| Издательский дом ООО "Гейм Лэнд" | СПЕЦВЫПУСК ЖУРНАЛА ХАКЕР #33, АВГУСТ 2003 г. |
КТО СКАЧАЛ МЯУ? - система подсчета трафика на FreeBSD
DemiurG (arkhangel@mail.ru)
Спецвыпуск Xakep, номер #033, стр. 033-058-6
В любом случае читай маны к IPA, там все настолько четко и ясно объяснено, что просто душа радуется (стопудняк). Кроме умения пользоваться ipastat тебе обязательно надо понять принцип работы команды "ipa". Команда "ipa" полностью управляет самой системой; если ты в самом начале просто введешь "ipa", то загрузятся все правила, которые есть в секциях startup, кроме того, ipa подгрузит базу, и твоя система трафика начнет работать.
Если что-то пошло не так, запусти ipa c ключом t:"ipa -t" - проходит тест конфига (/usr/local/etc/ipa.conf).
Разумеется, ipa выловит только те ошибки, которые проходят на ее уровне, а если у тебя какое-то правило некорректно или синтаксически неверно построено, это пройдет незамеченно. Команда "ipa -k shutdown" - выполняет секцию shutdown для всех правил, включая global секцию; сохраняет последние значения в базе и убивает процесс ipa.
Команда "ipa -k dump" - обновляет последние значения в базе, но не создает новой записи. Чтобы все прогрузки правил четко фиксировались, добавь в файле /etc/syslog.conf строку:
!ipa
*.*<TAB>/var/log/ipa.log
И обязательно создай в директории "/var/log/" файл ipa.log (touch /var/log/ipa.log).
О ЧЕМ Я УМОЛЧАЛ
Во FreeBSD (начиная с версии 4.3) существует еще один файрволл - называется ipf. Работает во многих ситуациях быстрее, чем ipfw, и использует многие возможности, которых в ipfw просто нет (взять хотя бы redirect из внешней сети во внутреннюю). Пишу я все к тому, что многие продвинутые админы уже забацали свои сети на основе ipf и теперь не знают, чем считать трафик. Хочу успокоить вас - IPA умеет считать трафик не только через FreeBSD ipf, но и через OpenBSD pf (эти пакетные фильтры немного отличаются). К сожалению, готового конфиг-файла я вам не покажу (не буду же я тешить ваше уязвленное самолюбие и перестраивать собственную сеть). Если очень интересно, читай "man 5 ipa.conf". Кроме того, в данной статье совершенно не рассмотрен подход подсчета трафика на VPN. Написал я это не зря, так как дал вам (надеюсь), покорным неофитам, дополнительный повод для размышлений и шевеления мозгами.
http://www.opennet.ru/base/net/ipf_guide.txt.html
http://www.opennet.ru/docs/RUS/fwfaq/
ЖИЗНЬ НЕ УДАЛАСЬ, НО ПОПЫТКУ ЗАСЧИТАЛИ
Ну, вот вроде и все. Обязательно прочитай ссылки на все, что я тебе дал. Там очень много ценной инфы (тем более, что все доки будут доступны на диске). Не поленись. А теперь переворачивай страницу, и мы попытаемся прикрепить к нашей консольной системе полноценный web-интерфейс.