Подсчет трафика во ФРЕ

[UncleS]

Господа, подскажите... возникла такая ситуация, когда мне жизненно необходимо посчитать инет трафик...
Статистика на сквиде показывает, что трафу ушло савсем мало на WEB... вознимает вопрос, куда улетает траф... считается тока сквид и почта...
как посчитать VPN трафик???
а желательно, посоветуйте, как автоматизировать подсчет со всех сетевых сервисов, предоставляемых моим сервом, как то VPN, ftp, proxy, mail...

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

http://www.lissyara.su/?id=1134
ну а выборки из БД делать - вообще не проблема...
хошь по http, хошь по vpn....

[UncleS]

угу.. всем хороша статья... но... блин... описывается софтинка, работающая с ipfw, что для меня не прокатит...
у меня стоит старый добрый ipf ... =( и переход на ipfw пока не предвидится
еще соображения?

[Alex Keda]

http://www.lissyara.su/?id=1010
ты по разделу-то бы полазил )

[BAV_Lug]

А чем можно тупо считать весь трафик прошедший через интерфейс? Причем хочеться знать сколько входящего, сколько исходящего.
trafshow показывает пока работает. Но вот я пока еще не разобрался как бы ее в фон загнать и инфу из нее получать.

[Alex Keda]

trafd

[BAV_Lug]

Поставил ipacced
Прикрутил его логи к mySQL
А теперь собственно задача (не силен я в SQL - потому и туплю)

Хочу видеть статистику только по внешнему интерфейсу (считалку прикрутил только к нему). Причем хочу видеть по портам (отдельно входящий отдельно исходящий).
Поковырялся с веб мордой с этого сайта, но что-то туплю.

Вот немного переделанный запрос к базе, но что-то не так (это я пытаюсь типа входящий траф по портам посмотреть)

$sql = mysql_query("SELECT port_from_IP, SUM(bytes) AS `bytes` FROM
`" . $IF_out_servera . "_" . date(Y,time()) . "` WHERE `date`
LIKE '" . $curr_month . "-%'
#AND from_IP != '" . $ip_out_servera . "'
#AND to_IP != '" . $ip_out_servera . "' AND
#`to_IP` != '" . $ip_internal_servera . "'
AND `from_IP` != '" . $ip_internal_servera . "'
# AND `to_IP`
#LIKE '" . $lan_mask . "%'
GROUP BY `port_to_IP` ORDER BY `bytes` DESC");

Надоумте плз.

[Alex Keda]

НУ, примерно так:

Код: Выделить всё

SELECT port_from_IP, SUM(bytes)/(1024*1024) AS `mega_bytes`
FROM `xl0_2006`
WHERE `date` LIKE '2006-07-%'
GROUP BY `port_from_IP`
ORDER BY `mega_bytes` DESC
LIMIT 50

[BAV_Lug]

НУ, примерно так:

Код: Выделить всё

SELECT port_from_IP, SUM(bytes)/(1024*1024) AS `mega_bytes`
FROM `xl0_2006`
WHERE `date` LIKE '2006-07-%'
GROUP BY `port_from_IP`
ORDER BY `mega_bytes` DESC
LIMIT 50

А если нужен исходящий то соответственно менять port_from_ip на port_to_ip
я правильно понял?

Да еще, а где тут в запросе указывается апишник сервака?

[Alex Keda]

тут без дробления на входящий-исходящий. просто сумма траффика

[BAV_Lug]

А как его все-таки разделить?
Очень нужно!! Помоги плз.

Просто очень нужно знать сколько например на почту трафа уходит, сколько на веб

[Alex Keda]

Код: Выделить всё

AND `from_IP` != '" . $ip_external_servera . "'

и

Код: Выделить всё

AND `from_IP` = '" . $ip_external_servera . "' 

[BAV_Lug]

Код: Выделить всё

AND `from_IP` != '" . $ip_external_servera . "'

Так вроде получилось. Но, появились вопросы. Как такое может быть если перед серваком стоит аппаратный фаер, и пробрасывает только определенные порты. А в статистике получается количество задействованных портов значительно больше.

ЗЫ Фаер сто-процентов работает правильно. Много раз сканил его

[Alex Keda]

man tcp
http://www.lissyara.su/?id=1055
http://www.lissyara.su/?id=1051

[BAV_Lug]

man tcp
http://www.lissyara.su/?id=1055
http://www.lissyara.su/?id=1051

маны это конечно хорошо, но как тогда определить какой порт - какая служба?

Например
110 - рор3
25 - smtp
это понятно

а вот что такое 8086? По нему у меня показывает 1,4 мега (это за час). к кому его относить? Или например 443 (я знаю, что это https, ну у меня никто не висит на этом порту).

Вот такие вот странные цифры. Ладно бы там были копейки. Так ведь, судя по всему, приличные обьемы за месяц набегут.

Что-то мне здается не все так просто. Я понимаю еще когда запросы идут по отфонарным портам, но вот прием? Я думаю, что либо что-то не так пишется в базу, либо все-таки не до конца правильный запрос у нас получился.

[Alex Keda]

а чё странного-то?
ты бы почитал ссылочки-то...
===
вкратце - соединение, когда оно устанавливается, по порту с известным нумером и по отфонарному - выше 1024. соединения есть снаружи а есть снутри. потому и цифири странные. большие.
===
выше 1024 имеет смысл обращать тока на известные порты, или на те по которым очень большой траффик - типа 5190 - аська и т.п....

[Alex Keda]

меня больше интересует что за порт 6667 - уже неделю какие-то мудаки сервак сканят по нему... и IP ненашенские...

[northern]

Может для этого:

IRC (Internet Relay Chat — ретранслируемый интернет-чат)) — сервисная система, при помощи которой можно общаться по интернету с другими людьми в режиме реального времени. IRC была создана в 1988 году финским студентом Ярко Ойкариненом (Jarkko Oikarinen). ...
...
работает она следующим образом... есть IRC - сервер (или группа линкованных серверов) ... на котором запущены необходимые сервисы для создания комнат( каналов) .. управления ими ... а так же для регистрации ников ... и есть клиенты (например mIRC, xIRC, miranda, некоторые браузеры поддерживатю IRC ... например Opera ) ...
клиент, подключается к серверу на указаный хост:порт (стандартные порты 6667, 6668, 6669) ... заходит в комнату (канал) .. и общаются ..
...
каналы как правило создаются людьми, объединеными одним интересом ...
...
подобных инет чатов нет .. веб чаты отличаются от IRC тем, что потребляют минимальное количество траффик .. очень удобно пользователям xDSL, gprs
...
вот некоторые правила http://dalnet.ru/rules.php

вот обще принятый этикет http://dalnet.ru/etiquette.php

[Alex Keda]

панятно...
ну и ладно.... я их всех лочу )

[BAV_Lug]

Так, что получается? Я не могу четко посчитать сколько у меня трафа ушло на почту, а сколько на веб?

[Alex Keda]

можешь. по 25 и 80 порту сответствено.
с одной стороны он полюбому известный, порт.

[Fastman]

Я все таки сделал свой сервак роутером (довольно быстро... благо lissyara постарался со статьями ))) Поглядел на статью про trafd, и решил его прикрутить. Вообщем увидев кучу скриптов, сначла почесал репу (ну не силен я пока).... и натянул с нета стандартные перловские скрипты (коорые у lissyara не заработали...) не заработали они и у меня сначала... но поковыряв их (перла тоже не знаю почти, знаю хорошо С++) все таки запустил. Как оказалось все так уж и страшно Простенькая веб мордочка тоже заработали сразу же.... Вообщем.. абы начальство еще какой хрени не приДумало ))

[Alex Keda]

хм...
а куча-то всего из одного... ))

[Fastman]

Ну..утрировал... Конечно, тут самый главный плюс у тебя есть - ты САМ знаешь что написал:))) по чужому же исходнику часто просто надеешся на "афффтора" ЧТо совсем не есть хорошо Но я честно попытался разобраться.. тем ботлее что вообще в Unix я до этого как админ - нулевой был... да на домашней машине ставил чтоб поглядеть на сие чудо и не более