zacatecnicky koncepcni dotaz na iptables, snmp, rrd a mrtg

Petr Stehlik pstehlik na sophics.cz
Neděle Leden 4 22:04:56 CET 2004


Zdravim,

iptables accounting je na firewallu, kde nechci poustet web server, aby
zobrazil v mrtg vysledne grafy. Tedy potrebuji dostat iptables data z
toho firewallu do DMZ (kde bezi web server). Premyslel jsem, jak
vzdalene cist iptables accounting, tak jsem se zacetl do SNMP - a to me
dostalo: 6 mesicu studia k pochopeni problematiky (jak zminuje SNMP FAQ)
jsou v tomto pripade nemozne. Tak jsem se zde chtel zeptat, jestli me
nekdo muze dobre mirenym pointerem nasmerovat a zkratit tak tech 6
mesicu:

- je lepsi/bezpecnejsi/rozumnejsi/univerzalnejsi/proverenejsi ukladat
tento druh dat (iptables accounting) primo na dane masine (firewallu) do
RRD a pak to cist ze vzdaleneho stroje pomoci nejakeho sitoveho
protokolu (jakeho? ma RRD neco vlastniho? treba Remstats?), anebo mam
radeji pustit RRD v DMZ a pokusit se vymyslet/znovuobjevit/nastudovat
zpusob vzdaleneho cteni iptables, snad pomoci net-snmp, anebo jeste
jinak?

- je SNMP vhodne na vzdalene cteni iptables counteru? Nasel jsem
ipfwacct MIB (rocnik 1999), mozna by to slo pouzit, ale mrzi me, ze tam
neni timestamp (mozna jsem jen nepochopil, ze SNMP ten timestamp nejak
doda soubezne - 6 mesicu studia chybi)

- je spravnejsi/lepsi/jedine_povolene pri precteni iptables counteru je
resetnout (a tak se zbavit problemu s pretecenim), anebo s tim
pretecenim proste pocitat (jak to SNMP Counter32 zrejme umi) a zit s nim
a nikdy nic neresetit (jak zminuje i Cisco MIB)?

Samozrejme muzu nahackovat nejakou prasarnu (treba ssh rsync rrd v cronu
pro prenaseni tech dat z fw do DMZ), ale predtim by me zajimalo, jak to
delaji ostrileni profici pouzivajici nastroje k tomu urcene.

Diky za schovivavost.

Petr




Další informace o konferenci Linux