Гарантированный перехват пакетов (Linux)

[Wizard580]

Всем привет.
Я нуждаюсь именно в _гарантированном_ перехвате пакетов, проходящих через шлюз.

Я реализовал это при помощи libipq + iptables -j QUEUE
Но! При большой сетевой нагрузке, машина Cel666 имеющая 128М памяти не справляется с потоком данных, буфер netlink переполняется и моя прога падает... Конечно трафик вообще пропадает... Приходится менять правило просто на ACCEPT или запускать прогу заново.

так вот. как-нибудь можно это реализовать так, чтобы (желательно) не использовать/менять правила iptables вообще (тоесть, если пакет прошел через -A FORWARD bla bla bla -j ACCEPT, то он поймался в проге)? Т.к. я понял, что через QUEUE это слишком медленно, и буфер в любом случае переполнится при достаточно болгой высокой нагрузке на сеть. Уж лучше пусть сеть тормозит, чем пропускает пакеты счетчик...

Есть мысль использовать netfilter hooks но это требует написания модуля ядра. Я сам сижу и пишу на 2.6.х, а шлюз на 2.4.х, значит придется что-то изобретать. Да и не писал я модули ни разу... И тогда инфу о пакете опять же надо как-то передать от модуля к приложению.

Есть мысли или предложения?

[npak]

Предложение -- тебе надо фильтровать трафик или только учитывать?

Если только считать какие-либо статистики, то можно воспользоваться tcpdump

[Wizard580]

Предложение -- тебе надо фильтровать трафик или только учитывать?

Если только считать какие-либо статистики, то можно воспользоваться tcpdump

мне надо считать. ни чего не меняя.
tcpdump это на pcap написано. это не гарантированный перехват.

[RXL]

pcap - всего лишь библиотека - от механизма захвата пакета не зависит.

Коли надо только считать, то зачем получать пакет "наруки"? В каждом правиле iptables есть 64-хбитные счетчики пакетов и байтов. Когда match страбатывает данные пакета прибавляются к счетчикам.
Такой простой примечик:

iptables -N acct_in
iptables -N acct_out
iptables -A FORWARD -o eth1 -j acct_out
iptables -A FORWARD -i eth1 -j acct_in
iptables -A acct_in -d local_ip1 -j RETURN
iptables -A acct_in -d local_ip2 -j RETURN
iptables -A acct_in -d local_ip3 -j RETURN
iptables -A acct_out -s local_ip1 -j RETURN
iptables -A acct_out -s local_ip2 -j RETURN
iptables -A acct_out -s local_ip3 -j RETURN

[Wizard580]

Угу... У меня 250 человек.
Каждого так прописать - не проблема. Только на небольшой машине эти правила будут тормозить... Нет?

Надо считать не меняя правила...

[npak]

Это будет точно быстрее, чем получать пакет и затем его обсчитывать самостоятельно.

[RXL]

Wizard580, нет - это работает очень быстро. Такая схема без какого-либо намека на _хоть_какую-нибудь_ загрузку процессора работает на слабой машине (p-100, RAM 24MB, eth-10 х 4) и обслуживает около 50 машин. Кроме подсчета там еще фильтрация и NAT.

Ввести _любое_число_ однотипных строк легко программно. Пример:

Код:

#!/bin/sh

N=1
while [ $N -lt 255 ]
do
  iptables -A acct_in -d 192.168.1.$N -j RETURN
  iptables -A acct_out -s 192.168.1.$N -j RETURN
  N=$(($N+1))
done

Для считывания данных:

Код:

iptables -L acct_in -nvx -Z|grep RETURN
# поля: 9 - IP, 2 - байты, 1 - пакеты

iptables -L acct_out -nvx -Z|grep RETURN
# поля: 8 - IP, 2 - байты, 1 - пакеты

Далее их можно обработать и запихнуть в базу. Легко реализуется на bash или perl.

[Wizard580]

Хм... ок. Проверю... Спасибо за подсказку...