HOWTO: Standardinstallation von IAM zur Traffic-Kontrolle

[rootmaster]

Hallo,

erstmal Danke.

Ich suchte jedoch eher eine Regel die ich in "IAM" einbinden kann.

vratislav

* /etc/init.d/iptables *
....
new_chain nntp
acc_port nntp 119
acc_port nntp 119 udp
acc_port_out nntp 119
acc_port_out nntp 119 udp
...

* chains.py *
...
names={...
"nntp" : (service, "NEWS-Server"),
...}
...

"back to the roots"

[vratislav]

Danke, die Hinweise haben mich ans Ziel gebracht.

[sascha]

Das waren keine Hinweise sondern ne Komplettlösung :lol:

[vratislav]

Hallo,

Das waren keine Hinweise sondern ne Komplettlösung

Das ist wohl richtig 8O

Ich bezog mich eigentlich auf olfi. Die Lösung von "rootmaster" hat dann aber die letzten Unklarheiten beseitigt.

Wie auch immer, das Board ist Gold wert ;-)

Björn

[neo]

Fehler/Bug/Feature gefunden!
Seit dem ersten steht der aktuelle Traffic nicht mehr in der current.html sondern in der last.html...irgendwelche ideen?

[floschi]

Bist du dir sicher, dass es der aktuelle ist?

[neo]

hm, also die iam_report ist aktuell :) und iptables, da gibt es zwar updates, aber ich glaub net das die relevant sind...

[neo]

ok, ich hab rausgefunden das der letzte teil net stimmt, die symlinks sind falsch(den z.b. der Traffic vorm Stichtag gehört ja noch zum letzten Monat, deswegen muss bis dahin die last.html auf den Monat linken)

Code: Select all

$IAM -f $YM_CURRENT-09 -t $YM_NEXT-09 -w $WWWDIR/$YM_CURRENT.html $DUMP 
$IAM -f $YM_LAST-09 -t $YM_CURRENT-09 -w $WWWDIR/$YM_LAST.html $DUMP 

ln -sf $WWWDIR/$YM_CURRENT.html $WWWDIR/current.html 
ln -sf $WWWDIR/$YM_LAST.html $WWWDIR/last.html 

kann das plz wer bereinigen? Danke!

[Anonymous]

Mein iam_report sieht folgender massen aus, wobei bei mir der 24te Stichtag ist:

Code: Select all

#!/bin/sh

IAM=/usr/local/iam/iam
DUMP=/usr/local/iam/dump
WWWDIR=/var/xxxxxxx/iam

YM_CURRENT=`date '+%Y-%m'`
YM_TLAST=`date --date='2 month ago' '+%Y-%m'`
YM_LAST=`date --date='1 month ago' '+%Y-%m'`
YM_NEXT=`date --date='1 month' '+%Y-%m'`
YM_DAY=`date '+%d'`

if [ $YM_DAY -lt 24 ]
then
    $IAM -f $YM_LAST-24 -t $YM_CURRENT-24 -w $WWWDIR/$YM_CURRENT.html $DUMP
    $IAM -f $YM_TLAST-24 -t $YM_LAST-24 -w $WWWDIR/$YM_LAST.html $DUMP
    ln -sf $WWWDIR/$YM_CURRENT.html $WWWDIR/current.html
    ln -sf $WWWDIR/$YM_LAST.html $WWWDIR/last.html
else
    $IAM -f $YM_CURRENT-24 -t $YM_NEXT-24 -w $WWWDIR/$YM_NEXT.html $DUMP
    $IAM -f $YM_LAST-24 -t $YM_CURRENT-24 -w $WWWDIR/$YM_CURRENT.html $DUMP
    ln -sf $WWWDIR/$YM_NEXT.html $WWWDIR/current.html
    ln -sf $WWWDIR/$YM_CURRENT.html $WWWDIR/last.html
fi

exit $?

[floschi]

Hm, bei mir geht eigentlich alles wunderbar - so wie ich in dem HowTo geschrieben habe. Seltsame Sache... :(

[Anonymous]

Standartversion:

Code: Select all

YM_CURRENT=`date '+%Y-%m'` 
YM_LAST=`date --date='1 month ago' '+%Y-%m'` 
YM_NEXT=`date --date='1 month' '+%Y-%m'` 

$IAM -f $YM_CURRENT-09 -t $YM_NEXT-09 -w $WWWDIR/$YM_CURRENT.html $DUMP 
$IAM -f $YM_LAST-09 -t $YM_CURRENT-09 -w $WWWDIR/$YM_LAST.html $DUMP
 

Bei dieser Version müssten im Zeitraum vom 1ten bis 8ten nur Nullen angezeigt werden, da er aktuell in YM_CURRENT 2002-10 hätte, in YM_NEXT 2002-11 und somit in $YM_CURRENT.html (also 2002-10.html) die übertragenen Bytes vom Zeitraum 2002-10-09 bis 2002-11-09 abspeichert, was null sein muss, da 2002-10-09 in der Zukunft liegt und der Symlink Current auf diese Null-Datei zeigt.
Nach dem 9ten werden bis zum Monatsende wieder korrekt die Daten angezeigt.

Bei mir mit dem 24ten als Stichtag würde somit nur an 6 Tagen der Symlink auf die korrekte Datei zeigen, an den anderen Tagen müsste er auf $YM_LAST.html zeigen. Darum meine Modifizierung des Scripts...

[enzymir]

Erstmal ein dickes Respekt an dieses klasse Howto!!!
Super gut beschrieben und funzt auch =).
Jedoch habe ich ein problem beim koordinieren des porttraffics.
Im internet gabs dazu auch kein passendes howto bzw beschreibung.
WIE trage ich jetzt ein, dass port 4444 z.B. nen bnc ist, port 5656 ist nen game etc =)

Code: Select all

class Chains:
    free, service, other = "free of charge", "internet services", "other traffic (unspecified)"
    categories = [free, service, other]
    _default = (service, "")
    names = {"local"              : (free, "local network"),
             "intevation"         : (free, "Intevation office"),
             "ftp"                : (service, "FTP (without passive data)"),
             "ip_local_port_range": (service, "probably FTP"),
             "www"                : (service, "http/https/caudium"),
             "cvs"                : (service, "grass-cvs"),
             "mail"               : (service, "smtp"),
             "misc"               : (service, "ssh, dns, identd"),
             "outgoing"           : (service, "without other listed services"),
             "rsync"              : (service, "rsync server (not backup)"),
             "related"            : (other, "related connections"),
             "fragment"           : (other, "fragmented packets"),
             "unknown"            : (other, "not in any chain")}
    rates = {free                 : [(1.0 / 1024 / 1024, "%.1f MB"), (0.00, "%.2f DM")],
             service              : [(1.0 / 1024 / 1024, "%.1f MB"), (0.05, "%.2f DM")],
             other                : [(1.0 / 1024 / 1024, "%.1f MB"), (0.05, "%.2f DM")]}

Greetz

Mathis

[floschi]

Wenn du die passenden chains schon erstellst hast, einfach nach obigem Muster dort deine eigenen chains eintragen. Namen müssen halt übereinstimmen ;)

[enzymir]

DAS ist schon in iam drinne..
Anhand dieses muster soll ich eigene erstellen..
nur ich raff net wie :(

[delete-me]

Man braucht die doch gar nicht in die chains.py eintragen!
Bei mir werden die auch so gelistet!
Nur eben mit dem Chainnamen, aber der ist ja eigentlich selbsterklärend, oder??

[enzymir]

ach ich idiot..
GNAAAA
ich erstell ja die chains mit ipchains und iam "übernimmt" sie..
Und ich targ die einfach nur in iam einn....

[petter]

Hallo,

fand die How To auch Super,
Klappt glaube ich auch wunderbar bei mir. Hab zumindest bisher keine irregularitaeten festgestellt.

Haette da dennoch eine Frage.

Wenn ich nun den Traffic Pro Domain auswerten möchte ,
müsste ich doch eigentlich nur die Kette von Intevation aendern und eine meiner Domains reinschreiben, liege ich da richtig ?

Danke

gruß
petter

[floschi]

Hi !

Nein, das geht auf keinen Fall.

Auf dieser Ebene, auf der iam (per iptables) arbeitet, ist noch keine Unterscheidung zwischen der viel höheren http-Ebene möglich.

Dafür kannst du nur die Logfiles vom Apache entsprechend auswerten lassen ;)

Gruß

Olfi

[dekka]

Wenn ich nun den Traffic Pro Domain auswerten möchte ,
müsste ich doch eigentlich nur die Kette von Intevation aendern und eine meiner Domains reinschreiben, liege ich da richtig ?

Siehe mod_throttle (einfach danach im forum suchen).
Wobei ich bei dem Teil jetzt einige unregelmäßigkeiten habe. Ich beobachte das jetzt erst mal ein wenig.

mfg
Dekka

[petter]

Hi !

Dafür kannst du nur die Logfiles vom Apache entsprechend auswerten lassen ;)

Gruß

Olfi

Das Problem hier bei ist glaube ich , ich muss meinen Apache erstmal dazu bringen individuelle Log Files zu erstellen, habe zwar für meine domains nun überall ein verzeichnis, hab aber noch nicht geschafft den Apache zu sagen wie er die log files passend dazu anlegen kann .

[floschi]

http://httpd.apache.org/docs/logs.html

[petter]

Also kurz gesagt:
Ich muss folgende Zeile in meinen Virtual Hosts eintragen:

CustomLog /var/log/httpd/u33823778-access_log common

wobei ich bei der pfadangabe das jeweilige Log verzeichnis angebe

Also wenn z.B.
ich die Logs von meiner domain http://www.it7a.de mitloggen möchte

dann ist home verzeichnis :

/home/www/it7a.de/html

und wenn ich o.g. Zeile in die httpd.conf schreibe bei virtualhost it7a.de
müsste ich folgendes reinschreiben:

CustomLog /home/www/it7a.de/logs/access_log common

Ist das richtig ?

Danke
gruß
petter

[floschi]

Ja ;)

Wobei das zum einen hier Off-Topic ist und du zum anderen noch entscheiden kannst, ein anderes Logformat zu wählen, ich bevorzuge combined anstelle von common ;)

Gruß

Olfi

[jp]

so als enregung: cool wärs, wenn man noch in der statistik sehen würde, von welchen hosts wieviel traffic "abgefragt" wurde. sprich aus dem netz *.t-dialin.net sind es in diesem zeitraum xx MB gewesen. halt sowas in der art wie bei dem beispiel von fwanalog http://tud.at/programm/fwanalog/sample-report.html#org)

[petter]

Kann man das nicht mit Webalizer oder was anderes anhand der LogFiles ermitteln?

gruß
petter