Moin,
ich brauche eine Möglichkeit um den Traffic ALLER Ports von einzelnen Shell usern zu überwachen....
Könnt ihr mir helfen?
Danke schonmal.
Traffic Überwachung pro Shell user
Moin,
ich brauche eine Möglichkeit um den Traffic ALLER Ports von einzelnen Shell usern zu überwachen....
Könnt ihr mir helfen?
Danke schonmal.
Was meinst Du denn, die aktuelle Auslastung, oder den bisherigen Traffic?
den verbrauchten traffic, am besten monatsweise abgerechnet...muss abe rnicht unbedingt sein....
markiere (mit --set-mark ) die pakete mittels iptables und --uid-owner / --gid-owner /...Original geschrieben von tRiX
Moin,
ich brauche eine Möglichkeit um den Traffic ALLER Ports von einzelnen Shell usern zu überwachen....
Könnt ihr mir helfen?
Danke schonmal.
dann bastelst du dir noch pro user eine chain in die du mit iptables anhand der markierung die pakete einsortierst. iptables -L zeigt dann die paket/bytecounter pro chain.
such ausserdem nach 'ip accounting'.
-j
Hi!
Kann mir jemand mal bitte den iptables-befehl zum markieren der pakete für die UID XXX geben?
Bei mir klappt das irgendwie nich
moin moin
Original geschrieben von Jasper
markiere (mit --set-mark ) die pakete mittels iptables und --uid-owner / --gid-owner /...
dann bastelst du dir noch pro user eine chain in die du mit iptables anhand der markierung die pakete einsortierst. iptables -L zeigt dann die paket/bytecounter pro chain.
such ausserdem nach 'ip accounting'.
-j
kleine ergänzung:
--uid-owner bzw. --gid-owner funktioniert nur in der OUTPUT chain, d.h. für ein lan funktioniert diese methode nicht. es sei denn du installierst auf jedem client ein entsprechendes iptablesscript.
Jasper könntest du nochmal etwas genauer erklären, wie du das mit --set-mark meinst. zum thema mangle, mark etc. hab ich noch nicht allzu viel doku im netz gefunden.
Gruß HL
"You only go around once, so you better go hard!"
Open Source!
"First they ignore you, then they laugh at you, then they fight you, then you win".
iptables -t mangle -A OUTPUT -m owner --uid-owner XXX -j MARK --set-mark XOriginal geschrieben von Ybbus
Kann mir jemand mal bitte den iptables-befehl zum markieren der pakete für die UID XXX geben?
Bei mir klappt das irgendwie nich
markiert alle ausgehenden pakete, die von user mit uid XXX gesendet wurden, mit X.
funktioniert nur in der OUTPUT-chain und nicht mit allen paketen. mit icmp bspw. nicht, weil diese nicht von einem userprozess abgesendet werden.
-j
"Oh my God!" "Smith will suffice" (Agent Smith, Matrix)
"The first rule of holes is: when you find yourself in one, stop digging." (PJ, Groklaw)
ok, alle ausgehenden pakete eines rechners werden in abhängigkeit der uid oder gid markiert, also z.b. user A mit 1, user B mit 2 (mehr als 65535 marks sind nicht möglich).Original geschrieben von HangLoose
Jasper könntest du nochmal etwas genauer erklären, wie du das mit --set-mark meinst. zum thema mangle, mark etc. hab ich noch nicht allzu viel doku im netz gefunden.
iptables -t mangle -A OUTPUT -m owner --uid-owner X -j MARK --set-mark X
auf dem router/gateway/firewall schiebt amn die so markierten pakete in einzelne chains, also z.b. alles mit mark 1 in chain userA.
iptables -t mangle -A INPUT -m mark --mark 1 -j userA
den traffic der einzelnen chains kann man sich dann anzeigen lassen, bspw. mit -LZ oder man verwendet ein accounting package dafür.
-j
"Oh my God!" "Smith will suffice" (Agent Smith, Matrix)
"The first rule of holes is: when you find yourself in one, stop digging." (PJ, Groklaw)
@Jasper
thx, für die erläuterung. für ne vernünftige trafficauswertung fehlen dann aber noch die antwortpakete. kann aber auch sein, das ich mal wieder auf'm schlauch stehe und ich werde das bei gelegenheit wohl einfach mal testen.
Gruß HL
"You only go around once, so you better go hard!"
Open Source!
"First they ignore you, then they laugh at you, then they fight you, then you win".
Hi!
Vielen Dank für die erklärung.
Schade, dass das nur für Output ist. So kann man den traffic eines users ja dann doch nich mit iptables messen oder? Weil der download ist ja um einiges wichtiger als der Upload.
Und nochwas:
Code:debian:~# iptables -t mangle -A OUTPUT -m owner --uid-owner 1000 -j MARK --set-mark 1000 iptables: No chain/target/match by that name
hi
sieht so aus, als wenn bei dir das target mark nicht mit in den kernel compiliert wurde? schau mal mit grep TARGET_MARK /usr/src/linux/.config nach. das ergebnis müßte folgendermaßen aussehen.
CONFIG_IP_NF_TARGET_MARK=m
wenn es eincompiliert wurde, lade das modul mit modprobe ipt_mark
Gruß HL
"You only go around once, so you better go hard!"
Open Source!
"First they ignore you, then they laugh at you, then they fight you, then you win".
Code:subby@debian:~$ grep MARK /usr/src/linux-2.4.22/.config CONFIG_IP_NF_MATCH_MARK=y CONFIG_IP_NF_TARGET_MARK=y CONFIG_NET_SCH_DSMARK=y subby@debian:~$
hm, daran lag es dann wohl nicht. die syntax sieht eigentlich richtig aus
"You only go around once, so you better go hard!"
Open Source!
"First they ignore you, then they laugh at you, then they fight you, then you win".
Ja, find ich auch irgendwie komisch warum er es nich mag...
Aber hab auch keine Ahnung worann es liegen könnte
Berechtigungen
Zitieren
Lesezeichen