January 12, 2010 – 8:45 pm
原文:http://www.cyberciti.biz/tips/force-iptables-to-log-messages-to-a-different-… According to man page: Iptables is used to set up, maintain, and inspect the tables of IP packet filter rules in the Linux kernel. Several different tables may be defined. Each table contains a number of built-in chains and may also contain user defined chains. By default, Iptables log message to a /var/log/messages file. [...]
January 12, 2010 – 5:44 pm
Traffic accounting with iptables From OpenVZ Wiki Jump to: navigation, search Suppose you need to know how much traffic your containers eat. It can be easily done using iptables. Contents [hide] 1 Situation description 2 Solution 3 More complicated cases 4 Scripting 4.1 Get CTIDs of all running containers 4.2 Get all IPs of running [...]
December 28, 2009 – 8:31 am
转贴自:http://netsecurity.51cto.com/art/200907/134273.htm 服务器采用Ubuntu作为操作系统,两块网卡,一块接外网(eth0),一块接内网(eth1)。采用shorewall作为防火墙。 配置网卡: sudo vi /etc/network/interfaces Ubuntu下设置shorewall防火墙 服务器采用Ubuntu作为操作系统,两块网卡,一块接外网(eth0),一块接内网(eth1)。采用shorewall作为防火墙。 配置网卡: sudo vi /etc/network/interfaces ———————————————— # This file describes the network interfaces available on your system # and how to activate them. For more information, see interfaces(5). # The loopback network interface auto lo iface lo inet loopback # This is a list of hotpluggable network interfaces. [...]
December 18, 2009 – 3:52 pm
转贴自:http://www.linuxscrew.com/2007/09/21/dump-ipcad-output-into-sqlite3/ ipcad is IP accounting daemon with Cisco-like ip accounting export. It runs in background, listens traffic on the specified interfaces, and records the traffic for later retrieval and analysis. Here is a piece of shell code that allows to export ipcad output into sqlite3 database format: echo “create table traffic (src, dst, pkt, bt);” [...]
December 17, 2009 – 9:28 pm
转贴自:http://www.j2h.tw/bbs/bbs16/206.html 在校園網路裡面為了避免某些人濫用網路資源(架地下ftp)常會限制上下傳的資料量如果不小心用破表了就會被強迫斷線甚至可能會被請到計算機中心喝咖啡順便 說清楚講明白…(以前也曾活在這種恐怖陰影下) 要達到這樣的目的大多都是透過硬體的方式來實現(可是硬體的成本並不便宜) 因此我在想是否有辦法利用Linux強大的網路能力來實現呢? 找了許多關於iptables的資料後終於找到一個解決方法同時也實現了 [原理] Linux kernel 2.4的Net Filter機制裡面有內建了三個chain 1.INPUT 2.FORWARD <————我們要討論的主角 3.OUTPUT 既然要達到流量監控因此必須要Router作控管拉… 如果是拿Linux來當作Router的話那勢必得把IP Forwarding的功能給打開來 既然非得要把Forwarding功能打開那封包勢必得通過FORWARD Chain了 因此我們就拿FORWARD Chain來動手腳了 例如我們內部有一個Nat的環境使用的IP範圍是192.168.0.0/24 要監控192.168.0.1這個ip的流量 首先我們先新增兩條rule iptables -A FORWARD -s 192.168.0.1 -j ACCEPT iptables -A FORWARD -d 192.168.0.1 -j ACCEPT 我們使用iptables -L FORWARD -nvx看看我們剛剛建的這兩個rule Chain FORWARD (policy ACCEPT 3109 packets, 1529728 bytes) pkts bytes target prot [...]
December 17, 2009 – 5:43 pm
转贴自:http://doc.linuxpk.com/1843.html 一、概述 Linux下用的最多的是MRTG的性能监视,MRTG配置比较简单,MRTG的确是非常好的东东,但我认为它毕竟已经是一套很旧的软件了,其作者在多年前就已经开发了RRDTool代替该软件,现在已经发展得很成熟。既然有更好的选择,为什么我们还要用MRTG呢? 简单的说,rrdtool就是一个强大的绘图的引擎,很多语言都可以调用rrdtool绘图。 整个系统的架构是这样的: 基于SNMP协议,被监控端是服务器,或一些网络设备, 网络管理工作站,采用Linux(或Freebsd)操作系统,并且安装Net-SNMP工具,使用RRDTOOL采集数据,存储数据,并用Cacti调用rrdtool显示出来。 CACTI采用PHP编写,基于B/S结构。 二、介绍 MRTG的优点:简单、易上手,基本安装完了之后只要更改一下配置文件即可。 缺点: 1、使用文本式的数据库,数据不能重复使用; 2、只能按日、周、月、年来查看数据; 3、只能画两个DS(一条线、一个块); 4、每取一次数据即需要绘图一次,浪费系统资源; 5、无管理功能; rrdtool的优点: 1、使用rrd存储格式,数据能重复使用,比如我可以将一个rrd文件中的数据与另一个rrd文件中的数据相加。 2、可以定义任意时间段画图,即你可以画出一张半年以来的数据的图,也可以画出一张半小时以来的图。 3、能画任意个DS。 4、CDEF让你能任意摆弄数据。 缺点: 1、rrdtool的作用只是存储数据和画图,它没有mrtg中集成的数据采集功能; 2、在命令行的使用非常复杂,参数极多。 3、无管理功能。 简单的说,rrdtool就是一个强大的绘图的引擎。 由于其非常复杂的命令,对用户非常不友好,我一度想自己用php写一套系统。幸运的是,半年前我找到了cacti(www.cacti.net)。对该工具我只有一个字形容:“great!”。 cacti 其实是一套php程序,它运用snmpget采集数据,使用rrdtool绘图。它的界面非常漂亮,能让你根本无需明白rrdtool的参数能轻易的绘出 漂亮的图形。更难能可贵的是,它提供了强大的数据管理和用户管理功能,一张图是属于一个host的,每一个host又可以挂载到一个树状的结构上。用户的 管理上,作为一个开源软件,它居然做到为指定一个用户能查看的“树”、host、甚至每一张图,还可以与LDAP结合进行用户的验证!我不由得佩服作者考 虑的周到!Cacti还提供自己增加模板的功能,让你添加自己的snmp_query和script!可以说,cacti将rrdtool的所有“缺点” 都补足了! 三、监控管理工作站配置 采用Linux系统,CACTI要用到Net-SNMP,RRDTool,Aapche,PHP,Mysql,以下是安装过程: 1. 安装Apache+Mysql+PHP 安装过程比较简单,参考其它的资料,需要注意的是,PHP最好加上SNMP支持,编译的时候,加上—enable-snmp 注意。PHP不能运行在安全模式,否则,Cacti工作不正常。无法调用/usr/local/bin/下面的程序。 2. 安装rrdtool 官方网站:http://people.ee.ethz.ch/~oetiker/webtools/rrdtool/ 下载: http://people.ee.ethz.ch/~oetiker/webtools/rrdtool/pub/rrdtool-1.0.x/rrdtool-1.0.50.tar.gz 然后 ./configure –prefix=/usr/local/rrdtool make make install 与mrtg相比,rrdtool自带了gd库,所以不用先安装gd库.(不过由于rrdtool自带的gd库不支持中文,所以rrdtool画出来的图也不能有中文,否则会出现乱码). 注意:rrdtool1.2的版本由于已经不再自带外部的lib库(如cgilib,zlib等),所以需要从 http://people.ee.ethz.ch/~oetiker/webtools/rrdtool/pub/libs/下载这些库来安装。建议还 是使用1.0的版本,比较方便。 安装完后,执行rrdtool看是否正确, [...]
December 17, 2009 – 4:45 pm
转贴自:http://www.5dlinux.com/article/1/2009/linux_33030.html 参考文献:tc weizhishu www.chinalinuxpub.com linux Advanced Routing & Traffic Control HOWTO by Bert Hubert http://www.chinalinuxpub.com/vbbfor…&threadid=18601 请认真阅读上面的文章,掌握好相应的概念。 Red Hat linux 7.3 内核 2.4.18 以上。 局域网的网络拓扑: 在服务器的eth0 帮定了外部地址 eth0:192.168.1.3 eth1 帮定了内部地址 eth1:1 172.17.1.1 eth1:2 172.18.1.1 eth1:3 172.19.1.1 现在要实现的功能就是整个出口限制在512kbit(上传流量) , 172.17网段的下载流量下载到512Kbit ,172.18 网段限制在128kbit,172.19的网段限制到 3Mbit。 方法如下: 首先帮定相应的地址:(不细述) 实现路由设定,使用iptables实现。 # iptables –A input -F # iptables -A output -F # [...]
December 15, 2009 – 11:41 pm
USE_INETD=no OPTIONS=”–daemon –tftpd-timeout 300 –retry-timeout 5 –mcast-port 1758 –mcast-addr 239.239.239.0-255 –mcast-ttl 1 –maxthread 100 –verbose=5 /tftp”
