,,, det meste af tiden, vi bruger iptables at oprette en firewall på en maskine, men iptables giver også pakke og byte skranke.hver gang en iptables regel modsvares af indgående og udgående data stream, software - antallet af pakker og den mængde data, der passerer gennem regler. det er let at gøre brug af denne funktion og skabe en række " passere gennem regler " i firewall 'en.disse regler ikke blokere eller omdirigere nogle data, men i stedet holde styr på mængden af data, som passerer gennem maskinen.ved hjælp af denne egenskab kan vi bygge en enkel, effektiv båndbredde overvågningssystem, der ikke kræver yderligere software, afhængigt af hvordan firewallreglerne er oprettet, fælde for båndbredde overvågning kan være meget enkelt og meget komplekse.for en desktopcomputer, kan det være nødvendigt at skabe to regler at registrere det samlede input og output.et system, der fungerer som en router kunne oprettes med supplerende regler til at vise de samlede tal for en eller flere subnets, helt ned til den enkelte ip - adresse inden for hver undernettet.ud over at vide nøjagtigt, hvor meget båndbredde hver vært og undernet på nettet ved hjælp af dette system kan anvendes til debitering eller chargeback formål samt.,,, regler fælde,,, reglerne her i sig selv er hurtig og enkel, og det tager kun et par minutter.selvfølgelig, du har brug for at være grundlæggende eller anvende sudo at indsætte iptables regler. eksemplerne i denne artikel er baseret på en router, der giver internet service til forskellige byer.den iptables regler, holde styr på, hvor meget båndbredde hver by anvendelser, og hvor meget båndbredde hver kunde i byen anvendelser.ved udgangen af hver måned en administrator kontrollerer den skranke.personer, der bruger mere, end de skulle få løn for overforbrug, køkkenbordene er nulstilling, og processen er gentaget i begyndelsen af næste måned.,, ip - adresser i denne artikel, er ændret fra den rigtige adresse.vi ' ll brug det private rum 192.168.0.0/16 up, subnetted i mindre blokke.,, vi vil skabe to skik lænker for de to byer og sætte byen specifikke regler i dem.dette vil bevare indbygget frem kæde forholdsvis ren og let at læse.i dette eksempel, den forreste kæde kun vil overføre globale tællere (alle kunder kombinerede pr. by grundlag),.,,, iptables - n town-a, iptables - n town-b,,, - - den næste dataelement er den samlede båndbredde tæller.fordi denne maskine er en router, input og output kæder er af ringe interesse.denne maskine ikke vil skabe en stor båndbredde (dvs. den tjener ikke som en post eller web - server), heller ikke vil blive det, der modtager betydelig uploader fra andre værtsdatamater.,, samlede båndbredde downloadede og overført til de to byer, kombinerede:,,, iptables - fremad,,, det er det nemmeste af regler.reglen vil matche enhver kilde, og enhver destination.alt, hvad der er ved at blive gennemgået denne router svarer til denne regel, og vil give den samlede kombinerede downloades og uploadede data., ønsker vi også at se, hvor meget hver by downloads og uploader særskilt:,,,byen en downloads, iptables - frem - d 192.168.1.0/26 - j town-a,,byen en uploader, iptables - frem - s 192.168.1.0/26 - j town-a,,byen b downloads, iptables - frem - d 192.168.1.64/27 - j town-b,,byen b uploader, iptables - frem - s 192.168.1.64/27 - j town-b,,, anvendelse af oprindelse og bestemmelsessted i ovennævnte regler, kan være en kilde til forvirring.destinationer er ofte ensbetydende med uploader og kilder er downloads.det ville være sandt, om data var bestemt til routeren eller stammer fra router.,, i denne anmodning, men vi vender perspektiv.denne router videresender (uploader) data til en destination, men fra en kunde perspektiv, der er modtaget.med andre ord, kunden er at downloade data.i forbindelse med kunder, terminologi er data, de har ikke noget router siger til dem.det er derfor i den forreste kæde, destination og kilde har typisk modsatte betydninger.,, reglerne skabt over give os det samlede antal for alle downloads og uploader fra hver enkelt by.dette opnås ved at tilpasse kilde og bestemmelsessted for al trafik gennem router for by - og' s specifikke undernettet.efter en regel er sammen, - - j mulighed påberåber sig en hoppe til en sædvane i lænker.disse skik kæder kan derefter anvendes til at tilføje supplerende regler vedrørende undernettet.for eksempel regler kan skabes for hver enkelt ip - adresse i det undernet at spore båndbredde pr. vært grundlag:,,,byen en vært 192.168.1.10 download, iptables - en town-a - d 192.168.1.10,,byen, vært 192.168.1.10 upload, iptables - en town-a - s 192.168.1.10,,, du kunne gentag denne proces for hver ip - adresse for alle byer i undernettet.,,, båndbredde, statistikker,,, fordi den nuværende båndbredde anvendelse er et spørgsmål om at iptables med - l og v, muligheder.det, l, output statistikker for en kæde (eller alle lænker, hvis ingen er indsendt).det, v, mulighed omfatter vidtløftig produktion, herunder pakken og byte - tællere, at vi er interesserede i.jeg anbefaler anvendelse af - n, n - mulighed for at undgå dns lookups, hvilket betyder, iptables vil vise ip - adresser, uden at forsøge at løse de hostnames til ip - adresser, som ville lægge yderligere og unødvendige belastning på router.,, produktion under ændres fra den fulde effekt for kortfattethed:,,,, rod @ raptor: ~iptables - l - v - n, n - kæde frem (politik acceptere 7936m pakker, 3647g bytes), bytes, mål, oprindelse, bestemmelsessted, 338g 0.0.0.0/0 0.0.0.0/0 104g town-a 0.0.0.0/0 192.168.1.0/26town-a 40g 192.168.1.0/26 0.0.0.0/0 20 g town-b 0.0.0.0/0 192.168.1.64/27 12 g town-b 192.168.1.64/27 0.0.0.0/0, dette indlæg viser, at byer a og b tilsammen har downloadet og overført i alt 338gb.byen er ansvarlig for 104gb downloades og 40gb uploadet.i første linje af produktionen af kæden er i sig selv en " mere " antallet... 3647gb.det er den samlede mængde af data sker via siden sidste gang, dette router blev genoptaget, eller mere præcist, siden sidste gang iptables moduler blev indføjet i kernen.,, når en kæde er " nulstilles " (genfastsættelse af alle skranker i kæden til nul) med - z. mulighed er dette antal ikke nulstilles.jeg anbefaler derfor, at skabe en samlet regel for at gøre det lettere at nulstille alt tæller.det er en ordre til at nulstille tællerne, og du behøver ikke at fjerne moduler, genoptage server eller arbejde med iptables save og iptables genoprette befaler, at nulstille disken.,, scroller, længere nede i produktion, viser de enkelte ip - adresser.f.eks. byen:,,,, kæde town-a (2 henvisninger), bytes, kilde, bestemmelsessted, 32g 0.0.0.0/0 192.168.1.10 282m 192.168.1.10 0.0.0.0/0 1521m 0.0.0.0/0 192.168.1.11 656m 192.168.1.11 0.0.0.0/0, denne produktion yderligere nedbryder den samlede båndbredde for byen ned til individuelle kunder.,, " 2) " som anført i iptables produktion refererer til de to regler i den kæde, som springer frem for denne kæde.,,reddet af data på tværs af genstarter,,, hvis du genstarte maskinen eller fjerne iptables kernel moduler, du og' vil miste alle dine pakker og byte skranke.hvis disse tællere skal anvendes til fakturering, du ønsker at gøre et par af de løbende tællere, og i tilfælde af en genstart, genoprette tællere i stedet for at starte fra nul.,, iptables pakke kommer med to programmer, at støtte i denne:, iptables redde, og iptables genoprette.begge programmer har behov for at blive informeret om udtrykkeligt at anvende pakken og byte - tællere i reserve og genoprette ved hjælp af - c, kommando linjen mulighed.,, forstærkning og genoprette proces er ret ligetil.for din iptables data, anvendelse, iptables redde - c > iptables backup. txt,.at gendanne data efter genstart, anvendelse, iptables genoprette - c < iptables backup. txt,.,,,,, iptables indgåelse, giver en hurtig og let måde at spore båndbredde anvendelse uden at installere yderligere software.du har nok allerede, og bruge de værktøjer, der er nødvendig for at opnå denne overvågning.,, fleksibilitet og mulighed for iptables giver mulighed for mere komplekse overvågning scenarier.du kan skabe regler, ikke kun finde forskellige subnets, men også til at følge bestemte havne og protokoller, som lader du spore nøjagtigt, hvor meget hver kunde ' trafikken er internet, e - mail, fildeling osv. i øvrigt båndbredde bestemmelser også kan blive blokeret.hvis en vært har brugt for meget båndbredde, en regel i en by, og' s specifikke kæde kan ændres ved at tilføje - j - både til at downloade og uploade regler.dette effektivt, stopper trafikken viderestillet til og fra den vært.
båndbredde, kontrol med iptables
Previous:at manipulere pdfs med pdf - toolkit