Hello!
Van egy gateway, az ezen áthaladó forgalmat szeretném figyelni, pontosabban azt, hogy melyik IP címről hány TCP kapcsolatot kezdeményeznek/tartanak fenn a gateway-en keresztül.
Mivel a gateway-en nincs NAT, így nem tudok a conntrack táblából adatot kinyerni.
A figyelésre a szubnetünkben lévő P2P használók miatt van szükség, több esetben probléma volt a túl sok kapcsolat, ezért szeretném figyelni a kapcsolatszámot.
Milyen megoldásokat tudtok erre?
üdv.
Petya
- 824 megtekintés
Hozzászólások
szia,
én tudok olyan gw-ről, ami mögött nincsen nat, mégis értékes adatok nyerhetőek ki a conntrack táblából. Biztos kell hozzá?
- A hozzászóláshoz be kell jelentkezni
Hello!
Azt tapasztalom, hogy a conntrack tábla egyre csak nő. Ez normális? Én csak a ténylegesen élő kapcsolatokat szeretném kiszedni, azokat nem, amelyek órák óta nincsenek használva. Egyáltalán, ezek miért maradnak benne? Valamelyik fél nem zárja le őket?
szerk: korábban már próbálkoztam ezzel, akkor az volt a probléma, hogy néhány óra alatt megtelt a conntrack tábla. Biztosan nem lehet ezt conntrack használata nélkül megvalósítani?
Petya
- A hozzászóláshoz be kell jelentkezni
Miert akarnad massal megvalositani, mikor ez pont arra van?
Feldolgozod 5 percenkent a /proc/net/ip_conntrack tartalmat.
A tabla azert no, mert no a kapcsolatok szama.
A timeout-okat (kapcsolat torlese) be tudod allitani a /proc/sys/net/ipv4/netfilter konyvtarban levo file-okkal. Ha mindent 30-ra teszel, akkor az utolso 30mp-ben aktiv kapcsolatokat fogod latni.
Ha meg akar telni a tabla, fellovod a csillagos egekbe (65535 es tarsai). Rendes timeout-okkal nem szabad tulcsorduljon, csak nagyon specialis esetekben (DoS).
[off]
Suket Zyxel 5 percre teszi az UDP timeout-ot a routerein.
[/off]
- A hozzászóláshoz be kell jelentkezni
feltetelezve, hogy ipv4 rendszerrol van szo,
a masodik eset Linuxra kihegyezve
netstat -an | awk '/tcp.*ESTA/ {print $4" "$5}'
awk '{if($4=="01"){print $2" "$3}}' </proc/net/tcp
- A hozzászóláshoz be kell jelentkezni
A gateway-en átmenő forgalmat szeretném figyelni, nem a gw saját forgalmát...
Petya
- A hozzászóláshoz be kell jelentkezni
ami atmegy az be is jon - gondolom en - meg ki is megy.
de, akkor legyen ez - bar _sokkal_ tobb macera ;)
tcpdump -ni eth0 'tcp[13] == 16'
- A hozzászóláshoz be kell jelentkezni
Hát igen, ezt elég bonyolult feldolgozni, de abban, amit az előbb írtál, nincsenek benne az átmenő kapcsolatok.
Petya
- A hozzászóláshoz be kell jelentkezni
tproxy eseteben benne van
- A hozzászóláshoz be kell jelentkezni
iptraf (ncurses)
ntop http-n tolja az infot
- A hozzászóláshoz be kell jelentkezni
Mindenképpen non-interactive cucc kellene, statisztikát szeretnék belőle csinálni. Tehát pl. 5 percenként megnézem az értéeket, és betárolom adatbázisba.
Az ntop-ot kipróbáltam, pár óra futás után megbízhatatlan, összevissza hülyeségeket mér. Te használod ilyen célra? És működik rendesen?
Petya
- A hozzászóláshoz be kell jelentkezni
Hasznaltam ntop-ot is, ment szepen, csak eleg memoriaigenyes cucc. Nalam nem mert rosszul.
- A hozzászóláshoz be kell jelentkezni
2 GB RAM, Quad Xeon, a hardverrel nem lehetett baj.
Azt csinálta, hogy mért rendesen, majd pár óra elteltével mintha nem látott volna mást, csak a saját kapcsolatait, az átmenőket nem.
Ezen kívül sok host-ra hibásan azt jelezte, hogy ilyen-olyan szervert futtat..
Petya
- A hozzászóláshoz be kell jelentkezni
Hosszu idore nem, csak megnezegettem anno.
ip_conntrack -el kell megbaratkoznod vagy tcpdump al akkor :)
Google dobott egy ilyet : http://cv.intellos.net/ eleg regi, szerintem egy probat meger, ip_conntrack bogozasra.
- A hozzászóláshoz be kell jelentkezni