Trafficmonitoring nach userid

[smur]

Hallo,

hoffe mal, dass diese Frage hier reinpasst, eine passendere Kategorie habe ich mal nicht gefunden.

Ich suche nach einer Möglichkeit den Traffic statt wie üblich nach Ports nach Usern zu überwachen. Z.B. über das owner-modul von iptables. Das klappt nur für outgoing traffic, macht aber nix. Nur habe ich bis dato keine brauchbare Lösung oder wenigstens einen Ansatz finden können, wie man das lösen könnte. Es geht mir also darum, dass alle OUTGOING pakete durch iptables geloggt werden, die von $user kommen. Die source-ip sollte dabei keine Rolle spielen. Ein Skript für die Auswertung kann ich natürlich selber schreiben. Also wenn jemand eine Idee hat, immer her damit.

Danke & Gruß,
Nico

[mutombo]

laut aussage der developer von ipac-ng soll die cvs version auch ownermatch können. da aber wie gesagt nur outgoing funzt hab ich mich nie genauer mit beschäftigt.
wenn du was findest was das logging für user sowohl incoming als auch outgoing misst, dann melde dich bitte nochmal :)

[alexander newald]

Incoming geht ohne Kernel Patch nicht und der ist uralt. Das Problem ist, dass der Kernel den Traffic sieht bevor er weiss welches Programm (und somit welcher User) dafür verantwortlich ist.

http://ramses.smeyers.be/homepage/useripacct/

[smur]

Ich glaub die Seite is n bissl kaputt.

BTW: hallo Alexander ;-) (falls du mich erkennst)

Gruß,
Nico

[alexander newald]

Hallo ;-) Ja !

Die Seite geht bei mir. Der letzte Eintrag ist aber eh vom 05. Juli 2001 und passend zum Kernel 2.4.6 (Und auch noch beta)

[smur]

Weder mit Mozilla, mit IE noch mit w3m geht die Seite.

Code: Select all

Error number: 403 Error expl: Forbidden

Meine IP will er wohl nich, naja ;-)

Nachtrag: T-Online IPs hat er wohl gesperrt, mit meinem Server in FFM komm ich drauf *freu*

[rootmaster]

naturgemäß ist diese art von traffic-counting nicht einfach, weil dazu ein low-level-mechanismus nötig ist 8)
es gibt da aber ein tool, das auf pcap aufsetzt und schon recht schöne ergebnisse erzielt (solange man nicht gerade high-traffic macht ;)), zu finden unter
http://trafcalc.sourceforge.net/

output sieht in etwa folgerndermaßen aus (plain oder html)

Code: Select all

user:                   traffic:        mb:
wwwrun                  110482          0
user1                   66438216        63
root                    162800          0

port:                   traffic:        mb:
22                      141348          0
80                      144954          0
34524                   13284600        12
34526                   13284178        12
34527                   13286048        12
34529                   13284178        12
34530                   13284600        12

PS: sowohl up- als auch downloads von der shell aus

"back to the roots"

[mutombo]

Weder mit Mozilla, mit IE noch mit w3m geht die Seite.

Code: Select all

Error number: 403 Error expl: Forbidden

Meine IP will er wohl nich, naja ;-)

Nachtrag: T-Online IPs hat er wohl gesperrt, mit meinem Server in FFM komm ich drauf *freu*

*andenkopfschlag*
hab mich auch schon erfolglos an der seite probiert ;)

das trafcalc werd ich mir mal reinziehen.
thx