Форум программистов «Весельчак У»
  *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

  • Рекомендуем проверить настройки временной зоны в вашем профиле (страница "Внешний вид форума", пункт "Часовой пояс:").
  • У нас больше нет рассылок. Если вам приходят письма от наших бывших рассылок mail.ru и subscribe.ru, то знайте, что это не мы рассылаем.
   Начало  
Наши сайты
Помощь Поиск Календарь Почта Войти Регистрация  
 
Страниц: [1]   Вниз
  Печать  
Автор Тема: Гарантированный перехват пакетов (Linux)  (Прочитано 13039 раз)
0 Пользователей и 1 Гость смотрят эту тему.
Wizard580
Гость
« : 30-03-2005 04:15 » 

Всем привет.
Я нуждаюсь именно в _гарантированном_ перехвате пакетов, проходящих через шлюз.

Я реализовал это при помощи libipq + iptables -j QUEUE
Но! При большой сетевой нагрузке, машина Cel666 имеющая 128М памяти не справляется с потоком данных, буфер netlink переполняется и моя прога падает... Конечно трафик вообще пропадает... Приходится менять правило просто на ACCEPT или запускать прогу заново.

так вот. как-нибудь можно это реализовать так, чтобы (желательно) не использовать/менять правила iptables вообще (тоесть, если пакет прошел через -A FORWARD bla bla bla -j ACCEPT, то он поймался в проге)? Т.к. я понял, что через QUEUE это слишком медленно, и буфер в любом случае переполнится при достаточно болгой высокой нагрузке на сеть. Уж лучше пусть сеть тормозит, чем пропускает пакеты счетчик...

Есть мысль использовать netfilter hooks но это требует написания модуля ядра. Я сам сижу и пишу на 2.6.х, а шлюз на 2.4.х, значит придется что-то изобретать. Да и не писал я модули ни разу... И тогда инфу о пакете опять же надо как-то передать от модуля к приложению.

Есть мысли или предложения?
Записан
npak
Команда клуба

ru
Offline Offline
Пол: Мужской

« Ответ #1 : 30-03-2005 12:23 » 

Предложение -- тебе надо фильтровать трафик или только учитывать?

Если только считать какие-либо статистики, то можно воспользоваться tcpdump
Записан

UniTesK -- индустриальная технология надежного тестирования.

http://www.unitesk.com/ru/
Wizard580
Гость
« Ответ #2 : 31-03-2005 00:06 » 

Предложение -- тебе надо фильтровать трафик или только учитывать?

Если только считать какие-либо статистики, то можно воспользоваться tcpdump
мне надо считать. ни чего не меняя.
tcpdump это на pcap написано. это не гарантированный перехват.
Записан
RXL
Технический
Администратор

Offline Offline
Пол: Мужской

WWW
« Ответ #3 : 31-03-2005 00:40 » 

pcap - всего лишь библиотека - от механизма захвата пакета не зависит.

Коли надо только считать, то зачем получать пакет "наруки"? В каждом правиле iptables есть 64-хбитные счетчики пакетов и байтов. Когда match страбатывает данные пакета прибавляются к счетчикам.
Такой простой примечик:
iptables -N acct_in
iptables -N acct_out
iptables -A FORWARD -o eth1 -j acct_out
iptables -A FORWARD -i eth1 -j acct_in
iptables -A acct_in -d local_ip1 -j RETURN
iptables -A acct_in -d local_ip2 -j RETURN
iptables -A acct_in -d local_ip3 -j RETURN
iptables -A acct_out -s local_ip1 -j RETURN
iptables -A acct_out -s local_ip2 -j RETURN
iptables -A acct_out -s local_ip3 -j RETURN

Записан

... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
Wizard580
Гость
« Ответ #4 : 31-03-2005 04:36 » 

Угу... У меня 250 человек.
Каждого так прописать - не проблема. Только на небольшой машине эти правила будут тормозить... Нет?

Надо считать не меняя правила...
Записан
npak
Команда клуба

ru
Offline Offline
Пол: Мужской

« Ответ #5 : 31-03-2005 12:39 » 

Это будет точно быстрее, чем получать пакет и затем его обсчитывать самостоятельно.
Записан

UniTesK -- индустриальная технология надежного тестирования.

http://www.unitesk.com/ru/
RXL
Технический
Администратор

Offline Offline
Пол: Мужской

WWW
« Ответ #6 : 31-03-2005 13:52 » 

Wizard580, нет - это работает очень быстро. Такая схема без какого-либо намека на _хоть_какую-нибудь_ загрузку процессора работает на слабой машине (p-100, RAM 24MB, eth-10 х 4) и обслуживает около 50 машин. Кроме подсчета там еще фильтрация и NAT.

Ввести _любое_число_ однотипных строк легко программно. Пример:
Код:
#!/bin/sh

N=1
while [ $N -lt 255 ]
do
  iptables -A acct_in -d 192.168.1.$N -j RETURN
  iptables -A acct_out -s 192.168.1.$N -j RETURN
  N=$(($N+1))
done

Для считывания данных:
Код:
iptables -L acct_in -nvx -Z|grep RETURN
# поля: 9 - IP, 2 - байты, 1 - пакеты

iptables -L acct_out -nvx -Z|grep RETURN
# поля: 8 - IP, 2 - байты, 1 - пакеты
Далее их можно обработать и запихнуть в базу. Легко реализуется на bash или perl.
Записан

... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
Wizard580
Гость
« Ответ #7 : 31-03-2005 22:29 » 

Хм... ок. Проверю... Спасибо за подсказку...
Записан
Страниц: [1]   Вверх
  Печать  
 

Powered by SMF 1.1.21 | SMF © 2015, Simple Machines