7.3. Enregistrement IP (IP Accounting) (pour Linux-2.0)

Les possibilit�s d'enregistrement IP du noyau Linux vous permettent de recueillir et d'analyser les donn�es d'utilisation du r�seau. Les donn�es collect�es comprennent le nombre de paquets et le nombre d'octets en cumul depuis la derni�re remise � z�ro. Vous avez � votre disposition une grande vari�t� de r�glages pour obtenir les donn�es que vous d�sirez. Cette option a �t� enlev�e du 2.1.102, car l'ancien dispositif pare-feu bas� sur ipfwadm a �t� remplac� par ``ipfwchains''.

Options de compilation noyau :

Networking options ---> [*] IP: accounting

Apr�s avoir compil� et install� le noyau vous devez utiliser la commande ipfwadm pour configurer l'enregistrement IP. Il y a diff�rentes possibilit�s pour choisir les informations � enregistrer. J'ai pris un exemple simplifi� qui pourrait vous �tre utile; lisez plut�t la page de manuel ipfwadm pour plus d'informations.

Scenario : Vous avez un r�seau Ethernet qui est reli� � l'Internet via une liaison PPP. Sur l'Ethernet vous avez une machine qui offre un grand nombre de services et vous voulez savoir quel trafic est engendr� par le trafic ftp et ww, aussi bien que le trafic total tcp et udp.

Vous pouvez utiliser une commande qui ressemble � ceci, qui se pr�sente comme un script shell :

#!/bin/sh # # Donne les r�glages d'enregistrement ipfwadm -A -f # # Met en place les raccourcis localnet=44.136.8.96/29 any=0/0 # Ajoute des r�glages pour le segment Ethernet local ipfwadm -A in -a -P tcp -D $localnet ftp-data ipfwadm -A out -a -P tcp -S $localnet ftp-data ipfwadm -A in -a -P tcp -D $localnet www ipfwadm -A out -a -P tcp -S $localnet www ipfwadm -A in -a -P tcp -D $localnet ipfwadm -A out -a -P tcp -S $localnet ipfwadm -A in -a -P udp -D $localnet ipfwadm -A out -a -P udp -S $localnet # # R�glages par d�faut ipfwadm -A in -a -P tcp -D $any ftp-data ipfwadm -A out -a -P tcp -S $any ftp-data ipfwadm -A in -a -P tcp -D $any www ipfwadm -A out -a -P tcp -S $any www ipfwadm -A in -a -P tcp -D $any ipfwadm -A out -a -P tcp -S $any ipfwadm -A in -a -P udp -D $any ipfwadm -A out -a -P udp -S $any # # Liste les r�glages ipfwadm -A -l -n #

Les noms ``ftp-data'' et ``www'' se r�f�rent aux lignes du fichier /etc/services. La derni�re commande liste chacune des r�gles d'enregistrement et affiche le total.

Il est important de noter, lorsque l'on analyse les enregistrement IP, que les totaux sont incr�ment�s � chaque fois, donc pour connaitre les diff�rences vous devez ex�cuter les op�rations math�matiques n�cessaires. Par exemple si je veux savoir combien de donn�es ne venaient pas de ftp, telnet, rlogin ou www je dois soustraire les totaux individuels correspondant � chaque port.

root# ipfwadm -A -l -n IP accounting rules pkts bytes dir prot source destination ports 0 0 in tcp 0.0.0.0/0 44.136.8.96/29 * -> 20 0 0 out tcp 44.136.8.96/29 0.0.0.0/0 20 -> * 10 1166 in tcp 0.0.0.0/0 44.136.8.96/29 * -> 80 10 572 out tcp 44.136.8.96/29 0.0.0.0/0 80 -> * 252 10943 in tcp 0.0.0.0/0 44.136.8.96/29 * -> * 231 18831 out tcp 44.136.8.96/29 0.0.0.0/0 * -> * 0 0 in udp 0.0.0.0/0 44.136.8.96/29 * -> * 0 0 out udp 44.136.8.96/29 0.0.0.0/0 * -> * 0 0 in tcp 0.0.0.0/0 0.0.0.0/0 * -> 20 0 0 out tcp 0.0.0.0/0 0.0.0.0/0 20 -> * 10 1166 in tcp 0.0.0.0/0 0.0.0.0/0 * -> 80 10 572 out tcp 0.0.0.0/0 0.0.0.0/0 80 -> * 253 10983 in tcp 0.0.0.0/0 0.0.0.0/0 * -> * 231 18831 out tcp 0.0.0.0/0 0.0.0.0/0 * -> * 0 0 in udp 0.0.0.0/0 0.0.0.0/0 * -> * 0 0 out udp 0.0.0.0/0 0.0.0.0/0 * -> * #