forum.opennet.ru - "ipa, ipastat" (8)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"ipa, ipastat"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"ipa, ipastat"
Сообщение от theridiidae (ok) on 08-Апр-09, 14:55
В ipa есть rule вида: [quote]rule user01 { info = 192.168.1.3 ipfw = 200 201 startup { exec = /sbin/ipfw add 196 deny tcp from 192.168.1.3 to 212.119.192.0/18 via rl0 exec = /sbin/ipfw add 197 deny tcp from 212.119.192.0/18 to 192.168.1.3 via rl1 exec = /sbin/ipfw add 198 allow tcp from 192.168.1.3 to 192.168.1.1 22 exec = /sbin/ipfw add 199 allow tcp from 192.168.1.1 22 to 192.168.1.3 exec = /sbin/ipfw add 200 allow ip from 192.168.1.3 to any exec = /sbin/ipfw add 201 allow ip from any to 192.168.1.3 via rl1 exec = /sbin/ipfw add 202 allow ip from any to 192.168.1.3 via rl0 } }[/quote]Из этого разнообразия считаем счетчики правил 200+201 и получаем суммарный теперь есть необходимость в вести лимиты и разделить трафик in и out ну и all ipastat выводит данные следующего вида [quote]+------------+-----------------+------------+--------+ \| Rule \| Info \| Bytes \| Mbytes \| +------------+-----------------+------------+--------+[/quote] То есть при разделении трафика in/out/all при выводе информации ipastat я получу что-то типа [quote]+-------------+-----------------+------------+--------+ \| Rule \| Info \| Bytes \| Mbytes \| +-------------+-----------------+------------+--------+ \| user01_in \| user01_out \| user01_all[/quote]А можно ли изменить саму таблицу вывода что бы она имела вид [quote]+------------+-----------------+------------+------------+-------------+------------+ \| Rule \| Info \| Bytes \| Mbytes_in \|Mbytes_out \|Mbytes_all \| +------------+-----------------+------------+------------+-------------+------------+ \|user01[/quote] Или это уже делать в веб интерфейсе по средствам каково небудь скрипта? по возможности, где можно взять share/examples/ipa у себя не смог найти.
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

ipa, ipastat, theridiidae, 12:28 , 09-Апр-09, (1)

ipa, ipastat, Pahanivo, 12:36 , 09-Апр-09, (2)

ipa, ipastat, theridiidae, 12:45 , 09-Апр-09, (3)

ipa, ipastat, Pahanivo, 23:10 , 09-Апр-09, (4)

ipa, ipastat, theridiidae, 09:52 , 10-Апр-09, (5)

ipa, ipastat, theridiidae, 11:55 , 10-Апр-09, (6)

ipa, ipastat, theridiidae, 10:17 , 13-Апр-09, (7)
ipa, ipastat, theridiidae, 11:10 , 16-Апр-09, (8)

Сообщения по теме [Сортировка по времени | RSS]

1. "ipa, ipastat"

Сообщение от theridiidae (ok) on 09-Апр-09, 12:28

Многообещающи за два дня...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "ipa, ipastat"

Сообщение от Pahanivo (??) on 09-Апр-09, 12:36

>Многообещающи за два дня...
ну я так понимаю если вы сможете ipfw заставить одним правилом обрабатывать пакеты в оба направления с двумя независимыми счетчиками то можно ))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "ipa, ipastat"

Сообщение от theridiidae (ok) on 09-Апр-09, 12:45

>>Многообещающи за два дня...
>
>ну я так понимаю если вы сможете ipfw заставить одним правилом обрабатывать
>пакеты в оба направления с двумя независимыми счетчиками то можно ))
>
Я спрашиваю совета и пытаюсь разобраться, можно ли средствами ipa это реализовать или нет? Я не крутой програмер и до скриптов пока дело не дошло.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "ipa, ipastat"

Сообщение от Pahanivo (??) on 09-Апр-09, 23:10

>>>Многообещающи за два дня...
>>
>>ну я так понимаю если вы сможете ipfw заставить одним правилом обрабатывать
>>пакеты в оба направления с двумя независимыми счетчиками то можно ))
>>
>
>Я спрашиваю совета и пытаюсь разобраться, можно ли средствами ipa это реализовать
>или нет?
на скока я помню (но могу и ошибатся) - на каждое правило обсчета строка
спрашивать не надо - надо для достоверности читать мануал - мне лично щас очень лень его за вас читать - когда надо было прочитал и разобрался, но было это давно и многое не помню уже
> Я не крутой програмер и до скриптов пока дело
>не дошло.
да и не надо быть крутым кодером чтобы написать простенький скрипт который перелопачивает вывод статы в твой формат )

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "ipa, ipastat"

Сообщение от theridiidae (ok) on 10-Апр-09, 09:52

Я читал...
rule user01 {
   info = 192.168.1.3
    ipfw = 200 201
    startup {
        exec = /sbin/ipfw add 196 deny tcp from 192.168.1.3 to 212.119.192.0/18 via rl0
        exec = /sbin/ipfw add 197 deny tcp from 212.119.192.0/18 to 192.168.1.3 via rl1
        exec = /sbin/ipfw add 198 allow tcp from 192.168.1.3 to 192.168.1.1 22
                exec = /sbin/ipfw add 199 allow tcp from 192.168.1.1 22 to 192.168.1.3
        exec = /sbin/ipfw add 200 allow ip from 192.168.1.3 to any
        exec = /sbin/ipfw add 201 allow ip from any to 192.168.1.3 via rl1
        exec = /sbin/ipfw add 202 allow ip from any to 192.168.1.3 via rl0

    }
}
rule user01_out {
    info = 192.168.1.3_out
    ipfw = 200
}
rule user01_in {
    info = 192.168.1.3_in
    ipfw = 201
    startup {
        if_limit_is_reached {
        exec = /sbin/ipfw add 195 deny ip from 192.168.1.3 to any
        }
    }
    limit 5m {
    byte_limit = 5m
    info = 5 Mb в 1ч
    zero_time = 1h
    reach {
        exec = /sbin/ipfw add 195 deny ip from 192.168.1.3 to any
    }
    expire {
        expire_time = 30m
        exec = /sbin/ipfw del 195
    }
    }
}
Сделал так, как тест работает, лимит 5 Mb в 1ч через 30минут сбрасывается.
По-другому выводить данные IPASTAT я так понимаю не получиться из-за той базы которую ведет сама IPA ну либо нужно переписать скрипт вывода IPASTAT так что лучше это делать при выводе в веб интерфейс...
Хотелось бы услышать комментарии по моим правилам, может я в чем-то не прав...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "ipa, ipastat"

Сообщение от theridiidae (ok) on 10-Апр-09, 11:55

И поясните, пожалуйста, кто знает
Чем будут отличаться эти строки, а то  из мана не совсем понятно?
zero_time = 1M
zero_time = +M

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "ipa, ipastat"

Сообщение от theridiidae (ok) on 13-Апр-09, 10:17

Неужели не кто не знает?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "ipa, ipastat"

Сообщение от theridiidae (ok) on 16-Апр-09, 11:10

>И поясните, пожалуйста, кто знает
>
>Чем будут отличаться эти строки, а то  из мана не совсем
>понятно?
>zero_time = 1M
>zero_time = +M
Разобрался на опыте 1M прибавляет месяц, а потом обнуляет
+M обнуляет в конце месяца... хотя еще посмотрим...
Новая проблема... Возможно, ли лимит обнулить досрочно командой ipa? Не могу найти..

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ipa, ipastat"
Сообщение от theridiidae (ok) on 09-Апр-09, 12:28
Многообещающи за два дня...
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "ipa, ipastat"
	Сообщение от Pahanivo (??) on 09-Апр-09, 12:36
	>Многообещающи за два дня... ну я так понимаю если вы сможете ipfw заставить одним правилом обрабатывать пакеты в оба направления с двумя независимыми счетчиками то можно ))
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "ipa, ipastat"
	Сообщение от theridiidae (ok) on 09-Апр-09, 12:45
	>>Многообещающи за два дня... > >ну я так понимаю если вы сможете ipfw заставить одним правилом обрабатывать >пакеты в оба направления с двумя независимыми счетчиками то можно )) > Я спрашиваю совета и пытаюсь разобраться, можно ли средствами ipa это реализовать или нет? Я не крутой програмер и до скриптов пока дело не дошло.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "ipa, ipastat"
	Сообщение от Pahanivo (??) on 09-Апр-09, 23:10
	>>>Многообещающи за два дня... >> >>ну я так понимаю если вы сможете ipfw заставить одним правилом обрабатывать >>пакеты в оба направления с двумя независимыми счетчиками то можно )) >> > >Я спрашиваю совета и пытаюсь разобраться, можно ли средствами ipa это реализовать >или нет? на скока я помню (но могу и ошибатся) - на каждое правило обсчета строка спрашивать не надо - надо для достоверности читать мануал - мне лично щас очень лень его за вас читать - когда надо было прочитал и разобрался, но было это давно и многое не помню уже > Я не крутой програмер и до скриптов пока дело >не дошло. да и не надо быть крутым кодером чтобы написать простенький скрипт который перелопачивает вывод статы в твой формат )
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "ipa, ipastat"
	Сообщение от theridiidae (ok) on 10-Апр-09, 09:52
	Я читал... rule user01 { info = 192.168.1.3 ipfw = 200 201 startup { exec = /sbin/ipfw add 196 deny tcp from 192.168.1.3 to 212.119.192.0/18 via rl0 exec = /sbin/ipfw add 197 deny tcp from 212.119.192.0/18 to 192.168.1.3 via rl1 exec = /sbin/ipfw add 198 allow tcp from 192.168.1.3 to 192.168.1.1 22 exec = /sbin/ipfw add 199 allow tcp from 192.168.1.1 22 to 192.168.1.3 exec = /sbin/ipfw add 200 allow ip from 192.168.1.3 to any exec = /sbin/ipfw add 201 allow ip from any to 192.168.1.3 via rl1 exec = /sbin/ipfw add 202 allow ip from any to 192.168.1.3 via rl0 } } rule user01_out { info = 192.168.1.3_out ipfw = 200 } rule user01_in { info = 192.168.1.3_in ipfw = 201 startup { if_limit_is_reached { exec = /sbin/ipfw add 195 deny ip from 192.168.1.3 to any } } limit 5m { byte_limit = 5m info = 5 Mb в 1ч zero_time = 1h reach { exec = /sbin/ipfw add 195 deny ip from 192.168.1.3 to any } expire { expire_time = 30m exec = /sbin/ipfw del 195 } } } Сделал так, как тест работает, лимит 5 Mb в 1ч через 30минут сбрасывается. По-другому выводить данные IPASTAT я так понимаю не получиться из-за той базы которую ведет сама IPA ну либо нужно переписать скрипт вывода IPASTAT так что лучше это делать при выводе в веб интерфейс... Хотелось бы услышать комментарии по моим правилам, может я в чем-то не прав...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "ipa, ipastat"
	Сообщение от theridiidae (ok) on 10-Апр-09, 11:55
	И поясните, пожалуйста, кто знает Чем будут отличаться эти строки, а то из мана не совсем понятно? zero_time = 1M zero_time = +M
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "ipa, ipastat"
	Сообщение от theridiidae (ok) on 13-Апр-09, 10:17
	Неужели не кто не знает?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "ipa, ipastat"
	Сообщение от theridiidae (ok) on 16-Апр-09, 11:10
	>И поясните, пожалуйста, кто знает > >Чем будут отличаться эти строки, а то из мана не совсем >понятно? >zero_time = 1M >zero_time = +M Разобрался на опыте 1M прибавляет месяц, а потом обнуляет +M обнуляет в конце месяца... хотя еще посмотрим... Новая проблема... Возможно, ли лимит обнулить досрочно командой ipa? Не могу найти..
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]