LINUX.ORG.RU

Учёт трафика локальной сети с помощью fprobe и flow-tools

 fprobe, ,


0

0

Очень часто у системных администраторов возникает задача учёта трафика локальной сети. Для этого можно использовать самые различные инструменты. Как свободные, так и коммерческие. Однако абсолютное большинство из них рассчитаны на достаточно большие сети и обладают функционалом, излишним для небольших сетей.

В случае же совсем небольшой сети, когда достаточно просто иметь перед глазами суммарный трафик по каждому компьютеру и не более того, можно использовать самописную систему учёта на основе flow-tools и какого-либо flow-сенсора.

Вашему вниманию предлагается простая система учёта на базе flow-tools и fprobe.

>>> Статья

Интересная штука. Надстройку и до простенького биллинга дописать недолго =)

melkor217 ★★★★★
()

Пользуюсь fprobe через if-up на ppp интерфейсах(около 100 штук) - удобно что каждый процесс не зависит от предыдущего и дохнет вместе с интерфейсом нормально и сам :). В принципе доволен.

Вообще ndsad был бы лучше для кучи интерфейсов но он через пару-тройку дней начинает подглючивать :).

The_Ketchup ★★
()

fprobe на нагруженных шлюзах использовать нехорошо - будет много теряться.

для небольшого потока (до 100Мбит) подойдет fprobe-ulog (не забудьте соответствующее правило в iptables добавить

а для всего что выше - модуль ядра ipt_NETFLOW (лежит где-то на сурсфорже, по дефолту кривой - flow-capture не понимает его формат, и надо пару строк поменять в исходнике. Какие - не скажу, думайте сами ;)),

хотя может в свежих версиях и поправили.

geek ★★★
()
Ответ на: комментарий от geek

да. любая тулза собранная с libpcap грузит процы и имеет расхождение до 30%

dreamer ★★★★★
()

А как насчет ipcad в этом плане? Я как-то пробовал, вроде неплохо считало, да и обработка для него пишется элементарно.

balodja ★★★
()

ipcad сам по себе лучше. Единственное - генератор отчётов к нему надо прикрутить. Но это прекрасно и на shell + cron пишется. Причём можно будет выводить хоть в HTML, хоть в XML, хоть в SVG, хоть в ODF.

Quasar ★★★★★
()
Ответ на: комментарий от Quasar

Впрочем, в той статье так и сделано.

Так что ipcad намного лучше.

Quasar ★★★★★
()
Ответ на: комментарий от geek

> а для всего что выше - модуль ядра ipt_NETFLOW (лежит где-то на сурсфорже, по дефолту кривой - flow-capture не понимает его формат, и надо пару строк поменять в исходнике. Какие - не скажу, думайте сами ;)),

хз, без всяких исправлений поднялось и кушать не просит)

a_andry
()
Ответ на: комментарий от a_andry

господа, подскажите нормальный визуализатор netflow уровня телеком

чтобы с критериями поиска, графики, репорты

anonymous
()

А чем он лучше/хуже nnfc?

UVV ★★★★★
()
Ответ на: комментарий от a_andry

У меня тоже трафик правильно считает, но время соединений в netflow заполнено от балды, может это имеет в виду geek?

zhiltsov
()

Пока оно не научилось пихать в базу и надо писать свои скрипты...в топку. Для учёта ppp/pptp/pppoe/AP и т.д. - радиус.

anonymous
()
Ответ на: комментарий от anonymous

> господа, подскажите нормальный визуализатор netflow уровня телеком

> тобы с критериями поиска, графики, репорты

Netflow Analyzer - лучшее из найджнного, правда полухалявная. Но там есть все. И большие объемы варит нормально.

anonymous
()
Ответ на: комментарий от anonymous

в базу он пихать и так умеет (posgresql, mysql)

anonymous
()
Ответ на: комментарий от chocholl

>не ломай нам жизнь, скажи.
и как же мы без этих ценных знаний раньше обходились...

да вы ж с ума от скуки сойдете без красноглазия-то

зы, выше говорят - починили.

geek ★★★
()
Ответ на: комментарий от zhiltsov

>может это имеет в виду geek?

я имел ввиду, что flow-capture вообще не понимает формат пакетов сенсора ipt_NETFLOW

geek ★★★
()
Ответ на: комментарий от anonymous

если я не ошибаюсь это система биллинга, причём тут анализатор ?

anonymous
()
Ответ на: комментарий от geek

для больших pps в линупсе гуглить на тему PF_RING

hizel ★★★★★
()

"в случае же совсем небольшой сети" можно использовать шлюз под линухом и через iptables аккаунтинг - тут тебе и резалка удобная и биллингов достаточно...

ei-grad ★★★★★
()
Ответ на: комментарий от anonymous

Да умеет все эт опихать в базу.. например посмотреть в сторону flow-export при умелом использовании данной утильки + cron можно хоть 1 раз в 5 минут кидать в базу ))))))

Rodger
()

А как запустить fprobe на нескольких локлаьных интерфейсах? что то я не нашел как (

anonymous
()
Ответ на: комментарий от anonymous

да поставьти вы ipcad и не мучайтесь :)

hizel ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.