IP Muhasebesi: IPTables ve RRDTool`a
Transkript
IP Muhasebesi: IPTables ve RRDTool`a
M ak ale Can Burak Ç İLİNG İR canb@canb.ne t B u yaz ıd a Linux d ağıtım l arının son ve rsiyonl arınd a b ul ab il e ce ğiniz IPTab l e s il e ağım ız d a d ol aşan pak e tl er h ak k ınd a te m e listatistik se l b il gil e r toparl ayıp, R R D Toolil e grafik h al ind e nasıl sunul ab il e ce ğini anl atm aya çal ışacağım .Bu siste m in üz e rine Cron'un ye te ne k l e rini de ek l e yip sonucu b iraz d a ol sa h are k e tl e nd ire ce ğiz .Ge re k IPTab l e s'in, ge re k se R R D Tool 'un b u yaz ıd a b ah se d il e nl e rd e n d ah a ge niş ol d uğunu unutm ayın! Bah se ttiğim 3 araç h ak k ınd a b iraz b il gi ve rd ik te n sonra, b irl e ştirip vol tranı ol uşturm aya b aşl ayacağız .Te m e lağ te rim l e ri h ak k ınd a fik riniz yok sa, re fe ransl ard an ağ te m e l l e ri al tınd ak i l ink l e ri z iyare te tm e niz i öne ririm . yük l e m e aşam asını h ız l and ıracak tır.Eğe r b ul am az sanız k aynak pak e tl e rini çe k e re k içe ril e rind e k i "INSTA LL" d osyasını ok uyarak k urab il irsiniz . IPTables IPTab l e s, Linux 2.4 ve 2.6 içe risind e pak e työne tim i sagl ayan ne tfil te r yapısının k ul l anıcı d üz e yind e k i yöne tim aracıd ır.Basitçe çe k ird e ğin pak e tfil tre l e m e tab l osuna k ural al l ar e k l e yip çık artm aya yarar.Çoğunl uğun, IPTab l e s'ın sad e ce e nge l l e yici ol d uğu yönünd e yanl ış ol m asa d a e k sik d üşünce l e ri var. Enge l l e yici ol m anın yanı sıra, pak e til e tm e , pak e tiçe rik l e ri il e oynam a gib i k l asik öz e l l ik l e ri sunm ası il e b irl ik te patch -om atic ad ı al tınd a topl anm ış yam al ar il e d e il ginç ye te ne k l er k az and ırıl ab il m e k te .D ah a faz l a b il giyi re fe ransl ard a patch -o-m atic l ink ind e b ul ab il irsiniz . O k um aya b aşl am ad an önce IPTab l e s ve R R D Tool 'u k urm ayı Tablolar unutm ayın.D e b ian Kural l arı işl e ye ce k l e ri k ul l anıcısıysanız te k b ir k om ut d urum l ara göre b e l l i tab l ol arın il e k urab il irsiniz : içe risind e yaratırız .Varsayıl an siste m d e 3 tab l o vard ır. apt-get install iptables rrdtool D ağıtım ınız için önce d e n d e rl e nm iş pak e tl e ri e d inm e niz 00101010 | Ek im 2004 FILTER tab l osuna siste m tarafınd an üre til e n, siste m d e n ge çe n, ya d a siste m e ad re sl e nm iş pak e tl e ri yöne te b il e ce ğim iz k ural l arı ek l e riz ."--tab l e " param e tre si il e b ir tab l o be l irtm e d iğim iz d e k ural l ar b u tab l oya e k l e nir. A çıl ım ı "Ne tw ork A d re ss Transl ation" ol an NAT tab l osuna pak e tl e rin h e d e f ve / ve ya k aynak ad re sl e rini d e ğiştire ce k k ural l ar e k l e riz . Bu tab l oyu k ul l anarak port yönl e nd irm e , IP M asq ue rad ing gib i uygul am al ar yapab il iriz . Yönte m l e rin açık l am ası için Tab l o 1'e b ak ab il irsiniz . M A NGLE tab l osunu pak e tl e rin içe riğini d e ğiştirm e k için k ul l anırız .NAT içe risind e d e pak e tl e r d e ğiştiril iyord u, fak at yapıl an d e ğişik l ik l e rin sonrad an ge ri al ınm ak üz e re k ayd ı d a tutul uyord u.M angl e d a yaptığım ız d e ğişik l ik l e rin k ayd ı tutul m az . D e ğişik l ik l e rd e n k asıt, pak e ti b aşk a araçl arl a fark e d e b il m ek için işare tl e m e k , ağ arab irim ind e n çık ış sırasınd a önce l ik ve rm e k gib i uygul am al ard ır. H e de fler Kural l ar il e pak e tl e ri te m e l ol arak 4 h e d e fe yönl e nd ire b il iriz . ACCEPT h e d e fine ak tarıl an M ak ale pak e th e d e fine ul aşm aya h ak k az and ı d e m e k tir. H e d e fte n k asıtb ul unul an ye re göre m ak inad an çık ış h ak k ı k az anm a, yönl e nd irm e h ak k ı k az anm a gib i d urum l ar ol ab il ir. D R O P h e d e fine e rişe n b ir pak e tgörm e z d e n ge l inir.Ye rine göre siste m d e n çık ışı, siste m e girişi ya d a yönl e nm e si e nge l l e nir. R ETUR N h e d e fine il e til e n pak e t, b ul und uğu z incirin varsayıl an h e d e fine ak tarıl acak tır. Varsayıl an h e d e fil e il gil i b il giyi Z incirl er b aşl ığınd a b ul ab il irsiniz .Eğe r k i k uralb aşk a b ir z incirin içe risind e k i b ir z incird e yse pak e tüst z incire d önd ürül ür. R EJECT h e d e fi d e D R O P h e d e fi gib i pak e tin görm e z d e n ge l inm e sini sağl ar.D R O P'tan fark l ı ol arak pak e tin k aynak ad re si b u e nge l l em eden h ab e rd ar e d il ir. Z incirler Z incirl e r, k ural l arın ark a ark aya e k l e nd iği te m e l k uralsak l am a grupl arıd ır.Pak e tin ne tarafa il e til e ce ği k arar ve ril d iğind e o z incirin il k k ural ına b ak ıl acak , e ğe r k ural a tak ıl ıyorsa il gil i işl e m e tab i tutul acak tır. H e r z incir, pak e tiçe risind e k i k ural l arın h e rh angi b irine tak ıl m ad ığınd a işl e ye ce k varsayıl an d avranışa sah iptir.Kural l arın h e psind e n k az asız be l asız ge çe n pak e t, z incirin varsayıl an d avranışına tab i tutul ur. INPUT z incirind e n siste m e ad re sl e nm iş pak e tl er ge çm e ye çal ışır. O UTPUT z incirind e n siste m tarafınd an üre til ip d ışarı çık m ak iste ye n pak e tl e r ge çe r. FO RW A R D z ıncırınd e n siste m e uğrayan pak e tl er ge çe r.Bu gib i d urum l ard a siste m ge ne l l ik l e yönl e nd irici (route r) k onum und ad ır. Tablo 1 Portyönlendirm e : Bu yönte m l e s is te m in x num aral ı portuna ge l e n bağl antı is te k l e rinin y num aral ı bir porta ul aşm as ını s ağl ayabil iriz . y num aral ı portaynı m ak ina üz e rinde ol acağı gibi başk a bir m ak inada da ol abil ir. IP Mas q ue rading: Yönte m in te m e lam acı IPv4 adre s al anının ye te rs iz l iğine bir çöz üm üre tm e k tir. Üs tağ tarafından yönl e ndiriciye atanm ış ip adre s l e ri, e ğe r k i o ağda bul unup üs tağa çık m as ı ge re k e n m ak ina s ayıs ından az is e , ağdak i s is te m l e re üs tağdan fark l ı ip adre s l e ri atanır ve üs tağa gide ce k pak e tl er route ra ul aştığında route ra atanm ış üs tağ adre s l e rinde n biri pak e tin k aynağı ol arak de ğiştiril ir. Bu de ğişik l iği note de n çe k irde k , aynı ak ış içe ris inde ge ri ge l e n pak e tl e rde işl emi te rs ine çe vire re k ik i tarafından da bu de ğişim de n e tk il e nm e de n çal ışm al arını s ağl ar. örne ğe ge l d i.Tah m in e d e b il e ce ğiniz üz e re k om utum uz un ad ı "iptab l e s".Bu b öl üm d e k ural l arı önce Türk çe ifad e e d ip ard ınd an b unu iptab l e s'a te rcüm e e d e ce ğim .H e r z am an ol d uğu gib i "m an iptab l e s" yaz arak tüm param e tre l e ri göz d e n ge çire b il irsiniz . Fil te r tab l osunun, INPUT z incirinin varsayıl an d avranışı D R O P ol sun: iptables --table filter -- policy INPUT DROP 19 2.168.0.123 ad re sind e n ge l e n h e r şe yi k ab ule t: iptables --table filter --append INPUT --source 192.168.0.123 --jump ACCEPT 3684 num aral ı portum a ge l e n h e r şe yi 19 2.168.0.123 ad re sl i m ak inanın 3451 num aral ı portuna il e t: Kullanıcı Z incirleri Kul l anıcı z incirl e ri ge niş öl çe k l i ve k arm aşık k urul um l ard a k ural l arın b e l l i öl çütl e rd e grupl and ırıl m asını, d ol ayısı il e te k rarı e nge l l e ye n, yöne tim i k ol ayl aştıran k ural grupl arıd ır.Yaz ım ız ın il e risind e ve ril e ri d ah a rah ate l d e e tm e k am acı il e k e nd i z incirl e rim iz i tanıtacağız . Ö rne k Kom utl ar Basitçe te orid e n b ah se ttik te n sonra sıra b irk aç 00101010 | Ek im 2004 M ak ale iptables --table nat --append PREROUTING -protocol tcp --dport 3684 --jump DNAT --to 192.168.0.123:4662 D e ne m e ad ınd a b oş b ir k ul l anıcı z inciri yarat: iptables --table filter --new-chain deneme Ye ni z incir yarattık tan sonra pak e tl e ri b aşk a b ir z incird e n --jum p il e k e nd i z incirim iz e ge çire b il iriz .Ö rne ğini yak ınd a göre ce ğiz . IP Muh as e be s i Sıra siste m d e n ge ce n h e r pak e ti te k te k sayab il m e m iz için çe şitl i süz ge çl e r k urm aya ge l d i.Bu süz ge çl e re tak ıl an pak e tl e rin çe şitl i öz e l l ik l e rine b ak ıp b ir k e ne ra note d e ce ğiz . Kol ayl ık ol m ası açısınd an varsayıl an z incirl e r il e faz l a h aşır ne şir ol m ad an k e nd i z incirl e rim iz i yaratıp iste d iğim iz "süz ge çl e ri" o z incirl e r içine ek l e ye l im . D e rl i topl u b ir b ak ış açıcı e d ine b il m e k için k e nd im iz e b ir h e sap d e fte ri açal ım .IPTab l e sd a b u h e sap d e fte ri d e ne n şe yi ancak b ir k ul l anıcı z inciri il e el d e e d e b il iriz .A z once örne k l e rd e b ah se ttiğim iz şe k il d e 2 ye ni z incir yaratal ım : iptables --table filter --new-chain net-kullanici Bu z incird e , Inte rne t'te n k ul l anıcıya ge l en pak e tl e rin h e sab ını tutacağız . iptables --table filter --new-chain kullanici-net Bu z incird e ise k ul l anıcıd an Inte rne t'e gid e n pak e tl e rin h e sab ını tutacağız . İl gil i z incirl e rim iz h az ır ol d uğuna göre sıra tutacağım ız ve riyi b e l irl e m e ye ge l d i.Te rcih im 00101010 | Ek im 2004 portnum arası b az ınd a yak al am ak ."w w w " ve "ssh " ve risi b e nim için öne m l i, o yüz d e n b u ve ril e rin tak ıl acağı k ural l arı z incirl e rim iz e ek l e ye l im (R ETUR N h e d e finin ne işe yarad ığını anım sıyor m usunuz ?): Ö nce "w w w " için: iptables --table filter --protocol tcp --append net- kullanici --source-port www --jump RETURN iptables --table filter --protocol tcp --append kullanici-net --destination-port www --jump RETURN A rd ınd an "ssh " için: iptables --table filter --protocol tcp --append net- kullanici --source-port ssh --jump RETURN iptables --table filter --protocol tcp --append kullanici-net --destination-port ssh --jump RETURN Fark ınd aysanız portl arı num aral arı il e yaz m ad ım .Bu h al i b ana d ah a insancılge l iyor. / e tc/ se rvice s d osyasına göz atıp w w w ve ssh 'ın ne ye k arşıl ık ge l d iğini göre b il irsiniz .Kom utl arı yaz d ık fak atya il e rid e d ah a çok portgöz e tl em ek istiyorsak ?H e r portiçin ik i satır m ı e k l e ye ce ğiz ? Tab i k i h ayır.Bir d öngü b iz im için b u işi yapacak ! Nasılm ı?Ö nce l ik l e şu b ash k od parçasını çal ıştırıp d e ne yin (te k satıra yaz ın): for port in www ssh;do echo $port; done Ek rand a sıra il e w w w ve ssh yaz d ığını göre ce k siniz .H ad i b unu yuk arıd ak i 2 satıra uygul ayal ım . for port in www ssh; do iptables --table filter -protocol tcp -append net- kullanici --source-port $port --jump RETURN;iptables --table filter -protocol tcp --append kullanici-net --destinationport $port -jump RETURN; done M ak ale A rtık e k l e m e k iste d iğiniz portl arı "in" d e n sonra yaz ab il irsiniz . Z incirim iz e k ural l arı e k l e d ik .Pe k i ya z incirim iz e pak e tge l e ce k m i?Biz söyl e m e d e n m aal e se f ge l m e ye ce k : iptables --table filter --insert INPUT --jump netkullanici iptables --table filter --insert OUTPUT --jump kullanici-net "--inse rt" il e INPUT ve O UTPUT z incirl e rinin e n b aşına pak e tl e rin b iz im z incirl e rim iz d e n ge çm e sini sağl ayacak e m ri ve rd ik .Eğe r k i m ak ina yönl e nd irici k onum und a ise FO RW A R D z incirine d e aynı şe k il de ek l e m e k ge re k e ce k tir. A rtık IPTab l e s w w w ve ssh portl arınd an gid e n ge l e n ve rinin k ayd ını tutacak . IPTab l e s b u ve ril e rin k ayd ını tutacak .Pe k i am a b iz nasılgöre ce ğiz ?Ö nce l ik l e az önce be l irl e d iğim iz portl arı k ul l anın.M e se l a ssh il e b ir ye re b ağl anın, w e b site l e rind e ge z inin. A rd ınd an "k ul l anici-ne tz inciri h ak k ınd a b il gi ve r, b oy b il gil e rini d e byte cinsind e n ve r" anl am ına ge l e ce k k om utu çal ıştırın: iptables --list kullanici-net --verbose -x Be nim siste m im d e şuna b e nz e r b ir çık tı e l de e d iyorum : hopkins:~# iptables --list kullanici-net -verbose -x Chain kullanici-net (1 references) pkts bytes target prot opt in ou destination 19 3279 RETURN tcp -- any any anywhere anywhere tcp dpt:ssh Görd üğünüz üz e re b u k ural a topl am "3279 " byte b oyund a pak e ttak ıl m ış.İste rse niz b u çık tıl arı il e rid e k ul l anm ak üz e re b ir d osyaya k oyal ım ve b und an sonra o d osya üz e rind e çal ışal ım : iptables --list kullanici-net --verbose -x > kullanici-net iptables --list net-kullanici --verbose -x > netkullanici D osyal arım ız ı ol usturd uk .Şim d i az önce b ah se ttiğim iz "3279 " u d ah a sonra k ul l anıl ab il ir b ir h al d e , yani b ir b ash d e ğişk e ni h al ind e e l de e tm e ye çal ışal ım (k nSSH "k ul l anici-ne tssh "ın k ısal tm ası): knSSH=`grep "dpt:ssh" kullanici-net | awk '{print $2}'` "e ch o $k nSSH " yaz d ığınız d a b e k l e d iğim iz sayıyı göre ce ğiz .D ağınık ge l m iş ol m al ı.Yaz ının sonund a b u yaptık l arım ız ı b ir b e tik h al ine ge tirip d ah a rah atk ul l anab il e ce ğiz . RRDTool R R D Toolyönl e nd irici göz l em l e m e d e sık ça k ul l anıl an M R TG ad l ı uygul am anın grafik çiz m e al tyapısı ol arak h ayatına b aşl am ış b ir uygul am ad ır.Bu uygul am a saye sind e iste d iğim iz h e r ve rinin grafiğini çık artab il iriz . Biz IPTab l e s saye sind e e l d e e ttiğim iz ve rinin z am anl a ne k ad ar d e ğiştiğini göz l e m e k için b ir grafik ol uşturacağız .R R D Tool un tam ol arak nasılçal ıştığını anl atm ak ye rine sad e ce k ul l anacağım ız k om utl arın açık l am asını ve re ce ğim .R e fe ransl ard a b ağl antısı b ul unan "tutorial "ı ok uyarak d iğe r öz e l l ik l e ri h ak k ınd a fik ir sah ib i ol ab il irsiniz . R R D Toolk ul l anm aya b aşl am ad an önce te m e l ol arak nasılçal ıştığını b il m e m iz ge re k l i.R R D "R ound R ob in D atab ase "in k ısal tm ası ol d uğund an işin içind e grafik çiz e n b ir uygul am anın yanı sıra b ir d e ve ritab anı uygul am ası b ul und uğunu anl ayab il iriz .Bu ve ritab anının b il inm e si ge re k e n 3 te m e löz e l l iği var: 1.Ek l e ne ce k h e r ve ri b ir tarih il e b ağl antıl ı ol m al ı. 2.Ve ritab anınd ak i ayarl anm ış ye rl e r b ittiğind e e n e sk i ve rinin üz e rine yaz acak tır.Buna e n güz e l orne k b ir çe m b e r ol ab il ir.Bir nok tad an b aşl arsınız , çe m b e rd e k i h e r ye r d ol d uğund a b aşl ad ığınız ye re ge l ir ve il k yaz d ığınız ve rinin üz e rine yaz arak d e vam e d e rsiniz . 3.R R D Toolve ritab anl arı b e l l i b ir aral ık ta ve ri be k l e r.Eğe r k i ve ri ge l m e z ise o sl otu b il inm e ye n ol arak işare tl e r. Bu k ısa girişte n sonra işe il k ve ritab anım ız ı yaratarak b aşl ayal ım .İl k ve ritab anım ız d a siste m e gire n ssh ve w w w pak e tl e rinin sayısı tutul sun: rrdtool create sshwww.rrd \ DS:ssh:ABSOLUTE:600:U:U \ DS:www:ABSOLUTE:600:U:U \ RRA:LAST:0:1:480 Burad a ne d e nm e k istiyor: rrd toolcre ate ssh w w w .rrd : ssh w w w .rrd ad ınd a 00101010 | Ek im 2004 M ak ale b ir d oya yarat D S:ssh :A BSO LUTE:600:U:U: b u d osyad a 600 saniye d e b ir günce l l e ne ce k , ssh ad ınd a b ir al an yarat. D S:w w w :A BSO LUTE:600:U:U: 600 saniye d e b ir günce l l e ne ce k , w w w ad ınd a b ir al an yarat. R R A :LA ST:0:1:480: 480 ad e tk ayıttut, k ayıtl arın h e r b iri ve ri nok tası ol arak k ul l anıl ab il ir.(1 ye rine 2 ol sa id i m e se l a 2 ve rid e b ir ortal am a al ınarak ve ri nok tası ol uşturul acak tı.) (rrd tool m an sayfasını ok um anız ı h atırl atm am a ge re k var m ı?) A rtık b ir ve ritab anım ız var.Sıra ge l d i içine b il gi ek l e m e ye : rrdtool update sshwww N:$knSSH:$knWWW Görd üğünüz gib i d e ğişk e nl e ri ve ritab anınd a yarattığım ız sıra il e ve rd im .k nSSH ve k nW W W d e ğişk e nl e ri ise yuk arıd a anl attığım IPTab l es ve risinin d e ğişk e ne atanm ası e snasınd a yaratıl an d e ğişk e nl e r. Ve ritab anım ız d a ol uştu.Sıra ge l d i b ir grafik çiz m e ye : rrdtool graph sshwww.png \ DEF:s=sshwww.rrd:ssh:LAST \ DEF:w=sshwww.rrd:www:LAST \ AREA:s#FF0000:s \ STACK:w#00FF00:w \ --title="Port kullanimi" > /dev/null rrd toolgraph ssh w w w .png: ol uşturul acak d osyanın ad ı sssw w w .png D EF:s=ssh w w w .rrd :ssh :LA ST: ssh w w w .rrd d osyasınd ak i ssh ve risini s ad ı il e k ul l an D EF:w =ssh w w w .rrd :w w w :LA ST: ssh w w w .rrd d osyasınd ak i w w w ve risini w ad ı il e k ul l an. A R EA :s#FF0000:s: s ve risini al an ol arak çiz , re ngi k ız m ız ı ol sun. tutacak ve ritab anl arı (ssh w w w .rrd ).Yuk arıd a b ah se ttiğim iz gib i b unl arı h az ırl ad ık tan sonra h e r şe y b e tik l e ri ol uşturm ak için h az ır ol acak ; fak atufak b ir d e tayı unutm am ak l az ım .Bu k ural l ar siste m i ye nid e n açtığım ız d a k ayb ol acak l ar.Ayrıca k ural l arl a oynark e n sil b aştan yapm anız d a ge re k e ce k . H e r şe yi sil ip ye nid e n b aşl am ak için: #varsayilan zincirlerin varsayilan hedefini ayarla iptables --table filter --policy INPUT ACCEPT iptables --table filter --policy FORWARD ACCEPT iptables --table filter --policy OUTPUT ACCEPT iptables --table nat --policy PREROUTING ACCEPT iptables --table nat --policy OUTPUT ACCEPT iptables --table nat --policy POSTROUTING ACCEPT iptables --table mangle --policy PREROUTING ACCEPT iptables --table mangle --policy OUTPUT ACCEPT iptables --table mangle --policy INPUT ACCEPT iptables --table mangle --policy FORWARD ACCEPT iptables --table mangle --policy POSTROUTING ACCEPT #kullanici zincirlerini sil iptables -X #tablolardaki tum kurallari sil iptables --table filter --flush iptables --table nat --flush iptables --table mangle -flush A k tifk ural l arı k ayd e tm e k için: iptables-save > /root/kurallarim K ayd e d il m iş k ural l arı yük l e m e k için iptables-restore < /root/kurallarim Kural l arın ayarl ı ol d uğunu ve ve ritab anl arının h az ır ol d uk l arını varsayıp b e tiğim iz in yapm ası ge re k e n işl e ri l iste l e ye l im : --titl e ="Portk ul l anim i" > / d e v/ nul l : grafiğin b aşl ığını b e l irl e , çık tıyı görm e z d e n ge l (norm al d e ol uşturul an grafiğin b oyutu yaz ar) 1.Ve ril e ri ok u, d ah a sonra çab uk e l d e e tm e k için d osyaya k ayd e t.(Kom uth e r çal ıştığınd a z ate n üre tiyor ne d e n k ayd e d e l im d iye b il irsiniz . Pe ntium 166 m ak inam d a 8 tane göz e tl e m e k ural ı ol an tab l onun ve ril e rini e d inm e m 15 saniye sürüyor.H e r se fe rind e b unu b e k l em ek iste m iyorum .) Be tik ler 2.Ve ril e ri d e gişk e nl e re ata. STACK :w #00FF00:w : w ve risini ye şilol arak b ir önce k i ve rinin üz e rine çiz . İşim iz e yarayacak b e tik l e ri ol uşturm ad an önce el im iz d e h az ır ol m ası ge re k e nl e r var.İste d iğim iz gib i ayarl anm ış b ir k uraltab l osu ve ve ril e ri 00101010 | Ek im 2004 3.Bu d e ğişk e nl e rd e k i ve ril e ri ve ritab anına k ayd e t. 4.Ve ritab anınd ak i ve ril e rd e n grafik ol uştur. M ak ale Be tiğim iz şöyl e ol ab il ir: #!/bin/bash # Bu betik birazdan görecegimiz cron tarafından çalıstırılacagı için # her seyi tam yerleri ile birlikte belirtmemizde yarar var. Komutların # tam yerini bulmak için which komutuna basvurabilirsiniz. # Örnek: "which grep": iptables=/sbin/iptables grep=/bin/grep awk=/usr/bin/awk rrdtool=/usr/bin/rrdtool kullanicinet=/tmp/kullanicinet netkullanici=/tmp/netkullanici #Adım 1: $iptables --list kullanici-net --verbose -x > $kullanicinet $iptables --list net-kullanici --verbose -x > $netkullanici $iptables -Z #Adım 2: knSSH=`$grep "dpt:ssh" $kullanicinet | $awk '{print $2}'` nkSSH=`$grep "spt:ssh" $netkullanici | $awk '{print $2}'` knWWW=`$grep "dpt:www" $kullanicinet | $awk '{print $2}'` nkWWW=`$grep "spt:www" $netkullanici | $awk '{print $2}'` #Adım 3: $rrdtool update sshwww N:$knSSH:$knWWW #Adım 4: $rrdtool graph /web/sunucusunun/sundugu/dizin/sshwww.png \ DEF:s=sshwww.rrd:ssh:LAST \ DEF:w=sshwww.rrd:www:LAST \ AREA:s#FF0000:s \ STACK:w#00FF00:w \ --title="Port kullanimi" > /dev/null * * * * * k om ut: k om utd ak ik ad a b ir çal ıştırıl ır 5 * * * * k om ut: h e r 5 ge çe (saatte b ir) 5 1 * * * k om ut: saat1:05 (günd e b ir) 15 */ 5 * * * k om ut: 5 saatte b ir çe yre k ge çe l e ri 5,10,12,20 * * * * k om ut: d ak ik a h e r 5, 10,12 ve ya 20 ol d uğund a */ 5 * * * * k om ut: 5 d ak ik ad a b ir Ek l e ye ce ğim iz satır şu şe k il d e ol acak : */5 * * * * /betigimizin/bulundugu/klasor/BetigimizinAdi.sh Son ol arak b u grafiği göste re ce k b ir h tm ld osyası yaratal ım : <html> <head><title>IP Muhasebesi</title></head> <body><img src="sshwww.png" /></body> </html> Be nd e n b ah se ttik l e rim iz d e n b iraz d ah a k apsam l ı 2 ad e törne k grafik : (2 png d osyası) Be tiğim iz artık h az ır.Çal ıştırıl ab il ir h al e ge tire l im : chmod +x BetigimizinAdi.sh Cron Bitti m i?Tab i k i h ayır.ve ritab anını yaratırk e n b oşuna 600 saniye d e m e d ik .Bu b e tiğin 600 saniye d e b ir (10 d ak ik ad a b ir) çal ıştırıl m ası ge re k l i.Bunun için şu k om utu ve riyoruz : crontab -e Cron siste m im iz d e b e l l i b ir d üz e nd e k om ut çal ıştırm ak için b ul unan b ir araç.K arşım ız a d üz e nl e m e m iz için açıl an d osyanın form atı çok k arışık d e ğil .5 süre b e l irte ci ve çal ıştırıl acak k om ut.Bir satırı "1 2 3 4 5 k om ut" şe k l ind e num aral arsak : 1: saatin şu d ak ik ası, 2: günün şu saati, 3: ayın şu günü, 4: yıl ın şu ayı, 5: h aftanın şu günü anl am ına ge l ir."*" k oyarsak h e r an o d e ğe r d oğru sayıl ır, */ n k oyarsak n b irim d e b ir d oğru ol ur.Ö rne k : K aynak lar RRDTool h ttp://pe opl e .e e .e th z .ch /~ oe tik e r/w e btool s /rrdtool / h ttp://pe opl e .e e .e th z .ch /~ oe tik e r/w e btool s /rrdtool /tutorial / ne tfil te r h ttp://tr.ne tfil te r.org/docum e ntation/H OW TO/pack e t- fil te ringH OW TO.h tm l h ttp://w w w .s h ore w al l .ne t/Ne tfil te rOve rvie w .h tm l patch -o-m atic h ttp://tr.ne tfil te r.org/patch -o- m atic/pom -pe nding.h tm l h ttp://tr.ne tfil te r.org/patch -o- m atic/pom -bas e .h tm l h ttp://tr.ne tfil te r.org/patch -o- m atic/pom -e xtra.h tm l NAT h ttp://tr.ne tfil te r.org/docum e ntation/H OW TO/NAT- H OW TO.h tm l Ağ Te m e lleri h ttp://tr.ne tfil te r.org/docum e ntation/H OW TO/ne tw ork ing- conce pts H OW TO.h tm l 00101010 | Ek im 2004