Настройка детальной статистики с использованием Netams 3.4.5
Добавлено: 2010-03-18 20:13:15
Обсуждаем, решаем проблемы
Не так страшен танк, как его пьяный экипаж
https://forum.lissyara.su/
Код: Выделить всё
#NeTAMS 3.4.5 (3490.1) root@niiopp.gate / Thu 18 Mar 2010 23:21:08 +0000
#configuration built Fri Mar 19 02:14:21 2010
#begin
#global variables configuration
debug none
language ru
user oid 033A09 name admin real-name "Admin" crypted $1$$HpXmjtul/3i1.bf.B27bU. email root@localhost permit all
#services configuration
service server 0
login local
listen 20001
max-conn 6
service processor
lookup-delay 60
flow-lifetime 180
policy oid 0F4667 name ip target proto ip
policy oid 088DC0 name www target proto tcp port 80 81 8080 3128 443
policy oid 08B7AC name pop3 target proto tcp port 25
policy oid 0B7B84 name smtp target proto tcp port 110
policy oid 08A110 name ftp target proto tcp port 20 21
policy oid 0B6F4B name ipsec target proto esp
policy oid 019425 name rdp target proto tcp port 3389 5589 3390 5590 5593 37777
policy oid 0C5A56 name ssh target proto tcp port 22
restrict all pass local pass
unit group oid 0D54BF name TEST1 acct-policy ip www pop3 smtp rdp ssh ipsec
unit group oid 018EDE name TEST2 acct-policy ip www ftp pop3 smtp rdp ssh ipsec
unit host oid 08D1C9 name WAN1 ip 192.168.40.5 acct-policy ip www ftp pop3 smtp rdp ssh ipsec
unit net oid 047BCE name LAN ip 192.168.125.0/24 acct-policy ip www ftp pop3 smtp rdp ssh ipsec
unit user oid 09A967 name user1 ip 192.168.125.9 acct-policy ip www ftp pop3 smtp rdp ssh
service storage 0
type mysql
user ***
password ***
accept all
service data-source 1
type libpcap
source em0
rule 11 "ip"
service data-source 2
type libpcap
source em1
rule 11 "ip"
service quota
policy ip
notify soft owner
notify hard owner
notify return owner
service monitor 0
monitor to storage 0
monitor unit WAN1
monitor unit LAN
service alerter 0
report oid 06100 name rep1 type traffic period day detail simple
smtp-server localhost
service html
path /usr/local/www/netams/stat
run 10min
url http://192.168.125.2/netams/
htaccess yes
client-pages all
account-pages none
service scheduler
oid 08FFFF time 10min action "html"
#end
Код: Выделить всё
All data for sets is zero :( !!!
ail-man писал(а):to dreamond
Все верно, созданием симлинка. Хотя у меня такой проблемы не возникало, т.к. устанавливал на чистую ось. А знакомый сталкивался, пришлось сносить jpeg и заново собирать Netams. И тогда он вылетал с ошибкой, пока не сделал симлинк.
Ошибок в конфиге не вижу. Нетамс обновляет статистику каждые 10 минут, возможно у вас не успела накопиться.
Код: Выделить всё
service data-source 1
type libpcap
source if0
layer7-detect urls
rule 11 "ip"
С учетом того что у тебя в начале статьи говорится о том что не важен какой firewall и выше лежащих цитат с офф доков я слегка запутался что означает строчкаслучае использование FreeBSD правила должны выглядеть следующим образом:
Случай использования "честных" адресов:
rule number "ip from any to any via ifname"
где:
number - относительно любой номер правила в таблице ipfw, например 100
ifname - название внешнего интерфейса, через который трафик идет к провайдеру
Случай использования "левых" адресов и их трансляции:
rule number1 "ip from any to any via ifname"
rule number2 "ip from any to any via ifname"
где:
number1 и number2 - номера правил в таблице ipfw, так чтобы ваше правило по трансляции адресов (заворот пакетов в divert socket NATD) имело номер МЕЖДУ НИМИ.
ifname - название внешнего интерфейса, через который трафик идет к провайдеру
Это сделано для того, чтобы учитывать трафик на не оттранслированные адреса.
.rule 11 "ip"
Это не критично. Принадлежность к группе можно не указыватьdreamond писал(а):...в частности user1 у меня не является ни чьим дочерним объектом
попробуйте удалить и заново создать юнитdreamond писал(а):Статистика с WAN1 по нормальному собралась а вот user1 к-м собственно это дело качалось статистики не было.
У меня PF.dreamond писал(а): мне больше интересно следующее, в этом блоке конфигав последней строчке указывается 11е правило IPFW насколько я понял, так вот какое оно у тебя?Код: Выделить всё
service data-source 1 type libpcap source if0 layer7-detect urls rule 11 "ip"
Удалить юниты можно через веб-интерфейс "Administration interface" -> "Units" а затем "Save current config" внизу. При этом рестартовать Netams не нужно.dreamond писал(а):а по другому есть возможность (как то не понравился мне механизм удаления юнитов)? к примеру прямой редакций конфига NeTAMS ?
ммм...а не опишешь мне последовательность команд?Создаю юниты я редактированием конфига, а затем рестартом Netams с последующим telnet и save
согласен, впрочем обещаются скоро выпустить 4ку.по обещаниям должны полностью переработать всю схему так что вероятно веб морду они сделают более интерактивной и да и вообще администрирование через веб, особенно радует обещанная плюшка про интеграцию в ADail-man писал(а): От себя мнение: Продукт Netams еще сырой и требует доработки, однако с задачей сбора статистики он справляется на 5+. И удобство с красотой сдесь на втором плане.
Лично я не сталкивался и не слышал чтобы другие сталкивались.Вообще сложно связать сессии ssh и рестарт netams.Думается мне тут дело глубже.Попробуйте смоделировать ситуацию с рестартом других сервисов.alman писал(а):вопрос, так скать, к слову.
почему при рестарте сервиса netams меня вышибает из сессии ssh? Никто не сталкивался с такой проблемой? И как ее полечить?
спасибо
Код: Выделить всё
#NeTAMS 3.4.5 (3490.1) root@xrenb.gate / Sat 20 Mar 2010 00:37:19 +0000
#configuration built Sat Mar 27 20:55:03 2010
#begin
#global variables configuration
debug none
language ru
user oid 03CDB3 name admin real-name "Admin" crypted $1$$HpXmjtul/3i1.bf.B27bU. email admin@xrenb.ru permit all
#services configuration
service server 0
login local
listen 20001
max-conn 6
service processor
lookup-delay 60
flow-lifetime 180
policy oid 0779ED name ip target proto ip
policy oid 022F6A name www target proto tcp port 80 81 8080 3128 443
policy oid 067878 name ftp target proto tcp port 20 21
policy oid 0BD4D7 name pop3 target proto tcp port 110
policy oid 0D5CE2 name smtp target proto tcp port 25
policy oid 0B521E name ipsec target proto esp
policy oid 0836AC name rdp target proto tcp port 3389 5589 3390 5590 5593 37777
policy oid 0DF417 name ssh target proto tcp port 22
policy oid 046CD2 name dns target proto tcp port 53
policy oid 01FB80 name icq target proto tcp port 5190
restrict all drop local pass
unit group oid 0CE4AD name GROUP1 acct-policy ip www ftp pop3 smtp ipsec rdp ssh dns icq
unit group oid 08DF56 name FIZI acct-policy ip www ftp pop3 smtp ipsec rdp ssh dns icq
unit net oid 055B18 name LAN ip 192.168.125.0/24 no-local-pass acct-policy ip www ftp pop3 smtp ipsec rdp ssh dns icq
unit host oid 013979 name WAN1 ip 192.168.40.5 acct-policy ip www ftp pop3 smtp ipsec rdp ssh dns
unit user oid 06E833 name GROUP1user1 ip 192.168.125.3 parent GROUP1 acct-policy ip www ftp pop3 smtp ipsec rdp ssh dns icq
unit user oid 0D6AFF name FIZIuser1 ip 192.168.125.9 parent FIZI acct-policy ip www ftp pop3 smtp ipsec rdp ssh dns icq
service storage 0
type mysql
user ***
password ***
accept all
service data-source 1
type libpcap
source em0
layer7-detect urls
service data-source 2
type libpcap
source em1
layer7-detect urls
service quota
policy ip
notify soft owner
notify hard owner
notify return owner
service monitor 0
monitor to storage 0
monitor unit LAN
monitor unit WAN1
service html
path /usr/local/www/netams/stat
run 1min
url http://192.168.125.2/netams/
htaccess yes
client-pages all
account-pages none
service scheduler
oid 08FFFF time 1min action "html"
Код: Выделить всё
#NeTAMS 3.4.5 (3490.1) root@InternetServer.Tokkata.local / Fri 26 Mar 2010 09:13:58 +0600
#configuration built Mon Mar 29 10:49:13 2010
#begin
#global variables configuration
debug none
language ru
user oid 0D1C86 name admin real-name "Admin" crypted $1$$IGDDuOBoPY7y8wlCdO6ZU0 email root@localhost permit all
#services configuration
service server 0 (faulty) (stopped)
login local
listen 20001
max-conn 6
stop
service processor
lookup-delay 60
flow-lifetime 180
policy oid 00945D name ip target proto ip
policy oid 0FD1B2 name www target proto tcp port 80 81 8080 3128 443
policy oid 012292 name ftp target proto tcp port 20 21
policy oid 02A9CB name pop3 target proto tcp port 110
policy oid 0D4082 name SMTP target proto tcp port 25
policy oid 039045 name ipsec target proto esp
policy oid 0068DA name rdp target proto tcp port 3389 5589 3390 5590 5593 37777
policy oid 06A959 name ssh target proto tcp port 22
restrict all pass local pass
unit group oid 04AC8F name CLIENTS acct-policy ip www
unit user oid 0CDDBA name client1 ip 192.168.1.56 email client1@example.com parent CLIENTS acct-policy ip www
unit net oid 086C96 name LAN ip 192.168.1.0/24 acct-policy ip www ftp pop3 SMTP rdp ssh ipsec
unit host oid 08B44A name WAN1 ip 78.109.151.26 acct-policy ip www ftp pop3 SMTP rdp ssh ipsec
unit host oid 0CFBD0 name WAN2 ip 92.46.191.150 acct-policy ip www ftp pop3 SMTP rdp ssh ipsec
service storage 1
type postgres
user ***
password ***
accept all
service data-source 1
type libpcap
source bge0
layer7-detect urls
service data-source 2
type libpcap
source fxp0
layer7-detect urls
service data-source 3
type libpcap
source rl0
layer7-detect urls
service quota
policy ip
notify soft owner
notify hard owner
notify return owner
service monitor 0
monitor to storage 0
monitor unit LAN
monitor unit WAN1
monitor unit WAN2
service alerter 0
report oid 06100 name rep1 type traffic period day detail simple
smtp-server localhost
service html
path /usr/local/www/netams/stat
run 10min
url http://192.168.1.6/netams/
htaccess yes
client-pages all
account-pages none
service scheduler
oid 08FFFF time 10min action "html"
Код: Выделить всё
Apr 2 11:39:17 InternetServer postgres[25148]: [2-1] ERROR: функция unix_timestamp() не существует на символе 28
Apr 2 11:39:17 InternetServer postgres[25148]: [2-2] ПОДСКАЗКА: No function matches the given name and argument types. You may need to add explicit type casts.
Apr 2 11:39:17 InternetServer postgres[25148]: [2-3] КОМАНДА: INSERT INTO events VALUES (unix_timestamp(),'CGI', 0,0,0,"192.168.1.56 request to view account ")
Apr 2 11:39:17 InternetServer postgres[25143]: [2-1] LOG: неожиданный конец файла (EOF) при подсоединении клиента
Apr 2 11:39:17 InternetServer postgres[25146]: [2-1] LOG: неожиданный конец файла (EOF) при подсоединении клиента
Apr 2 11:39:17 InternetServer postgres[25144]: [2-1] LOG: неожиданный конец файла (EOF) при подсоединении клиента
type libpcap - это копирование трафикаdreamond писал(а):хм ...а у кого нибудь удалось добиться функционирования no-local-pass ? т.е что бы неучтенных в инет не пускало? а то у меня как то никак
может ошибка в конфиге?
у меня никакого впн, просто локальная сеть 192.168.125.0/24
к примеру ПК с ip 192.168.125.8 как ходил, так и ходитКод: Выделить всё
#NeTAMS 3.4.5 (3490.1) root@xrenb.gate / Sat 20 Mar 2010 00:37:19 +0000 #configuration built Sat Mar 27 20:55:03 2010 ... service data-source 1 type libpcap source em0 layer7-detect urls service data-source 2 type libpcap source em1 layer7-detect urls ...
или я принципиально не понимаю действия no-local-pass и для libpcap оно не действует? ?
PS в принципе то считает он нормально
Код: Выделить всё
unit host name WAN ip A.A.A.A description "Внешний сетевой интерфейс WAN" acct-policy ip www mail ftp ssh
unit net name LAN ip 192.168.0.0/24 description "Локальная сеть 192.168.0.0/24" acct-policy ip worktime notworktime urls www mail
ftp ssh
unit host name host ip 192.168.0.1 description "Компьютер 192.168.0.1" password host parent HOSTS acct-
policy ip worktime notworktime urls www mail ftp
service data-source 1
type libpcap
source em0
layer7-detect urls
service data-source 2
type libpcap
source em1
layer7-detect urls
Hoper писал(а):
type libpcap - это копирование трафика
Как мне блокировать трафик, если я использую libpcap?
В общем случае - никак. Библиотека libpcap позволяет только слушать проходящий мимо интерфейса трафик. Все возможность блокировки через fw-policy или sys-policy работают ТОЛЬКО при наличии "перехватывающего" сервиса data-source, например IPFW или iptables/IPQ. Вы также можете написать свой скрипт (де)блокировки, который будет вызываться сервисом processor каждый раз, когда изменяется состояние системной политики юнита (см. документацию и пример).http://www.netams.com/doc/faq.html
Можно выделить внешний трафик исключением локального. Например так:rootaxe писал(а):Подскажите как считать только внешний трафик?
FreeBSD 7.2, pf nat, WAN, LAN
При исплользовании 2-х data-source учитывается весь трафик (внутренний и внешний).
С data-source только на внешнем интерфейсе учет ведется только для юнита WAN.
Настройки netams:Код: Выделить всё
unit host name WAN ip A.A.A.A description "Внешний сетевой интерфейс WAN" acct-policy ip www mail ftp ssh unit net name LAN ip 192.168.0.0/24 description "Локальная сеть 192.168.0.0/24" acct-policy ip worktime notworktime urls www mail ftp ssh unit host name host ip 192.168.0.1 description "Компьютер 192.168.0.1" password host parent HOSTS acct- policy ip worktime notworktime urls www mail ftp service data-source 1 type libpcap source em0 layer7-detect urls service data-source 2 type libpcap source em1 layer7-detect urls
Код: Выделить всё
policy name ip target proto ip
policy name local target file /usr/local/etc/netams/localnet.txt
policy name inet target policy-and !local
policy name localworktime target policy-and local time 08:00-17:00 day Mon-Fri
policy name localresttime target policy-and local !localworktime
policy name inetworktime target policy-and !local time 08:00-17:00 day Mon-Fri
policy name inetresttime target policy-and !local !inetworktime
unit host name WAN ip A.A.A.A description "Внешний сетевой интерфейс WAN" acct-policy ip
unit net name LAN ip 192.168.0.0/24 description "Сеть 192.168.0.0/24" acct-policy ip local inet localworktime localresttime inetworktime inetresttime
Код: Выделить всё
192.168.0.0 /255.255.255.0
Лошара я не вписал в конфиг настоящие названия интерфейсов))))))Boomberbun писал(а):В логе netams следующее 20.05.2010 11:38:45.7915 ds_libpcap:2 [ERR]: failed to open pcap interface:
Что значит не удалось открыть? А как проверить работу libpcap? Спасибо!
Ну я очень не силён в тонкостях, но как тема попробуйте на совершенно новой системе. И все зависимости оставьте по умолчанию, для меня это основная трабла с установкой софта.Гость писал(а):не собирается на двух машинах, с ошибкой:
list.h:32 error ISO C++ forbids declaration of ‘lhash’ with no type
может кто столкнулся и решил?
FreeBSD 8.0, порты обновлены, libpcap установлен
Может, с помощью сервиса monitor. Кнопка "Help" в правом верхнем углу веб-интерфейса в разделе Monitor вам в помощь.Rubi писал(а):Я вот, что-то не понял URL статистику он может вести или нет?