IP Traffic nach IP summiert

[freudi]

Hallo ich habe Debian 8 auf einem kleinen Rechner als Firewall (iptables mit arno-iptables-firewall konfiguriert) ohne grafische Oberfläche, funktioniert auch alle Bestens. Ich würde gerne mitloggen welche IP in meinem internen Netz wieviel Traffic verursacht. Irgendwie bekommen ich das mit den Log mitteln von iptables nicht hin, für eine Momentaufnahme ist iftop nicht schlecht aber das listet auch auf mit welchem Partner im Internet der Traffic erzeugt wird. Also nehmen wir an ich habe PC1,PC2,PC3 in meinen internen Netz und ich möchte irgendwas auf dem Server mitlaufen lassen der mir nach Xx Tagen sagt PC1 hat bislang 2 GB transferiert, PC2 1 GB und PC3 gar nichts weil der aus war

Hat jemand nen Tipp mit welchen Tool man das am besten gelöst bekommt? Ich habe schon ne ganze Menge durch aber di emeisten zeigen nur ne Gesamtsumme an und man hat keine Möglichkeit das nach Verursachern aufzusplitten.

Freudi

[SleipniR]

Ich kenne arno-iptables-firewall nicht und weiß nicht, ob man dort eigene Regeln einbinden kann, aber was Du beschreibst ließe sich mit iptables alleine lösen. Einfach eine neue Chain erstellen, darin Regeln für die einzelnen Rechner ohne "-j" anlegen und alles in INPUT, FORWARD und OUTPUT durch diese Chain leiten. Mit "iptables -L" kannst Du dann den übertragenen Traffic auflisten lassen.

[freudi]

Ja OK aber dann muss ich meine internen IP's kennen ?!

[freudi]

OK das wäre wahrscheinlich nicht das Problem da kann ich für die festen PC, die mich hier interessieren, ja im "dhcp.conf" festlegen und dann kenne ich die 5 IP's. Und das Kommando für eine bekannte IP lautet dann
iptables -i MYLOGCHAIN -s 192.168.2.92 -d 192.168.2.92

Oder? Wie definiere ich denn MYLOGCHAIN ich habe da kein Parameter zum definieren gefunden?

[mat6937]

Wie definiere ich denn MYLOGCHAIN ich habe da kein Parameter zum definieren gefunden?

Steht doch oben, eine neue CHAIN erstellen:

Code: Alles auswählen

-N, --new-chain chain

Siehe z. B. auch: https://www.linux.com/learn/bandwidth-m ... g-iptables
oder ähnliches im Internet.

[freudi]

Ahh Super Tipp, Danke, ich habe jetzt
iptables -N MYLOGCHAIN
iptables -A FORWARD -d 192.168.3.92 -j MYLOGCHAIN
iptables -A FORWARD -s 192.168.3.92 -j MYLOGCHAIN

dann rufe ich auf
watch -e "iptables -L FORWARD -v | grep MYLOGCHAIN"

udn kann das kontinuierlich sehen. Kann man bei "iptables -L CHAIN" die chain mit "Unterchain" angeben also irgendwie so wie
iptables -v -L FORWARD/MYLOGCHAIN
?
Einfach nur iptables -v -L MYLOGCHAIN hat nämlich kein Output erzeugt

[SleipniR]

Ja OK aber dann muss ich meine internen IP's kennen ?!

Ich habe angenommen, die IPs in LAN wären bekannt. Du kannst natürlich auch Regeln für jede IP im gesamten Subnetz anlegen. Mit einer for-Schleife bleibt das Skript sogar übersichtlich.

Auslesen geht dann so:

Code: Alles auswählen

iptables -L MYLOGCHAIN -v -n -x

[freudi]

Die IP's waren teilweise DHCP aber ich habe das jetzt auch in der dhcpd.conf geändert so das alle fix sind.

Code: Alles auswählen

iptables -L MYLOGCHAIN -v -n -x

funktioniert aber nicht, die Ausgabe bleibt leer ich bekomme es nur angezeigt wenn ich da FORWARD nehme. Ich habe mal nen Bild dran gehangen.

[SleipniR]

MYLOGCHAIN ist leer und erzeugt kein Match, alles was Du siehst, sind die Regeln in FORWARD.

Probiers mal so:

Code: Alles auswählen

iptables -N MYLOGCHAIN
iptables -A FORWARD -d 192.168.3.0/24 -j MYLOGCHAIN
iptables -A FORWARD -s 192.168.3.0/24 -j MYLOGCHAIN

iptables -A MYLOGCHAIN -d 192.168.3.80
iptables -A MYLOGCHAIN -s 192.168.3.80

Und die die letzten beiden Zeilen für jede IP wiederholen.

[freudi]

Aha, jetzt habe ich es verstanden, Danke !
Linux+bash und nen bisschen C für spezielle Hardware mache ich schon ziemlich lange aber iptables ist völlig neu für mich.... als kleine Entschuldigung.