде можно с помощью модуля ip_conntrack_ftp,
>>но не пойму как.
>
>посчитай по логам
не совсем понял, по каким логам?

"Подсчет ftp трафика с помощью iptables"
Отправлено Pahanivo_tmp , 17-Ноя-09 17:20

>>>А вот как быть с пассивным? Вроде можно с помощью модуля ip_conntrack_ftp,
>>>но не пойму как.
>>
>>посчитай по логам
>
>не совсем понял, по каким логам?
любой фтп сервер ведет логи что куда закачено, скачено + объем

"Подсчет ftp трафика с помощью iptables"
Отправлено ALex_hha , 17-Ноя-09 17:29

>>>>А вот как быть с пассивным? Вроде можно с помощью модуля ip_conntrack_ftp,
>>>>но не пойму как.
>>>
>>>посчитай по логам
>>
>>не совсем понял, по каким логам?
>
>любой фтп сервер ведет логи что куда закачено, скачено + объем
И как ты предлагаешь получить доступ к логам ftp.freebsd.org например? :)
Мне надо учитывать ftp трафик, который проходит через роутер.

"Подсчет ftp трафика с помощью iptables"
Отправлено Николай , 17-Ноя-09 17:46

>[оверквотинг удален]
>>>>
>>>>посчитай по логам
>>>
>>>не совсем понял, по каким логам?
>>
>>любой фтп сервер ведет логи что куда закачено, скачено + объем
>
>И как ты предлагаешь получить доступ к логам ftp.freebsd.org например? :)
>
>Мне надо учитывать ftp трафик, который проходит через роутер.
Fine.sbadba@yandex.ru

"Подсчет ftp трафика с помощью iptables"
Отправлено Pahanivo_tmp , 17-Ноя-09 18:26

>[оверквотинг удален]
>>>>
>>>>посчитай по логам
>>>
>>>не совсем понял, по каким логам?
>>
>>любой фтп сервер ведет логи что куда закачено, скачено + объем
>
>И как ты предлагаешь получить доступ к логам ftp.freebsd.org например? :)
>
>Мне надо учитывать ftp трафик, который проходит через роутер.
для начала как ты предлагаешь догадаться в какую сторону тебе фтп трафик считать?
учимся правильно задавать вопросы и получать быстро советы
поставь на шлюз фтп прокси прозрачно и наслаждайся его логами

"Подсчет ftp трафика с помощью iptables"
Отправлено ALex_hha , 17-Ноя-09 19:31

>[оверквотинг удален]
>>>>не совсем понял, по каким логам?
>>>
>>>любой фтп сервер ведет логи что куда закачено, скачено + объем
>>
>>И как ты предлагаешь получить доступ к логам ftp.freebsd.org например? :)
>>
>>Мне надо учитывать ftp трафик, который проходит через роутер.
>
>для начала как ты предлагаешь догадаться в какую сторону тебе фтп трафик
>считать?
думал по аналогии с активным режимом будет понятно. Ведь цепочка FORWARD говорит о транзитном трафике, ну да ладно, сам виноват :)
>поставь на шлюз фтп прокси прозрачно и наслаждайся его логами
Вопрос был изначально можно ли средствами iptables.
З.Ы.
А что-нибудь кроме frox посоветуешь?

"Подсчет ftp трафика с помощью iptables"
Отправлено Pahanivo_tmp , 17-Ноя-09 19:36

>[оверквотинг удален]
>
>думал по аналогии с активным режимом будет понятно. Ведь цепочка FORWARD говорит
>о транзитном трафике, ну да ладно, сам виноват :)
>
>>поставь на шлюз фтп прокси прозрачно и наслаждайся его логами
>
>Вопрос был изначально можно ли средствами iptables.
>
>З.Ы.
>А что-нибудь кроме frox посоветуешь?
нет, сам так не делал - видел уже настроенные варианты и видел от них логи apache-подобные
вот как назывался проксик не подскажу

"Подсчет ftp трафика с помощью iptables"
Отправлено tux2002 , 18-Ноя-09 13:43

>[оверквотинг удален]
>С активным режимом проблем вроде нет
>
># iptables -N FTP-ACTIVE
># iptables -A FORWARD -p tcp --sport 21 -j FTP-ACTIVE
># iptables -A FORWARD -p tcp --dport 21 -j FTP-ACTIVE
># iptables -A FORWARD -p tcp --sport 20 -j FTP-ACTIVE
># iptables -A FORWARD -p tcp --dport 20 -j FTP-ACTIVE
>
>А вот как быть с пассивным? Вроде можно с помощью модуля ip_conntrack_ftp,
>но не пойму как.
Конкретно на вопрос я ответа не знаю, но по правилам могу сказать что Вы немножко по BSD like мыслите
не забываем modprobe
iptables -A FORWARD -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT покрывает начало соединения
iptables -A FORWARD -p tcp --sport 20 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
покрывают активный режим
iptables -A FORWARD -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT покрывает много чего в том числе и пассивный режим, если используется совместно с предыдущим правилом, то активный трафик как бы уже учтён. Может использоваться без предыдущего правила как более широкое. Понятно что RELATED может быть для многих протоколов, но с пассивным режимом оба порта клиента и сервера не угадаешь ;)

"Подсчет ftp трафика с помощью iptables"
Отправлено ALex_hha , 18-Ноя-09 14:49

Ну мне не нужно прямо таки с точностью до байта, поэтому использовал без указания state

"Подсчет ftp трафика с помощью iptables"
Отправлено reader , 18-Ноя-09 16:12

modprobe ip_conntrack_ftp
iptables -A INPUT -m helper --helper ftp -j ACCEPT
не?

"Подсчет ftp трафика с помощью iptables"
Отправлено ALex_hha , 18-Ноя-09 16:18

>modprobe ip_conntrack_ftp
>iptables -A INPUT -m helper --helper ftp -j ACCEPT
>
>не?
ты наверное имел ввиду
# iptables -A INPUT -m helper --helper ftp -j FTP-PASSIVE
?

"Подсчет ftp трафика с помощью iptables"
Отправлено reader , 18-Ноя-09 16:23

>>modprobe ip_conntrack_ftp
>>iptables -A INPUT -m helper --helper ftp -j ACCEPT
>>
>>не?
>
>ты наверное имел ввиду
>
># iptables -A INPUT -m helper --helper ftp -j FTP-PASSIVE
>
>?
наверно можно и так :)

"Подсчет ftp трафика с помощью iptables"
Отправлено ALex_hha , 18-Ноя-09 16:28

>>ты наверное имел ввиду
>>
>># iptables -A INPUT -m helper --helper ftp -j FTP-PASSIVE
>>
>>?
>
>наверно можно и так :)
сейчас проверю