---

Det er nemt nok at tælle trafik fra en given MAC-adresse på Linux 2.4
med iptables og MAC-match-modulet. Dog er denne metode begrænset til
match på source (--mac-source).

Nu vil jeg imidlertid gerne tælle trafik /til/ denne MAC; hvordan gør
jeg det nemmest?

Scenariet er en NAT-gateway hvor kun visse MAC'er på indersiden er
tilladt at sende trafik ud igennem gatewayen.
Jeg vil gerne plotte trafikmængden for hver MAC-adresse i en gruppe af
kendte MAC-adresser vha. MRTG/rrdtool.

Hvad er jeres gode forslag?

--
Steen Suder

---

Nu ved jeg ikke hvor mange brugere det drejer sig om, men ellers kunne du jo
købe et netkort med flere porte på, og så lade disse brugere få hver deres
interface.
4 porte i et pci-kort koster 1.200,- (mener jeg)

Nu er jeg ikke indendørs mester i MRTG, jeg ved den kan måle på interfaces,
men hvis den kan måle på IP-adresser, kunne du jo også tildele dit WAN kort
flere IP-adresser, og så igen lade de forskellige brugere route til hver sin
adresse.

Eller alternativt lave nogle alias'er hvor du laver eth10, eth11, eth12 osv.
Alle disse interfaces er i virkeligheden dit WAN interface, men i dine
IPtables laver du særlige regler for de MAC-adresser der skal måles.

Du kan vel også lave samme nummer på det interne kort, men så går
statistikken jo helt amok hvis de overfører filer til/fra serveren, og det
må de vel gerne.

Slutteligt kan du undersøge om din switch understøtter trafikmåling pr. port
eller vlan.

Rune

"Steen Suder, privat" <sfs_news@suder.dk> skrev i en meddelelse
news:3f0312de$0$244$bc7fd3c@news.sonofon.dk...
> Det er nemt nok at tælle trafik fra en given MAC-adresse på Linux 2.4
> med iptables og MAC-match-modulet. Dog er denne metode begrænset til
> match på source (--mac-source).
>
> Nu vil jeg imidlertid gerne tælle trafik /til/ denne MAC; hvordan gør
> jeg det nemmest?
>
> Scenariet er en NAT-gateway hvor kun visse MAC'er på indersiden er
> tilladt at sende trafik ud igennem gatewayen.
> Jeg vil gerne plotte trafikmængden for hver MAC-adresse i en gruppe af
> kendte MAC-adresser vha. MRTG/rrdtool.
>
> Hvad er jeres gode forslag?
>
> --
> Steen Suder
>

---

Rune Friis Jørgensen wrote:
> Nu ved jeg ikke hvor mange brugere det drejer sig om, men ellers kunne du jo
> købe et netkort med flere porte på, og så lade disse brugere få hver deres
> interface.
> 4 porte i et pci-kort koster 1.200,- (mener jeg)

Så skal jeg bare lige have fundet en maskine med 350 PCI-slots; har du
set nogen til en rimelig pris?

Jeg burde have beskrevet omfanget kan man måske hævde

> Nu er jeg ikke indendørs mester i MRTG, jeg ved den kan måle på interfaces,
> men hvis den kan måle på IP-adresser, kunne du jo også tildele dit WAN kort
> flere IP-adresser, og så igen lade de forskellige brugere route til hver sin
> adresse.

Det jeg typisk gør at Target bliver sat `mit-counter-script.sh` som så
returnerer data til plot.

> Eller alternativt lave nogle alias'er hvor du laver eth10, eth11, eth12 osv.
> Alle disse interfaces er i virkeligheden dit WAN interface, men i dine
> IPtables laver du særlige regler for de MAC-adresser der skal måles.

Det ændrer vel ikke på at iptables kun kan matche på mac-source?

> Du kan vel også lave samme nummer på det interne kort, men så går
> statistikken jo helt amok hvis de overfører filer til/fra serveren, og det
> må de vel gerne.

Nu er det ikke en server, men kun en gateway med noget trafikkontrol på.

> Slutteligt kan du undersøge om din switch understøtter trafikmåling pr. port
> eller vlan.

Det gør de ikke og jeg har alligevel ikke adgang til dette udstyr (er en
kundes).

<KLIP>

--
Mvh. / Best regards,
Steen Suder      <http://www.suder.dk/>
ICQ UIN         4133803

---

"Steen Suder, privat" <sfs_news@suder.dk> skrev i en meddelelse
news:3f0427fc$0$247$bc7fd3c@news.sonofon.dk...
> Rune Friis Jørgensen wrote:
> > Nu ved jeg ikke hvor mange brugere det drejer sig om, men ellers kunne
du jo
> > købe et netkort med flere porte på, og så lade disse brugere få hver
deres
> > interface.
> > 4 porte i et pci-kort koster 1.200,- (mener jeg)
>
> Så skal jeg bare lige have fundet en maskine med 350 PCI-slots; har du
> set nogen til en rimelig pris?

Nu skrev du at det kun var udvalgte MAC-adresser der skulle måles på.
Derfor forudsatte jeg (fejlagtigt) at der var tale om ganske få brugere.
Skal du virkelig måle trafikken på 1400 udvalgte MAC-adresser ? ? ?

> Jeg burde have beskrevet omfanget kan man måske hævde
>
> > Nu er jeg ikke indendørs mester i MRTG, jeg ved den kan måle på
interfaces,
> > men hvis den kan måle på IP-adresser, kunne du jo også tildele dit WAN
kort
> > flere IP-adresser, og så igen lade de forskellige brugere route til hver
sin
> > adresse.
>
> Det jeg typisk gør at Target bliver sat `mit-counter-script.sh` som så
> returnerer data til plot.

Er det urealistisk at du opretter en regel i dine iptables som er baseret på
target som tillæg til din MAC-source.
Således kunne al udefra kommende trafik opsplittes afhængig af target.
Normalt tillader man jo blot al udefra kommende trafik fri passage såfremt
det er initialiseret indefra, men inden det lades igennem, burde du vel
kunne definere at hvis det kommer udefra, er initialiseret indefra, og det
skal hen til "given MAC-adresse" så "et givent script" og så hen til "given
MAC-adresse"

> > Eller alternativt lave nogle alias'er hvor du laver eth10, eth11, eth12
osv.
> > Alle disse interfaces er i virkeligheden dit WAN interface, men i dine
> > IPtables laver du særlige regler for de MAC-adresser der skal måles.
>
> Det ændrer vel ikke på at iptables kun kan matche på mac-source?

Min tanke var at for enhver MAC-adresse du ville måle trafikken på lavede du
et eth-alias med egen IP-adresse. I den anden ende af WAN forbindelsen stod
der en router der fordelte den initialiserede trafik ud på de relevante
IP-adresser. dermed ville trafik med en given MAC-source blive sendt ud på
et tilhørende eth-alias og ville også blive returneret til samme eth-alias.
Jeg forudsatte at trafik der var blevet initialiseret fra en given
MAC-adresse og dermed sendt ud af eth10 ville blive besvaret til eth10.
Dermed ville du ikke længere kun måle på MAC-source, men på al trafik
vedrørende denne MAC-adresse.

Ideen var at tildele eth10 etc. særskildte IP-adresser overfor din router.
Jeg havde i mit hoved en klar opfattelse af at du havde MRTG kørende på en
server, der var koblet op mod en router.

Det var så interfacet på serveren der skulle have flere IP-adresser på samme
netkort med forskellige IP-adresser.
Hvorved trafikken formodedes at blive returneret på samme IP-adresse og
dermed eth-alias.

> > Du kan vel også lave samme nummer på det interne kort, men så går
> > statistikken jo helt amok hvis de overfører filer til/fra serveren, og
det
> > må de vel gerne.
>
> Nu er det ikke en server, men kun en gateway med noget trafikkontrol på.

Det gør det jo noget sværere...

> > Slutteligt kan du undersøge om din switch understøtter trafikmåling pr.
port
> > eller vlan.
>
> Det gør de ikke og jeg har alligevel ikke adgang til dette udstyr (er en
> kundes).
>
> <KLIP>
>
> --
> Mvh. / Best regards,
> Steen Suder <http://www.suder.dk/>
> ICQ UIN 4133803
>

---

Rune Friis Jørgensen wrote:
> "Steen Suder, privat" <sfs_news@suder.dk> skrev i en meddelelse
> news:3f0427fc$0$247$bc7fd3c@news.sonofon.dk...
>
>>Rune Friis Jørgensen wrote:
<KLIP>

> Nu skrev du at det kun var udvalgte MAC-adresser der skulle måles på.
> Derfor forudsatte jeg (fejlagtigt) at der var tale om ganske få brugere.
> Skal du virkelig måle trafikken på 1400 udvalgte MAC-adresser ? ? ?

Potentielt: ja. Dog er der indtil videre kun tale om 500

<KLIP>

>>Det jeg typisk gør at Target bliver sat `mit-counter-script.sh` som så
>>returnerer data til plot.
>
>
> Er det urealistisk at du opretter en regel i dine iptables som er baseret på
> target som tillæg til din MAC-source.

Med Target mente jeg "Target[]" i mrtgs cfg.

De versioner af Linux og iptables jeg bruger understøtter kun mac-source
når vi taler om match.

> Således kunne al udefra kommende trafik opsplittes afhængig af target.
> Normalt tillader man jo blot al udefra kommende trafik fri passage såfremt
> det er initialiseret indefra, men inden det lades igennem, burde du vel
> kunne definere at hvis det kommer udefra, er initialiseret indefra, og det
> skal hen til "given MAC-adresse" så "et givent script" og så hen til "given
> MAC-adresse"

Det var nok en mulighed, men den faldt mig ikke lige ind

>>>Eller alternativt lave nogle alias'er hvor du laver eth10, eth11, eth12
>
> osv.
>
>>>Alle disse interfaces er i virkeligheden dit WAN interface, men i dine
>>>IPtables laver du særlige regler for de MAC-adresser der skal måles.
>>
>>Det ændrer vel ikke på at iptables kun kan matche på mac-source?
>
>
> Min tanke var at for enhver MAC-adresse du ville måle trafikken på lavede du
> et eth-alias med egen IP-adresse. I den anden ende af WAN forbindelsen stod
> der en router der fordelte den initialiserede trafik ud på de relevante
> IP-adresser. dermed ville trafik med en given MAC-source blive sendt ud på
> et tilhørende eth-alias og ville også blive returneret til samme eth-alias.
> Jeg forudsatte at trafik der var blevet initialiseret fra en given
> MAC-adresse og dermed sendt ud af eth10 ville blive besvaret til eth10.
> Dermed ville du ikke længere kun måle på MAC-source, men på al trafik
> vedrørende denne MAC-adresse.

Det ville gøre det pågældende routingsetup noget mere komplekst end
ønsket. Der er nemlig noget bundling af ADSLer indblandet også

> Ideen var at tildele eth10 etc. særskildte IP-adresser overfor din router.
> Jeg havde i mit hoved en klar opfattelse af at du havde MRTG kørende på en
> server, der var koblet op mod en router.
>
> Det var så interfacet på serveren der skulle have flere IP-adresser på samme
> netkort med forskellige IP-adresser.
> Hvorved trafikken formodedes at blive returneret på samme IP-adresse og
> dermed eth-alias.

God ide, men som du kan se andetsteds i tråden har jeg lavet en løsning
med wipl og nogle simple scripts i stedet.

<KLIP>

--
Mvh. / Best regards,
Steen Suder      <http://www.suder.dk/>
ICQ UIN         4133803

---

>>>>> "SS" == Steen Suder <Steen> writes:

SS> Det er nemt nok at tælle trafik fra en given MAC-adresse på Linux
SS> 2.4 med iptables og MAC-match-modulet. Dog er denne metode
SS> begrænset til match på source (--mac-source).

SS> Nu vil jeg imidlertid gerne tælle trafik /til/ denne MAC; hvordan
SS> gør jeg det nemmest?

Det kan man ikke. MAC-addressen er ikke kendt på det tidspunkt
netfilter har fat i pakken. Det er muligt at du kan bruge ebfilter i
stedet for, men det kræver i al fald en patch.

Iøvrigt er MAC-adresser ikke særligt gode til billing-formål. De er
lidt for lette at ændre. Hvis du stoler på MAC-adresserne, er det
nemmeste nok at fortælle din DHCP-server at IP-addresserne for de
relevante maskiner skal være faste.


/Benny

---

Benny Amorsen wrote:
>>>>>>"SS" == Steen Suder <Steen> writes:
>
>
> SS> Det er nemt nok at tælle trafik fra en given MAC-adresse på Linux
> SS> 2.4 med iptables og MAC-match-modulet. Dog er denne metode
> SS> begrænset til match på source (--mac-source).
>
> SS> Nu vil jeg imidlertid gerne tælle trafik /til/ denne MAC; hvordan
> SS> gør jeg det nemmest?
>
> Det kan man ikke. MAC-addressen er ikke kendt på det tidspunkt
> netfilter har fat i pakken. Det er muligt at du kan bruge ebfilter i
> stedet for, men det kræver i al fald en patch.

Jeg har ikke skrevet nogen steder at det par tout skulle være vha.
iptables; det ville bare have været rart hvis man kunne

Jeg har nu fundet en løsning, nemlig wipl som i forvejen er på boksen.
Det er faktisk genialt til formålet.

> Iøvrigt er MAC-adresser ikke særligt gode til billing-formål. De er
> lidt for lette at ændre. Hvis du stoler på MAC-adresserne, er det
> nemmeste nok at fortælle din DHCP-server at IP-addresserne for de
> relevante maskiner skal være faste.

Brugerne har ikke nogen interesse i at spoofe deres MAC; så kommer de
nemlig ikke ud af gatewayen

--
Mvh. / Best regards,
Steen Suder      <http://www.suder.dk/>
ICQ UIN         4133803

---

"Steen Suder, privat" <sfs_news@suder.dk> writes:

> > Iøvrigt er MAC-adresser ikke særligt gode til billing-formål. De er
> > lidt for lette at ændre. Hvis du stoler på MAC-adresserne, er det
> > nemmeste nok at fortælle din DHCP-server at IP-addresserne for de
> > relevante maskiner skal være faste.
>
> Brugerne har ikke nogen interesse i at spoofe deres MAC; så kommer de
> nemlig ikke ud af gatewayen

Hvis de bruger en andet eksistrende MAC-adresse, så kommer de vel
igennem gatewayen på en anden persons regning?

--
Kim Hansen | |\ _,,,---,,_ | Det er ikke
Dalslandsgade 8, A708 | /,`.-´` -. ;:-. | Jeopardy.
2300 København S | |,4- ) )-,_. ,\ ( `'-' | Svar _efter_
Tlf: 32 88 60 86 | '---''(_/--' `-'\_) | spørgsmålet.

---

Kim Hansen wrote:
> "Steen Suder, privat" <sfs_news@suder.dk> writes:
>
>
>>>Iøvrigt er MAC-adresser ikke særligt gode til billing-formål. De er
>>>lidt for lette at ændre. Hvis du stoler på MAC-adresserne, er det
>>>nemmeste nok at fortælle din DHCP-server at IP-addresserne for de
>>>relevante maskiner skal være faste.
>>
>>Brugerne har ikke nogen interesse i at spoofe deres MAC; så kommer de
>>nemlig ikke ud af gatewayen
>
>
> Hvis de bruger en andet eksistrende MAC-adresse, så kommer de vel
> igennem gatewayen på en anden persons regning?

Naturligvis, men så ville der vel hurtigt gå ged i arptabellerne og hvad
ved jeg.
Nu bliver brugerne i det pågældende setup ikke afregnet for volumen, men
kun for adgang.

--
Mvh. / Best regards,
Steen Suder      <http://www.suder.dk/>
ICQ UIN         4133803