Passive IP Accounting

[olqs]

Hallo,

hat von Euch jemand schonmal so ne Lösung aufgesetzt?

Soll an dem gemirrorten externen Firewall Port dranhängen und Verbindungen/Traffic mitzählen, bzw bei starker Bandbreitenauslastung warnen.

Gibts da fertige kommerzielle Produkte die das können?

Bin selbst grad am testen von verschiedenen Linux Tools, aber das is n Haufen Skriptingarbeit um die einzelnen Tools anzupassen.

Die "eierlegende Wollmilchsau" hab ich für den Aufgabenbereich leider noch nicht gefunden , aber wenn jemand so eine kennt wär ich für jeden Hinweis dankbar.

Ach ja, ob das jetzt auf Windows/Linux/BSD läuft is eigentlich egal, mit Präferenz aber doch auf die ersten beiden.

Danke schonmal

Alex

[Crash2001]

Es wäre vielleicht sinnvoll, wenn du mal erwähnen würdest, was das denn überhaupt für eine Firewall ist. Hardware- oder Softwarelösung und was für ein Produkt genau. :confused:

(Würde ich Kaffee trinken, könnte ich ja zumindest noch im Kaffeesatz zu lesen versuchen. )

[nic_power]

Hallo,

hast Du dir schon mal iptraf angeschaut?`

http://iptraf.seul.org/about.html

Nic

[olqs]

Naja auf die Firewall kommts ja gar nicht drauf an, die hat nichts damit zu tun.

Der IP Accounting Rechner sitzt komplett extern vom Netz, also hat den Traffic der Standleitung auf einem Interface ohne Firewall dazwischen. Somit erhalten die Firewall und der Ip Accounting PC genau die selben Daten, dublizieren der Daten läuft auf Switch Ebene.

Da braucht man denk ich keinen Kaffee dafür.

Der Accounting PC soll aber nur passiv auf dem Interface den Datenverkehr mitprotokolieren, Netzwerkkarte wird einfach ohne IP hochgefahren.

Zu IpTraf, is nicht wirklich brauchbar, da das Auswerten nicht gerade praktisch ist.

[blackswordowner]

Moins!

Habe folgendes bei fli4l gefunden:

http://www.fli4l.de/german/extern/opt/search.pl?cat_id=12

Vielleicht hilft es dir ja weiter.

Gruß

BSO

[olqs]

Ja das kenn ich schon, hab ich schon ausprobiert.

Hätte auch alle Funktionen gehabt die man eigentlich bräuchte, nur baut das auf iptables auf und die counter zählen da nur hoch wenn die Packete zumindest geroutet werden. Was ja bei dem Setup nicht der Fall ist.

Hab auch probiert die Zählregeln statt INPUT bzw FORWARD wo die normal drin sind, zu PREROUTING hinzuzufügen, aber da zählen die leider auch nicht.

Also denk ich das das nur funktioniert wenn der fli4l als Router dient und die Packete von dem behandelt werden.

Hab mir auch noch ntop angesehen, aber der speichert ja seine Daten in lauter unterschiedlichen (pro IP mindestens eine) rrd Datenbanken und die sind nicht wirklich gut zum Auslesen, vorallem ist mit denen eine längere Datenspeicherung nur bedingt möglich.

Derzeit bin ich am testen von pmacctd. Der Dienst nutzt libpcap und zählt super mit, speichert die Daten wahlweise in einer mysql bzw postgres DB.

Jetzt brauch ich nur noch so ein Traffic Alert Tool das bei zu hoher Bandbreite pro Hosts über einen längeren Zeitraum warnt. Hab auch schon was gefunden, das vielleicht kann: ipband

Ist grad in der Testphase nur reicht schön langsam die Testhardware nicht mehr aus.