Автор Тема: трафични данни  (Прочетена 6436 пъти)

mystical

  • Напреднали
  • *****
  • Публикации: 326
  • Distribution: Debian, FreeBSD
  • Window Manager: XFCE
    • Профил
    • WWW
Re: трафични данни
« Отговор #15 -: Nov 11, 2016, 20:37 »
Малко по-подробна информация относно идеята на колегата edmon:


apt-get install ulogd
modprobe nf_conntrack_netlink
iptables -A FORWARD -m state --state NEW -j NFLOG --nflog-group 2 --nflog-prefix [NEW]


nano /etc/ulogd.conf
Цитат
[global]
logfile="syslog"
loglevel=3
plugin="/usr/lib/x86_64-linux-gnu/ulogd/ulogd_inppkt_NFLOG.so"
plugin="/usr/lib/x86_64-linux-gnu/ulogd/ulogd_inpflow_NFCT.so"
plugin="/usr/lib/x86_64-linux-gnu/ulogd/ulogd_raw2packet_BASE.so"
plugin="/usr/lib/x86_64-linux-gnu/ulogd/ulogd_filter_IFINDEX.so"
plugin="/usr/lib/x86_64-linux-gnu/ulogd/ulogd_filter_IP2STR.so"
plugin="/usr/lib/x86_64-linux-gnu/ulogd/ulogd_filter_PRINTPKT.so"
plugin="/usr/lib/x86_64-linux-gnu/ulogd/ulogd_filter_PRINTFLOW.so"
plugin="/usr/lib/x86_64-linux-gnu/ulogd/ulogd_output_LOGEMU.so"
plugin="/usr/lib/x86_64-linux-gnu/ulogd/ulogd_output_SYSLOG.so"

stack=log1:NFLOG,base1:BASE,ifi1:IFINDEX,ip2str1:IP2STR,print1:PRINTPKT,emu1:LOGEMU
stack=ct1:NFCT,ip2str1:IP2STR,print1:PRINTFLOW,emu1:LOGEMU

[ct1]
netlink_socket_buffer_size=217088
netlink_socket_buffer_maxsize=1085440
#netlink_resync_timeout=60 # seconds to wait to perform resynchronization
#pollinterval=10 # use poll-based logging instead of event-driven
# If pollinterval is not set, NFCT plugin will work in event mode
# In this case, you can use the following filters on events:
#accept_src_filter=192.168.1.0/24,1:2::/64 # source ip of connection must belong to these networks
#accept_dst_filter=192.168.1.0/24 # destination ip of connection must belong to these networks
#accept_proto_filter=tcp,sctp # layer 4 proto of connections

[log1]
group=2
netlink_socket_buffer_size=217088
netlink_socket_buffer_maxsize=1085440
# set number of packet to queue inside kernel
#netlink_qthreshold=1
# set the delay before flushing packet in the queue inside kernel (in 10ms)
#netlink_qtimeout=100

[emu1]
file="/var/log/ulog/traffic_data.log"
sync=1

/etc/init.d/ulogd2 restart

Настроени по този начин iptables и ulogd съхраняват информация за всички нови връзки и всички затворени връзки.

Добавих тази функционалност към системата:
https://github.com/mysticall/imslu/commit/c50c2b1f26f1e47525694bc950961e6a8e4a1251
« Последна редакция: Nov 11, 2016, 23:24 от mystical »
Активен

Ако не можеш да градиш, поне не руши!

edmon

  • Напреднали
  • *****
  • Публикации: 44
    • Профил
Re: трафични данни
« Отговор #16 -: Nov 12, 2016, 09:38 »
може да добавиш в настройката на логротате за улог да ги върти 185 дни например.
Активен