Medir trafego com iptables

[mson77]

Ola

Alguem ja viu implementar de medidor de trafego (tcp e udp) com iptables?


mson77

[spectrum]

Pq vc não usa uma solução que mede por portas e gera um relatorio !?
Eu uso aqui e verifico o relatório, e aprovei...
Quanto ao iptables eu não saberia te dizer!

Ola

Alguem ja viu implementar de medidor de trafego (tcp e udp) com iptables?


mson77

[mson77]

Ola spectrum,

Obrigado pela atencao.
E qual seria a solucao de medir trafego por porta?
Essa solucao contempla medicao de trafego por porta e por IP tambem?

Eu tenho testado IPFM (IP Flow Meter) mas observei que determinadas conexoes escapam desse mecanismo e o IPFM nao mensura. Nao saberia te precisar quais sao essas conexoes/servicos/aplicacoes...

Abracos,


mson77

[Jim]

Nunca ouvi falar... mas pq não usa o Nagios ou o MRTG, ou qq outro?

[Jim]

Ola spectrum,

Obrigado pela atencao.
E qual seria a solucao de medir trafego por porta?
Essa solucao contempla medicao de trafego por porta e por IP tambem?

Eu tenho testado IPFM (IP Flow Meter) mas observei que determinadas conexoes escapam desse mecanismo e o IPFM nao mensura. Nao saberia te precisar quais sao essas conexoes/servicos/aplicacoes...

Abracos,


mson77

O Nagios resolve isso... www.nagios.org

[ederamboni]

alguem tem algo que eu possa instalar no meu slack pra poder medir meu consumo na porta dos users de radio e poder ver oq cada um consome de link meu e os horarios de pico

ok agradeco a atencao te mais

[Jim]

alguem tem algo que eu possa instalar no meu slack pra poder medir meu consumo na porta dos users de radio e poder ver oq cada um consome de link meu e os horarios de pico

ok agradeco a atencao te mais

Por porta acho que o Nagios faz tb... pra usar o MRTG basta liberar o snmp dos AP's

[mson77]

Ola,


Antes de tudo, deixe-me explicar qual o resultado desejado.

A ideia é observar o trafego tcp/ip para avaliar eventuais computadores que possam estar infectados por virus, usuarios que estao assistindo videos (http streams) ou webcam... enfim, remotamente diagnosticar o perfil do usuario e suas intencoes. Tem usuario muito espertalhao!


Abracos,


mson77

[Jim]

Ola,


Antes de tudo, deixe-me explicar qual o resultado desejado.

A ideia é observar o trafego tcp/ip para avaliar eventuais computadores que possam estar infectados por virus, usuarios que estao assistindo videos (http streams) ou webcam... enfim, remotamente diagnosticar o perfil do usuario e suas intencoes. Tem usuario muito espertalhao!


Abracos,


mson77

Pra isso faz o seguinte...

Roda Squid+Sarg pra ver o que estão acessando e bloquear, no teu firewall libera só a 80 e a 443, usa o bandlimit pra limitar a banda e roda o Nagios pra verificar o tráfego.

Assim vc passa a ter um controle legal do que rola na tua rede, e ainda reduz significativamente as infecções.

[mson77]

Ola Jim,

Legal...

Ocorre que com a porta 80 liberada... tudo que é stream http (porta 80) tb vai junto: (videos pornograficos, webcam, voip/skype/skypeout,...)

Se eu limitar banda com bandlimit, vou limitar a flexibilidade que o speedy traz aos usuarios... ou seja... trafego rapido.

Abracos,



mson77

[Jim]

Ola Jim,

Legal...

Ocorre que com a porta 80 liberada... tudo que é stream http (porta 80) tb vai junto: (videos pornograficos, webcam, voip/skype/skypeout,...)

Se eu limitar banda com bandlimit, vou limitar a flexibilidade que o speedy traz aos usuarios... ou seja... trafego rapido.

Abracos,



mson77

Discordo... a maioria dos streaming rodam em outras portas, e essa coisa de webcam, skype, vc fecha tudo via iptables+squid sem problemas...

[felco]

mson77,

Entendi oque o Sr. quer, nao conheco uma ferramenta pratica para resolver seu problema, mas caso tenha paciencia para analizar o trafego eh a LAN em questao nao tiver muitos computadores o iptraf eh uma boa, uma outra idea seria utilizar um dumper como o ethereal os dumpers sao bons para analize de trafegos especificos na rede, em relacao ao streams nao há uma opcao melhor doque o Squid, eh facil criar uma ACL eh bloquear os streams alem do mais eh facil encontrar na internet documentos relacionados com essa tecnica

[mson77]

Caros felco e Jim:


Antes de tudo... obrigado.
Vou verificar melhor a questao aqui iniciada.

Tenho alguns incovenientes, tipo: Nem sempre consigo configurar squid como proxy no browser do usuario... as vezes sim, as vezes nao dá tempo... (pois nem sempre compareço na empresa).

Ja tentei usar proxy transparente, fazendo redirect no iptables nas portas 80/443... mas qdo vai acessar bancos como Itau... dá erro.

As vezes uso tcpdump no linux... mas precisa ter paciencia como felco diz.
Qto a usar ethereal... ainda nao consegui usar pois nao aprendi a fazer os filtros.

Mas obrigado pela ajuda. AInda estou analisando esse meu problema.


mson77

Vou reavaliar o meu conceito sobre streams, acl_stream_no_squid,

[Jim]

mson77,

Não há pq agradecer, gostaria de propôr que para sites de Bancos, vc fizesse uma regra de iptables driblando o proxy, que tal?

[spectrum]

EXEMPLIFIQUE!
Please
Valews Jim

mson77,

Não há pq agradecer, gostaria de propôr que para sites de Bancos, vc fizesse uma regra de iptables driblando o proxy, que tal?

[felco]

Caros felco e Jim:


Antes de tudo... obrigado.
Vou verificar melhor a questao aqui iniciada.

Tenho alguns incovenientes, tipo: Nem sempre consigo configurar squid como proxy no browser do usuario... as vezes sim, as vezes nao dá tempo... (pois nem sempre compareço na empresa).

Ja tentei usar proxy transparente, fazendo redirect no iptables nas portas 80/443... mas qdo vai acessar bancos como Itau... dá erro.

As vezes uso tcpdump no linux... mas precisa ter paciencia como felco diz.
Qto a usar ethereal... ainda nao consegui usar pois nao aprendi a fazer os filtros.

Mas obrigado pela ajuda. AInda estou analisando esse meu problema.


mson77

Vou reavaliar o meu conceito sobre streams, acl_stream_no_squid,

Sr. mson77 nao recomendo redirecionar o trafego HTTPS(443) para o Squid

[mson77]

Ola felco,

Entao a sua sugestao seria:

[1] Redirecionar porta 80 para proxy transparente;
[2] Liberar porta 443 p navegacao direta fora do proxy transparente;
TODAS DEMAIS portas bloqueadas (exceto 25 e 110) p uso Outlook Express.

É isso acima?


Thanks,


mson77

[felco]

Ola felco,

Entao a sua sugestao seria:

[1] Redirecionar porta 80 para proxy transparente;
[2] Liberar porta 443 p navegacao direta fora do proxy transparente;
TODAS DEMAIS portas bloqueadas (exceto 25 e 110) p uso Outlook Express.

É isso acima?


Thanks,


mson77

Exatamente! As porta 53 UDP, 25,110 e 443 inicialmente nao passariam no proxy transparente, digo inicialmente pois outros servicos como FTP necessecitam de outras portas.
A partir dai com ACL's no Squid é possivel fazer uma "filtragem" no trafego que utiliza a porta 80

[mson77]

Discordo... a maioria dos streaming rodam em outras portas, e essa coisa de webcam, skype, vc fecha tudo via iptables+squid sem problemas...

Ola Jim,

Entre no site abaixo:
http://www.sun.com/aboutsun/media/pr...computing04q4/
Assista a uma apresentacao SunTV... e coloque um firewall no seu PC monitorando conexoes. Vc vai perceber que ele usa porta 554 (rtsp)... depois ele pode escapar por um proxy (se vc bloquear)... e depois ele escapa pela porta 80.

A coisa nao é tão estática assim...

Alguem já usou sflow? Entao... ntop?
Na verdade eu queria implementar um nQuirer... da Cyclades... num PC.

Abracos,


mson77