Iptables Problem

[maxh]

Hallo!
Ich habe folgendes Problem:

Mein Versuch mal mit Traffic Accouting zu beginnen, führt zu folgendem Problem:

debian:/home# iptables -A FORWARD -s 192.168.0.3
debian:/home# iptables -A FORWARD -d 192.168.0.3
debian:/home# iptables -nv -L FORWARD
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 all -- * * 192.168.0.3 0.0.0.0/0
0 0 all -- * * 0.0.0.0/0 192.168.0.3

Leider wird nichts gezählt.
lsmod ergibt, dass Iptables aktiv sind.

Vielen Dank schon mal!
Gruß
Max

[Duff]

Dir fehlen noch Regeln wie z.B.

Code: Alles auswählen

# Akzeptiere Verbindungen, die zu einer aufgebauten Verbindunggehören
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# Akzeptiere Verbindungsaufbauten von innen nach außen
$IPTABLES -A FORWARD -i $LAN_IFACE -o $INET_IFACE -m state --state NEW -j ACCEPT

Am besten packst du die iptables-Regeln in ein kleines Shell-Skript und führst dann dieses aus. So musst du nicht immer wieder alle Regeln neu eintippen.

[habakug]

Hallo!

Wenn der Rechner kein Router ist, übergibst du es wahlweise an die INPUT- oder OUTPUT-Chain:

Code: Alles auswählen

iptables -N T_AC
iptables -I INPUT -j T_AC
(iptables -I OUTPUT -j T_AC)
iptables -A T_AC -p tcp
iptables -A T_AC -p udp
iptables -A T_AC -p icmp
iptables -L T_AC -n -v -x

...oder beides.

Gruß, habakug

[maxh]

Nein, mein Rechner ist kein Router.
Ich will einfach den gesamten externen Traffic der einzelnen IP messen.

Ich versuche das mal einzugeben was ihr mir geschickt habt...
Auch wenn es für mich eine Sammlung stranger Zeichen ist

Gruß
Max

[habakug]

Hallo!

Auch wenn es für mich eine Sammlung stranger Zeichen ist

Dann hier noch ein paar strange Zeichen, die du brauchen könntest:

Code: Alles auswählen

iptables -F
iptables -X T_AC

Das erste macht sauber, das zweite löscht die Chain "T_AC".

Gruß, habakug

[maxh]

Saubermachen möchte ich erstmal nicht

NIchts für ungut!
Befinde mich gerade in man iptables um deine Worte zu entziffern

[Duff]

Mit sauber machen ist das Herstellen des Grundzustands gemeint. Also keine Regel ist aktiv!

Ich habe für mich folgendes Skript erstellt, als Beispiel:

Code: Alles auswählen

#!/bin/bash
# /etc/mysysconfig/iptables_reset.sh
IPT=$(which iptables)

[ -z $IPT ] && (echo "iptables cannot be found!";exit)

INET_IFACE=eth0                 # IP-Adresse 192.168.2.98 
LAN_IFACE=eth1                  # IP-Adresse 192.168.1.99
INET_IP="192.168.2.98"
LAN_IP="192.168.1.99"
INET_NET="192.168.2.0/24"
LAN_NET="192.168.1.0/24"

# alle Regeln löschen
$IPT -F
$IPT -F -t nat
$IPT -X				# alle benutzerdefinierten Regelketten löschen

# erstmal alles erlauben
$IPT -P INPUT ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD ACCEPT
$IPT -P POSTROUTING ACCEPT -t nat
$IPT -P PREROUTING ACCEPT -t nat
$IPT -P OUTPUT ACCEPT -t nat

# Routing aktivieren
echo "1" > /proc/sys/net/ipv4/ip_forward	# IP-Forwarding enabled

# Routing
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
$IPT -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE

echo "Es werden alle Regeln (auch benutzerdefinierte) gelöscht und die Default-Policy wird auf ACCEPT gesetzt."
echo "Zusälich wird noch das Routing aktiviert!"

[maxh]

Ist das Routing und so für mich denn wichtig?
Ich will eigentlich ja nur an einer normalen ETH0 mit einer IP den Traffic messen, der ein und ausgeht.

Ich habe einfach das Gefühl die IP-Tables funktionieren gar nicht.....

Gruß
Max

[habakug]

Hallo!

Ist das Routing und so für mich denn wichtig?

Nein, das Routing ist für dich nicht wichtig. Es ist sogar Unsinn in deinem Fall. Was ist denn so schwierig die von mir geposteten Zeilen einzugeben und dir anzuschauen was da möglich ist? Du erwartest hoffentlich nicht von mir, das ich ein fertiges Skript zum Auslesen deines Datenverkehrs anfertige und dir hier zur Verfügung stelle. Die gemachten Angaben reichen locker aus um das Thema zu begreifen und selbst tätig zu werden. Verwirrung stiftet hier nur dein eingangs gepostetes Szenario, von dem du noch nicht mal preisgibst, wo du es her hast. Mit dem "FORWARD" hast du selbst angefangen, wunder dich nicht, wenn hier jemand darauf eingeht.

Gruß, habakug

[maxh]

Sorry, wenn ich Verwirrung stifte.
Ich werde mich mit dem Thema auseinandersetzen, aber ich besitze trotzdem die Höflichkeit auf weitere freundliche Hinweise einzugehen, damit die Themen nicht brach liegen.

Danke für die Hilfe schon einmal!
Das Scenario hatte ich aus dem OpenVZ-Traffic-Accounting Manual....

[habakug]

Hallo!

Ich habe einfach das Gefühl die IP-Tables funktionieren gar nicht.....

Solche Aussagen bringen doch niemand weiter. iptables funktioniert sehr wohl und das weltweit. Es ist doch wohl eher unhöflich von dir eine Software wie "iptables" hier in Mißkredit zu bringen. Was willst du denn mit OpenVZ [1]? Vielleicht solltest du die ganze Geschichte erzählen.
Ich hoffe meine bisweilen barsche Höflichkeit und versteckte Freundlichkeit verursachen bei dir keine bleibenden Schäden.

Gruß, habakug

[1] https://openvz.org/
http://www.cafepress.com/kidtrans.299136113

[maxh]

Ich korrigiere: IPTABLES funktionieren BEI MIR noch gar nicht.

Bleibende Schäden hinterlässt bei mir lediglich die Tatsache, dass i.d.R. in sämtlichen Foren 99% der Beiträge mit "SUFU" beantwortet werden.
Ich bin durchaus in der Lage zu googlen, aber manchmal ist es leichter, wenn einem einfach jemand einen Fünfzeiler hinschreibt und man es verstanden hat.

Dein Post oben hat mir geholfen. Damit kriege ich mein Accounting hin.
Mit OpenVZ will ich Vserver betrieben?!?

Gruß
Max

[Athlux]

Es gibt auch Tools für Traffic Accounting.

http://humdi.net/vnstat/

apt-get install vnstat


Willst du den Traffic nach Ports haben müsste aber ein anderes Tool her. ipac-ng zum Beispiel. Wobei das nicht mehr in Debian ist.

[maxh]

Hallo,

ich habe es jetzt hinbekommen mit den Beschreibungen weiter oben.
Dein Tool ist auch sehr nett, aber leider nur für ganze Interfaces. Mir ging es ja um virtuelle IPs.

Gruß udn vielen Dank für Eure Hilfe!
Max