forum.opennet.ru - "ipfw и задвоения трафика ?" (2)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"ipfw и задвоения трафика ?"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"ipfw и задвоения трафика ?"
Сообщение от as992 on 10-Апр-08, 14:39
Ситуация такая. ipcad считает трафик на FreeBSD+NAT и передает статистику в flow-capture коллектор. В конце месяца просмотрев данные заметили, что они очень большие у всех клиентов. При просмотре детального трафика задвоений не увидели. Тогда посмотрели счетчики ipfw (обнуляются каждое 1-е число месяца). Данные ipfw с данными flow-tools совпадают. Но вот есть ощущение, что данные всетаки неверные (завышенные) Интересует, насколько можно доверять данным, полученным со счетчиков ipfw и в каких случаях бывает задвоение трафика? ipfw -a list: 00050 30143491 14765356152 divert 8668 ip4 from any to any via de0 00100 4317398 649975476 allow ip from any to any via lo0 00200 0 0 deny ip from any to 127.0.0.0/8 00910 31042262 24778473587 allow udp from any to any dst-port 80 00911 507427 107206359 allow udp from any 80 to any .... другие порты 03022 391634 33346580 allow tcp from 10.200.111.2 to any 03023 1196026 1542012860 allow tcp from any to 10.200.111.2 03026 428666 161202540 allow tcp from 10.200.115.2 to any 03027 1038068 638460166 allow tcp from any to 10.200.115.2 ... 65000 56676 6722684 deny ip from any to any
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

ipfw и задвоения трафика ?, adews, 23:14 , 10-Апр-08, (1)

ipfw и задвоения трафика ?, Pahanivo, 08:03 , 11-Апр-08, (2)

Сообщения по теме [Сортировка по времени | RSS]

1. "ipfw и задвоения трафика ?"

Сообщение от adews (ok) on 10-Апр-08, 23:14

навскидку:
50 divert считает исходящий+входящий на внешнем интерфейсе
910 allow udp from any to any dst-port 80 считает как минимум дважды
3022 allow tcp from 10.200.111.2 to any считает не только исходящий интернет, но и локальный исходящий трафик, например в сторону 10.200.115.2
3023 allow tcp from any to 10.200.111.2 аналогично предыдущему
кроме того, правила 3022-3023 и 3026-3027 отрабатывают дважды,- после диверта на внешнем интерфейсе и потом ещё раз на внутреннем.
Резюме: если хотите доверять счётчикам ipfw,- чётко указывайте интерфейс в правиле, чтобы трафик не считался дважды
Где-то мог ошибиться, поправьте, если так.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "ipfw и задвоения трафика ?"

Сообщение от Pahanivo (??) on 11-Апр-08, 08:03

>навскидку:
>50 divert считает исходящий+входящий на внешнем интерфейсе
согласен
>910 allow udp from any to any dst-port 80 считает как минимум дважды
считает вообще непонятно что - все что идет на 80 порт в любом направлении
>3022 allow tcp from 10.200.111.2 to any считает не только исходящий интернет,
>но и локальный исходящий трафик, например в сторону 10.200.115.2
верно, если хочешь считать чисто с локального адреса на внешку то
1) либо в начале блока правил зарезать хождение с локалных адресов на локальные
типа deny from 10.0.0.0/16 to 10.0.0.0/16
2) либо в самом правиле укажи вместо any что то типа not ...
3022 allow tcp from 10.200.111.2 to not 10.0.0.0/16
>3023 allow tcp from any to 10.200.111.2 аналогично предыдущему
согласен
>кроме того, правила 3022-3023 и 3026-3027 отрабатывают дважды,- после диверта на внешнем
>интерфейсе и потом ещё раз на внутреннем.
>
>Резюме: если хотите доверять счётчикам ipfw,- чётко указывайте интерфейс в правиле, чтобы трафик не считался дважды
соглясен
1)ОЧЕНЬ рекомендую всегда как можно четче формулировать правила, во-первых гораздо легче будет восприниматся другими людми то что ты хотел сказать конкретным правилом, во-вторых самому понятней. Те как минимум один их from/to не должен быть any, обязаьелно указываем интерфейс и по возможности направление. ([in/out] via)
2) для подсчета лучше всегда пользоватся отдельными count правилами вставляя их перед всеми аналогичными allow/deny
3) Для подсчета советую юзать ipa (см порты). Прога коректно обрабатывает переполнение счетчиков и вообще весьма удобна.
Из общих соображений: структура правил фаервола count правилами
0 skipto 6 any to any via oif
1 allow from not 10.0.0.0/16 to 10.0.0.0/16 out via iif
2 count from 10.0.0.1 to not 10.0.0.0/16 in via iif
3 count from 10.0.0.1 to not 10.0.0.0/16 in via iif
4 count from 10.0.0.1 to not 10.0.0.0/16 in via iif
5 allow from 10.0.0.0/16 to not 10.0.0.0/16 in via iif
6 divert via oif
7 allow from oip to any out via oif
8 count from not 10.0.0.0/16 to 10.0.0.1 in via oif
9 count from not 10.0.0.0/16 to 10.0.0.1 in via oif
10 count from not 10.0.0.0/16 to 10.0.0.1 in via oif
11 allow from not 10.0.0.0/16 to 10.0.0.0/16 in via oif

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ipfw и задвоения трафика ?"
Сообщение от adews (ok) on 10-Апр-08, 23:14
навскидку: 50 divert считает исходящий+входящий на внешнем интерфейсе 910 allow udp from any to any dst-port 80 считает как минимум дважды 3022 allow tcp from 10.200.111.2 to any считает не только исходящий интернет, но и локальный исходящий трафик, например в сторону 10.200.115.2 3023 allow tcp from any to 10.200.111.2 аналогично предыдущему кроме того, правила 3022-3023 и 3026-3027 отрабатывают дважды,- после диверта на внешнем интерфейсе и потом ещё раз на внутреннем. Резюме: если хотите доверять счётчикам ipfw,- чётко указывайте интерфейс в правиле, чтобы трафик не считался дважды Где-то мог ошибиться, поправьте, если так.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "ipfw и задвоения трафика ?"
	Сообщение от Pahanivo (??) on 11-Апр-08, 08:03
	>навскидку: >50 divert считает исходящий+входящий на внешнем интерфейсе согласен >910 allow udp from any to any dst-port 80 считает как минимум дважды считает вообще непонятно что - все что идет на 80 порт в любом направлении >3022 allow tcp from 10.200.111.2 to any считает не только исходящий интернет, >но и локальный исходящий трафик, например в сторону 10.200.115.2 верно, если хочешь считать чисто с локального адреса на внешку то 1) либо в начале блока правил зарезать хождение с локалных адресов на локальные типа deny from 10.0.0.0/16 to 10.0.0.0/16 2) либо в самом правиле укажи вместо any что то типа not ... 3022 allow tcp from 10.200.111.2 to not 10.0.0.0/16 >3023 allow tcp from any to 10.200.111.2 аналогично предыдущему согласен >кроме того, правила 3022-3023 и 3026-3027 отрабатывают дважды,- после диверта на внешнем >интерфейсе и потом ещё раз на внутреннем. > >Резюме: если хотите доверять счётчикам ipfw,- чётко указывайте интерфейс в правиле, чтобы трафик не считался дважды соглясен 1)ОЧЕНЬ рекомендую всегда как можно четче формулировать правила, во-первых гораздо легче будет восприниматся другими людми то что ты хотел сказать конкретным правилом, во-вторых самому понятней. Те как минимум один их from/to не должен быть any, обязаьелно указываем интерфейс и по возможности направление. ([in/out] via) 2) для подсчета лучше всегда пользоватся отдельными count правилами вставляя их перед всеми аналогичными allow/deny 3) Для подсчета советую юзать ipa (см порты). Прога коректно обрабатывает переполнение счетчиков и вообще весьма удобна. Из общих соображений: структура правил фаервола count правилами 0 skipto 6 any to any via oif 1 allow from not 10.0.0.0/16 to 10.0.0.0/16 out via iif 2 count from 10.0.0.1 to not 10.0.0.0/16 in via iif 3 count from 10.0.0.1 to not 10.0.0.0/16 in via iif 4 count from 10.0.0.1 to not 10.0.0.0/16 in via iif 5 allow from 10.0.0.0/16 to not 10.0.0.0/16 in via iif 6 divert via oif 7 allow from oip to any out via oif 8 count from not 10.0.0.0/16 to 10.0.0.1 in via oif 9 count from not 10.0.0.0/16 to 10.0.0.1 in via oif 10 count from not 10.0.0.0/16 to 10.0.0.1 in via oif 11 allow from not 10.0.0.0/16 to 10.0.0.0/16 in via oif
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]