HOWTO: Standardinstallation von IAM zur Traffic-Kontrolle

[floschi]

Hi !

Ich hab' mal meine Neuinstallation von IAM (die leider grad nötig war) dokumentiert. Es wäre schön, wenn ihr einfach mal Korrekturlest und evtl. noch den einen oder anderen Tipp parat habt.

Edit: Mittlerweile (12.9., 20:50 Uhr) sind alle Fehler korrigiert und die Anregungen aufgenommen. Es ist eine lauffähige iam-Installation, die an den Puretec-Rootserver angepasst ist.

Es ist auch in der FAQ: http://www.rootforum.org/faq/index.php? ... =008&id=46

Gruß

Olfi ;)

-------------------------------------------------

IAM Install-HowTo für einen Rootserver

Da es immer wieder im Forum auftaucht, hier nochmal eine kleine Zusammenfassung einiger typischer Probleme rund um das Traffic-Ã?berwachungstool iptables accounting monster (IAM). Die wichtigen Schritte sind auch in der mitgelieferten HOWTO Datei beschrieben, allerdings in englisch.

Anhand einer typischen Installation (zum ansehen des Traffics per Web) will ich auf die Probleme kurz eingehen. Weitere Optionen und Konfigurationen sind natürlich gerne willkommen.

Die Befehle und Kommandos sind auf der Shell per ssh einzugeben.

1. Archiv downloaden, entpacken und kopieren:
   

   Code: Select all

   cd /usr/local/src
   wget ftp://intevation.de/iam/iam-0.0.2.tar
   oder wget ftp://ftp.gwdg.de/pub/misc/freegis/intevation/iam/iam-0.0.2.tar
   tar -xvf iam-0.0.2.tar
   mkdir /usr/local/iam
   cp -r /usr/local/src/iam-0.0.2/* /usr/local/iam/
   cd /usr/local/iam

2. Das Skript iptables kopieren, modifizieren und starten
   
   - Kopieren:

   Code: Select all

   cp iptables.server /etc/init.d/iptables

   Mit dem Editor pico öffnen...

   Code: Select all

   pico /etc/init.d/iptables

   - Modifizieren (u.a. dank der Infos von Thomas Koester, dem Entwickler):

   Code: Select all

   DUMPFILE=/usr/local/iam/dump

   anpassen.
   

   Code: Select all

   extif=eth0

   können wir so lassen. Es ist das Device, an dem dieser Rechner an das Internet angeschlossen ist. Bei Rechnern mit nur einer Netzwerkkarte in Richtung Firewall meist eth0.
   

   Code: Select all

   extip=217.160.xxx.yyy

   Die IP-Adresse, die dieser Server vom Internet aus betrachtet hat, also deine Server-IP.
   

   Code: Select all

   intif=lo

   Die "interne Netzwerkkarte" lo (local). Verkehr vom Rechner zu sich selbst soll ja sicherlich nicht berechnet werden.
   

   Code: Select all

   intnet=195.20.224.72

   Die Netzmaske für das LAN am Serverstandort. Dort kann man z.B. die IP des Updateservers von Puretec eintragen, denn der Traffic dorthin ist ja kostenlos. Diese IP entspricht der des Backupservers, zu dem der Traffic ebenfalls kostenlos ist, wenn man ihn gemietet hat.
   
   Die Zeile hq= kann gelöscht werden. Sie hilft beim Beschreiben des Traffics zwischen eigenem Server und dem Server von intevation.de. Hq waere dann die Netzmaske fuer das Buero (HeadQuarter) von intevation.
   
   Ebenso kann die Kette intevation gelöscht werden, d.h. folgende Zeilen löschen:

   Code: Select all

   new_chain intevation
   acc_ip intevation $hq

   Dann sorgen wir dafür, dass das /var/log/warn Log nicht mit Meldungen überflutet wird. Die folgenden Zeilen im Bereich 'other traffic' müssen so aussehen:

   Code: Select all

   new_chain fragment
   acc_ip fragment 0/0 -f
   
   new_chain unknown
   acc_ip unknown 0/0

   Danach STR+O drücken und RETURN um zu speichern, sowie STR+X um pico zu verlassen.
   
   - Starten:

   Code: Select all

   /etc/init.d/iptables start

   und es sollte erscheinen:

   Code: Select all

   Starting iptables ip accounting: iptables.

   Dann noch einen ersten Dump machen:

   Code: Select all

   /etc/init.d/iptables dump

   und die Datei dump im Verzeichnis /usr/local/iam sollte vom Skript angelegt sein.
3. Das Skript an eigene Bedürfnisse anpassen
   Der Satz aus dem original-HOWTO
   

   Edit chains.py to set categories, names, rates and their descriptions.

   dürfte selbsterklärend sein. Das ist nur eine Frage des persönlichen Geschmacks.
   
   Zumindest folgende Zeile kann bedenkenlos gelöscht werden, wenn oben die Kette zum intevation-Server gelöscht wurde:

   Code: Select all

   "intevation"         : (free, "Intevation office"),

4. Das Skript iam_report anpassen
   Folgendes sollte so in iam_report stehen:
   

   Code: Select all

   IAM=/usr/local/iam/iam
   DUMP=/usr/local/iam/dump
   WWWDIR=/home/Pfad_zum_Webverzeichnis

   wobei WWWDIR den absoluten Pfad zu dem Webverzeichnis darstellt, in dem iam seine einsehbaren html-Dateien ablegt. Das Verzeichnis muss existieren bzw. noch angelegt werden und natürlich per Web erreichbar sein.
   
   DUMP und IAM bezeichnen keine Verzeichnisse, sondern den kompletten Pfad samt Dateinamen des Skriptes iam (/usr/local/iam ist das Verzeichnis, /usr/local/iam/iam das Verzeichnis samt Dateinamen dahinter). Bei dump analog.
   
   Wer den Anzeigezeitraum von iam dem Abrechnungszeitraum von 1&1 anpassen will, kann das durch folgende Ã?nderungen in iam_report erreichen (angenommen der 9. des Monats ist euer Stichtag bei 1&1):
   

   Code: Select all

   #!/bin/sh
   
   IAM=/pfad/zu/iam
   DUMP=/pfad/zum/dumpfile
   WWWDIR=/pfad/zum/report
   
   YM_CURRENT=`date '+%Y-%m'`
   YM_LAST=`date --date='1 month ago' '+%Y-%m'`
   YM_NEXT=`date --date='1 month' '+%Y-%m'`
   
   $IAM -f $YM_CURRENT-09 -t $YM_NEXT-09 -w $WWWDIR/$YM_CURRENT.html $DUMP
   $IAM -f $YM_LAST-09 -t $YM_CURRENT-09 -w $WWWDIR/$YM_LAST.html $DUMP
   
   ln -sf $WWWDIR/$YM_CURRENT.html $WWWDIR/current.html
   ln -sf $WWWDIR/$YM_LAST.html $WWWDIR/last.html
   
   exit $?

   Hier muss 09 natürlich durch deinen Abrechnungstag ersetzt werden.
5. Reports automatisch erstellen lassen
   Dazu müssen in der crontab folgende cronjobs erstellt werden:
   

   Code: Select all

   export EDITOR=pico
   crontab -e

   zum aufrufen des Cron-Editors, dann dort folgende Zeilen einfügen (die jede halbe Stunde einen dump erstellen und zwei Minuten später den Report schreiben)

   Code: Select all

   0,30 * * * * /etc/init.d/iptables dump >/dev/null
   2,32 * * * * /usr/local/iam/iam_report
   @reboot /etc/init.d/iptables start

   Ebenso wieder STR+O und RETURN zum speichern und STR+X zum verlassen von pico.
6. Testreport ausgeben (optional)
   Jetzt noch einen ersten Report auf der Konsole erstellen lassen:
   

   Code: Select all

   ./iam -r dump

   und es sollte ein Report erscheinen, der allerdings noch nicht viel enthält.

So, fertig ist die Installation.

Wenn auf dem Server Tools wie Nagios o.ä. laufen, gibt es natürlich immer etwas lokalen Traffic, also nicht wundern.

Wer weitere Ports speziell aufgelistet haben will (wie z.B. bei einigen Gameservern nötig), muss weitere chains erstellen. Wer damit nicht zurecht kommt, kann jederzeit im Forum suchen und ggf. posten, wenn's noch keine Lösung gibt.

Viel Spass mit iam und nochmal THX an alle, die bei der Entwicklung des HowTos durch Tipps, Erklärungen und Verbesserungen mitgewirkt haben, vor allem an deepinpowder, der sich als unermüdlicher Betatester bewährt hat,

RootForum-Team

[rob]

- Modifizieren:

Code: Select all

DUMPFILE=/usr/local/iam/dump
...
extif=eth0
extip=217.160.xxx.yyy
intif=lo
hq=217.160.xxx.yyy
intnet=217.160.xxx.yyy

Den Wert für hq würde ich auf 192.168.0.1 setzen, hq ist die Adresse von intevation.de (Ersteller von IAM), darum ist auch eine chain intevation im iptables-Script.

Man sollte eigentlich mal einen Patch schreiben, der diesen ganzen unnützen Kram aus den Python-scripts rausnimmt.

[floschi]

Den Wert für hq würde ich auf 192.168.0.1 setzen, hq ist die Adresse von intevation.de (Ersteller von IAM), darum ist auch eine chain intevation im iptables-Script.

THX. Hab ich nicht gewusst.

Edit: Mittlerweile weiss ich, dass amn das auch löschen kann, siehe eingefügt Erklärungen im HowTO ;)

Man sollte eigentlich mal einen Patch schreiben, der diesen ganzen unnützen Kram aus den Python-scripts rausnimmt.

Wäre echt interessant. Nur was ist alles unnütz?

Gruß

Olfi ;)

[rob]

Wäre echt interessant. Nur was ist alles unnütz?

Gruß

Olfi ;)

Na, dass Traffic vom/zum Intevationserver in die Traffic stats mit eingeht.

Guck dir doch mal einen Report an:

als zweite Zeile unter "traffic cost description" steht

x.xx DM intevation(Intevation office)

Das ist doch bekloppt.

[floschi]

Hi nochmal !

Ich hab mich jetzt mal weiter schlau gemacht und einige Verbesserungen oben eingearbeitet bzgl. unnötiger Ketten usw. (THX an Thomas Koester).

Nur dieser Satz von mir macht mir noch Sorgen, kann man den so stehen lassen?

Code: Select all

intnet=217.160.xxx.yyy

Die Netzmaske für das LAN am Serverstandort. Traffic zu anderen Rechnern im LAN kostet ja nichts. Ist für uns unerheblich, also eigene IP eintragen.

Gruß

Olfi ;)

[floschi]

Hi !

Hab grad noch einige Infos bekommen vom Autor und hab' mir selbst noch was erarbeitet...

Ich hatte z.B. innerhalb von 1 Tag 7 MB lokalen Traffic und wusste nicht woher. Bis ich dann drauf gekommen bin, dass das wahrscheinlich Nagios ist...

Werd das morgen nochmal in das HowTo einarbeiten und auch die Tatsache, dass man local eigentlich komplett weglassen kann.

Naja, aber jetzt nicht mehr,

Gruß

Olfi ;)

[markus]

Hi Olfi,

Hi nochmal !

Ich hab mich jetzt mal weiter schlau gemacht und einige Verbesserungen oben eingearbeitet bzgl. unnötiger Ketten usw. (THX an Thomas Koester).

Nur dieser Satz von mir macht mir noch Sorgen, kann man den so stehen lassen?

Code: Select all

intnet=217.160.xxx.yyy

Die Netzmaske für das LAN am Serverstandort. Traffic zu anderen Rechnern im LAN kostet ja nichts. Ist für uns unerheblich, also eigene IP eintragen.

Gruß

Olfi ;)

Kannste laut techniche Hotline leider nicht. Mit ausnahme zu FTP-Backupserver den mann für 49.- â?¬/Monat mieten kann, wird der Traffic ab Netzkarte berechnen. (Steht glaub auch irgendwo in den FAQ oder so) Da ist Traffic zu anderen RootServern auch mit eingeschlossen.


MFG MarkuS

[floschi]

THX.

Schon wieder hab' ich gemerkt, dass ich da saublöd formuliert hab ;)

Das der Traffic zu anderen Servern mitgerechnet wird, ist mir klar. Nur ob ich diese Angabe dort so stehen lassen kann, eben nicht. Mir geht's hauptsächlich darum, was denn die Netzmaske meines Servers ist?

Das ist doch einfach die IP, oder nicht?

Gruß

Olfi ;)

[sascha]

Ich hab da die IP des Updateservers eingetragen und es funktioniert einwandfrei.

[floschi]

Ich hab da die IP des Updateservers eingetragen und es funktioniert einwandfrei.

Merci, guter Tipp ;)

Dann müsste es ja genauso auch gehen, z.B. den kostenlosen Backupserver einzutragen, sofern man einen hat.

Werd' ich noch irgendwie mit einarbeiten...

Gruß

Olfi ;)

[sascha]

Dann müsste es ja genauso auch gehen, z.B. den kostenlosen Backupserver einzutragen, sofern man einen hat.

Werd' ich noch irgendwie mit einarbeiten...

Gruß

Olfi ;)

Der Backup-Server ist der gleiche wie der Update-Server

[floschi]

So, jetzt hab' ich's nochmal verbessert.

[d.goersch]

Moin,

um die Netmask rauszufinden gebt ihr auf der Konsole "ifconfig" ein.
Dort wo die Netzwerkkarte "eth0" beschrieben wird, steht in der zweiten Zeile als dritter Wert die Netzmaske "Mask".

Bei meinem lokalen Router (Netz 192.168.0.0) siehts so aus:

Code: Select all

home:~# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:01:02:B6:C3:9F
          inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:65093355 errors:0 dropped:0 overruns:1 frame:0
          TX packets:62603700 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:628840326 (599.7 MiB)  TX bytes:3005055520 (2.7 GiB)
          Interrupt:10 Base address:0xe800

Eine Liste aller relevanten Netzmasken werde ich im Rahmen einer Projektseite unserer Umschulung bald veröffentlichen, Netzmasken dienen der logischen Segmentierung von grossen Netzen. (Bsp: Bei Netzmaske 255.255.255.0 können in dem Class-C-Netz alle 256 IP's (Abzüglich Netzwerk- u. Broadcastadresse) "gesehen" werden, steht die Netzmaske auf 255.255.255.255 sehe ich nur eine mögliche IP - mich selber. Das ganze ist bei Lan's interessant, um sie zu unterteilen, mit 255.255.255.128 erstelle ich z.B. zwei gleichgrosse Subnetze (IP's von x.x.x.1-127 und x.x.x.129-254))

Hoffe damit zunächst einmal geholfen zu haben.

Gruß, D.Görsch

[sascha]

Ich hab da noch nen kleinen Tipp zu IAM.

Der Abrechnungszeitraum von 1&1 unterscheidet sich ja von dem von IAM. Bei mir wird z.B. immer am 9. abgerechnet. IAM bringt man das durch diese änderung in der iam_report bei:

Code: Select all

#!/bin/sh

IAM=/pfad/zu/iam
DUMP=/pfad/zum/dumpfile
WWWDIR=/pfad/zum/report

YM_CURRENT=`date '+%Y-%m'`
YM_LAST=`date --date='1 month ago' '+%Y-%m'`
YM_NEXT=`date --date='1 month' '+%Y-%m'`

$IAM -f $YM_CURRENT-09 -t $YM_NEXT-09 -w $WWWDIR/$YM_CURRENT.html $DUMP
$IAM -f $YM_LAST-09 -t $YM_CURRENT-09 -w $WWWDIR/$YM_LAST.html $DUMP

ln -sf $WWWDIR/$YM_CURRENT.html $WWWDIR/current.html
ln -sf $WWWDIR/$YM_LAST.html $WWWDIR/last.html

exit $?

Hier müsst ihr 09 natürlich durch eueren Abrechnungstag ersetzen![/code]

[floschi]

Und noch eine Kleinigkeit, die sich aber anscheinend nicht auswirkt:

Bei intnet= gehört laut Programmautor die Netzmaske des Netzes hin, in dem sich der Server befindet.

Ein ifconfig zeigt, dass diese beim Rootserver 255.255.255.255 ist. Folglich sollte das dort stehen...

Es funzzt aber prima, dort z.B. den Updateserver einzutragen (wie sascha geschrieben hat). Dabei wäre für den doch der Logik nach eine eigene Kette (oder eine Ã?nderung der hq) fällig.

Ich muss das ja nicht verstehen, zumal es ja prima funzzt, aber wenn jemand darauf noch ne Antwort hat...

Gruß

Olfi ;)

[rootmaster]

Und noch eine Kleinigkeit, die sich aber anscheinend nicht auswirkt:

Bei intnet= gehört laut Programmautor die Netzmaske des Netzes hin, in dem sich der Server befindet.

Ein ifconfig zeigt, dass diese beim Rootserver 255.255.255.255 ist. Folglich sollte das dort stehen...

Es funzzt aber prima, dort z.B. den Updateserver einzutragen (wie sascha geschrieben hat). Dabei wäre für den doch der Logik nach eine eigene Kette (oder eine Ã?nderung der hq) fällig.

Ich muss das ja nicht verstehen, zumal es ja prima funzzt, aber wenn jemand darauf noch ne Antwort hat...

Gruß

Olfi ;)

der free traffic wird durch den chain local gecountet, dazu gehört auch intnet (intranet), angegeben durch IP/NETMASK nach CIDR.
ausserdem ist für free traffic als beispiel noch der chain intevation angegeben (hq)

"back to the roots"

[kowtun]

Was macht das @reboot /etc/init.d/iptables start ???
Startet das den Server neu? oder was soll das machen?

Das gehört doch nicht mehr in den cronjob, oder?

[arty]

Hi,

Was macht das @reboot /etc/init.d/iptables start ???
Startet das den Server neu? oder was soll das machen?

Das gehört doch nicht mehr in den cronjob, oder?

doch, das gehört in den Cronjob! Damit startet IAM, wenn der Server neugestartet wurde.

bye
arty

[kowtun]

ok das erklärt dann so einiges. Hatte nur angst der startet jetzt alle 30 min den ganzen Server neu ;)

[neo]

so, da es heisst bei fragen hier rein posten würd ich ganz gerne wissen wie ich iam beibringe den Traffic von nem q3a(glaub Protokoll ist udp) Server anzuzeigen?

Danke

[sascha]

Schau mal hier:
http://www.rootforum.org/forum/viewtopi ... sc&start=0

Da ist ein Beispiel für hlds. Musst eigentlich nur den Portrange anpassen und nen anderen Namen für die Chain vergeben.

[vratislav]

Hallo,

hat jemand eine Idee (oder Quelle) wie ich den Traffic für einen installierten Newsserver messen kann.

Benutzt wird eigentlich immer Port 119.

Danke!

[rootmaster]

Hallo,

hat jemand eine Idee (oder Quelle) wie ich den Traffic für einen installierten Newsserver messen kann.

Benutzt wird eigentlich immer Port 119.

Danke!

ja, siehe...

http://www.rootforum.org/forum/viewtopic.php?t=2423

"back to the roots"

[vratislav]

Hallo,

erstmal Danke.

Ich suchte jedoch eher eine Regel die ich in "IAM" einbinden kann.

vratislav

[floschi]

Ich suchte jedoch eher eine Regel die ich in "IAM" einbinden kann.

Dann schau dir mal den Link von Sascha weiter oben an. Nach diesem Muster musst du dir eine eigene Chain stricken...

Probier's einfach mal ;)