ipacctd не пишет логи

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
emoxam
мл. сержант
Сообщения: 75
Зарегистрирован: 2008-03-03 20:45:14
Откуда: Москва
Контактная информация:

ipacctd не пишет логи

Непрочитанное сообщение emoxam » 2008-08-01 15:11:49

привет всем!!

делал по статье
http://www.lissyara.su/?id=1134

в MySQl ещё не лезу, ибо не могу понять почему логи пустые.. я вот подуамл у меня FreeBSD 7.0 может там какой то нюанс? впрочем в логах я не вижу никаких ошибок.. потому и не понимаю почему логи не пишуться.. :unknown:

Спасибо!
Самурай без меча подобен самураю с мечом но только без меча.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: ipacctd не пишет логи

Непрочитанное сообщение paradox » 2008-08-01 15:22:59

вы не понимаете как работает ipacctd
разберитесь
и вопросы пропадут сами собой

emoxam
мл. сержант
Сообщения: 75
Зарегистрирован: 2008-03-03 20:45:14
Откуда: Москва
Контактная информация:

Re: ipacctd не пишет логи

Непрочитанное сообщение emoxam » 2008-08-01 15:28:45

честно говоря у меня не получилось найти на него толковый ман.. иначе я бы конечно сначала почитал :oops:
Самурай без меча подобен самураю с мечом но только без меча.

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: ipacctd не пишет логи

Непрочитанное сообщение dikens3 » 2008-08-01 15:30:11

emoxam писал(а):честно говоря у меня не получилось найти на него толковый ман.. иначе я бы конечно сначала почитал :oops:
Чё за бред, он же на русском идёт в комплекте?

man ipacctd

Код: Выделить всё

NAME
     ipacctd -- программа подсчёта IP трафика с использованием divert сокета

SYNOPSIS
     ipacctd [-cdhstvwV] [-b size] [-f file] [-m recs] [-r file] -p port

DESCRIPTION
     Программа ipacctd предназначена для подсчёта IP трафика. Для получения IP
     пакетов используется divert(4) сокет и соответствующие правила ipfw(8).

     Могут использоваться следующие ключи:

     -b size  Установить размеры буферов приёма/передачи divert(4) сокета рав-
              ные size.  При большом количестве пакетов в секунду рекоменду-
              ется выставлять равным максимальному значению (равному значению
              sysctl(8) переменной kern.ipc.maxsockbuf.

     -c       cisco-like формат вывода акаунтинга. В этом случае колонки
              packets и bytes поменяны местами и перед ip_src стоит пробел.

     -d       Не отсоединяться от терминала (не вызывать daemon(3)).  Полезно
              при отладке.

     -f file  Записывать статистику в file.  В имени файла могут быть исполь-
              зованы символы форматирования strftime(3).

     -h       Вывести список поддерживаемых опций.

     -m recs  Максимальное число записей в хэше (по умолчанию - 30000).  Под
              записью понимается уникальное сочетание ip_src/ip_dst для обыч-
              ного режима и ip_src/ip_dst/s_port/d_port/ip_proto для расширен-
              ного режима. Наличие этой опции предотвращает DoS атаки, так как
              для каждого элемента хэша требуется определённое количество опе-
              ративной памяти.

     -p port  Обязательный ключ. Задаёт номер порта из divert/tee правила.

     -r file  Имя файла для записи идентификатора процесса (process ID).

     -s       Создавать unix(4) stream socket, который можно использовать для
              получения статистики вместо посылки SIGHUP. Смотрите также
              IMPLEMENTATION NOTES.

     -t       Использовать для получения пакетов tee правило ipfw(8) (по умол-
              чанию используется divert).

     -v       Расширенный режим статистики (выводится ip протокол и порты для
              TCP/UDP/ICMP).

     -w       Последним полем выводится время в формате time_t когда был запи-
              сан первый пакет.

     -V       Вывести версию программы.

     При получении сигнала SIGHUP ipacctd записывает статистику в файл по
     умолчанию или указанный в опции -f.  Статистика имеет следующий формат:

     ip_from ip_to bytes packets

     В случае использования опции -v статистика выводится в виде:

     ip_from s_port ip_to d_port proto bytes packets

     Если proto - ICMP, то s_port - ICMP type, d_port - ICMP sub-code.

     При получении сигнала SIGUSR2 ipacctd записывает текущую статистику и
     отладочную информация в файл /var/tmp/ipacctd_dump.

IMPLEMENTATION NOTES
     Начиная с версии 1.43, появилась опция -s, позволяющий получать стати-
     стику с помощью команды

           cat /tmp/ipacct/ipacct.<port>

     Необходимо учитывать что поддержка unix(4) сокетов появилась в cat(1)
     начиная с FreeBSD 4.5.

FILES
     /tmp/ipacct/ipacct.<port>  unix(8) сокет для получения статистики при
                                использовании опции -s
     /var/log/ipacct.<port>     файл по умолчанию для сохранения статистики
     /vsr/run/ipacctd.<port>    файл по умолчанию для сохранения PIDа
     /var/tmp/ipacctd_dump      файл для сохранения текущего состояния ipacctd
                                по SIGUSR2

EXAMPLES
     Типичный пример использования ipacctd:
           1.   Добавить правило ipfw(8)
                      add 2000 divert 10000 ip from any to any via ppp*
           2.   Запустить ipacctd
                      ipacctd -v -p 10000 -f /var/log/ipacct.%F_%T

     После этого по SIGHUP ipacctd будет записывать статистику по IP пакетам,
     прошедшим через ppp интерфейсы в файл с именем
     ipacct.YYYY-MM-DD_HH:MM:SS.

DIAGNOSTICS
     Все сообщения об ошибках записываются с помощью syslog(3).  Необходимо
     обращать внимание на сообщения вида (port %d) accounting threshold
     exceeded for %d packet(s) and %d byte(s).  Они говорят о том, что указан-
     ное количество пакетов было принято ipacctd но не подсчитано из-за превы-
     шения количества записей в хэш-таблице. Возможные решения - чаще снимать
     статистику или увеличить количество записей в хэш-таблице с помощью ключа
     -m.

COMPATIBILITY
     ipacctd должнен работать на всех версиях FreeBSD, поддерживающих
     divert(4) сокеты.

SEE ALSO
     divert(4), ipfw(8).

AUTHORS
     Roman V. Palagin <romanp@unshadow.net>.

BUGS
     Если вы нашли ошибки - пожалуйста, свяжитесь с автором.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

emoxam
мл. сержант
Сообщения: 75
Зарегистрирован: 2008-03-03 20:45:14
Откуда: Москва
Контактная информация:

Re: ipacctd не пишет логи

Непрочитанное сообщение emoxam » 2008-08-01 21:12:16

да, конечно, ман это ещё та статья ... и конечно же объясняет почему не пишуться логи...

может вообще дело в том что на шлюзе раскатан сквид? и я хожу через него ?
хотя правило диверта стоит ДО правила скида.. сразу после flush как было велено!
Самурай без меча подобен самураю с мечом но только без меча.

emoxam
мл. сержант
Сообщения: 75
Зарегистрирован: 2008-03-03 20:45:14
Откуда: Москва
Контактная информация:

Re: ipacctd не пишет логи

Непрочитанное сообщение emoxam » 2008-08-01 21:24:32

кидаю конфиги

rc.conf

Код: Выделить всё

#ifconfig_fxp0="inet 192.168.0.4 netmask 255.255.255.0"
ifconfig_fxp0="DHCP"
ifconfig_rl0="inet 192.168.1.1 netmask 255.255.255.0"
defaultrouter="192.168.0.1"
hostname="gw"
sshd_enable="YES"
syslogd_enable="YES"
syslogd_flags="-s"
rpc_statd_enable="NO"
portmap_enable="NO"
inetd_enable="YES"
inetd_flags="-wW -l -R 1024"
font8x8="cp866-8x8"
font8x14="cp866-8x14"
font8x16="cp866-8x16"
scrnmap="koi8-r2cp866"
keymap="ru.koi8-r"
firewall_enable="YES"
firewall_type="/etc/rc.firewall.rules"
firewall_quiet="YES"
firewall_nat_enable="YES"
firewall_nat_interface="fxp0"
firewall_nat_flags="unreg_only same_ports \
redirect_port tcp 192.168.1.10:1974 1974 \
redirect_port tcp 192.168.1.10:3389 3389 \
redirect_port tcp 192.168.1.10:26915 26915 \
redirect_port tcp 192.168.1.10:7195 7195 \
redirect_port udp 192.168.1.10:1420 1420 \
redirect_port tcp 192.168.1.10:21300 21300 \
redirect_port tcp 192.168.1.10:4662 4662 \
redirect_port udp 192.168.1.10:4672 4672"
tcp_drop_synfin="YES"
icmp_drop_redirect="YES"
icmp_log_redirect="YES"
log_in_vain="1"
kern_securelevel_enable="YES"
kern_securelevel="1"
gateway_enable="YES"
fsck_y_enable="YES"
cron_flags="-s"
mysql_enable="YES"
#courier_authdaemond_enable="YES"
#courier_imap_imapd_enable="YES"
#clamav_clamd_enable="YES"
#clamav_freshclam_enable="YES"
#amavisd_enable="YES"
#sendmail_enable="NO"
#sendmail_submit_enable="NO"
#sendmail_outbound_enable="NO"
#sendmail_msp_queue_enable="NO"
#postfix_enable="YES"
#apache2_enable="YES"
dhcpd_enable="YES"
dhcpd_ifaces="rl0"
ntpdate_flags="ru.pool.ntp.org"
ntpdate_enable="YES"
named_enable="YES"
named_program="/usr/sbin/named"
#named_flags=""
named_pidfile="/var/run/named/pid"
named_uid="bind"
named_chrootdir="/var/named"
ipacctd_enable="YES"
ipacctd_flags="-v"
ipacctd_rules="fxp0"
ipacctd_rule_fxp0_flags="-p 1001 -f /var/log/traffic_fxp0.log"
ipacctd_rule_fxp0_pid="/var/run/ipacctd.fxp0"
#ipacctd_rule_lo0_flags="-p 1002 -f /var/log/traffic_lo0.log"
#ipacctd_rule_lo0_pid="/var/run/ipacctd.lo0"
squid_enable="YES" 
rc.firewall.rules

Код: Выделить всё

if [ -z "${source_rc_confs_defined}" ]; then
        if [ -r /etc/defaults/rc.conf ]; then
                . /etc/defaults/rc.conf
                source_rc_confs
        elif [ -r /etc/rc.conf ]; then
                . /etc/rc.conf
        fi
fi

setup_loopback () {
        ${fwcmd} add 100 pass all from any to any via lo0
        ${fwcmd} add 200 deny all from any to 127.0.0.0/8
        ${fwcmd} add 300 deny ip from 127.0.0.0/8 to any
}

case ${firewall_quiet} in
[Yy][Ee][Ss])
        fwcmd="/sbin/ipfw -q"
        ;;
*)
        fwcmd="/sbin/ipfw"
        ;;
esac

${fwcmd} -f flush

setup_loopback

oif="fxp0"
onet="192.168.0.0"
omask="255.255.255.0"
oip="192.168.0.4"

iif="rl0"
inet="192.168.1.0"
imask="255.255.255.0"
iip="192.168.1.1"

${fwcmd} add 300 tee 10001 ip from any to any in via ${oif}
#${fwcmd} add divert 1002 ip from any to any via lo0

op="******"

${fwcmd} add 400 deny all from ${inet}:${imask} to any in via ${oif}
${fwcmd} add 400 deny all from ${onet}:${omask} to any in via ${iif}

case ${firewall_nat_enable} in
[Yy][Ee][Ss])
        if [ -n "${firewall_nat_interface}" ]; then

    if echo "${firewall_nat_interface}" | \
    grep -q -E '^[0-9]+(\.[0-9]+){0,3}$'; then
    firewall_nat_flags="ip ${firewall_nat_interface} ${firewall_nat_flags}"
else
    firewall_nat_flags="if ${firewall_nat_interface} ${firewall_nat_flags}"
fi
    ${fwcmd} nat 123 config ${firewall_nat_flags}
    ${fwcmd} add 600 nat 123 ip4 from any to any via ${firewall_nat_interface}
fi
;;
esac

# Allow TCP through if setup succeeded
${fwcmd} add 700 pass tcp from any to any established
${fwcmd} add 701 pass tcp from ${oip} to any setup
${fwcmd} add 702 pass tcp from ${iip} to any setup
${fwcmd} add 703 pass icmp from any to any
${fwcmd} add 704 pass udp from me to any keep-state
${fwcmd} add 705 pass all from any to any frag

# Allow op
${fwcmd} add 800 pass tcp from ${op} to any setup

# Allow RDP+RADMIN
${fwcmd} add 850 pass tcp from any to any 3389 setup
${fwcmd} add 851 pass tcp from any to any 1974 setup

# Allow WEB
# ${fwcmd} add 855 pass tcp from any to any 80 setup

# Allow TORRENT
${fwcmd} add 870 pass ip from any to any 26915 setup

# Allow emule
${fwcmd} add 871 pass tcp from any to any 4662 setup
${fwcmd} add 872 pass udp from any to any 4672 setup

# Allow soulseek
${fwcmd} add 875 pass tcp from any to any 21300 setup

# Allow DC
${fwcmd} add 876 pass tcp from any to any 7195 setup
${fwcmd} add 877 pass udp from any to any 1420 setup

# Allow SQUID
${fwcmd} add 878 pass tcp from ${inet}:${imask} to ${iip} 3128 in via ${iif} set

# Allow DNS
${fwcmd} add 948 allow udp from any to me 53 in via ${iif}

# Allow IMAP
# ${fwcmd} add 950 pass tcp from any to ${oip} 143 setup
# ${fwcmd} add 951 pass tcp from any to ${iip} 143 setup

# Allow SSH
${fwcmd} add 952 pass tcp from any to ${iip} 22 keep-state
${fwcmd} add 952 pass tcp from any to ${oip} 22 keep-state

# Deny me
${fwcmd} add 2000 deny log all from any to me

# Allow local networks
${fwcmd} add 5000 pass tcp from ${inet}:${imask} to any in via ${iif} setup
${fwcmd} add 5001 pass udp from ${inet}:${imask} to any via ${iif} keep-state

# Deny ALL
${fwcmd} add 65000 deny log all from any to any
конфиги конечно же ворованные, и под себя переделанные, рудименты остались либо от прежнего хозяина либо от моих шаманских пассов ))

может какую то инфу ещё не предоставил ? :roll:

Нашёл несколько ошибок, ак мне кажеться, подбрапи конфиги
Последний раз редактировалось emoxam 2008-08-02 21:27:01, всего редактировалось 1 раз.
Самурай без меча подобен самураю с мечом но только без меча.

emoxam
мл. сержант
Сообщения: 75
Зарегистрирован: 2008-03-03 20:45:14
Откуда: Москва
Контактная информация:

Re: ipacctd не пишет логи

Непрочитанное сообщение emoxam » 2008-08-01 22:34:14

Код: Выделить всё

root@/etc# ipfw show
00001 13719  9078547 allow ip from any to any  - нарисовал на всякий случай, мало ли какое правило не пускает...
00100     0        0 allow ip from any to any via lo0
00300 11253 14893940 tee 10001 ip from any to any in via fxp0
ну е мае.. пакеты то ходят! а в логи не пишуться.. штож такое то...
Самурай без меча подобен самураю с мечом но только без меча.

emoxam
мл. сержант
Сообщения: 75
Зарегистрирован: 2008-03-03 20:45:14
Откуда: Москва
Контактная информация:

Re: ipacctd не пишет логи

Непрочитанное сообщение emoxam » 2008-08-01 22:57:44

судя по всему надо по крону дергать killall -SIGHUP ipacctd
судя по всему хенг ап приостанавливает процесс а не убивает..
как то процесс ловит эенг ап он честно скидвает весь хлам в лог...

честно призайтесь молчали - ждали что сам разбереусь ? )))

дайте теперь толковую статью для "меня" (чтоб не сказать дурака)) ) про крон ? как дергать команду по крону ума не приложу...

P.S. бекапы и то делаються помимо моей воли - опять же рудименты от прошлого админа ))
Самурай без меча подобен самураю с мечом но только без меча.

zg
полковник
Сообщения: 5845
Зарегистрирован: 2007-12-07 13:51:33
Откуда: Верх-Нейвинск

Re: ipacctd не пишет логи

Непрочитанное сообщение zg » 2008-08-02 11:40:55

emoxam писал(а):судя по всему надо по крону дергать killall -SIGHUP ipacctd
зачем? есть опция -s и логи будут сыпаться по команде cat /path/to/log. С некоторых пор cat умеет работать с сокетами.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35297
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ipacctd не пишет логи

Непрочитанное сообщение Alex Keda » 2008-08-02 19:59:31

э... в статье вроде написано что в крон его надо...
и скрипт сбора явно вызывает HUP...
Убей их всех! Бог потом рассортирует...

emoxam
мл. сержант
Сообщения: 75
Зарегистрирован: 2008-03-03 20:45:14
Откуда: Москва
Контактная информация:

Re: ipacctd не пишет логи

Непрочитанное сообщение emoxam » 2008-08-02 20:49:44

я уже почти у цели.. остановлся на том что надо выдать юзверю ipactd права на содание таблиц..
Самурай без меча подобен самураю с мечом но только без меча.

zg
полковник
Сообщения: 5845
Зарегистрирован: 2007-12-07 13:51:33
Откуда: Верх-Нейвинск

Re: ipacctd не пишет логи

Непрочитанное сообщение zg » 2008-08-03 7:39:49

lissyara писал(а):э... в статье вроде написано что в крон его надо...
и скрипт сбора явно вызывает HUP...
в мане ясно написано, что

Код: Выделить всё

     -s       Создавать unix(4) stream socket, который можно использовать для
              получения статистики вместо посылки SIGHUP. Смотрите также
              IMPLEMENTATION NOTES.
в мане по cat написано следующее

Код: Выделить всё

CAT(1)                  FreeBSD General Commands Manual                 CAT(1)

NAME
     cat -- concatenate and print files

SYNOPSIS
     cat [-benstuv] [file ...]

DESCRIPTION
     The cat utility reads files sequentially, writing them to the standard
     output.  The file operands are processed in command-line order.  If file
     is a single dash (`-') or absent, cat reads from the standard input.  If
     file is a UNIX domain socket, cat connects to it and then reads it until
     EOF.  This complements the UNIX domain binding capability available in
     inetd(8).
cat может подключаться к сокету и читает данные пока они не кончатся, всё просто :)
это работает, у нас на 15 серваках так статистика собирается, по крону идёт только cat.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35297
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ipacctd не пишет логи

Непрочитанное сообщение Alex Keda » 2008-08-03 9:45:42

а давно ли оно так умеет?
помниться раньше не умело...
Убей их всех! Бог потом рассортирует...

zg
полковник
Сообщения: 5845
Зарегистрирован: 2007-12-07 13:51:33
Откуда: Верх-Нейвинск

Re: ipacctd не пишет логи

Непрочитанное сообщение zg » 2008-08-03 13:30:34

lissyara писал(а):а давно ли оно так умеет?

Код: Выделить всё

IMPLEMENTATION NOTES
     Начиная с версии 1.43, появилась опция -s, позволяющий получать стати-
     стику с помощью команды

           cat /tmp/ipacct/ipacct.<port>

     Необходимо учитывать что поддержка unix(4) сокетов появилась в cat(1)
     начиная с FreeBSD 4.5.
ну давненько уже

Код: Выделить всё

# cd /usr/ports/
# make search name=ipacctd
Port:   ipacctd-1.47
Path:   /usr/ports/net-mgmt/ipacctd
Info:   IP accounting using divert socket
Maint:  skv@FreeBSD.org
B-deps:
R-deps:
WWW:

# uname -a
FreeBSD  6.2-RELEASE FreeBSD 6.2-RELEASE #0: Fri Jan 12 10:40:27 UTC 2007     root@dessler.cse.buffalo.edu:/usr/obj/usr/src/sys/GENERIC  i386
#
в 6.2 по дефолту 1.47 идёт, а первая версия с сокетами была 1.43

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35297
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ipacctd не пишет логи

Непрочитанное сообщение Alex Keda » 2008-08-03 13:35:12

значит я прошляпил =)
Убей их всех! Бог потом рассортирует...

Аватара пользователя
notarius
мл. сержант
Сообщения: 72
Зарегистрирован: 2008-02-14 15:41:49
Откуда: Minsk
Контактная информация:

Re: ipacctd не пишет логи

Непрочитанное сообщение notarius » 2009-06-12 12:46:56

подниму тему из пепла ....
вообщем поставил я ipacctd настроил по статье , но в логах ничего не получаю .... но есть ошибка..правда почему не пойму пока. подскажите если кто в курсе :(

rc.conf

Код: Выделить всё

ipacctd_enable="YES"
ipacctd_flags="-v"
ipacctd_rules="rl0 lo0"
ipacctd_rule_rl0_flags="-p 1001 -b 262144 -f /var/log/traffic_rl0.log"
ipacctd_rule_rl0_pid="/var/run/ipacctd.rl0"
ipacctd_rule_lo0_flags="-p 1002 -b 262144 -f /var/log/traffic_lo0.log"
ipacctd_rule_lo0_pid="/var/run/ipacctd.lo0"
rc.firewall

Код: Выделить всё

        LanOut="rl0"
        LanIn="re0"
        NetIn="192.168.7.0"
        NetOut="192.168.3.0"
        IpOut="192.168.3.60"
        IpIn="192.168.7.60"
        NetMask="24"

        ${fwcmd} -f flush

        ${fwcmd} add divert 1001 ip from any to any via rl0
        ${fwcmd} add divert 1002 ip from any to any via lo0



        ${fwcmd} add deny ip from any to 10.0.0.0/8 in via ${LanOut}
        ${fwcmd} add deny ip from any to 172.16.0.0/12 in via ${LanOut}
        ${fwcmd} add deny ip from any to 0.0.0.0/8 in via ${LanOut}
        ${fwcmd} add deny ip from any to 169.254.0.0/16 in via ${LanOut}
        ${fwcmd} add deny ip from any to 192.0.2.0/24 in via ${LanOut}
        ${fwcmd} add deny ip from any to 224.0.0.0/4 in via ${LanOut}
        ${fwcmd} add deny ip from any to 240.0.0.0/4 in via ${LanOut}

        #SQUID3
        ${fwcmd} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}

        ${fwcmd} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
        ${fwcmd} add divert natd ip from any to ${IpOut} in via ${LanOut}


        ${fwcmd} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
        ${fwcmd} add deny ip from 172.16.0.0/12 to any out via ${LanOut}

        ${fwcmd} add deny ip from 0.0.0.0/8 to any out via ${LanOut}
        ${fwcmd} add deny ip from 169.254.0.0/16 to out any via ${LanOut}
        ${fwcmd} add deny ip from 192.0.2.0/24 to any out via ${LanOut}
        ${fwcmd} add deny ip from 224.0.0.0/4 to any out via ${LanOut}
        ${fwcmd} add deny ip from 240.0.0.0/4 to any out via ${LanOut}

        ${fwcmd} add allow tcp from any to any established
        ${fwcmd} add allow ip  from ${IpOut} to any out xmit ${LanOut}

        ${fwcmd} add allow tcp from any to ${IpOut} 1723 via ${LanOut}
        ${fwcmd} add allow gre from any to any

        ${fwcmd} add allow tcp from any to ${IpOut} 22 via ${LanOut}

        #FTP
        ${fwcmd} add allow all from any to 192.168.7.250 21
        ${fwcmd} add allow all from any to 192.168.7.250 20


        ${fwcmd} add allow all from 192.168.7.250 to any
        ${fwcmd} add allow all from any to 192.168.7.250

        ${fwcmd} add allow udp from any 53 to any via ${LanOut}
        ${fwcmd} add allow icmp from any to any icmptypes 0,3,4,8,11,12

        ${fwcmd} add allow tcp  from any to any via ${LanIn}
        ${fwcmd} add allow udp  from any to any via ${LanIn}
        ${fwcmd} add allow icmp from any to any via ${LanIn}

        ${fwcmd} add deny ip from any to any

        ;;

в логах ошибка

Код: Выделить всё

Jun 12 12:39:02 freebsd ipacctd[80173]: (port 1002) accounting started 
($Revision: 1.47 $, using 'divert' socket, verbose statistic, threshold = 30000, socket buffer = 262144)
Jun 12 12:39:02 freebsd ipacctd[80173]: (port 1002) setsockopt(SO_RCVBUF): No buffer space available
Jun 12 12:39:02 freebsd ipacctd[80173]: (port 1002) setsockopt(SO_SNDBUF): No buffer space available


если ключиком -b не высталять буфер то получаю в логах такие же ошибки

Код: Выделить всё

Jun 12 12:22:58 freebsd ipacctd[78240]: (port 1001) accounting started 
($Revision: 1.47 $, using 'divert' socket, verbose statistic, threshold = 30000, socket buffer = -1077940968)
Jun 12 12:22:58 freebsd ipacctd[78240]: (port 1001) setsockopt(SO_RCVBUF): Invalid argument
Jun 12 12:22:58 freebsd ipacctd[78240]: (port 1001) setsockopt(SO_SNDBUF): Invalid argument

в какую сторону думать ..что курить ? )
Я отвергаю Вашу реальность и создаю свою.

Аватара пользователя
notarius
мл. сержант
Сообщения: 72
Зарегистрирован: 2008-02-14 15:41:49
Откуда: Minsk
Контактная информация:

Re: ipacctd не пишет логи

Непрочитанное сообщение notarius » 2009-06-12 15:53:53

только что поставил руками буфер

Код: Выделить всё

ipacctd_enable="YES"
ipacctd_flags="-v"
ipacctd_rules="rl0 lo0"
ipacctd_rule_rl0_flags="-p 1001 -b 115000 -f /var/log/traffic_rl0.log"
ipacctd_rule_rl0_pid="/var/run/ipacctd.rl0"
ipacctd_rule_lo0_flags="-p 1002 -b 115000 -f /var/log/traffic_lo0.log"
ipacctd_rule_lo0_pid="/var/run/ipacctd.lo0"

теперь в логах все в порядке

Код: Выделить всё

Jun 12 15:41:39 freebsd ipacctd[1335]: (port 1001) accounting started 
($Revision: 1.47 $, using 'divert' socket, verbose statistic, threshold = 30000, socket buffer = 115000)
Jun 12 15:41:39 freebsd ipacctd[1338]: (port 1002) accounting started 
($Revision: 1.47 $, using 'divert' socket, verbose statistic, threshold = 30000, socket buffer = 115000)


.... но в логах по прежнему пусто ... :( права записи есть на них ...
Я отвергаю Вашу реальность и создаю свою.

Аватара пользователя
notarius
мл. сержант
Сообщения: 72
Зарегистрирован: 2008-02-14 15:41:49
Откуда: Minsk
Контактная информация:

Re: ipacctd не пишет логи

Непрочитанное сообщение notarius » 2009-06-12 16:07:27

о всо разрулил вроде )))

я так понял ipacctd не пишет сразу в лог ... когда делаешь killall -1 ipacctd && sleep 1 ..только тогда он всю статистику скидывает в лог ...
Я отвергаю Вашу реальность и создаю свою.