7.3. Enregistrement IP (IP Accounting) (pour Linux-2.0)

Les possibilités d'enregistrement IP du noyau Linux vous permettent de recueillir et d'analyser les données d'utilisation du réseau. Les données collectées comprennent le nombre de paquets et le nombre d'octets en cumul depuis la dernière remise à zéro. Vous avez à votre disposition une grande variété de réglages pour obtenir les données que vous désirez. Cette option a été enlevée du 2.1.102, car l'ancien dispositif pare-feu basé sur ipfwadm a été remplacé par ``ipfwchains''.

Options de compilation noyau :
Networking options  --->
 [*] IP: accounting

Après avoir compilé et installé le noyau vous devez utiliser la commande ipfwadm pour configurer l'enregistrement IP. Il y a différentes possibilités pour choisir les informations à enregistrer. J'ai pris un exemple simplifié qui pourrait vous être utile; lisez plutôt la page de manuel ipfwadm pour plus d'informations.

Scenario : Vous avez un réseau Ethernet qui est relié à l'Internet via une liaison PPP. Sur l'Ethernet vous avez une machine qui offre un grand nombre de services et vous voulez savoir quel trafic est engendré par le trafic ftp et ww, aussi bien que le trafic total tcp et udp.

Vous pouvez utiliser une commande qui ressemble à ceci, qui se présente comme un script shell :

	#!/bin/sh
 #
 # Donne les réglages d'enregistrement
 ipfwadm -A -f
 #
 # Met en place les raccourcis
 localnet=44.136.8.96/29
 any=0/0
 # Ajoute des réglages pour le segment Ethernet local
 ipfwadm -A in  -a -P tcp -D $localnet ftp-data
 ipfwadm -A out -a -P tcp -S $localnet ftp-data
 ipfwadm -A in  -a -P tcp -D $localnet www
 ipfwadm -A out -a -P tcp -S $localnet www
 ipfwadm -A in  -a -P tcp -D $localnet
 ipfwadm -A out -a -P tcp -S $localnet
 ipfwadm -A in  -a -P udp -D $localnet
 ipfwadm -A out -a -P udp -S $localnet
 #
 # Réglages par défaut
 ipfwadm -A in  -a -P tcp -D $any ftp-data
 ipfwadm -A out -a -P tcp -S $any ftp-data
 ipfwadm -A in  -a -P tcp -D $any www
 ipfwadm -A out -a -P tcp -S $any www
 ipfwadm -A in  -a -P tcp -D $any
 ipfwadm -A out -a -P tcp -S $any
 ipfwadm -A in  -a -P udp -D $any
 ipfwadm -A out -a -P udp -S $any
 #
 # Liste les réglages
 ipfwadm -A -l -n
 #

Les noms ``ftp-data'' et ``www'' se réfèrent aux lignes du fichier /etc/services. La dernière commande liste chacune des règles d'enregistrement et affiche le total.

Il est important de noter, lorsque l'on analyse les enregistrement IP, que les totaux sont incrémentés à chaque fois, donc pour connaitre les différences vous devez exécuter les opérations mathématiques nécessaires. Par exemple si je veux savoir combien de données ne venaient pas de ftp, telnet, rlogin ou www je dois soustraire les totaux individuels correspondant à chaque port.

root# ipfwadm -A -l -n
IP accounting rules
 pkts bytes dir prot source               destination          ports
 0     0 in  tcp  0.0.0.0/0            44.136.8.96/29       * -> 20
 0     0 out tcp  44.136.8.96/29       0.0.0.0/0            20 -> *
 10  1166 in  tcp  0.0.0.0/0            44.136.8.96/29       * -> 80
 10   572 out tcp  44.136.8.96/29       0.0.0.0/0            80 -> *
 252 10943 in  tcp  0.0.0.0/0            44.136.8.96/29       * -> *
 231 18831 out tcp  44.136.8.96/29       0.0.0.0/0            * -> *
 0     0 in  udp  0.0.0.0/0            44.136.8.96/29       * -> *
 0     0 out udp  44.136.8.96/29       0.0.0.0/0            * -> *
 0     0 in  tcp  0.0.0.0/0            0.0.0.0/0            * -> 20
 0     0 out tcp  0.0.0.0/0            0.0.0.0/0            20 -> *
 10  1166 in  tcp  0.0.0.0/0            0.0.0.0/0            * -> 80
 10   572 out tcp  0.0.0.0/0            0.0.0.0/0            80 -> *
 253 10983 in  tcp  0.0.0.0/0            0.0.0.0/0            * -> *
 231 18831 out tcp  0.0.0.0/0            0.0.0.0/0            * -> *
 0     0 in  udp  0.0.0.0/0            0.0.0.0/0            * -> *
 0     0 out udp  0.0.0.0/0            0.0.0.0/0            * -> *
# 

7.3.1. Enregistrement IP (IP Accounting) (pour Linux-2.2)

On accède au nouveau code d'enregistrement par des ``chaînes IP pare-feu''. Voir La page d'accueil des chaînes IP pour plus d'informations. Entre autres vous devrez utiliser ipchains au lieu de ipfwadm pour configurer vos filtres. (d'après Documentations/Changes dans les sources du dernier noyau).

Hosting by: Hurra Communications GmbH
Generated: 2007-01-26 18:01:31