OpenWrt forgalom mérés

Adott egy mára igen elavult WR1043 router, amin OpenWrt "CHAOS CALMER" 15.05 fut. Ha jól értem 2015 -óta teszi a dolgát, osztja a netet és működtet egy OpenVpn -t a Bp. lakásom és a Nógrádi telkem között. Amire nekem kell, tökéletes.

Valahogy meg kellene mérnem az internet forgalmat. Szép grafikus csodákra nincs lehetőségem (miközben írom ezt a posztot, rákapaszkodtam ssh -n) a szabad RAM kevesebb mint 8KB (32KB össz-vissz).

A legegyszerűbbnek az ifconfig tűnik ami a wlan0 (IPV6 címet mutat) interfészre a következőket mutatja:
RX bytes:190820820 (181.9 MiB) TX bytes: 3817032506 (3.5 GiB)

Az uptime 5 napot mutat (a hétvégén újra kellett indítanom) ez rendben van.

Viszont mit küldözget a rendszer 3.5 GiB mindösszesen 5 nap alatt? Valamit félreérthetek. Pillanatnyilag, fixen csak egy RPI kamera lóg rajta, illetve van egy AP ami egy a nagyfeszültségre ültetett vonalon kommunikál (másképp nem tudom a területet kiszolgálni).
Javítás: A kamera nem továbbít élő képet. hébe-korba letöltöm és megnézem, nincs live stream.

Az eth0.1 ami még TX 3.6 GiB forgalmat mutat, úgy hogy az eth0 csak 92.0 MiB -et. Van még a br-lan (ami a router LAN címét viszi) az TX 7.1 GiB.

Valaki tudja hogy kell ezeket az értékeket értelmezni?

OFF: A kutakodást az indította el, hogy a helyi szolgáltatóm évről évre egy ezressel emeli a díjamat, mostanra 5.999,- Ft/hó "vlmi. 500" csomag, a régi "vlmi. 150" helyett. A 150 is bőven elég volt, de régen az 50 -el is beértem, működött pl. a yoututbe. Sajnos széles sávot helyileg csak ők szolgáltatnak, nincs alternatíva. Ami még lenne az a mobil internet, de annak amim most is van 3G (M telekom nem tudom bájt vagy bit) limitje van (4G lefedettség rendben). Tudnom kellene mennyit is forgalmazok valójában.

Hozzászólások

Az RX az adott interface-en vett, tehát befelé jövő byte-ok száma, a TX pedig a küldött, azaz amit a tansmitter kifelé hajt. Azt az interface-t nézd, ami a szolgáltató felé néz.

Nálam az eth1 néz a szolgáltató felé, van 1.4 GB vett byte-om, miközben az eth0 befelé néz, itt csak 512 MB küldött van a lokális hálózat felé. Tehát van 900 MB, amit a tűzfal kidobott, azaz egy rakás támadási kísérlet volt. Nyilván az eth0-n lehetnének nagyon nagy számok akár, ha például a lokális hálózatomon forgalmaztam volna, de mostanában épp nem csináltam ilyesmit.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

br-lan = eth0.1 + wlan0

TX ezeken az, amit letöltesz

Ez biztos? Mi van azzal a forgalommal, amit eldob a tűzfal? A szolgáltató felé néző interface-en az RX, de nem megy ki a br-lan TX-én. Szerintem a szolgáltató szempontjából azok az adatcsomagok is átvitt adatok, amelyekkel megpróbálják zombi csordák felnyomni a gépet.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Igen, arra. És pontosan ezért nem igaz, hogy a lokális hálózat felé néző interface-ek TX összege a forgalom. Egyrészt, mert ez kisebb a tűzfal által REJECT és DROP-pal, másrészt, mert a lokális hálózat forgalmával meg több. Tehát az ISP felé néző interface RX-ét kell nézni, bár szerintem az RX és TX összegét.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

OK, akkor meg kell nézni eth1-en RX-et is. De ha az a célod, hogy stopperrel méred az időt, és megszámolod az ezalatt fogadott byte-okat (x8), akkor abból nem fog kijönni sávszélesség. A forgalom hektikusan változik még egy percen belül is, nemhogy egy órán, vagy egy napon belül.

Nálam van forgalmi grafikon, ami 3 másodpercenként frissül. Kiírja a pillanatnyi Kbit/s-t, a 3 másodperces átlagot, és a 3 perces csúcsot. Nagy kiugró csúcsok vannak, és igen nagy az eltérés a három érték között.

Jól tudtad, az RX a receive, a TX a transmit. Ő arra gondolt, hogy ami bejön az ISP felől, az TX lesz a lokális háló felé. Csak ez nagyon korlátosan, nagyon speciális esetben igaz. Akkor, ha a lokális hálón nincs más forgalom, s akkor, ha a tűzfal nem dob el semmit, nem támadják kintről a routert. Viszont ezek egyike sem teljesül.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Az újra telepítés, két routert is érintene (a vidéki ház és a Pesti rezidenciám).
Maguk a routerek is eléggé elavultak (Pesten már elvileg 1G a netem) - ez egy lavina lesz, akár több százezer huf beruházással összekötve, amit most nem akarok. Tervben van.

* Én egy indián vagyok. Minden indián hazudik.

ha nincs sok ficsor a routerben, akkor en egy csupaszitott imaget szoktam generalni amiben nincs benne a webes luci. ha configolni kell akkor vagy a konzolos verziot vagy vimmel direktben szerkesztem a fajlokat. igy marad egy kis hely is, es fel lehet rakni custom csomagokat (en pl az ipv6 cuccok leszedesevel is szoktam helyet csinalni), es a futo webserver sem eszi a memoriat.

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Így van, saját image-et kell csinálni, s nem utólag felrakni a hiányzó csomagokat, amelyek majd elvesznek upgrade alkalmával megint. Ráadásul, ha minden custom csomag, saját script, config file a squashfs image-ben van, az a leghelytakarékosabb. Hiába töröl valaki az image-ből, nem lesz több helye, sőt, picit kevesebb lesz, mert az overlay-re be kell jegyezni, hogy ami ott van az ro részen, az immáron ne látszódjon az fs felső rétegében, ahol rw-nek mutatja már magát.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Megint kezdem elveszíteni a fonalat.
Most arról van szó hogy csináltam e mentést a működő felállásról? - nyilván. Benne a Luci, ami nem fut csak ha elindítom, beállítok valamit majd leállítom (pl. nekem sokkal egyszerűbb így beállítani egy új port forwardot mint küzdeni a tűzfal szabályokkal és a szintaxissal).

Egyébként a "szabvány" router/firewall feladatokon kívül csak az OpenVPN van fel rakva (az akkor verzió), viszont tapasztalataim szerint a fejlődés mindig újabb erőforrás igényeket támaszt és abban nem bővelkedem. (Anno próbálkoztam RAM bővítéssel de nem sikerült, vagy hibás alkatrészt kaptam vagy a kivitelezésen csúszott)

* Én egy indián vagyok. Minden indián hazudik.

Nem erről írtam. :) OpenWRT/LEDE esetében van arra lehetőség, hogy nem a fejlesztők által összerakott image-et telepíted a routerre, majd ami még kell, azt opkg-val telepíted, hanem saját magadnak tudsz csinálni egy firmware image-et, amelybe beleválogatod azokat a csomagokat, amelyekre szükséged van, saját configfile-ok, scriptek is lehetnek, illetve az image-ből kidobálhatod azokat a csomagokat, amelyekre semmi szükséged.

Ha a fejlesztők által telepített image-ben lévő csomagra mondod utólag opkg-val, hogy eltávolítod az adott csomagot, attól nem szabadul fel hely, ellenben, ha a saját image-ből dobálod ki, ami nem kell, úgy az bele sem csomagolódik a read only squashfs-be, tehát több lesz a szabad helyed.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE