Hi!
Ich habe angefangen eine redundante FW/Router mit der Hilfe von CARP und PF-SYNC aufzubauen.
So weit so gut. Tut wunderbar, super einfach einzurichten.
Jetzt zu meinem eigentlichen Problem:
Ich brauche von allen Verbindungen, die ueber den Router gehen, source-, destination-ip und den
Traffic in bytes, der diese Verbindung verursacht hat.
Nur hab ich noch keine saubere Loesung dafuer gefunden.
Mit `pfctl -vs state' zeigt er mir das zwar an, aber dann muesste ich zB mit einem cronjob alle Sekunden
den Output parsen und Verbindungen die in dem Fenster zwischen den zwei Laeufen geschehen, werden
garnicht geloggt.
Alle states mit nem "log-all" zu versehen, und mit (einem evtl. modifizierten) pflogd nochmal alle
Pakete parsen halte ich fuer zu ineffizient.
Eine andere Loesung waehre pfflowd (auch zu finden unter /usr/ports/net/pfflowd ),
in einem Probelauf mit einem `-D' (don't demonize and verbose), zeigt er mir aber auch nicht wirklich
alle Verbindungen an (triviale HTTP-traffic, der aber in `pfctl -vs state' erkannt wird)
Benutzt jmd von euch OpenBSD in einem Production-Enviroment und wie loest ihr das?
Danke schonmal im Voraus fuer kreative Kritik und Ideen,
Maik
Ich habe angefangen eine redundante FW/Router mit der Hilfe von CARP und PF-SYNC aufzubauen.
So weit so gut. Tut wunderbar, super einfach einzurichten.
Jetzt zu meinem eigentlichen Problem:
Ich brauche von allen Verbindungen, die ueber den Router gehen, source-, destination-ip und den
Traffic in bytes, der diese Verbindung verursacht hat.
Nur hab ich noch keine saubere Loesung dafuer gefunden.
Mit `pfctl -vs state' zeigt er mir das zwar an, aber dann muesste ich zB mit einem cronjob alle Sekunden
den Output parsen und Verbindungen die in dem Fenster zwischen den zwei Laeufen geschehen, werden
garnicht geloggt.
Alle states mit nem "log-all" zu versehen, und mit (einem evtl. modifizierten) pflogd nochmal alle
Pakete parsen halte ich fuer zu ineffizient.
Eine andere Loesung waehre pfflowd (auch zu finden unter /usr/ports/net/pfflowd ),
in einem Probelauf mit einem `-D' (don't demonize and verbose), zeigt er mir aber auch nicht wirklich
alle Verbindungen an (triviale HTTP-traffic, der aber in `pfctl -vs state' erkannt wird)
Benutzt jmd von euch OpenBSD in einem Production-Enviroment und wie loest ihr das?
Danke schonmal im Voraus fuer kreative Kritik und Ideen,
Maik
