© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Hi,
On Tue, Mar 04, 2003 at 12:32:08AM +0100, Nicola Tiling wrote:
> Hoi
>
> Ich versuche mit ipfw den Traffic auf einer Maschine zu erfassen. Das
> gelingt auch weitestgehenst (jedenfalls sieht es schl?ssig aus...) - bis
> auf den Traffic der ?ber einen squid-proxy (Port 3128) geht.
>
> Ich habe da die regeln
>
> ipfw add 13128 count tcp from any to me 3128
> ipfw add 13128 count tcp from me 3128 to any
>
> Aber was da "gez?hlt" wird ist mir viel zuwenig - das kann nicht sein:
> "Webalizer" sagt mir ?ber den Proxy w?re im Februar ~13 GB gegangen (was
> auch ein realistischer Wert ist) - ipfw spricht nur von 400 MB.
> Stattdessen habe ich mit ipfw ca. 13 MB Verkehr locker verteilt auf
> Ports von 1024-5000. Was mache ich falsch?
Paar Sachen zu notieren:
ipfw add 100 count ip from any to ${local_ip_1} in
"in" hier ist kein muss, aber ohne "in" wird Traffic
doppeltgerechnet.
Man sagt, wenn man statt "count", "skipto" verwendet, es ist
einfacher die Firewallscripte zu schreiben. Ich habs noch nicht
ausprobiert und von meiner Seite kann nichts dazu sagen.
ipfw ist nicht schlecht fuer accounting, aber nur zusammen mit
IPA. An deiner Stelle wurde ich nur "ipcad" benutzen, es ist in
ports drin.
Was da geil ist:
- es funkzt sowohl mit pcap(3) als auch mit
bpf(4)
- wenn man "ipcad" neu startet, geht Information nicht
verloren.
- "ipcad" "emuliert" sozusagen Cisco. Es kann "show/clear ip
accounting checkpoint, show interface" usw.
- im Config kann man "aggregate" fuer Netzwerke benutzten
- kein grossen CPU/RAM Last
- da es ueber bpf(4) arbeiten kann, koennte passieren dass es
packeten verliert, aber passiert zum Gluck sehr, sehr selten.
Wenn es alles Dir passt: http://www.spelio.net.ru/soft/
Kirill
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Tue 04 Mar 2003 - 16:24:24 CET