Jump to content

Netflow али чего попроще есть?


Recommended Posts

Это.. прошу прощения у сообщества за потенциально ламероватый вопрос.. но не tcpdump'ом же мне пакеты рассматривать...

Дано: контора, в ней сеть на десятка два машин, инет раздает NAT на базе FreeBSD 5.3

Биллингом на этом роутере работает Stargazer, параллельно есть транспарентный Squid и его логи визуализирует некий Sarg

Недавно заметил очень уж здоровый трафик с одного из компов, выделил после работы время, прошерстил винду, просканил на вирусы, трояны и прочую хрень - все путем.

Значит, трафик сосут прыгающие за тот комп юзвери

Какой есть способ не слишком сложными манипуляциями на сервере определить, что куда за NATом идет и по каким портам, для определенного IP? Netflow прикручивать?

Спасибо

Link to post
Share on other sites
поставте нармальный билинг.

Нормальный билинг в вашем понимании тот, что стоит n баксов? ;)

Возможно, соглашусь.. но спонсироватьэто пока некому.

Link to post
Share on other sites

а логи старгейзера, detailstat - под них есть что-то из визуализаторов? для наглядности, так сказать

Link to post
Share on other sites

хм.. ну, коли так.. пойду порыскаю, благо ветка специальная есть

Спасибо за подсказку! ;)

Link to post
Share on other sites
Это.. прошу прощения у сообщества за потенциально ламероватый вопрос.. но не tcpdump'ом же мне пакеты рассматривать...

Дано: контора, в ней сеть на десятка два машин, инет раздает NAT на базе FreeBSD 5.3

Биллингом на этом роутере работает Stargazer, параллельно есть транспарентный Squid и его логи визуализирует некий Sarg

Недавно заметил очень уж здоровый трафик с одного из компов, выделил после работы время, прошерстил винду, просканил на вирусы, трояны и прочую хрень - все путем.

Значит, трафик сосут прыгающие за тот комп юзвери

Какой есть способ не слишком сложными манипуляциями на сервере определить, что куда за NATом идет и по каким портам, для определенного IP? Netflow прикручивать?

Спасибо

 

до ната ставиш

sysctl -w net.inet.ip.dummynet.expire=0

ipfw pipe {num} delete

ipfw pipe {num} config bw 0 mask dst-ip 0xffffffff src-ip 0xffffffff src-port 0xffff dst-port 0xffff

ipfw add {num} pipe {num} ip from any to any

 

затем раз в 10 минут делаешь

ipfw pipe {num} show >/log/ipfw_log_file_`date +%Y%m%d`.log

ipfw pipe {num} delete

ipfw pipe {num} config bw 0 mask dst-ip 0xffffffff src-ip 0xffffffff src-port 0xffff dst-port 0xffff

 

ну когда удобно смотриш что там и куда там ходит

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By mac
      Глюк в тому, що один (так - тільки один) mac адрес onu існує в білінгу у вигляді строки. Це трохи заважає.
      olt - bdcom gepon.
      Наскільки зрозумів, це виключно проблема реалізації snmpwalk у freebsd, де snmpwalk може на свій розсуд віддати mac адресу не як hex-string, а як звичайний string.
      Можливо snmpwalk тригериться на якомусь символі, мені невідомо.
       
      # tcpdump -vv -i em0 udp port 161 and host olt and host ub | grep "3320.101.10.4.1.1.241 ... olt.snmp > ub.47940: [udp sum ok] { SNMPv2c C="*****" { GetResponse(44) R=93278354 E:3320.101.10.4.1.1.241="8LO"W*" } } ub.47940 > olt.snmp: [udp sum ok] { SNMPv2c C="*****" { GetNextRequest(34) R=93278355 E:3320.101.10.4.1.1.241 } } snmpwalk -c***** -v2c -t5 olt .1.3.6.1.4.1.3320.101.10.4.1.1 SNMPv2-SMI::enterprises.3320.101.10.4.1.1.241 = STRING: "8LO\"W*" snmpwalk -Ox -c***** -v2c -t5 olt .1.3.6.1.4.1.3320.101.10.4.1.1 SNMPv2-SMI::enterprises.3320.101.10.4.1.1.241 = Hex-STRING: 38 4C 4F 22 57 2A  
      Це стосується таких параметрів у snmp конфізі bdcom
       
      [signal] MACINDEX=".1.3.6.1.4.1.3320.101.10.4.1.1" [misc] ONUINDEX=".1.3.6.1.4.1.3320.101.11.1.1.3"  
      За для усунення глюку спробував трошки змінити код і завдати тип snmp параметру явно у ./api/libs/api.ponbdcom.php у function collect()
      Це працює. Мабуть станеться у нагоді:
       
      # diff api.ponbdcom.php{.new,.bak} 37c37 < $onuIndex = $this->snmp->walk('-Ox ' . $oltIp . ':' . self::SNMPPORT, $oltCommunity, $onuIndexOid, self::SNMPCACHE); --- > $onuIndex = $this->snmp->walk($oltIp . ':' . self::SNMPPORT, $oltCommunity, $onuIndexOid, self::SNMPCACHE); 91c91 < $macIndex = $this->snmp->walk('-Ox ' . $oltIp . ':' . self::SNMPPORT, $oltCommunity, $macIndexOID, self::SNMPCACHE); --- > $macIndex = $this->snmp->walk($oltIp . ':' . self::SNMPPORT, $oltCommunity, $macIndexOID, self::SNMPCACHE);  
      P.S. Створив тему, а зараз міркую: а може це глюк у ПЗ olt. Оновлю фірмваре olt та перевірю...
       

    • By ppv
      Потрібно було витерти одну мережу, всі абоненти з неї були перенесені в іншу. Але світить що 6 IP зайняті, хоча вона повністю вільна.
       
      ID    Мережа/CID           RВсього IP        Використано IP ▾           Вільно IPСервіс
      6      172.16.70.0/23        506                    6                                       500
       
      Підкажіть як правильно це підчистити щоб видалити мережу.
    • By a_n_h
      Всем доброго дня и мирного неба!
        После многочисленных экспериментов выяснил, что на последних версиях freebsd  максимум удавалось прокачать до 14 ГБт суммарно трафика со 100% загрузкой процессора. На том-же железе но с установленной freebsd 11.2 прокачивается до 20-ти ГБт суммарно тестового трафика с загрузкой процессора около 50%. 
        Подскажите, что можно убрать или наоборот добавить в систему с freebsd 13,3 для получения аналогичного результата...
    • By ppv
      Проглянув FAQ і Ubilling Wiki. Зацікавило питання чи є в Ubilling якась реалізація reCAPTCHA, чи потрібно додавати руцями, (для прикладу для форми подачі заявок чи для кабінету користувача)?
       
    • By Sat_Odessa
      Помогите решить задачу:
      Есть 2 роутера с белыми адресами: TPLink и MikroTik. Необходима переодическая настройка (открытие/закрытие портов). С Mikrotik-oм никаких проблем нет, так как инструкций в интернете вагон и маленькая тележка. А вот с TPLink-ом загвоздка. Чтобы не открывать доступ к нему на весь мир, доступ веб-интерфейсу TPLink-а открыт только для адреса Mikrotik-а. Соответственно из локальной сети Mikrotik-а я могу попасть в настройки TPLink-а. Но иногда нужен удаленный доступ к TPLink-у из других мест.
       
      Можно ли как-то открыть на Mikrotik-е внешний порт, чтобы весь трафик из интернета на этот порт перенаправлялся на внешний IP-адрес TPLink-а? Чтобы для TPLink-а это выглядело так, как будто я подключаюсь к нему с IP-адреса Mikrotik-а.
×
×
  • Create New...