The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"правила для flow-nfilter"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"правила для flow-nfilter"  +/
Сообщение от Aidaho (ok) on 14-Янв-10, 07:56 
Добрый день. Поставил себе flow-tools, но не могу разобраться с его фильтрами.
Написал следующие фильтры:

filter-primitive set1
  type ip-address-prefix
  permit 192.168.0.0/24

filter-definition set1
    match ip-source-address set1

filter-primitive set3
  type ip-address-prefix
  permit 192.168.6.0/24

filter-definition set3
    match ip-source-address set3

filter-primitive set2
  type ip-address-prefix
  permit 192.168.1.0/24

filter-definition set2
    match ip-source-address set2

filter-primitive mail_server
type ip-address
permit 192.168.10.6
default deny
  
filter-primitive proxy_server
  type ip-address
  permit 192.168.10.2
  default deny
  
filter-primitive gw_server
type ip-address
permit 192.168.10.3    
default deny

filter-primitive all  
  type ip-address-prefix
  permit 192.168.0.0/24
  permit 192.168.1.0/24
  permit 192.168.3.0/24
  permit 192.168.5.0/24
  permit 192.168.6.0/24

filter-definition all
match src-ip-addr set1
or
match src-ip-addr set2
or
match src-ip-addr set3
or
match src-ip-addr set4  
match dst-ip-addr mail_server
  or
  match dst-ip-addr proxy_server
  or
  match dst-ip-addr gw_server

filter-definition proxy_server
match ip-source-address proxy_server

так вот, в чем проблема, когда делаю фильтрацию по притиву all, то показывает какой то странный трафик. Суммарный трафик около 20 Гб., а по фильтру показывает в районе 1 Гб. Хотя весь трафик ходит через эти сервера. Так же для прокси сервера. Прокся показывает около 2-ух Гб, а фильтр меньше 500 Мб. Может я как то не правильно написал фильтры? не подскажите, как сделать правильно?

выборку делаю так:

flow-cat /usr/local/flow/acct/2010/2010-01/tmp* | flow-nfilter -Fproxy_server -f /usr/local/etc/flow-tools/filter.cfg | flow-stat -f15

Заранее спасибо )

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "правила для flow-nfilter"  +/
Сообщение от Pahanivo email(ok) on 14-Янв-10, 08:07 
>[оверквотинг удален]
>filter-definition set3
>    match ip-source-address set3
>
>filter-primitive set2
>  type ip-address-prefix
>  permit 192.168.1.0/24
>
>filter-definition set2
>    match ip-source-address set2
>

терзают смытные сомнения - считаешь по соурсу, но при этом соур приватный - в ту ли ты сторону считаешь? )

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "правила для flow-nfilter"  +/
Сообщение от Aidaho (ok) on 14-Янв-10, 08:24 
>[оверквотинг удален]
>>filter-primitive set2
>>  type ip-address-prefix
>>  permit 192.168.1.0/24
>>
>>filter-definition set2
>>    match ip-source-address set2
>>
>
>терзают смытные сомнения - считаешь по соурсу, но при этом соур приватный
>- в ту ли ты сторону считаешь? )

мне нужен исходящий трафик, не по дестинейшену же считать...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "правила для flow-nfilter"  +/
Сообщение от Aidaho (ok) on 14-Янв-10, 13:38 
вопрос появился, а можно ли сказать фильтру так, что бы он показывал трафик, который идет не в определенную подсеть? Что то вроде инверсии....
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "правила для flow-nfilter"  +/
Сообщение от Pahanivo email(ok) on 14-Янв-10, 13:41 
>вопрос появился, а можно ли сказать фильтру так, что бы он показывал
>трафик, который идет не в определенную подсеть? Что то вроде инверсии....
>

да

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "правила для flow-nfilter"  +/
Сообщение от Aidaho (ok) on 14-Янв-10, 13:42 
>>вопрос появился, а можно ли сказать фильтру так, что бы он показывал
>>трафик, который идет не в определенную подсеть? Что то вроде инверсии....
>>
>
>да

а не подскажите как? а то в манах что то не заметил :)
желательно с примером...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "правила для flow-nfilter"  +/
Сообщение от Pahanivo email(ok) on 14-Янв-10, 18:15 
>>>вопрос появился, а можно ли сказать фильтру так, что бы он показывал
>>>трафик, который идет не в определенную подсеть? Что то вроде инверсии....
>>>
>>
>>да
>
>а не подскажите как? а то в манах что то не заметил
>:)
>желательно с примером...

так не пробовал? )

filter-primitive NAME
   type ip-address-prefix
   deny 192.168.0.0/24
   default permit

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "правила для flow-nfilter"  +/
Сообщение от Aidaho (ok) on 15-Янв-10, 06:53 
>[оверквотинг удален]
>>а не подскажите как? а то в манах что то не заметил
>>:)
>>желательно с примером...
>
>так не пробовал? )
>
>filter-primitive NAME
>   type ip-address-prefix
>   deny 192.168.0.0/24
>   default permit

эм... пробовал.. в конфиге же есть такое :)
только я не понял, где тут реверс?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "правила для flow-nfilter"  +/
Сообщение от Pahanivo email(ok) on 15-Янв-10, 08:11 
filter-primitive NAME
   type ip-address-prefix
   deny 192.168.0.0/24
   default permit

filter-primitive NAME
   type ip-address-prefix
   permit 192.168.0.0/24
   default deny

внимательно смотрим и ищем ДВА отличия

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "правила для flow-nfilter"  +/
Сообщение от nadirx2 email(ok) on 15-Янв-10, 11:55 
filter-primitive mynettraffic
    type ip-address-prefix
    permit 192.168.0.0/24
    default deny

filter-definition mynet
    match-ip-destination-address mynettraffic
или
    match-ip-source-address mynettraffic

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "правила для flow-nfilter"  +/
Сообщение от Aidaho (ok) on 18-Янв-10, 12:23 
>[оверквотинг удален]
>   type ip-address-prefix
>   deny 192.168.0.0/24
>   default permit
>
>filter-primitive NAME
>   type ip-address-prefix
>   permit 192.168.0.0/24
>   default deny
>
>внимательно смотрим и ищем ДВА отличия

блин, все не могу понять логику... ((

не поможете? мне надо что бы считался трафик из моих подсетей, который идет на 3 сервера.
Ну и суммарный трафик, со всех сетей... помоги плз...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "правила для flow-nfilter"  +/
Сообщение от Pahanivo email(ok) on 18-Янв-10, 12:51 
ну не получается у тебя построить сложный фильт - построй несколько простых и понятных,
скрипты для допиливания еще никто не отменял


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "правила для flow-nfilter"  +/
Сообщение от Aidaho (ok) on 18-Янв-10, 13:04 
>ну не получается у тебя построить сложный фильт - построй несколько простых
>и понятных,
>скрипты для допиливания еще никто не отменял

делаю например так, все равно показывает какой то странный трафик:

filter-primitive set
  type ip-address-prefix
  permit 192.168.5.0/24

filter-definition set_out
match src-ip-addr set
  match dst-ip-addr mail_server
  or
  match dst-ip-addr proxy_server
  or
  Match dst-ip-addr gw_server

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "правила для flow-nfilter"  +/
Сообщение от Pahanivo email(ok) on 18-Янв-10, 13:56 
>[оверквотинг удален]
>  type ip-address-prefix
>  permit 192.168.5.0/24
>
>filter-definition set_out
> match src-ip-addr set
>  match dst-ip-addr mail_server
>  or
>  match dst-ip-addr proxy_server
>  or
>  Match dst-ip-addr gw_server

не стал гадать - дал man flow-nfilter и вот что увидел:

       filter-definition foo
         match ip-source-port port80
         match start-time dec12
         or
         match ip-destination-port port25
         match start-time dec12

думаю это по твоей теме ...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "правила для flow-nfilter"  +/
Сообщение от Aidaho (ok) on 18-Янв-10, 14:03 
>[оверквотинг удален]
>
>         match start-time dec12
>
>         or
>         match ip-destination-port port25
>
>         match start-time dec12
>
>
>думаю это по твоей теме ...

нет, мне не надо на каком то порту, надо весь трафик...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "правила для flow-nfilter"  +/
Сообщение от Pahanivo email(ok) on 18-Янв-10, 16:09 
>[оверквотинг удален]
>>
>>         or
>>         match ip-destination-port port25
>>
>>         match start-time dec12
>>
>>
>>думаю это по твоей теме ...
>
>нет, мне не надо на каком то порту, надо весь трафик...

знаешь дорогой, пора уже своим мозгом думать начинать ...
я тебе дал ПРИМЕР из МАНА, пример показывает порядок интерпретации ЛОГИЧЕСКИХ ВЫРАЖЕНИЙ в правилах фильтра

rule1 AND (rule2 OR rule3) = (в нотации фильтра, по федолту AND) rule1 rule2 OR rul1 rule3 =! (а не так как у тебя) rule1 rule2 OR rule3

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру