Moin, On Wed, 19 Oct 2005 14:16:54 +0200 Raffael Schmid <raffael.schmid@yup.ch> wrote:
Hm, nix? Da steht doch schon alles drin?!? Allerdings recht verteilt, das kann aber schon sein, wenn man sich seine iptables nicht explizit zum "Traffic-Messen" eingerichtet hat (dann würde man wohl mit "iptables -N ACCEPT-count", "iptables -A ACCEPT-count -j ACCEPT" eine neue Table aufmachen und nur die auswerten. Statt "-j ACCEPT" kann man dann in allen anderen Regeln eben "-j ACCEPT-count" schreiben.
Wenn ich das mache... was muss ich da genau an den tables ändern? Ich meine damit, muss ich die anderen Regeln auch ändern, damit die den Traffic noch durch ACCEPT-count leiten? Die Tables werden von SuSEfirewall2 erstellt...
Puh, keine Ahnung, ich bau meine iptables für gewöhnlich selbst. Ich würd's dann, wenn es so geht, einfach so lassen. Aber lies weiter unten...
Alternativ kannst du auch einfach die wichtigen Zeilen aus dem Ergebnis oben herausschneiden und summieren. Deine zweite Regel oben fängt ja den Samba-Traffic auf, wenn du also den analysieren willst, reicht dir ja diese Zeile.
ähm, es geht nicht um den Samba-Traffic.... sondern um den Gateway-Traffic. Der Server ist GW für ein Privates Netz, dass nur begrenzten Traffic ins Internet hat.
Hm, dann sind wir mit INPUT eh in der falschen Tabelle. Dann müssten wir uns FORWARD angucken. Und ich hab mich schon über den seltsamen Regelsatz in INPUT gewundert...
Ein warnendes cron-Skript sähe dann so aus: [...] Dieses Script werde ich sicher benützen:-D Danke! Aber das nimmt jetzt nur den Samba-Traffic, oder?
Genau, es macht folgendes (und du müsstest das für dich dann anpassen): in einer Variable (BYTECOUNT) wird der Traffic gespeichert. Das geht so: iptables gibt die Liste der Regeln in INPUT (bald FORWARD...) aus (-L, und zwar nur numerisch, -n, und in vollen Zahlen, -x, mit ausführlicher Anzeige, -v). Das kleine awk-script prüft, ob es in der 4. Zeile ist und falls dem so ist, gibt es das zweite "Feld" aus. Das ist bei iptables der Byte-Zähler. [ ... -ge ... ] checkt, ob der Wert links größer oder gleich (greater/equal) als der rechte ist - es ist also ein ">=". Der Rest macht nicht mehr, als einen heredoc-String in "sendmail" zu pipen. Insgesamt ein lustiger Bastelkasten, der mir mal wieder den Spaß am Skriptbasteln und man-Page lesen zurückgebracht hat... Gruß, -hwh