форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Правило общета трафика в ipfw"
Сообщение от mrrc on 04-Авг-01, 16:57  (MSK)
Кто скажет, как более правильно составить правило общитывающее входящий\исходящий трафик интерфейса, смотрящего в инет, имеется два варианта. Может из-за этого у меня за месяц расхождение с провайдеров в 20 мегабайт в его пользу?... ipfw add 00260 count all from any to any via xl0 in ipfw add 00270 count all from any to any via xl0 out ipfw add 52220 count all from any to any in via xl0 ipfw add 52221 count all from any to any out via xl0
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: Правило общета трафика в ipfw"
Сообщение от mrrc on 07-Авг-01, 15:25  (MSK)
В развитие темы о правильной очереди построения правил в ipfw, тут в голове крутится вот еще что, принципиально ли после чего пускать правила count общитывающие общий трафик сервера и пользователей локальной сети, дело в том, что также наряду с этим имеются иные запрещающие\разрешающие правила на определенные порты и адреса, не могут ли они вносить свои негативные коррективы в подсчет трафика, если они стоят выше по номеру чем правила, отвечающие за подсчет трафика, может они "сжирают", принимают на себя как бы, какую-то часть проходящих через них пакетов, тем самым уменьшая реальный показатель входящего\исходящего трафика в правилах count? Может ли такое быть вообще? (почему вопрос, наблюдал, когда прописал два правила выше count-ов, первое закрывало всем в лок.сети доступ по порту 8080 куда бы то ни было, а второе разрешало его только на серый адрес прокси сервера, при этом не записывался исходящий трафик пользователей по порту 8080, то есть не учитывались их пакеты уходящие на мой прокси) Может имеет смысл поместить правила count в самом начале, ну хотя бы после правил, скажем: 00100  10072    804188 allow ip from any to any via lo0 00200      0         0 deny ip from any to 127.0.0.0/8 00300      0         0 deny ip from 127.0.0.0/8 to any 00400      0         0 divert 8668 ip from 10.0.0.0/24 to any out xmit dc0 00500      0         0 divert 8668 ip from any to 195.195.195.195 in recv dc0 а уже все остальное пустить после count-ов? Что скажите одним словом.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "RE: Правило общета трафика в ipfw"
	Сообщение от lavr on 07-Авг-01, 16:09  (MSK)
	>В развитие темы о правильной очереди >построения правил в ipfw, тут >в голове крутится вот еще >что, принципиально ли после чего >пускать правила count общитывающие общий >трафик сервера и пользователей локальной >сети, дело в том, что >также наряду с этим имеются >иные запрещающие\разрешающие правила на определенные >порты и адреса, не могут >ли они вносить свои негативные >коррективы в подсчет трафика, если >они стоят выше по номеру >чем правила, отвечающие за подсчет >трафика, может они "сжирают", принимают >на себя как бы, какую-то >часть проходящих через них пакетов, >тем самым уменьшая реальный показатель >входящего\исходящего трафика в правилах count? > >Может ли такое быть вообще? (почему >вопрос, наблюдал, когда прописал два >правила выше count-ов, первое закрывало >всем в лок.сети доступ по >порту 8080 куда бы то >ни было, а второе разрешало >его только на серый адрес >прокси сервера, при этом не >записывался исходящий трафик пользователей по >порту 8080, то есть не >учитывались их пакеты уходящие на >мой прокси) > >Может имеет смысл поместить правила count >в самом начале, ну хотя >бы после правил, скажем: > >00100  10072     >804188 allow ip from any >to any via lo0 >00200       >0     >    0 >deny ip from any to >127.0.0.0/8 >00300       >0     >    0 >deny ip from 127.0.0.0/8 to >any >00400       >0     >    0 >divert 8668 ip from 10.0.0.0/24 >to any out xmit dc0 > >00500       >0     >    0 >divert 8668 ip from any >to 195.195.195.195 in recv dc0 > > >а уже все остальное пустить после >count-ов? > >Что скажите одним словом. да хоть как снимай, ВСЕ одно расхождение будет. Чтобы все прояснилось - стоит подумать о том КТО с КАКОГО интерфейса снимает статистику, И КАК. Ну типа для затравки, рисунок:     провайдер     |    local-net ---cisco[inteface]<------>momed[LL/xDSL]-server вопрос, ГДЕ БУДЕТ СНИМАТЬ статистику провайдер, с какого интерфейса и КАКИЕ ОТЛИЧИЯ будут с тем что снимается с интерфейсов на сервере? Соль: Провайдер отдает интерфейс на сиське, хде он будить считать трафик? Пример: интерфейс отдан, к примеру клиент имеет с провайдером соединение как нарисовано выше. начиная с [ВОТ ОТСЮДА]<------->momed<-->local-net к клиенту идет трафик, допустим клиент выключил свой momed (например в целях экономии), вопрос: Будет ли трафик к клиенту? Ответ прост. Задай вопрос провайдеру, с какого интерфейса он снимает трафик (ОТКУДОВА) - и получишь ответ на свой вопрос. ЛУЧШЕ ОДИН РАЗ НАРИСОВАТЬ, чем долго мучаться.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "RE: Правило общета трафика в ipfw"
	Сообщение от Umka on 07-Авг-01, 16:11  (MSK)
	У меня в фаерволе это выглядит так ipfw add 100 count all from any to any in via ed0 ipfw add 110 count all from any to any out via ed0 Проблема немноо в другом.... Чем(или с чего) провайдер снимает статистику.... у меня провайдер со своей стороны снимает информацию с Зюхеля по SNMP, а он(Зюхель) не считает служебную информацию(+18 байт)... Фря считает всё.... на асинхронных модемах эти цифры немного другие...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "RE: Правило общета трафика в ipfw"
	Сообщение от mrrc on 08-Авг-01, 02:35  (MSK)
	Насчет расхождения из-за мест снятия статистики провайдерами и нами это уже понятно, я вот с правилами хочу все же уточнить ситуацию. Я вот что подозреваю, перед count-ами встречаются правила как с deny, так и с allow, которые в свою очередь понятное дело цепляют на себя определенные цифры, судя по ipfw show, может все то, что они на себя взяли, далее ниже на count-овские правила уже не записывается и получается, что данные трафика неточны. Наверное в первую очередь пустить все же count, а после все остальное?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "RE: Правило общета трафика в ipfw"
	Сообщение от umka on 08-Авг-01, 14:28  (MSK)
	а ты загляни в сырцы фаервола и посмотри :) у меня написано так ipfw add 10 unreach tcp from any to any 7002 out via ed0 ipfw add 20 unreach tcp from any to any 7002 out via ed0 ipfw add 100 count all from any to any in via ed0 ipfw add 110 count all from any to any out via ed0 . . . я снимаю показания только с правил count
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "RE: Правило общета трафика в ipfw"
	Сообщение от mrrc on 10-Авг-01, 03:49  (MSK)
	Я тоже снимаю показания только с правил count, но вопрос то в другом, не искажаются ли эти самые показания из-за вышестоящих перед ними правил, которые могут частично брать на себя определенные пакеты, которые к ним относятся.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "RE: Правило общета трафика в ipfw"
	Сообщение от umka on 11-Авг-01, 02:09  (MSK)
	Нет, не искажаются :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "RE: Правило общета трафика в ipfw"
	Сообщение от Lyncher on 14-Авг-01, 12:37  (MSK)
	Бред какой-то..... Поставь Линух и Ипак И там почти поруски ему говоришь чё считать и с какой сети И картинки генерит :-))
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "RE: Правило общета трафика в ipfw"
	Сообщение от dvyacheslav on 15-Авг-01, 17:28  (MSK)
	народ простите за ламерство но куда это все пишеться и как это подсчитать???
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.