- lms - lists.lms.org.pl

Re: statystkyki
by Łukasz Jarosław Mozer 01 Lut '04

01 Lut '04

Witam. > Dodam ejszcze ze u mnie jest to tym bardziej drastyczne ze wewnatrfz sieci > jest mnuuuuustwo niewykozystywanych adresow ip. mam siec 172.16.0.0 z maska > 255.240.0.0 co daje ponad 2miliony adresow (jak dobrze licze) Robie tak > poniewaz u mnie (mowie o ASK - w firmie robie inaczej) adres ip to jest > 172.KOD_ULICY.NUMER_BLOKU.NUMER_MIESZKANIA. Dlaqtego ipfm w czasie > przepytaywania sieci przez jakiego swirusa sie troche preciaza. Jakież to inteligentne i wcale nie narusza prywatności pacjenta :-) -- Łukasz Jarosław Mozer http://www.baseciq.org mailto: lukasz(a)rulez.pl

1 0

Re: statystkyki
by Łukasz Jarosław Mozer 01 Lut '04

01 Lut '04

Witam. > Proponuje do robienia statystyk kto ile drze zaprzedz nie iptables, chy > ipchains, lecz kombajnik ipfm (IP Floow Metter) Jest on o tuyle lepszy ze > statsy zosaja na kompie na dluzj, a jak sie zaprzegnie jakis maly skrypcik do > przewalanie tego wszystkiego do bazy danmych to juz w ogole bedzie wypas :) > Moze sie zajme tym jak skoncze na dobre z winietkami.... co o takiej > przemianie myslicie?? Jest do dupy. Spróbuj zaawansowane reguły zliczania ruchu tam wprowadzić. Poza tym w dużych sieciach generuje niezły load i ma niezbyt elastyczną konfigurację. Anyway, przy dużym loadzie ztcp. potrafił gubić pakiety. -- Łukasz Jarosław Mozer http://www.baseciq.org mailto: lukasz(a)rulez.pl

1 0

Re: statystkyki
by Pawel 01 Lut '04

01 Lut '04

Skoro wcześniej nie powstawał, to może tym razem coś skaszaniłeś. Sorry, ale za mało danych podałeś, żeby cokolwiek doradzić. -- Pozdrawiam Aleksander Machniak ( A.L.E.C ) http://alec.k27.prv.pl GG-2275252 Aleksander, problem w tym ze dopisalem usera do lancuchow : iptables -A RECV -d 192.168.1.7 -j RETURN iptables -A SEND -s 192.168.1.7 -j RETURN dodalem jako usera w lms no i klops bo go nie ma w statach.... Pozdrawiam Pawel P.O. Marudzacego ;)

1 0

Re: statystkyki
by Rafal Ramocki 01 Lut '04

01 Lut '04

On Sun, 1 Feb 2004 12:27:29 +0100, Rafal Ramocki wrote > On Sun, 1 Feb 2004 11:47:52 +0100, Tomasz Chilinski wrote > > On Sun, 1 Feb 2004 10:01:10 +0100, Pawel wrote > > > Witam, > > Witam. > > > > > > > > Problem ze statystykami, po dodaniu lancuchow zliczajacych i dodaniu > > > uzytkownika, user nie pojawia sie w statach chociaz przeciagnal > > > okolo 100 mb, malo tego nie ma jego ip w traffic.log Wczesniej > > > problem dla nowych userow nie powstawal. > > Troszkę z innej beczki: nawet jeśli komuś uda się zmusić to do > > działania, to takie zliczanie ma sens dla powiedzmy max. 50 osób. > > Gdy takich reguł wprowadzimy bardzo dużo to serwer zapycha się :) > > Jest na to sposób: nazwijmy to mass-accouting polegający na > > modyfikacji jądra w taki sposób, że pola zliaczające "pakiety" są > > tablicami i na podstawie ostatnich oktetów adresu ip są znaczone > > trafienia w tej tablicy ;) > > > > Ja kozystam z ipfm w sieci ktora liczy 350 komputerow. Prez lacze > przewala sie dziennie cos w okolicach 200kb*2*3600*24. Normalnie > obciazenie serwera ktory robi jeszcze w ciul innych rzeczy wacha sie > w okolicach 0.1 - 0.5 (Intel Celeron 1.8GHz) PRoblem pojawia sie > tylko w czasie syn-floodow (ataki typu DoS) Z racji tego ze userzy > moga zawsze osiagac max lacza to obciaznei mzoe wzrastac nawet do 20- > 30. Z czego ipfm generuje oikolo 50% reszta to system prawdopodobnie > rpzez htb i sfq. PRoblem jest jeszcze z userami podszywajacami sie > pod duza liczbwe adresow ip lub odpytaujace duza liczbe adresow ip > wewnatrz sieci. W takich przypadkach ipfm generuje bardzo duzo logow, > i tez obciaza system, taki ruch generuje gloweni wirus blaster i > jedna z mutacji wirusa nimbda. Ale poza takimi przeciazeniami tkore > sie zdazaja raczej zadko i sa eleiminowane prze blokowanie userow na > firewall'u nie ma wiekszych problemow i ipfm sprawuje sie swietnie. > Dodam ejszcze ze u mnie jest to tym bardziej drastyczne ze wewnatrfz sieci jest mnuuuuustwo niewykozystywanych adresow ip. mam siec 172.16.0.0 z maska 255.240.0.0 co daje ponad 2miliony adresow (jak dobrze licze) Robie tak poniewaz u mnie (mowie o ASK - w firmie robie inaczej) adres ip to jest 172.KOD_ULICY.NUMER_BLOKU.NUMER_MIESZKANIA. Dlaqtego ipfm w czasie przepytaywania sieci przez jakiego swirusa sie troche preciaza. z powazaniem Rafal Ramocki

1 0

Re: statystkyki
by Rafal Ramocki 01 Lut '04

01 Lut '04

On Sun, 1 Feb 2004 11:52:50 +0100, Tomasz Chilinski wrote > On Sun, 1 Feb 2004 10:35:53 +0100, Rafal Ramocki wrote > > Proponuje do robienia statystyk kto ile drze zaprzedz nie iptables, chy > > ipchains, lecz kombajnik ipfm (IP Floow Metter) Jest on o tuyle > > lepszy ze statsy zosaja na kompie na dluzj, a jak sie zaprzegnie > > jakis maly skrypcik do przewalanie tego wszystkiego do bazy danmych > > to juz w ogole bedzie wypas :) Moze sie zajme tym jak skoncze na > > dobre z winietkami.... > Właśnie u siebie zrobiłem już 3 rodzaje winietek: Wystarczy jeden dobrze napisany skrypt. Podzuce ci moj to sie przyjzyj moze zaadaptujesz to do php?? Bylo by fajnie :) Tyle ty lko ze ja tam kozystam z dodanego przezemnie pola 'message' w tabeli users. wysylalem pare dni temu pacha ktory dodaje to pole do tabeli i odpowidnio modyfikuje lmsa do jego obslugi. Tyeltylkoz emoj skrycpik nie przewiduje jeszcze pola warning i odblokowuje neta przez wyczyszczenie pola messages jezeli user nie ma ustawionej flagi access na 0. Ale proponowal bym zrobic to tak zeby skrypt po prostu rpzestawial flage 'warning' na 0 pod warunkiem ze flaga access nie jest 0. > Można wykorzystwać pole comment w users w taki > sposób, że wpisać tam adres serwera wirtualnego na który ma > nastepować przekierowanie. Oczywiście winietkę nr 2 user może sobie > sam wyłączyć i znowu mu przez jakiś czas normalnie strony www > otwierają się. Odradzam wykozystanie pola 'info' (bo chyba tak sie to pole nazywa a nie comment). TO jest bardzo pozyteczne pole i na prawde sie przydaje. Ja tak poczatkow robilem to cz\ulem sie czasem jak bez reki bo sie traci bardzo czesc funkcjonalnosci calego LMS'a. (nie wszystko mozna tam wtedy wpisac) > > co o takiej przemianie myslicie?? > Na ile wydajne jest to o czym piszesz? Pisalem juz przedtem zamin zobaczylem to pytanie. Dodam jeszcze tylko ze na sieciach firmowych gdzie jest limit ilosci danych przeucanych przez usera na przyklad do 128kbit pierwszy opisywany problem raczej nie istnieje. Drugi moze przesta cistniec przy odcieciu zupelnym nieporzadnych adresow ip na firewall'u. > > z powazaniem > > Rafal Ramocki > Pozdrawiam > Tomasz Chiliński z powazaniuem Rafal Ramocki

1 0

Re: statystkyki
by Rafal Ramocki 01 Lut '04

01 Lut '04

On Sun, 1 Feb 2004 11:47:52 +0100, Tomasz Chilinski wrote > On Sun, 1 Feb 2004 10:01:10 +0100, Pawel wrote > > Witam, > Witam. > > > > > Problem ze statystykami, po dodaniu lancuchow zliczajacych i dodaniu > > uzytkownika, user nie pojawia sie w statach chociaz przeciagnal > > okolo 100 mb, malo tego nie ma jego ip w traffic.log Wczesniej > > problem dla nowych userow nie powstawal. > Troszkę z innej beczki: nawet jeśli komuś uda się zmusić to do > działania, to takie zliczanie ma sens dla powiedzmy max. 50 osób. > Gdy takich reguł wprowadzimy bardzo dużo to serwer zapycha się :) > Jest na to sposób: nazwijmy to mass-accouting polegający na > modyfikacji jądra w taki sposób, że pola zliaczające "pakiety" są > tablicami i na podstawie ostatnich oktetów adresu ip są znaczone > trafienia w tej tablicy ;) > Ja kozystam z ipfm w sieci ktora liczy 350 komputerow. Prez lacze przewala sie dziennie cos w okolicach 200kb*2*3600*24. Normalnie obciazenie serwera ktory robi jeszcze w ciul innych rzeczy wacha sie w okolicach 0.1 - 0.5 (Intel Celeron 1.8GHz) PRoblem pojawia sie tylko w czasie syn-floodow (ataki typu DoS) Z racji tego ze userzy moga zawsze osiagac max lacza to obciaznei mzoe wzrastac nawet do 20-30. Z czego ipfm generuje oikolo 50% reszta to system prawdopodobnie rpzez htb i sfq. PRoblem jest jeszcze z userami podszywajacami sie pod duza liczbwe adresow ip lub odpytaujace duza liczbe adresow ip wewnatrz sieci. W takich przypadkach ipfm generuje bardzo duzo logow, i tez obciaza system, taki ruch generuje gloweni wirus blaster i jedna z mutacji wirusa nimbda. Ale poza takimi przeciazeniami tkore sie zdazaja raczej zadko i sa eleiminowane prze blokowanie userow na firewall'u nie ma wiekszych problemow i ipfm sprawuje sie swietnie. z powazaniem Rafal Ramocki

1 0

Re: statystkyki
by A.L.E.C 01 Lut '04

01 Lut '04

> Witam, > > Problem ze statystykami, po dodaniu lancuchow zliczajacych i dodaniu > uzytkownika, user nie pojawia sie w statach chociaz przeciagnal okolo > 100 mb, malo tego nie ma jego ip w traffic.log > Wczesniej problem dla nowych userow nie powstawal. Skoro wcześniej nie powstawał, to może tym razem coś skaszaniłeś. Sorry, ale za mało danych podałeś, żeby cokolwiek doradzić. -- Pozdrawiam Aleksander Machniak ( A.L.E.C ) http://alec.k27.prv.pl GG-2275252

1 0

Re: statystkyki
by Tomasz Chilinski 01 Lut '04

01 Lut '04

On Sun, 1 Feb 2004 10:35:53 +0100, Rafal Ramocki wrote > Proponuje do robienia statystyk kto ile drze zaprzedz nie iptables, chy > ipchains, lecz kombajnik ipfm (IP Floow Metter) Jest on o tuyle > lepszy ze statsy zosaja na kompie na dluzj, a jak sie zaprzegnie > jakis maly skrypcik do przewalanie tego wszystkiego do bazy danmych > to juz w ogole bedzie wypas :) Moze sie zajme tym jak skoncze na > dobre z winietkami.... Właśnie u siebie zrobiłem już 3 rodzaje winietek: 1) Dla osób, które podłączyły nowy komputer lub zmieniły kartę sieciową - od razu wiedzą jaki mają MAC i jak dzwonią to nie muszę ich męczyć jak to odczytać w danym OSie:) 2) Dla osób, które mają warning=1. 3) Dla osób, które mają access=0. Na marginesie: można zamotać tak, że dowolnemu userowi można przesłać dowolny message przez przeglądarkę i to bez dalszej modyfikacji LMSa :) Można wykorzystwać pole comment w users w taki sposób, że wpisać tam adres serwera wirtualnego na który ma nastepować przekierowanie. Oczywiście winietkę nr 2 user może sobie sam wyłączyć i znowu mu przez jakiś czas normalnie strony www otwierają się. > co o takiej przemianie myslicie?? Na ile wydajne jest to o czym piszesz? > z powazaniem > Rafal Ramocki Pozdrawiam Tomasz Chiliński

1 0

Re: statystkyki
by Tomasz Chilinski 01 Lut '04

01 Lut '04

On Sun, 1 Feb 2004 10:01:10 +0100, Pawel wrote > Witam, Witam. > > Problem ze statystykami, po dodaniu lancuchow zliczajacych i dodaniu > uzytkownika, user nie pojawia sie w statach chociaz przeciagnal > okolo 100 mb, malo tego nie ma jego ip w traffic.log Wczesniej > problem dla nowych userow nie powstawal. Troszkę z innej beczki: nawet jeśli komuś uda się zmusić to do działania, to takie zliczanie ma sens dla powiedzmy max. 50 osób. Gdy takich reguł wprowadzimy bardzo dużo to serwer zapycha się :) Jest na to sposób: nazwijmy to mass-accouting polegający na modyfikacji jądra w taki sposób, że pola zliaczające "pakiety" są tablicami i na podstawie ostatnich oktetów adresu ip są znaczone trafienia w tej tablicy ;) > > Pozdrawiam > Pawel Kuleszynski > pawel[at]psi.zax.pl Pozdrawiam Tomasz Chiliński

1 0

Re: statystkyki
by Rafal Ramocki 01 Lut '04

01 Lut '04

On Sun, 1 Feb 2004 10:55:51 +0100, Gonthar wrote > Witam! > > W Twoim liście datowanym 1 lutego 2004 (10:35:53) można przeczytać: > > RR> Moze sie zajme tym jak skoncze na dobre z winietkami.... co o takiej > RR> przemianie myslicie?? > > Ja jestem za. ;-) Tym bardziej, ze to można później wykorzystać w > dwojami sposób. i do LMS'a i np. takich statów: > > http://www.moon.net.pl/index.php?op=scripfm > no ja tez kozystam z IPFM. Tyle tylko ze sam napisalem sobie wynalazek ktory wrzuca do bazy danych dane z ostatniogo dnia i ostatniej godziny (tylko te dane sa w tejc whwili w bazie danych, reszta kisi sie na dysku. Ale do niczego innego mi to nie bylo potrzebne tylko do: http://www.interblock.pl/main?go=101 z powazaniem Rafal Ramocki

1 0