Несколько вопросов по ipfilter

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
darkomen
ефрейтор
Сообщения: 50
Зарегистрирован: 2011-06-28 13:18:29

Несколько вопросов по ipfilter

Непрочитанное сообщение darkomen » 2014-05-19 10:13:16

1. Как посмотреть количество открытых tcp сессий с определенного адреса внутри сети? Типа как в ipnat?

Код: Выделить всё

ipnat -l | awk '{print $2}' | sort | uniq -c | sort -r | less

Но не нат сессий а tcp.

Код: Выделить всё

State table bucket statistics:
        8405 in use
        64% hash efficiency
        33.50% bucket usage
        0 minimal length
        7 maximal length
        1.552 average length
То есть 8405 in use, как посмотреть это детально по адресам?

2. Как расчитать параметры fr_statemax=17963,fr_statesize=25091 , для определенной системы, чтобы выставить максимально оптимальные для гигабитной сети.

3. Почему при количестве сессий ната в 50% от максимального выдается 99.8% загруженных bucket

Код: Выделить всё

[root@hq /var/log]# ipnat -s
mapped  in      1270094969      out     769198264
added   26532358        expired 22013583
no memory       0       bad nat 65097
inuse   13050
orphans 0
rules   388
wilds   0
hash efficiency 15.66%
bucket usage    99.80%
minimal length  0
maximal length  18
average length  6.388
TCP Entries per state
     0     1     2     3     4     5     6     7     8     9    10    11
     0   445     4     0  2462   291    94     0     1     0  8083   140
Что означает этот параметр hash efficiency 15.66% ?
Последний раз редактировалось f_andrey 2014-05-19 16:09:40, всего редактировалось 1 раз.
Причина: Автору. пожалуйста, выбирайте соответствующий раздел форума, оформляйте сообщение по человечески.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Несколько вопросов по ipfilter

Непрочитанное сообщение hizel » 2014-05-19 16:35:54

Збс вопрос для начинающих.
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

darkomen
ефрейтор
Сообщения: 50
Зарегистрирован: 2011-06-28 13:18:29

Re: Несколько вопросов по ipfilter

Непрочитанное сообщение darkomen » 2014-05-20 13:56:17

hizel писал(а):Збс вопрос для начинающих.
Так может ответишь на вопрос для начинающих?

Аватара пользователя
skeletor
майор
Сообщения: 2508
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: Несколько вопросов по ipfilter

Непрочитанное сообщение skeletor » 2014-05-20 14:32:16

1) Что это значит "Но не нат сессий а tcp." ? Если правильно понимаю, то это можно сделать через sockstat / netstat
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Несколько вопросов по ipfilter

Непрочитанное сообщение hizel » 2014-05-20 14:33:27

Нет, я слишком охуенный чтобы отвечать на такие ламерские вопросы.
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

darkomen
ефрейтор
Сообщения: 50
Зарегистрирован: 2011-06-28 13:18:29

Re: Несколько вопросов по ipfilter

Непрочитанное сообщение darkomen » 2014-05-20 15:58:28

skeletor писал(а):1) Что это значит "Но не нат сессий а tcp." ? Если правильно понимаю, то это можно сделать через sockstat / netstat
skeletor писал(а):1) Что это значит "Но не нат сессий а tcp." ? Если правильно понимаю, то это можно сделать через sockstat / netstat
tcp сессий проходящих через данный маршрутизатор и соответственно ipfilter. К примеру вот iftop

74.125.111.116:80 => 10.2.2.47:50049 4.88Mb 4.88Mb 4.56Mb
<= 24.1Kb 23.9Kb 22.4Kb
74.125.111.23:80 => 10.2.2.15:50810 0b 3.21Mb 2.01Mb
<= 0b 23.5Kb 14.9Kb
172.24.11.205:1453 => 172.19.5.120:3128 44.4Kb 35.2Kb 34.3Kb
<= 2.17Mb 1.94Mb 1.89Mb

Как узнать сколько tcp соединений установил хост 10.2.2.47 к хосту 172.19.5.12 внутри одной сети в некий момент времени

darkomen
ефрейтор
Сообщения: 50
Зарегистрирован: 2011-06-28 13:18:29

Re: Несколько вопросов по ipfilter

Непрочитанное сообщение darkomen » 2014-05-20 16:09:46

ipnat -l | awk '{print $2}' | sort | uniq -c | sort -r | less

Это позволит отсортировать хосты по количеству открытых сессий NAT. А как посмотреть так же но внутри сети?

Аватара пользователя
skeletor
майор
Сообщения: 2508
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: Несколько вопросов по ipfilter

Непрочитанное сообщение skeletor » 2014-05-21 9:59:38

sockstat/netstat
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

darkomen
ефрейтор
Сообщения: 50
Зарегистрирован: 2011-06-28 13:18:29

Re: Несколько вопросов по ipfilter

Непрочитанное сообщение darkomen » 2014-05-21 10:24:29

skeletor писал(а):sockstat/netstat
Имеется ввиду не на хосте посмотреть, а на рутере через который хост соединяется с другим хостом, причем тут sockstat/netstat ? Он ничего не покажет

darkomen
ефрейтор
Сообщения: 50
Зарегистрирован: 2011-06-28 13:18:29

Re: Несколько вопросов по ipfilter

Непрочитанное сообщение darkomen » 2014-05-21 10:30:57

И как бы вопрос был не один))

Аватара пользователя
skeletor
майор
Сообщения: 2508
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: Несколько вопросов по ipfilter

Непрочитанное сообщение skeletor » 2014-05-21 10:51:48

А причём тут ipfilter к сессиям, которые не натятся? Зачем ему хранить такие сессии? Для каких целей?
Товарищ, сбавь обороты, тебе здесь никто ничего не должен.
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

darkomen
ефрейтор
Сообщения: 50
Зарегистрирован: 2011-06-28 13:18:29

Re: Несколько вопросов по ipfilter

Непрочитанное сообщение darkomen » 2014-05-21 11:17:12

skeletor писал(а):А причём тут ipfilter к сессиям, которые не натятся? Зачем ему хранить такие сессии? Для каких целей?
Товарищ, сбавь обороты, тебе здесь никто ничего не должен.
потому что он использует опцию keepstate. Злые вы :)) кто вас обидел?

Аватара пользователя
skeletor
майор
Сообщения: 2508
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: Несколько вопросов по ipfilter

Непрочитанное сообщение skeletor » 2014-05-21 11:20:50

А причём тут keep-state к хранению сессий?
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

darkomen
ефрейтор
Сообщения: 50
Зарегистрирован: 2011-06-28 13:18:29

Re: Несколько вопросов по ipfilter

Непрочитанное сообщение darkomen » 2014-05-21 12:49:47

IP states added:
1526798 TCP
246492 UDP
18257 ICMP
225782694 hits
2830890 misses
0 bucket full
0 maximum rule references
0 maximum
0 no memory
11285 bkts in use
12743 active
264486 expired
1514319 closed

Аватара пользователя
skeletor
майор
Сообщения: 2508
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: Несколько вопросов по ipfilter

Непрочитанное сообщение skeletor » 2014-05-21 13:50:38

И что это должно значить? У меня на роутере так:

Код: Выделить всё

IP states added:
        0 TCP
        0 UDP
        0 ICMP
        0 hits
        0 misses
        0 bucket full
        0 maximum rule references
        0 maximum
        0 no memory
        0 bkts in use
        0 active
        0 expired
        0 closed
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

darkomen
ефрейтор
Сообщения: 50
Зарегистрирован: 2011-06-28 13:18:29

Re: Несколько вопросов по ipfilter

Непрочитанное сообщение darkomen » 2014-05-21 14:23:01

Ок, я немного не точно выразился, не таблицу tcp сессий , а таблицу состояний.

Аватара пользователя
skeletor
майор
Сообщения: 2508
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: Несколько вопросов по ipfilter

Непрочитанное сообщение skeletor » 2014-05-21 14:29:52

Что такое таблица состояний? Приведите пример такой записи, ну или то, что вы хотите увидеть.
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

darkomen
ефрейтор
Сообщения: 50
Зарегистрирован: 2011-06-28 13:18:29

Re: Несколько вопросов по ipfilter

Непрочитанное сообщение darkomen » 2014-05-21 14:49:32

skeletor писал(а):Что такое таблица состояний? Приведите пример такой записи, ну или то, что вы хотите увидеть.
Неявное разрешение. Правило «keep state»

Задачей любой системы сетевой защиты является предотвращение лишнего трафика из точки В точку А. Мы в настоящее время имеем правила, говорящие:т «если пакет идет к порту 23, то все хорошо» и «если у пакета установлен флаг FIN, то все хорошо». Наша система сетевой защиты ничего не знает о начале, середине, или конце любого TCP/UDP/ICMP сеанса. Просто у нас имеются неопределенные правила, которые являются применимыми ко всем пакетами. Ним остается только надеяться, что пакет с установленным флагом FIN не является FIN-сканированием, выясняющем имеющиеся у нас сервисы. Мы надеемся, что пакет, направленный к 23 порту — не атака на наш telnet-сервис. Возможное решение данной проблемы состоит в том, чтобы идентифицировать и пропускать пакеты индивидуальных TCP/UDP/ICMP сеансов и отличать их от сканирования портов и DoS атак. Это называется keeping state.

Мы хотим иметь одновременно и удобство и защиту. Этого хотят все, поэтому у Cisco есть критерий «established», для того, чтобы пропускать пакеты уже установленного tcp сеанса. Ipfw имеет опцию established. Ipfwadm имеет опции setup/established. все имеют эту особенность, но имя опции может вводить в заблуждение. Мы могли бы предположить, что данные пакетные фильтры действительно следят за установленными сессиями, но это не так. Они анализируют раздел флагов TCP пакета и не работают с UDP/ICMP, поскольку у этих пакетов таких флагов нет. Любой, кто может модифицировать флаги пакета, может обойти эту систему сетевой защиты.

В отличие от других систем сетевой защиты, IPF действительно способен следить за установленным соединением и работает с протоколами TCP, UDP и ICMP. Ключевое слово в наборе правил, служащее для реализации данной возможности называется keep state.

Вплоть до сего момента, мы считали, что пакет проверяется набором правил на входе и проверяется на выходе. Фактически же, входящий пакет проверяется сперва табицей состояний, и только тогда, может быть он будет проверен набором правил. Таблица состояний — это список TCP/UDP/ICMP сессий, установленных после прохода всего набора правил системы сетевой защиты. Думаете. что это дыра в защите? Держитесь крепче, это лучшее, что могло случиться с вашим фаерволлом!

Все TCP/IP сеансы имеют начало, середину, и конец (даже если все это в одном пакете). Не может быть конца без середины, и не может быть середины без начала. Это означает, что все, что Вы действительно должны фильтровать — начало TCP/UDP/ICMP сеанса. Если начало сеанса позволяется вашими правилами системы сетевой защиты, то следовательно будут пропущены пакеты середены и конца сеанса (это делается во избежание переполнения стека IP маршрутизатора). Keeping state позволяет игнорировать середину и конец сессии и сосредоточиться на блокировани/пропуске новых сеансов. Если блокирован пакет начала сеанса, то отбрасываются и все остальные.

darkomen
ефрейтор
Сообщения: 50
Зарегистрирован: 2011-06-28 13:18:29

Re: Несколько вопросов по ipfilter

Непрочитанное сообщение darkomen » 2014-05-21 14:50:50

Я хочу увидеть , какой хост в сети в текущий момент времени устанавливает наибольшее количество tcp соединений с другими хостами внутри сети.

darkomen
ефрейтор
Сообщения: 50
Зарегистрирован: 2011-06-28 13:18:29

Re: Несколько вопросов по ipfilter

Непрочитанное сообщение darkomen » 2014-05-21 14:51:13

Как я понимаю всего таких соединений 12743 active , я хочу увидеть детально, по хостам

Аватара пользователя
skeletor
майор
Сообщения: 2508
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: Несколько вопросов по ipfilter

Непрочитанное сообщение skeletor » 2014-05-21 15:10:02

Никак, так как ни ipfstat ни ipf не имеют соответствующих опций. Может повезёт и вы найдёте недокументированную опцию.
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

darkomen
ефрейтор
Сообщения: 50
Зарегистрирован: 2011-06-28 13:18:29

Re: Несколько вопросов по ipfilter

Непрочитанное сообщение darkomen » 2014-05-21 15:14:11

skeletor писал(а):Никак, так как ни ipfstat ни ipf не имеют соответствующих опций. Может повезёт и вы найдёте недокументированную опцию.
Спасибо, но больше всего меня волнует вопрос номер два :)

Аватара пользователя
skeletor
майор
Сообщения: 2508
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: Несколько вопросов по ipfilter

Непрочитанное сообщение skeletor » 2014-05-21 16:03:04

"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

darkomen
ефрейтор
Сообщения: 50
Зарегистрирован: 2011-06-28 13:18:29

Re: Несколько вопросов по ipfilter

Непрочитанное сообщение darkomen » 2014-05-21 16:40:51

Спасибо, всё это я и сам находил поиском, кроме первой ссылки, почему то она мне не попалась. Вопрос был из каких соображений вычисляются эти два параметра? Или просто от балды(типа закончилось, добавил)

darkomen
ефрейтор
Сообщения: 50
Зарегистрирован: 2011-06-28 13:18:29

Re: Несколько вопросов по ipfilter

Непрочитанное сообщение darkomen » 2014-05-21 16:45:01

Могу еще добавить, что у меня эта беда с дропаньем конектов начинается гораздо раньше чем количество сессий в таблице достигнет своего максимума, то есть ipfilter достигнув какого то определенного состояния начинает резко уменьшать ttl сессий (по умолчанию 5 дней), до двух минут.