Привет! Подскажите чем можно сделать? В качестве выходных данных хотелось бы иметь SrcIP DstIP Size Time.

• Ip cтатистика NAT адресов,appc, 22:01 , 04-Фев-04
  • Ip cтатистика NAT адресов,slv, 07:17 , 05-Фев-04
    • Ip cтатистика NAT адресов,open, 10:36 , 05-Фев-04
      • Ip cтатистика NAT адресов,slv, 10:43 , 05-Фев-04
• Ip cтатистика NAT адресов,slv, 08:39 , 09-Фев-04
  • Ip cтатистика NAT адресов,temny, 10:33 , 09-Фев-04
    • Ip cтатистика NAT адресов,adews, 11:47 , 09-Фев-04
    • Ip cтатистика NAT адресов,slv, 12:17 , 09-Фев-04
      • Ip cтатистика NAT адресов,AD, 12:47 , 09-Фев-04
        • Ip cтатистика NAT адресов,slv, 12:18 , 10-Фев-04
          • Ip cтатистика NAT адресов,.snark, 20:56 , 10-Фев-04
  • Ip cтатистика NAT адресов,Albert MW, 04:45 , 11-Фев-04
    • Ip cтатистика NAT адресов,slv, 13:11 , 16-Фев-04

>Привет! Подскажите чем можно сделать? В качестве выходных данных хотелось бы иметь
>SrcIP DstIP Size Time.

Linux 2.4
Iptables
Ulogd
eth0 - Внутр сеть
eth1 - интернет
192.168.0.0/24 - Внутренняя сеть
.....
iptables -A PREROUTING -i eth0 -s 192.168.0.0/24 -d 0/0 -j MASQUERADE
.....
iptables -I FORWARD 1 -i eth1 -o eth0 -j ULOG --ulog-qthreshold 30 \
--ulog-cprange 100 --ulog-prefix 'FORWARD_IN'
iptables -I FORWARD 2 -i eth0 -o eth1 -j ULOG --ulog-qthreshold 30 \
--ulog-cprange 100 --ulog-prefix 'FORWARD_OUT'
.....

ULOGD складывает то что получает в таблицу в MySQL или в файл .. или еще куда. Если не хочешь чтобы в MySQL не хранилась лишняя информация, то просто удаляешь эти поля которые тебе не нужны.

Потом считаешь из таблицы что тебе нужно.

Забыл сказать - у меня FreeBSD

trafd
ipacctd
netams

>Забыл сказать - у меня FreeBSD

>trafd
>ipacctd
>netams

Как раз я рассматривал ipacctd, но для его работы необходимо все пакеты либо дивертить либо тиить. Но NAT уже дивертит пакеты на определенный порт, следовательно он занят. Единственное что мне пришло на ум дивертить сразу на два порта: один для NAT'a, второй для ipacctd. Но можно ли ipfw дивертить на 2 порта?
Если я рассуждаю неправильно - поправте, или предоложите другой вариант.

Ну кто-нить что-нить еще подскажите.
Trafd  я отбросил т.к. он показывает Ip уже преобразованные.
Как заставить Ipacctd работать?

>Ну кто-нить что-нить еще подскажите.
>Trafd  я отбросил т.к. он показывает Ip уже преобразованные.
>Как заставить Ipacctd работать?

Попробуй ipcad. Он переводит один из интерфейсов в promiscuous mode (для тебя тот и-фейс, который смотрит во внутреннюю сеть) и считает пакеты "ip откуда-куда". Последние версии умеют считать и по портам. Снимать с него статистику также как и с кошки - rsh 127.0.0.1 show ip accounting.

http://www.spelio.net.ru/soft/#IPCAD
http://www.opennet.me/base/faq/faq_traf2.txt.html

>Попробуй ipcad.
Полностью согласен с предыдущим оратором. Кроме того умеет записывать статистику в дамп при перезагрузке ил перезапуске демона. Полезная вещь.

Только в мостовой схеме его не удаётся прикрутить, ибо он рисует 0.0.0.0 либо во входящих, либо в исходящих периодически...
По крайней мере мне не удалось, ну да я особо и не возился, терпит...

Это все конечно хорошо, но если считать на внутренем интерфейсе, то статистика явно будет врать. Он сосчитает например исходящий пакет, а этот пакет потом зарежетсся файрволом. Получится неувязочка.

ng_ipacctd

>ng_ipacctd

Это что за зверь? Что то я его в своих портах не наблюдаю.

ipacc рулит :)

>Ну кто-нить что-нить еще подскажите.
>Trafd  я отбросил т.к. он показывает Ip уже преобразованные.
>Как заставить Ipacctd работать?

Ерунда, правльный trafd показывает нормально и внутренние IP адреса тоже...

>Ерунда, правльный trafd показывает нормально и внутренние IP адреса тоже...

Поясни пожалуйста, правильный - это как то хитро настроенный ? Если да, то подскажи как?