Traffic-Log mit iptables

[mdg]

Hallo,

ich hab folgendes Problem. Bei meiem Server (ist nicht von 1&1,nur zur Info...) sehe ich in den Traffic-Logs vom Provider einen permanenten In-Traffic von ca. 3 kb/s. Ist zwar auf den ersten Blick nicht viel, summiert sich aber.

Ich hab versucht mit iptables rauszufinden, wo der Traffic herkommt.

1. Versuch:
iptables -A INPUT -j LOG

2. Versuch
iptables -t mangle -A PREROUTING -j LOG

Jedesmal kommen im Syslog nur die Logs von dem "sinnvollen" Traffic, d.h. von meiner SSH-Sitzung. Das ist aber wesentlich weniger als das was vom Provider geloggt wird.

Auch wenn ich mir mit iptables den gesamten Traffic ausgeben lasse wird bei INPUT wesentlich weniger angezeigt.

Weiß jemand ob

1.) ich was falsch gemacht hab?
2.) es Traffic gibt, den iptables nicht registrieren kann?
3.) der Provider falsch misst?

Grüße,

Martin

Ach ja, ich hab eben noch mal ifconfig aufgerufen. Also bei ifconfig wird (annähernd) der gleiche Traffic wie vom Provider angezeigt. Von daher scheint ein falsches messen beim Provider unwahrscheinlich zu sein.

[evgueni]

Ich glaube, das ist das selbe Problem, das ich mit Webalizer habe. Den gesammten Traffic kannst du nur am Switch messen, was die Provider ja auch machen.

Bei mir liegt der Unterschied zw. Webalizer und Provider bei ca. 1,5 bis 2 mal!

[mdg]

Das Problem hat sich mittlerweile gelöst, der Switch war falsch konfiguriert.

@evgueni: Hmm, das ist was anderes. Webalizer wertet ja nur die Apache-Logfiles aus, und da wird nur die Größe der gesendeten Seite gemessen. IP-Overhead und die Anfragen des Browsers werden nicht gerechnet, genausowenig SSH, E-Mail usw.
Was ich aber gemacht hab war mit iptables (iptables und webalizer sind was komplett verschiedenes) den kompletten Traffic zu messen, und der sollte (bis auf eine geringe Abweichung) schon dem gemessenen Traffic entsprechen.

[evgueni]

Hm.. Na dann habe ich wieder was gelernt :-)

Danke für die Erklärung!