Ovidiu wrote: >Am instalat un router(Slackware 9.1) pentru un lan si incerc sa-l >completez cu utilitati dar >nu am experienta. Acum sunt insa in faza de documentare (asa cred eu ;) >Am mai multe intrebari si nu vreau sa devin sursa de spam pe rlug, asa >ca le-am scris >pe toate intr-un singur mail: > >1) Care este valoarea maxima la care ajunge un contor iptables si cum >afecteza resetarea > lui un program care face grafice pe baza lor ? > > > daca vrei sa faci grafice cu rrdtool, fie ca e legat la o db mysql sau nu, stats vor fi tinute in rra-urile aferente sau in baza de date. counterul se reseteaza cand stergi chain-ul in care ele sun numarate.
>2) Cat de precisi sunt contorii iptables (si alti contori din linux in >general > de ex: /proc/net/dev) ? Reprezinta exact valoarea reala sau sunt o >mediere pe > intervale mici ? > > > in general graficele sunt un average la 5 minute sau mai mult, in functie de perioada care apare in graph. pentru o zi se face average pe 5 minute. valoarea este exacta, si este valoarea medie in acele 5 minute. poti avea 100k 100 secunde, si 35k 200 de secunde.. deci valoarea medie in alea 5 min o sa fie 56.6 k. adica o sa ai pe grafic un varf care va arata aia 56.6k. >3) Ma intereseaza daca se poate, si daca da cum se face o discriminare >intre >surfing si download de pe net ? (pentru ca --dport 80 nu ma ajuta >...face match pentru >ambele tipuri de pachete, normal ;) > > > tii un proxy ca squid, iar prin el lasi numa http.. si faci stats pentru el cu webalizer sau alte cele >4) La trecerea unui pachet prin router unde s-ar putea situa cronologic >tc+htb si tcpdump fata de lanturile iptables ? >Mai exact, care din lanturile iptables ar putea opri un pachet sa ajunga > la htb sau tcpdump (trebuie sa fie o ierarhie precisa, nu) ? > > > daca ii dai drop pe input nu mai ajunge nicaieri in masina, insa asta nu il impedica pe pachet sa ajunga in spatele masinii. pentru asta se da drop pe forward. htb: clasele htb se pot atasa unui ip, sau unui mark facut cu iptables. daca dai reject pe forward, input, chainu nu isi mai are rostu. >Sincer sa fiu prefer un sigur raspuns clar la o intrebare decat ambiguu >la toate ;) >Multumesc. > > > -- Mr. Alexandru Negulescu C r o m a t i q M e d i a N e t w o r k s Create. Develop. Evolve. alex.negulescu[AT]png-intl[DOT]biz --- Detalii despre listele noastre de mail: http://www.lug.ro/
