Чем лучше считать трафик в ляликсе

[stranger]

Есть сетка локальная запрятаная за линуксовым фаерволом, который маскарадит эту сеть...
Стоит редирект при обращении на www на squid (transparent proxy)

Все было раньше номально, но в этом месяце я заметил, что трафик сильно потребляется по счетчикам КЦ. Пытаюсь выяснить почему.
Выгрузил сначало ip_contrack_ftp чтобы по фтп можно было только через сквида ходить указав порт прокси.
Трафик все равно идет... Проверял по счетчикам КЦ.
Сегодня убрал маскарадинг, что бы присечь другой трафик из внутрений сети во внешнюю.
Все равно накапало много... Квота так скоро кончиться...

Причем sarg, парсящий логи сквида таких значений не выдавал...
Седня еще дневная статистика посчитается и я утром посмотрю...

Webalizer, парсящий логи httpd то же ничего сверхестественного не показывает - обращений к серверам не так уж много...

В RHEL ES нашел только iptraf для мониторинга сети, но уж больно с ним неудобно работать... Логи потом замучаешься просматривать. Но все равно поставлю его на сутки и посмотрю, что натикает...

Вопрос собственно в том, могет кто знает прогу, которая моглабы собирать всю статистику по входящим и исходящим пакетам по адресам и запихивать все это в базу (лучше всего postgres) для того, чтобы потом можно было достаточно легко посмотреть статистику, как общую так и по адресам?

Вопрос сейчас во времени, так как с таким расходам трафика вся кафедра останеться скоро без инета до конца месяца и почта соответственно то же умрет...

[demiurg]

Вопрос собственно в том, могет кто знает прогу, которая моглабы собирать всю статистику по входящим и исходящим пакетам по адресам и запихивать все это в базу (лучше всего postgres) для того, чтобы потом можно было достаточно легко посмотреть статистику, как общую так и по адресам?

Вопрос сейчас во времени, так как с таким расходам трафика вся кафедра останеться скоро без инета до конца месяца и почта соответственно то же умрет...

[snapback]4758[/snapback]

Самый тупой это ulog -- подробности здесь например http://www.opennet.ru/base/net/ulog_traf.txt.html
есть еще htpp://www.netams.com, но я его не так и не решился собрать и настроить.

[Dimmus]

ipfm (возьми из портов BSD и собери, экземплы и доки прилагаются) -> потом переработка в постгрес из txt файлика и все  
вот тут я все реализовал: http://bppp.net/traf/

[-ud-]

ipfm (возьми из портов BSD и собери, экземплы и доки прилагаются) -> потом переработка в постгрес из txt файлика и все 
вот тут я все реализовал: http://bppp.net/traf/

[snapback]4766[/snapback]

нахрена  ipfw??? в iptables есть счотчики! e. g. iptables -vxnL
и для перла есть модуль могущий напрямую их снимать... ну а дальше дело техники хоть постгрес хоть что ...

[stranger]

ipfm (возьми из портов BSD и собери, экземплы и доки прилагаются) -> потом переработка в постгрес из txt файлика и все 
вот тут я все реализовал: http://bppp.net/traf/

[snapback]4766[/snapback]

Тут писать прогу придется разбора и запихивания в базу... Хотя на перле это не так уж долго, но сейчас время поджимает...

В принципе, если ничего быстро не найду, то примерно так и сделаю - напишу прогу, которая раздирает лог iptraf и в базу загоняет...

У меня правда маленько сложнее случай, так как сеть локальная (используется фэйковые адрема и маскарадинг, а не прсто перенапрвление, то тут нужно будет повозиться...

Ты трафик на каком интерфейсе считаешь, на внутреннем или внешнем?

Да и мне нужно оценить как и входящий страфик, так и исходящий трафик с сервера...

[stranger]

ipfm (возьми из портов BSD и собери, экземплы и доки прилагаются) -> потом переработка в постгрес из txt файлика и все 
вот тут я все реализовал: http://bppp.net/traf/

[snapback]4766[/snapback]

Спасибо... Я сейчас посмотрю...

Кстати я тут пару анализаторов нашел с помощью freshmeat & sorceforge...
1. iptrafvol
2. tvc4
Они как я понял считают на основе iptables
3. tcap
пока не разобрался на основе чего работает, но вроде может статистику в постгрес складывать...

[stranger]

нахрена  ipfw??? в iptables есть счотчики! e. g. iptables -vxnL
и для перла есть модуль могущий напрямую их снимать... ну а дальше дело техники хоть постгрес хоть что ...

[snapback]4767[/snapback]

Это точно, но вроде счетчики iptables(ов) - это и есть просто счетчики, а мне нужна еще статистика по сайтам которые были посещены или которые обращались к серваку...

[-ud-]

наиболее реально считать по подсетям

[Dimmus]

нахрена  ipfw??? в iptables есть счотчики! e. g. iptables -vxnL
и для перла есть модуль могущий напрямую их снимать... ну а дальше дело техники хоть постгрес хоть что ...

[snapback]4767[/snapback]

ud, ты опять травы вдарил? :jjosh: речь шла о ipFM! про iptables и все считалки, связанные с ним - было сказано уже выше.

[stranger]

Кажется я нашел, где собака порылась...
Грёбаные поисковый боты...
Сегодня на работе никого не было, а выкачено было к двум часам уже 42 метра...
Один бот вроде был гугловский, а другой не понятно чей...

Могет у кого есть стоп-лист ботов?
Чтобы их прикрыть...

[sam]

Могет у кого есть стоп-лист ботов?
Чтобы их прикрыть...

[snapback]4818[/snapback]

гугли на тему: файл robots.txt
его кладут в корень веб-сайта, им как раз должны поисковые боты оперировать

[stranger]

гугли на тему: файл robots.txt
его кладут в корень веб-сайта, им как раз должны поисковые боты оперировать

[snapback]4820[/snapback]

В том-то и дело, что у меня этот файл есть, но все равно гугловский бот и еще один ljxxxx.inktomisearch.com снимает инфу, причем последний при неудаче начинает ip-адреса менять... Мне надоело выискивать все адреса и поэтому я взял и отрубил сеть класса А... А он все долбиться и пытается подобрать адрес с которого он может достучаться...

Кстати robots у мну такой - он поидее все должен запрещать...

Code: [Select]

User-Agent: *
Disallow: /book
Disallow: /win
Disallow: /koi
Disallow: /iso
Disallow: /mac
Disallow: /alt
Disallow: /lat
Disallow: /LYNX
Disallow: /AQUARIUM
Disallow: /MPECHKIN/
Disallow: /rk


[Unit]

Некоторые боты игнорируют robots.txt. Среди них msn-овские этим раньше были славны. Так что таких чисто в бан-лист сувать надо.

[sam]

Кстати robots у мну такой - он поидее все должен запрещать...

Code: [Select]

User-Agent: *
Disallow: /book
Disallow: /win
Disallow: /koi
Disallow: /iso
Disallow: /mac
Disallow: /alt
Disallow: /lat
Disallow: /LYNX
Disallow: /AQUARIUM
Disallow: /MPECHKIN/
Disallow: /rk


[snapback]4821[/snapback]

а без слеша на конце - это файлы? по-хорошему, у директорий должны слеши на конце быть