Модератор: terminus
Чё за бред, он же на русском идёт в комплекте?emoxam писал(а):честно говоря у меня не получилось найти на него толковый ман.. иначе я бы конечно сначала почитал
Код: Выделить всё
NAME
ipacctd -- программа подсчёта IP трафика с использованием divert сокета
SYNOPSIS
ipacctd [-cdhstvwV] [-b size] [-f file] [-m recs] [-r file] -p port
DESCRIPTION
Программа ipacctd предназначена для подсчёта IP трафика. Для получения IP
пакетов используется divert(4) сокет и соответствующие правила ipfw(8).
Могут использоваться следующие ключи:
-b size Установить размеры буферов приёма/передачи divert(4) сокета рав-
ные size. При большом количестве пакетов в секунду рекоменду-
ется выставлять равным максимальному значению (равному значению
sysctl(8) переменной kern.ipc.maxsockbuf.
-c cisco-like формат вывода акаунтинга. В этом случае колонки
packets и bytes поменяны местами и перед ip_src стоит пробел.
-d Не отсоединяться от терминала (не вызывать daemon(3)). Полезно
при отладке.
-f file Записывать статистику в file. В имени файла могут быть исполь-
зованы символы форматирования strftime(3).
-h Вывести список поддерживаемых опций.
-m recs Максимальное число записей в хэше (по умолчанию - 30000). Под
записью понимается уникальное сочетание ip_src/ip_dst для обыч-
ного режима и ip_src/ip_dst/s_port/d_port/ip_proto для расширен-
ного режима. Наличие этой опции предотвращает DoS атаки, так как
для каждого элемента хэша требуется определённое количество опе-
ративной памяти.
-p port Обязательный ключ. Задаёт номер порта из divert/tee правила.
-r file Имя файла для записи идентификатора процесса (process ID).
-s Создавать unix(4) stream socket, который можно использовать для
получения статистики вместо посылки SIGHUP. Смотрите также
IMPLEMENTATION NOTES.
-t Использовать для получения пакетов tee правило ipfw(8) (по умол-
чанию используется divert).
-v Расширенный режим статистики (выводится ip протокол и порты для
TCP/UDP/ICMP).
-w Последним полем выводится время в формате time_t когда был запи-
сан первый пакет.
-V Вывести версию программы.
При получении сигнала SIGHUP ipacctd записывает статистику в файл по
умолчанию или указанный в опции -f. Статистика имеет следующий формат:
ip_from ip_to bytes packets
В случае использования опции -v статистика выводится в виде:
ip_from s_port ip_to d_port proto bytes packets
Если proto - ICMP, то s_port - ICMP type, d_port - ICMP sub-code.
При получении сигнала SIGUSR2 ipacctd записывает текущую статистику и
отладочную информация в файл /var/tmp/ipacctd_dump.
IMPLEMENTATION NOTES
Начиная с версии 1.43, появилась опция -s, позволяющий получать стати-
стику с помощью команды
cat /tmp/ipacct/ipacct.<port>
Необходимо учитывать что поддержка unix(4) сокетов появилась в cat(1)
начиная с FreeBSD 4.5.
FILES
/tmp/ipacct/ipacct.<port> unix(8) сокет для получения статистики при
использовании опции -s
/var/log/ipacct.<port> файл по умолчанию для сохранения статистики
/vsr/run/ipacctd.<port> файл по умолчанию для сохранения PIDа
/var/tmp/ipacctd_dump файл для сохранения текущего состояния ipacctd
по SIGUSR2
EXAMPLES
Типичный пример использования ipacctd:
1. Добавить правило ipfw(8)
add 2000 divert 10000 ip from any to any via ppp*
2. Запустить ipacctd
ipacctd -v -p 10000 -f /var/log/ipacct.%F_%T
После этого по SIGHUP ipacctd будет записывать статистику по IP пакетам,
прошедшим через ppp интерфейсы в файл с именем
ipacct.YYYY-MM-DD_HH:MM:SS.
DIAGNOSTICS
Все сообщения об ошибках записываются с помощью syslog(3). Необходимо
обращать внимание на сообщения вида (port %d) accounting threshold
exceeded for %d packet(s) and %d byte(s). Они говорят о том, что указан-
ное количество пакетов было принято ipacctd но не подсчитано из-за превы-
шения количества записей в хэш-таблице. Возможные решения - чаще снимать
статистику или увеличить количество записей в хэш-таблице с помощью ключа
-m.
COMPATIBILITY
ipacctd должнен работать на всех версиях FreeBSD, поддерживающих
divert(4) сокеты.
SEE ALSO
divert(4), ipfw(8).
AUTHORS
Roman V. Palagin <romanp@unshadow.net>.
BUGS
Если вы нашли ошибки - пожалуйста, свяжитесь с автором.Код: Выделить всё
#ifconfig_fxp0="inet 192.168.0.4 netmask 255.255.255.0"
ifconfig_fxp0="DHCP"
ifconfig_rl0="inet 192.168.1.1 netmask 255.255.255.0"
defaultrouter="192.168.0.1"
hostname="gw"
sshd_enable="YES"
syslogd_enable="YES"
syslogd_flags="-s"
rpc_statd_enable="NO"
portmap_enable="NO"
inetd_enable="YES"
inetd_flags="-wW -l -R 1024"
font8x8="cp866-8x8"
font8x14="cp866-8x14"
font8x16="cp866-8x16"
scrnmap="koi8-r2cp866"
keymap="ru.koi8-r"
firewall_enable="YES"
firewall_type="/etc/rc.firewall.rules"
firewall_quiet="YES"
firewall_nat_enable="YES"
firewall_nat_interface="fxp0"
firewall_nat_flags="unreg_only same_ports \
redirect_port tcp 192.168.1.10:1974 1974 \
redirect_port tcp 192.168.1.10:3389 3389 \
redirect_port tcp 192.168.1.10:26915 26915 \
redirect_port tcp 192.168.1.10:7195 7195 \
redirect_port udp 192.168.1.10:1420 1420 \
redirect_port tcp 192.168.1.10:21300 21300 \
redirect_port tcp 192.168.1.10:4662 4662 \
redirect_port udp 192.168.1.10:4672 4672"
tcp_drop_synfin="YES"
icmp_drop_redirect="YES"
icmp_log_redirect="YES"
log_in_vain="1"
kern_securelevel_enable="YES"
kern_securelevel="1"
gateway_enable="YES"
fsck_y_enable="YES"
cron_flags="-s"
mysql_enable="YES"
#courier_authdaemond_enable="YES"
#courier_imap_imapd_enable="YES"
#clamav_clamd_enable="YES"
#clamav_freshclam_enable="YES"
#amavisd_enable="YES"
#sendmail_enable="NO"
#sendmail_submit_enable="NO"
#sendmail_outbound_enable="NO"
#sendmail_msp_queue_enable="NO"
#postfix_enable="YES"
#apache2_enable="YES"
dhcpd_enable="YES"
dhcpd_ifaces="rl0"
ntpdate_flags="ru.pool.ntp.org"
ntpdate_enable="YES"
named_enable="YES"
named_program="/usr/sbin/named"
#named_flags=""
named_pidfile="/var/run/named/pid"
named_uid="bind"
named_chrootdir="/var/named"
ipacctd_enable="YES"
ipacctd_flags="-v"
ipacctd_rules="fxp0"
ipacctd_rule_fxp0_flags="-p 1001 -f /var/log/traffic_fxp0.log"
ipacctd_rule_fxp0_pid="/var/run/ipacctd.fxp0"
#ipacctd_rule_lo0_flags="-p 1002 -f /var/log/traffic_lo0.log"
#ipacctd_rule_lo0_pid="/var/run/ipacctd.lo0"
squid_enable="YES" Код: Выделить всё
if [ -z "${source_rc_confs_defined}" ]; then
if [ -r /etc/defaults/rc.conf ]; then
. /etc/defaults/rc.conf
source_rc_confs
elif [ -r /etc/rc.conf ]; then
. /etc/rc.conf
fi
fi
setup_loopback () {
${fwcmd} add 100 pass all from any to any via lo0
${fwcmd} add 200 deny all from any to 127.0.0.0/8
${fwcmd} add 300 deny ip from 127.0.0.0/8 to any
}
case ${firewall_quiet} in
[Yy][Ee][Ss])
fwcmd="/sbin/ipfw -q"
;;
*)
fwcmd="/sbin/ipfw"
;;
esac
${fwcmd} -f flush
setup_loopback
oif="fxp0"
onet="192.168.0.0"
omask="255.255.255.0"
oip="192.168.0.4"
iif="rl0"
inet="192.168.1.0"
imask="255.255.255.0"
iip="192.168.1.1"
${fwcmd} add 300 tee 10001 ip from any to any in via ${oif}
#${fwcmd} add divert 1002 ip from any to any via lo0
op="******"
${fwcmd} add 400 deny all from ${inet}:${imask} to any in via ${oif}
${fwcmd} add 400 deny all from ${onet}:${omask} to any in via ${iif}
case ${firewall_nat_enable} in
[Yy][Ee][Ss])
if [ -n "${firewall_nat_interface}" ]; then
if echo "${firewall_nat_interface}" | \
grep -q -E '^[0-9]+(\.[0-9]+){0,3}$'; then
firewall_nat_flags="ip ${firewall_nat_interface} ${firewall_nat_flags}"
else
firewall_nat_flags="if ${firewall_nat_interface} ${firewall_nat_flags}"
fi
${fwcmd} nat 123 config ${firewall_nat_flags}
${fwcmd} add 600 nat 123 ip4 from any to any via ${firewall_nat_interface}
fi
;;
esac
# Allow TCP through if setup succeeded
${fwcmd} add 700 pass tcp from any to any established
${fwcmd} add 701 pass tcp from ${oip} to any setup
${fwcmd} add 702 pass tcp from ${iip} to any setup
${fwcmd} add 703 pass icmp from any to any
${fwcmd} add 704 pass udp from me to any keep-state
${fwcmd} add 705 pass all from any to any frag
# Allow op
${fwcmd} add 800 pass tcp from ${op} to any setup
# Allow RDP+RADMIN
${fwcmd} add 850 pass tcp from any to any 3389 setup
${fwcmd} add 851 pass tcp from any to any 1974 setup
# Allow WEB
# ${fwcmd} add 855 pass tcp from any to any 80 setup
# Allow TORRENT
${fwcmd} add 870 pass ip from any to any 26915 setup
# Allow emule
${fwcmd} add 871 pass tcp from any to any 4662 setup
${fwcmd} add 872 pass udp from any to any 4672 setup
# Allow soulseek
${fwcmd} add 875 pass tcp from any to any 21300 setup
# Allow DC
${fwcmd} add 876 pass tcp from any to any 7195 setup
${fwcmd} add 877 pass udp from any to any 1420 setup
# Allow SQUID
${fwcmd} add 878 pass tcp from ${inet}:${imask} to ${iip} 3128 in via ${iif} set
# Allow DNS
${fwcmd} add 948 allow udp from any to me 53 in via ${iif}
# Allow IMAP
# ${fwcmd} add 950 pass tcp from any to ${oip} 143 setup
# ${fwcmd} add 951 pass tcp from any to ${iip} 143 setup
# Allow SSH
${fwcmd} add 952 pass tcp from any to ${iip} 22 keep-state
${fwcmd} add 952 pass tcp from any to ${oip} 22 keep-state
# Deny me
${fwcmd} add 2000 deny log all from any to me
# Allow local networks
${fwcmd} add 5000 pass tcp from ${inet}:${imask} to any in via ${iif} setup
${fwcmd} add 5001 pass udp from ${inet}:${imask} to any via ${iif} keep-state
# Deny ALL
${fwcmd} add 65000 deny log all from any to any
Код: Выделить всё
root@/etc# ipfw show
00001 13719 9078547 allow ip from any to any - нарисовал на всякий случай, мало ли какое правило не пускает...
00100 0 0 allow ip from any to any via lo0
00300 11253 14893940 tee 10001 ip from any to any in via fxp0зачем? есть опция -s и логи будут сыпаться по команде cat /path/to/log. С некоторых пор cat умеет работать с сокетами.emoxam писал(а):судя по всему надо по крону дергать killall -SIGHUP ipacctd
в мане ясно написано, чтоlissyara писал(а):э... в статье вроде написано что в крон его надо...
и скрипт сбора явно вызывает HUP...
в мане по cat написано следующееКод: Выделить всё
-s Создавать unix(4) stream socket, который можно использовать для получения статистики вместо посылки SIGHUP. Смотрите также IMPLEMENTATION NOTES.
Код: Выделить всё
CAT(1) FreeBSD General Commands Manual CAT(1)
NAME
cat -- concatenate and print files
SYNOPSIS
cat [-benstuv] [file ...]
DESCRIPTION
The cat utility reads files sequentially, writing them to the standard
output. The file operands are processed in command-line order. If file
is a single dash (`-') or absent, cat reads from the standard input. If
file is a UNIX domain socket, cat connects to it and then reads it until
EOF. This complements the UNIX domain binding capability available in
inetd(8).
lissyara писал(а):а давно ли оно так умеет?
Код: Выделить всё
IMPLEMENTATION NOTES
Начиная с версии 1.43, появилась опция -s, позволяющий получать стати-
стику с помощью команды
cat /tmp/ipacct/ipacct.<port>
Необходимо учитывать что поддержка unix(4) сокетов появилась в cat(1)
начиная с FreeBSD 4.5.Код: Выделить всё
# cd /usr/ports/
# make search name=ipacctd
Port: ipacctd-1.47
Path: /usr/ports/net-mgmt/ipacctd
Info: IP accounting using divert socket
Maint: skv@FreeBSD.org
B-deps:
R-deps:
WWW:
# uname -a
FreeBSD 6.2-RELEASE FreeBSD 6.2-RELEASE #0: Fri Jan 12 10:40:27 UTC 2007 root@dessler.cse.buffalo.edu:/usr/obj/usr/src/sys/GENERIC i386
#
Код: Выделить всё
ipacctd_enable="YES"
ipacctd_flags="-v"
ipacctd_rules="rl0 lo0"
ipacctd_rule_rl0_flags="-p 1001 -b 262144 -f /var/log/traffic_rl0.log"
ipacctd_rule_rl0_pid="/var/run/ipacctd.rl0"
ipacctd_rule_lo0_flags="-p 1002 -b 262144 -f /var/log/traffic_lo0.log"
ipacctd_rule_lo0_pid="/var/run/ipacctd.lo0"
Код: Выделить всё
LanOut="rl0"
LanIn="re0"
NetIn="192.168.7.0"
NetOut="192.168.3.0"
IpOut="192.168.3.60"
IpIn="192.168.7.60"
NetMask="24"
${fwcmd} -f flush
${fwcmd} add divert 1001 ip from any to any via rl0
${fwcmd} add divert 1002 ip from any to any via lo0
${fwcmd} add deny ip from any to 10.0.0.0/8 in via ${LanOut}
${fwcmd} add deny ip from any to 172.16.0.0/12 in via ${LanOut}
${fwcmd} add deny ip from any to 0.0.0.0/8 in via ${LanOut}
${fwcmd} add deny ip from any to 169.254.0.0/16 in via ${LanOut}
${fwcmd} add deny ip from any to 192.0.2.0/24 in via ${LanOut}
${fwcmd} add deny ip from any to 224.0.0.0/4 in via ${LanOut}
${fwcmd} add deny ip from any to 240.0.0.0/4 in via ${LanOut}
#SQUID3
${fwcmd} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}
${fwcmd} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
${fwcmd} add divert natd ip from any to ${IpOut} in via ${LanOut}
${fwcmd} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
${fwcmd} add deny ip from 172.16.0.0/12 to any out via ${LanOut}
${fwcmd} add deny ip from 0.0.0.0/8 to any out via ${LanOut}
${fwcmd} add deny ip from 169.254.0.0/16 to out any via ${LanOut}
${fwcmd} add deny ip from 192.0.2.0/24 to any out via ${LanOut}
${fwcmd} add deny ip from 224.0.0.0/4 to any out via ${LanOut}
${fwcmd} add deny ip from 240.0.0.0/4 to any out via ${LanOut}
${fwcmd} add allow tcp from any to any established
${fwcmd} add allow ip from ${IpOut} to any out xmit ${LanOut}
${fwcmd} add allow tcp from any to ${IpOut} 1723 via ${LanOut}
${fwcmd} add allow gre from any to any
${fwcmd} add allow tcp from any to ${IpOut} 22 via ${LanOut}
#FTP
${fwcmd} add allow all from any to 192.168.7.250 21
${fwcmd} add allow all from any to 192.168.7.250 20
${fwcmd} add allow all from 192.168.7.250 to any
${fwcmd} add allow all from any to 192.168.7.250
${fwcmd} add allow udp from any 53 to any via ${LanOut}
${fwcmd} add allow icmp from any to any icmptypes 0,3,4,8,11,12
${fwcmd} add allow tcp from any to any via ${LanIn}
${fwcmd} add allow udp from any to any via ${LanIn}
${fwcmd} add allow icmp from any to any via ${LanIn}
${fwcmd} add deny ip from any to any
;;
Код: Выделить всё
Jun 12 12:39:02 freebsd ipacctd[80173]: (port 1002) accounting started
($Revision: 1.47 $, using 'divert' socket, verbose statistic, threshold = 30000, socket buffer = 262144)
Jun 12 12:39:02 freebsd ipacctd[80173]: (port 1002) setsockopt(SO_RCVBUF): No buffer space available
Jun 12 12:39:02 freebsd ipacctd[80173]: (port 1002) setsockopt(SO_SNDBUF): No buffer space available
Код: Выделить всё
Jun 12 12:22:58 freebsd ipacctd[78240]: (port 1001) accounting started
($Revision: 1.47 $, using 'divert' socket, verbose statistic, threshold = 30000, socket buffer = -1077940968)
Jun 12 12:22:58 freebsd ipacctd[78240]: (port 1001) setsockopt(SO_RCVBUF): Invalid argument
Jun 12 12:22:58 freebsd ipacctd[78240]: (port 1001) setsockopt(SO_SNDBUF): Invalid argument
Код: Выделить всё
ipacctd_enable="YES"
ipacctd_flags="-v"
ipacctd_rules="rl0 lo0"
ipacctd_rule_rl0_flags="-p 1001 -b 115000 -f /var/log/traffic_rl0.log"
ipacctd_rule_rl0_pid="/var/run/ipacctd.rl0"
ipacctd_rule_lo0_flags="-p 1002 -b 115000 -f /var/log/traffic_lo0.log"
ipacctd_rule_lo0_pid="/var/run/ipacctd.lo0"
Код: Выделить всё
Jun 12 15:41:39 freebsd ipacctd[1335]: (port 1001) accounting started
($Revision: 1.47 $, using 'divert' socket, verbose statistic, threshold = 30000, socket buffer = 115000)
Jun 12 15:41:39 freebsd ipacctd[1338]: (port 1002) accounting started
($Revision: 1.47 $, using 'divert' socket, verbose statistic, threshold = 30000, socket buffer = 115000)