URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 87849
[ Назад ]

Исходное сообщение
"правила для flow-nfilter"

Отправлено Aidaho , 14-Янв-10 07:56 
Добрый день. Поставил себе flow-tools, но не могу разобраться с его фильтрами.
Написал следующие фильтры:

filter-primitive set1
  type ip-address-prefix
  permit 192.168.0.0/24

filter-definition set1
    match ip-source-address set1

filter-primitive set3
  type ip-address-prefix
  permit 192.168.6.0/24

filter-definition set3
    match ip-source-address set3

filter-primitive set2
  type ip-address-prefix
  permit 192.168.1.0/24

filter-definition set2
    match ip-source-address set2

filter-primitive mail_server
type ip-address
permit 192.168.10.6
default deny
  
filter-primitive proxy_server
  type ip-address
  permit 192.168.10.2
  default deny
  
filter-primitive gw_server
type ip-address
permit 192.168.10.3    
default deny

filter-primitive all  
  type ip-address-prefix
  permit 192.168.0.0/24
  permit 192.168.1.0/24
  permit 192.168.3.0/24
  permit 192.168.5.0/24
  permit 192.168.6.0/24

filter-definition all
match src-ip-addr set1
or
match src-ip-addr set2
or
match src-ip-addr set3
or
match src-ip-addr set4  
match dst-ip-addr mail_server
  or
  match dst-ip-addr proxy_server
  or
  match dst-ip-addr gw_server

filter-definition proxy_server
match ip-source-address proxy_server

так вот, в чем проблема, когда делаю фильтрацию по притиву all, то показывает какой то странный трафик. Суммарный трафик около 20 Гб., а по фильтру показывает в районе 1 Гб. Хотя весь трафик ходит через эти сервера. Так же для прокси сервера. Прокся показывает около 2-ух Гб, а фильтр меньше 500 Мб. Может я как то не правильно написал фильтры? не подскажите, как сделать правильно?

выборку делаю так:

flow-cat /usr/local/flow/acct/2010/2010-01/tmp* | flow-nfilter -Fproxy_server -f /usr/local/etc/flow-tools/filter.cfg | flow-stat -f15

Заранее спасибо )


Содержание

Сообщения в этом обсуждении
"правила для flow-nfilter"
Отправлено Pahanivo , 14-Янв-10 08:07 
>[оверквотинг удален]
>filter-definition set3
>    match ip-source-address set3
>
>filter-primitive set2
>  type ip-address-prefix
>  permit 192.168.1.0/24
>
>filter-definition set2
>    match ip-source-address set2
>

терзают смытные сомнения - считаешь по соурсу, но при этом соур приватный - в ту ли ты сторону считаешь? )


"правила для flow-nfilter"
Отправлено Aidaho , 14-Янв-10 08:24 
>[оверквотинг удален]
>>filter-primitive set2
>>  type ip-address-prefix
>>  permit 192.168.1.0/24
>>
>>filter-definition set2
>>    match ip-source-address set2
>>
>
>терзают смытные сомнения - считаешь по соурсу, но при этом соур приватный
>- в ту ли ты сторону считаешь? )

мне нужен исходящий трафик, не по дестинейшену же считать...


"правила для flow-nfilter"
Отправлено Aidaho , 14-Янв-10 13:38 
вопрос появился, а можно ли сказать фильтру так, что бы он показывал трафик, который идет не в определенную подсеть? Что то вроде инверсии....

"правила для flow-nfilter"
Отправлено Pahanivo , 14-Янв-10 13:41 
>вопрос появился, а можно ли сказать фильтру так, что бы он показывал
>трафик, который идет не в определенную подсеть? Что то вроде инверсии....
>

да


"правила для flow-nfilter"
Отправлено Aidaho , 14-Янв-10 13:42 
>>вопрос появился, а можно ли сказать фильтру так, что бы он показывал
>>трафик, который идет не в определенную подсеть? Что то вроде инверсии....
>>
>
>да

а не подскажите как? а то в манах что то не заметил :)
желательно с примером...


"правила для flow-nfilter"
Отправлено Pahanivo , 14-Янв-10 18:15 
>>>вопрос появился, а можно ли сказать фильтру так, что бы он показывал
>>>трафик, который идет не в определенную подсеть? Что то вроде инверсии....
>>>
>>
>>да
>
>а не подскажите как? а то в манах что то не заметил
>:)
>желательно с примером...

так не пробовал? )

filter-primitive NAME
   type ip-address-prefix
   deny 192.168.0.0/24
   default permit


"правила для flow-nfilter"
Отправлено Aidaho , 15-Янв-10 06:53 
>[оверквотинг удален]
>>а не подскажите как? а то в манах что то не заметил
>>:)
>>желательно с примером...
>
>так не пробовал? )
>
>filter-primitive NAME
>   type ip-address-prefix
>   deny 192.168.0.0/24
>   default permit

эм... пробовал.. в конфиге же есть такое :)
только я не понял, где тут реверс?


"правила для flow-nfilter"
Отправлено Pahanivo , 15-Янв-10 08:11 
filter-primitive NAME
   type ip-address-prefix
   deny 192.168.0.0/24
   default permit

filter-primitive NAME
   type ip-address-prefix
   permit 192.168.0.0/24
   default deny

внимательно смотрим и ищем ДВА отличия


"правила для flow-nfilter"
Отправлено nadirx2 , 15-Янв-10 11:55 
filter-primitive mynettraffic
    type ip-address-prefix
    permit 192.168.0.0/24
    default deny

filter-definition mynet
    match-ip-destination-address mynettraffic
или
    match-ip-source-address mynettraffic


"правила для flow-nfilter"
Отправлено Aidaho , 18-Янв-10 12:23 
>[оверквотинг удален]
>   type ip-address-prefix
>   deny 192.168.0.0/24
>   default permit
>
>filter-primitive NAME
>   type ip-address-prefix
>   permit 192.168.0.0/24
>   default deny
>
>внимательно смотрим и ищем ДВА отличия

блин, все не могу понять логику... ((

не поможете? мне надо что бы считался трафик из моих подсетей, который идет на 3 сервера.
Ну и суммарный трафик, со всех сетей... помоги плз...


"правила для flow-nfilter"
Отправлено Pahanivo , 18-Янв-10 12:51 
ну не получается у тебя построить сложный фильт - построй несколько простых и понятных,
скрипты для допиливания еще никто не отменял



"правила для flow-nfilter"
Отправлено Aidaho , 18-Янв-10 13:04 
>ну не получается у тебя построить сложный фильт - построй несколько простых
>и понятных,
>скрипты для допиливания еще никто не отменял

делаю например так, все равно показывает какой то странный трафик:

filter-primitive set
  type ip-address-prefix
  permit 192.168.5.0/24

filter-definition set_out
match src-ip-addr set
  match dst-ip-addr mail_server
  or
  match dst-ip-addr proxy_server
  or
  Match dst-ip-addr gw_server


"правила для flow-nfilter"
Отправлено Pahanivo , 18-Янв-10 13:56 
>[оверквотинг удален]
>  type ip-address-prefix
>  permit 192.168.5.0/24
>
>filter-definition set_out
> match src-ip-addr set
>  match dst-ip-addr mail_server
>  or
>  match dst-ip-addr proxy_server
>  or
>  Match dst-ip-addr gw_server

не стал гадать - дал man flow-nfilter и вот что увидел:

       filter-definition foo
         match ip-source-port port80
         match start-time dec12
         or
         match ip-destination-port port25
         match start-time dec12

думаю это по твоей теме ...


"правила для flow-nfilter"
Отправлено Aidaho , 18-Янв-10 14:03 
>[оверквотинг удален]
>
>         match start-time dec12
>
>         or
>         match ip-destination-port port25
>
>         match start-time dec12
>
>
>думаю это по твоей теме ...

нет, мне не надо на каком то порту, надо весь трафик...


"правила для flow-nfilter"
Отправлено Pahanivo , 18-Янв-10 16:09 
>[оверквотинг удален]
>>
>>         or
>>         match ip-destination-port port25
>>
>>         match start-time dec12
>>
>>
>>думаю это по твоей теме ...
>
>нет, мне не надо на каком то порту, надо весь трафик...

знаешь дорогой, пора уже своим мозгом думать начинать ...
я тебе дал ПРИМЕР из МАНА, пример показывает порядок интерпретации ЛОГИЧЕСКИХ ВЫРАЖЕНИЙ в правилах фильтра

rule1 AND (rule2 OR rule3) = (в нотации фильтра, по федолту AND) rule1 rule2 OR rul1 rule3 =! (а не так как у тебя) rule1 rule2 OR rule3