Bridge fuer traffic accounting mit iptables und ulogd

Discussion:

(zu alt für eine Antwort)

Lars Uhlmann

2003-12-29 23:50:27 UTC

Voraussetzung: Es existiert eine 2MBit-Standleitung mit vom ISP
gestellten Router, dahinter ein öffentliches Subnetz
(Ethernet) mit 16 IPs

Ziel: traffic accounting für jede einzelne IP im Subnetz.

Überlegung: Ich will kein Transfernetz beantragen, um einen eigenen
Router einsetzen zu können, deshalb soll eine Bridge
zwischen ISP-Router und Subnetz stehen.
Realisiert wird das ganze durch einen Linux*)-PC, der
mittels iptables und ULOG/ulogd die Daten in eine
[MySQL-] Datenbank schreibt. Der Kernel benötigt dafür
die 'bridge-nf' patches**), um den bridge traffic für
netfilter "sichtbar" zu machen.

Das ganze ist existiert nur als Theorie in meinem Kopf, weil ich bisher
noch keine Bridge in der Form betrieben hab'. Kann das ganze so
funktionieren? Gibt's für diese Zielstellung andere, bessere(?) Ansätze?

*) Debian
**) lieber 2.4.23 plus patches oder doch gleich 2.6.0?

Danke für euere Anregungen
Lars

--
Dummheit hat nicht unbedingt etwas mit Intelligenz zu tun.

Sylvio Runge

2003-12-30 19:42:23 UTC

Permalink

Post by Lars Uhlmann
Das ganze ist existiert nur als Theorie in meinem Kopf, weil ich bisher
noch keine Bridge in der Form betrieben hab'. Kann das ganze so
funktionieren? Gibt's für diese Zielstellung andere, bessere(?) Ansätze?

ipac-ng (*) und proxy-arp nutzen. Eine Bridge ist hier eher nicht nötig (zudem
hat man dann auch viel mehr möglichkeiten).

S.

(*) das zaehlt selbststaendig für eine bestimmte Zeitspanne zusammen und
generiert zudem schoene Grafiken

Lars Uhlmann

2003-12-30 20:17:34 UTC

Permalink

Post by Sylvio Runge

Post by Lars Uhlmann
Das ganze ist existiert nur als Theorie in meinem Kopf, weil ich
bisher noch keine Bridge in der Form betrieben hab'. Kann das ganze
so funktionieren? Gibt's für diese Zielstellung andere, bessere(?)
Ansätze?

ipac-ng (*) und proxy-arp nutzen. Eine Bridge ist hier eher nicht
nötig (zudem hat man dann auch viel mehr möglichkeiten).
S.
(*) das zaehlt selbststaendig für eine bestimmte Zeitspanne zusammen
und generiert zudem schoene Grafiken

Ich hab' vergessen zu erwähnen, das ich keine IP verwenden kann. Der
"Zähler" soll völlig "unsichtbar" in der Leitung sitzen und nichts
anderes tun, als den traffic zu zählen. Am Netz soll nichts verändert
werden.

Lars

--
Dummheit hat nicht unbedingt etwas mit Intelligenz zu tun.

Sylvio Runge

2003-12-31 09:06:01 UTC

Permalink

Post by Lars Uhlmann
Ich hab' vergessen zu erwähnen, das ich keine IP verwenden kann. Der
"Zähler" soll völlig "unsichtbar" in der Leitung sitzen und nichts
anderes tun, als den traffic zu zählen. Am Netz soll nichts verändert
werden.

Waere mit der Lösung auch machbar (es können zwei nicht geroutete IPs
drauf gegeben werden).

S.

Ralph Angenendt

2003-12-31 00:00:32 UTC

Permalink

Post by Lars Uhlmann
Voraussetzung: Es existiert eine 2MBit-Standleitung mit vom ISP
gestellten Router, dahinter ein öffentliches Subnetz
(Ethernet) mit 16 IPs
Ziel: traffic accounting für jede einzelne IP im Subnetz.

[...]

Wenn du zwischen Router und "Subnetz" einen Hub klemmen kannst, dann
wäre eventuell Netramet völliger Overkill, aber variabel genug um alles
mögliche an Traffic zu zählen. Ich habe das vor ein paar Jahren mal
aufgesetzt, aber mittlerweile wieder mehr vergessen, als ich zu dem Ding
je benutzt habe.

IIRC setzt u.a. <http://www.ip23.org/> darauf auf. Wie gesagt, das Ding
ist nicht wirklich einfach zu installieren/verstehen, erfüllt aber
wahrscheinlich mehr Wünsche, als du hast.

Ralph

--
Suchmaschine - Standard - Rückgrat - Stegreif - Toleranz - Platitüde
Paket - übertakten - lies nach - nachweislich - im Voraus
entgelten - intellektuell
tbc

Lars Uhlmann

2003-12-31 00:52:15 UTC

Permalink

Post by Ralph Angenendt
Wenn du zwischen Router und "Subnetz" einen Hub klemmen kannst, dann
wäre eventuell Netramet völliger Overkill, aber variabel genug um
alles mögliche an Traffic zu zählen. Ich habe das vor ein paar
Jahren mal aufgesetzt, aber mittlerweile wieder mehr vergessen, als
ich zu dem Ding je benutzt habe.
IIRC setzt u.a. <http://www.ip23.org/> darauf auf. Wie gesagt, das
Ding ist nicht wirklich einfach zu installieren/verstehen, erfüllt
aber wahrscheinlich mehr Wünsche, als du hast.

Die Idee mit dem HUB dazwischen kam mir mittlerweile auch. Man hätte so
noch die Sicherheit, daß das Netz weiterhin läuft, wenn der "Zähler" mal
aussteigt.

Die Brücke ist mittlerweile am laufen. Mal sehen, wie schnell die DB
beim mitschneiden von Paketen anwächst. Ich summiere nach jeder Stunde
die vorhergegangene nach vorgegebenen Parametern auf und lösch' die
ULOG-Tabelle bis dahin. Dieser Intervall sollte eigentlich ausreichen,
der Januar wird's zeigen. ;)

Lars

PS: Ich hab 2.4.23 + ebtables-brnf-3_vs_2.4.23 benutzt.

--
Dummheit hat nicht unbedingt etwas mit Intelligenz zu tun.

Sylvio Runge

2003-12-31 09:09:41 UTC

Permalink

nur kann hier nicht garantiert werden, daß wirklich jedes Packet
gezaehlt wird.

S.

Lars Uhlmann

2003-12-31 16:27:07 UTC

Permalink

Post by Sylvio Runge

nur kann hier nicht garantiert werden, daß wirklich jedes Packet
gezaehlt wird.

Du meinst sicher die Lösung mit "Netramet" und dazwischengschaltetem HUB
(weil Du auf mein Posting antwortest aber R. A. quotest)? Meine Lösung
sollte jedes Paket erwischen.

Guten Rutsch
Lars

--
Dummheit hat nicht unbedingt etwas mit Intelligenz zu tun.