Freesco, NND, CDN, EOS

Zmiana w stosunku do poprzedmiej wersji - to umieszczenie reguł iptables, zliczających ruch hostów, w tabeli mangle (dotychczas filter).
Dzięki tej zmianie MRTG nie "koliduje" już z firewallem w tym sensie, że po restarcie firewalla nie trzeba już restartować MRTG - tak, jak to miało miejsce dotychczas (firewall podczas startu/stopu/restartu czyści całą tablicę filter, mangle nie rusza).

Proszę o testy.

_________________
F33/F07,F11,F13,F17

czyli wystarczy samemu zmodyfikowac plik /etc/rc.d/mrtg

_________________
Pomógł? wypij jego zdrowie.
http://nnd-linux.pl/faq.php
http://wiki.nnd.freesco.pl/index.php/FAQ

Nieprawda

_________________
F33/F07,F11,F13,F17

co jeszcze?

ciekawe jakie przeklamania bedzie widac na wykresach,

do tej pory regulki blokowaly pakiety wczesniej zanim dotarly
do regul zliczajacych mrtg, a teraz najpierw przeleca po mrtg,
a zablokowane zostana pozniej.

nie jeden podniesie alarm, ze cos zlego sie dzieje w sieci.

_________________
Pomógł? wypij jego zdrowie.
http://nnd-linux.pl/faq.php
http://wiki.nnd.freesco.pl/index.php/FAQ

Nieprawda. Teraz też tak jest.

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

mowie o roznych regula blokujacych dodawanych przez ludzi w tabeli filter.

ja mam wszystkie regulki przed regulami mrtg wiec ruch blokowany
nie jest liczony,


jesli zmienie tabele na mangle, caly ruch przejdzie przez mrtg,
a zablokowany zostanie w filter.

ale mniejsza o to. pewnie przemysleliscie sprawe zmian.
informacja o zmianie tabeli jest najwazniejsza

_________________
Pomógł? wypij jego zdrowie.
http://nnd-linux.pl/faq.php
http://wiki.nnd.freesco.pl/index.php/FAQ

Jeszcze /etc/mrtg/mrtg.ip


Jedyne przekłamania, jakie mi przychodzą do głowy, mogą wystąpić wtedy, gdy dany host ma przekierowane zewnętrzne IP i będą z zewnątrz do niego leciały pakiety, a on będzie wyłączony (tak bywa u mnie z jednym delikwentem), albo ruch będzie blokowany w 'filter' - rzeczywiście, wtedy będzie "nieprawdziwy" ruch przychodzący do hosta, chociaż w pierwszym przypadku ruch będzie jak najbardziej prawdziwy, bo pakiety do hosta będą leciały...
W drugą stronę (host wysyła pakiety, ale są one blokowane w tablicy 'filter') nie będzie żadnych przekłamań, bo de facto host wysyła pakiety, czyli jest ruch wychodzący z tego hosta.

Tak czy inaczej - jak napisał zciech - przekłamania do tej pory też były - o ile admin sam nie zadbał o to, aby reguła wrzucająca pakiety do łańcucha mrtg_traffic, była PO regułach blokujących.

Jedynym wyjściem z sytuacji, w której restart firewalla pociąga za sobą konieczność restartu mrtg i jednocześnie żeby nie było żadnych przekłamań, byłoby uwzględnienie mrtg w pakiecie firewall tak, aby nie były czyszczone reguły mrtg i aby reguła wrzucająca pakiety do łańcucha mrtg_traffic była w odpowiednim miejscu...

_________________
F33/F07,F11,F13,F17

a niby co tu jest innego?
pozbyles sie polowy wpisow?

_________________
Pomógł? wypij jego zdrowie.
http://nnd-linux.pl/faq.php
http://wiki.nnd.freesco.pl/index.php/FAQ

Nie wiem o co Ci chodzi. Niczego się nie pozbywałem.

Stwierdziłeś, że wystarczy zmodyfikować /etc/rc.d/mrtg.
Ja napisałem, że nieprawda (w sensie, że nie wystarczy).
Zapytałeś co jeszcze.
Odpowiedziałem Ci, że /etc/mrtg/mrtg.ip

Czego nie rozumiesz ?

_________________
F33/F07,F11,F13,F17

zbieram informacje niezbedne do przerobienia konfiguratora mrtg,
nie kazdy korzysta ze standardowego.

jeszcze raz dziekuje za info.



pomylilem pliki

ps.
mam nadziej ze wiecej nic sie nie zmieni.

_________________
Pomógł? wypij jego zdrowie.
http://nnd-linux.pl/faq.php
http://wiki.nnd.freesco.pl/index.php/FAQ

Nie pomyliłeś plików, tylko jeden z nich pominąłeś.
Zmiany były zarówno w /etc/rc.d/mrtg jak i w /etc/mrtg/mrtg.ip
i dotyczyły wszystkich reguł iptables (iptables -t mangle ... ).


Na razie na dalsze zmiany się nie zanosi.

_________________
F33/F07,F11,F13,F17