https://opennet.me/openforum/vsluhforumID3/3782.html Первая попытка переноса популярного в *BSD системах пакетного фильтра IPFilter (http://coombs.anu.edu.au/~avalon/) относится ко времени 2.0.x Linux ядер. Начиная с версии ipfilter 4.1.1, поддержка Linux по немногу стала сдвигаться с места, хотя в INSTALL.Linux еще значится "Linux is no longer supported" и требуются доп. патчи (http://www.rockstacking.com/ipfilter/ipfilter-4.1.1-suse-8.2.tgz)).<br><br>В статье "ipfilter on GNU/Linux (http://www.linuxjournal.com/article.php?sid=7595)" демонстрируется техника установки ipfilter под Linux и проверка его работоспособности.<br><br>URL: http://www.linuxjournal.com/article.php?sid=7595<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=3939<br> https://opennet.me/openforum/vsluhforumID3/3782.html#49 Tue, 08 Jun 2004 07:20:15 GMT &gt;&gt;&gt;Как мне в линуксе организовать создание/удаление/съем статистики с <br>&gt;&gt;&gt;правил фаервола?<br>&gt;&gt;Читать iptables howto <br>&gt;<br>&gt;Ой! Какие мы умные!!! <br>&gt;<br>&gt;Так бы и сказал, что не знаешь! <br>&gt;Нельзя в линуксе создать правило с номером XYZ, которое после любых изменений <br>&gt;в остально наборе правил не изменит своего номера... :-( <br>&gt;<br>&gt;А вот с хешем правила - это хорошая идея... надо над ней <br>&gt;подумать... <br>а в ман хоть раз заглянуть ?<br>man iptables &#124;grep rulenum<br>-D, --delete chain rulenum<br>-I, --insert chain [rulenum] rule-specification<br>...<br><br> https://opennet.me/openforum/vsluhforumID3/3782.html#48 Fri, 04 Jun 2004 20:20:46 GMT &gt;Scoundrel, <br>&gt;&gt;Ой! Какие мы умные!!!<br>&gt;Не надо льстить, просто я более внимательно читал HOWTO. <br><br>Извиняюсь... я тоже читал его, но вот до того, чтобы создавать кучу цепочек, как-то не додумался... :-(<br><br>&gt;&gt;Нельзя в линуксе создать правило с номером XYZ, которое после любых <br>&gt;&gt;изменений в остально наборе правил не изменит своего номера... :-(<br>&gt;Нельзя, но если так уж нужны номера это легко исправить: <br>&lt;...skipped...&gt;<br>&gt;Все. Получаешь полную аналогию с нумерацией правил во Фре, если она, <br>&gt;конечно, <br>&gt;тебе нужна ибо для снятия и.т.п статистки можно придумать и гораздо <br>&gt;более простые и изящные способы. <br><br>Спасибо за совет! Попробую воспользоваться!<br><br><br><br> https://opennet.me/openforum/vsluhforumID3/3782.html#47 Fri, 04 Jun 2004 10:45:29 GMT Почему у...ще. Это эмоции, а не аргумент.<br>Если хорошо разобраться с Iptables, то<br>можно строить очень хитро и детально настроенные фаерволы.<br>Единственное чего не хватает, так это труб, как во фре. https://opennet.me/openforum/vsluhforumID3/3782.html#46 Fri, 04 Jun 2004 06:49:31 GMT &gt;Путаете. <br>&gt;<br>&gt;1) Без раутера не будет передачи трафика в принципе, а вот учет <br>&gt;<br>&gt;трафика без firewall -- запросто. <br>&gt;<br>Я не говорил, что для подсчёта трафика специально надо ставить firewall или раутер. Мы спорим о разных вещах. Для продажи ethernet traffic пользовалелям, где трафик = деньги, правильно использовать специализированные системы. А если у меня небольшой оффис, и в ДМЗ стоит почта и web, и трафик к ним в любом случае проходит сквозь файрвол, почему бы его там не посчитать ? Для отчёта руководству, как распределен по сервисам и по сотрудникам, больше ничего не надо.<br><br>&gt;2) "SNMP-съем" с интерфейса это неправильно, да. Только не по той же <br>&gt;причине, что и с правил firewall, хотя есть и общее: вы <br>&gt;не сможете ответить пользователю на вопрос "а с какого IP и <br>&gt;во сколько мне прилетело столько трафика", в общем случае. Можно, конечно, <br>&gt;возразить, что дескать, таких вопросов не будет, считаю для себя и <br>&gt;все, но от главного уйти не получится, а именно: <br>&gt;<br>&gt; _учет трафика это не то, для че https://opennet.me/openforum/vsluhforumID3/3782.html#45 Thu, 03 Jun 2004 12:37:19 GMT &gt;&gt;специальными пакетами, которые "заточены" именно под это.<br>&gt;<br>&gt;Тезис понятен, но не аргументирован. Возможно, на специализированных <br>^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^<br><br>кому нужно, тот понял, хотелось бы верить. :-)<br><br>&gt; биллинг-системах - оправдан. Т.е. <br>&gt;конечно ясно, что специальные пакеты, которые "заточены" именно под это - <br>&gt;удобнее, но это не значит, что они не могут снимать показания <br>&gt;счётчиков iptables. <br>&gt;<br>&gt;Может, и snmp-съём статистики с интерфейса роутера - неправильно, т.к. роутер - <br>&gt;должен раутить, а не считать ? И каждому роутеру - по <br>&gt;снифферу с каждой стороны, пусть считают ? <br><br>Путаете.<br><br>1) Без раутера не будет передачи трафика в принципе, а вот учет<br>трафика без firewall -- запросто.<br><br>2) "SNMP-съем" с интерфейса это неправильно, да. Только не по той же причине, что и с правил firewall, хотя есть и общее: вы не сможете ответить пользователю на вопрос "а с какого IP и во сколько мне прилетело столько трафика", в общем случае. Можно, конечно, возразить, что дескать, таких https://opennet.me/openforum/vsluhforumID3/3782.html#44 Thu, 03 Jun 2004 11:11:31 GMT &gt;А попробуйте на freebsd при помощи ipf pf ipfw сделать то что <br>&gt;делет ULOG iptables а ведь при помощи этого кластно трафик собирать <br>&gt;и правил не каких не надо (да и клсифицировть на кокой <br>&gt;порт да и по какому протоколу трафик пошел когда нибудь придется, <br>&gt;что бы бабки разные за разные кляссы трафика брать). <br>&gt;А что бы трафик считать в iptables правила нумеровать и не надо <br>&gt;(хотя такая фигня и в нем есть доки читайте). Создаете отдельныю <br>&gt;цепочку и все првила по трафику туда скидываете у меня такая <br>&gt;фишка года 3 работает еще с ipchains и с базой вместе <br>&gt;только номера правил я там не храню не зачем просто достаточно <br>&gt;ip клиента хранить. <br><br><br>Нахрена, извините мой французский, считать это через файрвол? Если уж считать - то считать, опять же, ядерной тулзой, специально для этого заточенной. На freebsd - ng_ipacct, ng_netflow. И ничем по формату вывода от кошки не отличается.<br> https://opennet.me/openforum/vsluhforumID3/3782.html#43 Thu, 03 Jun 2004 11:07:16 GMT [...]<br>&gt;&gt;Обычно ничего. Вот только масштабируемость у этого метода никакая: <br>&gt;&gt;<br>&gt;&gt;http://www.opennet.ru/openforum/vsluhforumID1/35252.html#2 <br>&gt;совет принял к сведению, но аргументации не вижу. <br><br>:-) "проблема на вашей стороне" (c).<br><br>Я ж не учебник пишу, вообще-то. Так, делюсь опытом.<br><br>&gt;&gt;Да и вообще, "удобств" малова-то. :-) <br>&gt;тем не менее, для многих простых случаев этого достаточно. <br>&gt;не вижу причин для настолько категоричных "нельзя". <br><br>опять "на вашей стороне". Я нигде не употребил категоричных нельзя --<br>перечитайте, если не верите:<br><br> "Далее, несколько правил, которые я рекомендую соблюдать:"<br> "считать трафик правилами _firewall_ (с философией типа "count")<br> неправильно"<br><br>где-то написано "нельзя"? ;-)<br><br>/poige<br>-- <br>http://www.i.morning.ru/~poige/<br> https://opennet.me/openforum/vsluhforumID3/3782.html#42 Thu, 03 Jun 2004 11:06:35 GMT А попробуйте на freebsd при помощи ipf pf ipfw сделать то что делет ULOG iptables а ведь при помощи этого кластно трафик собирать и правил не каких не надо (да и клсифицировть на кокой порт да и по какому протоколу трафик пошел когда нибудь придется, что бы бабки разные за разные кляссы трафика брать). <br>А что бы трафик считать в iptables правила нумеровать и не надо (хотя такая фигня и в нем есть доки читайте). Создаете отдельныю цепочку и все првила по трафику туда скидываете у меня такая фишка года 3 работает еще с ipchains и с базой вместе только номера правил я там не храню не зачем просто достаточно ip клиента хранить. https://opennet.me/openforum/vsluhforumID3/3782.html#41 Thu, 03 Jun 2004 08:19:38 GMT Scoundrel,<br>&gt;Ой! Какие мы умные!!!<br>Не надо льстить, просто я более внимательно читал HOWTO.<br><br>&gt;Так бы и сказал, что не знаешь! <br>Знаю, просто соотв. ключи для снятия и обнуления статистки уже указали постом выше.<br><br>&gt;Нельзя в линуксе создать правило с номером XYZ, которое после любых <br>&gt;изменений в остально наборе правил не изменит своего номера... :-(<br><br>Нельзя, но если так уж нужны номера это легко исправить:<br>1. Создаешь новую цепочку с нужным идентификатором, если тебе удобнее - пусть с номером.<br>Ех: iptables -N 1<br>2. Добавляешь туда нужное правило (или группу правил)<br>Ex: iptables -A 1 -s 1.2.3.4 -j ACCEPT<br>3. Указываешь каким пакетам в эту цепочку ходить:<br>Ex: iptables -A INPUT -j 1<br> iptables -A OUTPUT -j 1<br> ...<br>Все. Получаешь полную аналогию с нумерацией правил во Фре, если она, конечно, тебе нужна ибо для снятия и.т.п статистки можно придумать и гораздо более простые и изящные способы.<br><br>ЗЫ. Прежде чем наезжать на нелюбимую систему, все же ознакомься подробнее с ее достоинствами и недоста