Добрый день. Поставил себе flow-tools, но не могу разобраться с его фильтрами.
Написал следующие фильтры:filter-primitive set1
type ip-address-prefix
permit 192.168.0.0/24
filter-definition set1
match ip-source-address set1
filter-primitive set3
type ip-address-prefix
permit 192.168.6.0/24
filter-definition set3
match ip-source-address set3
filter-primitive set2
type ip-address-prefix
permit 192.168.1.0/24
filter-definition set2
match ip-source-address set2filter-primitive mail_server
type ip-address
permit 192.168.10.6
default deny
filter-primitive proxy_server
type ip-address
permit 192.168.10.2
default deny
filter-primitive gw_server
type ip-address
permit 192.168.10.3
default deny
filter-primitive all
type ip-address-prefix
permit 192.168.0.0/24
permit 192.168.1.0/24
permit 192.168.3.0/24
permit 192.168.5.0/24
permit 192.168.6.0/24
filter-definition all
match src-ip-addr set1
or
match src-ip-addr set2
or
match src-ip-addr set3
or
match src-ip-addr set4
match dst-ip-addr mail_server
or
match dst-ip-addr proxy_server
or
match dst-ip-addr gw_serverfilter-definition proxy_server
match ip-source-address proxy_serverтак вот, в чем проблема, когда делаю фильтрацию по притиву all, то показывает какой то странный трафик. Суммарный трафик около 20 Гб., а по фильтру показывает в районе 1 Гб. Хотя весь трафик ходит через эти сервера. Так же для прокси сервера. Прокся показывает около 2-ух Гб, а фильтр меньше 500 Мб. Может я как то не правильно написал фильтры? не подскажите, как сделать правильно?
выборку делаю так:
flow-cat /usr/local/flow/acct/2010/2010-01/tmp* | flow-nfilter -Fproxy_server -f /usr/local/etc/flow-tools/filter.cfg | flow-stat -f15
Заранее спасибо )
>[оверквотинг удален]
>filter-definition set3
> match ip-source-address set3
>
>filter-primitive set2
> type ip-address-prefix
> permit 192.168.1.0/24
>
>filter-definition set2
> match ip-source-address set2
>терзают смытные сомнения - считаешь по соурсу, но при этом соур приватный - в ту ли ты сторону считаешь? )
>[оверквотинг удален]
>>filter-primitive set2
>> type ip-address-prefix
>> permit 192.168.1.0/24
>>
>>filter-definition set2
>> match ip-source-address set2
>>
>
>терзают смытные сомнения - считаешь по соурсу, но при этом соур приватный
>- в ту ли ты сторону считаешь? )мне нужен исходящий трафик, не по дестинейшену же считать...
вопрос появился, а можно ли сказать фильтру так, что бы он показывал трафик, который идет не в определенную подсеть? Что то вроде инверсии....
>вопрос появился, а можно ли сказать фильтру так, что бы он показывал
>трафик, который идет не в определенную подсеть? Что то вроде инверсии....
>да
>>вопрос появился, а можно ли сказать фильтру так, что бы он показывал
>>трафик, который идет не в определенную подсеть? Что то вроде инверсии....
>>
>
>даа не подскажите как? а то в манах что то не заметил :)
желательно с примером...
>>>вопрос появился, а можно ли сказать фильтру так, что бы он показывал
>>>трафик, который идет не в определенную подсеть? Что то вроде инверсии....
>>>
>>
>>да
>
>а не подскажите как? а то в манах что то не заметил
>:)
>желательно с примером...так не пробовал? )
filter-primitive NAME
type ip-address-prefix
deny 192.168.0.0/24
default permit
>[оверквотинг удален]
>>а не подскажите как? а то в манах что то не заметил
>>:)
>>желательно с примером...
>
>так не пробовал? )
>
>filter-primitive NAME
> type ip-address-prefix
> deny 192.168.0.0/24
> default permitэм... пробовал.. в конфиге же есть такое :)
только я не понял, где тут реверс?
filter-primitive NAME
type ip-address-prefix
deny 192.168.0.0/24
default permitfilter-primitive NAME
type ip-address-prefix
permit 192.168.0.0/24
default denyвнимательно смотрим и ищем ДВА отличия
filter-primitive mynettraffic
type ip-address-prefix
permit 192.168.0.0/24
default denyfilter-definition mynet
match-ip-destination-address mynettraffic
или
match-ip-source-address mynettraffic
>[оверквотинг удален]
> type ip-address-prefix
> deny 192.168.0.0/24
> default permit
>
>filter-primitive NAME
> type ip-address-prefix
> permit 192.168.0.0/24
> default deny
>
>внимательно смотрим и ищем ДВА отличияблин, все не могу понять логику... ((
не поможете? мне надо что бы считался трафик из моих подсетей, который идет на 3 сервера.
Ну и суммарный трафик, со всех сетей... помоги плз...
ну не получается у тебя построить сложный фильт - построй несколько простых и понятных,
скрипты для допиливания еще никто не отменял
>ну не получается у тебя построить сложный фильт - построй несколько простых
>и понятных,
>скрипты для допиливания еще никто не отменялделаю например так, все равно показывает какой то странный трафик:
filter-primitive set
type ip-address-prefix
permit 192.168.5.0/24filter-definition set_out
match src-ip-addr set
match dst-ip-addr mail_server
or
match dst-ip-addr proxy_server
or
Match dst-ip-addr gw_server
>[оверквотинг удален]
> type ip-address-prefix
> permit 192.168.5.0/24
>
>filter-definition set_out
> match src-ip-addr set
> match dst-ip-addr mail_server
> or
> match dst-ip-addr proxy_server
> or
> Match dst-ip-addr gw_serverне стал гадать - дал man flow-nfilter и вот что увидел:
filter-definition foo
match ip-source-port port80
match start-time dec12
or
match ip-destination-port port25
match start-time dec12думаю это по твоей теме ...
>[оверквотинг удален]
>
> match start-time dec12
>
> or
> match ip-destination-port port25
>
> match start-time dec12
>
>
>думаю это по твоей теме ...нет, мне не надо на каком то порту, надо весь трафик...
>[оверквотинг удален]
>>
>> or
>> match ip-destination-port port25
>>
>> match start-time dec12
>>
>>
>>думаю это по твоей теме ...
>
>нет, мне не надо на каком то порту, надо весь трафик...знаешь дорогой, пора уже своим мозгом думать начинать ...
я тебе дал ПРИМЕР из МАНА, пример показывает порядок интерпретации ЛОГИЧЕСКИХ ВЫРАЖЕНИЙ в правилах фильтраrule1 AND (rule2 OR rule3) = (в нотации фильтра, по федолту AND) rule1 rule2 OR rul1 rule3 =! (а не так как у тебя) rule1 rule2 OR rule3