[Eisfair] eisgraph_mod_port, keine anzeigewerte

Marcus Roeckrath marcus.roeckrath at gmx.de
Di Sep 13 20:57:40 CEST 2016 

Hallo Kay,

Kay Martinen wrote:

>>> Configuration file was saved as eisgraph_mod_port.2016-09-12-21-44-21 in
>>> /etc/backup.d.
>>>
>>> Activate configuration now (y/n) [yes]?
>>> iptables: No chain/target/match by that name.
>>> iptables: No chain/target/match by that name.
>>> Press ENTER to continue
>> 
>> Möglicherweise fehlt in /var/install/config.d/eisgraph_mod_port.sh das
>> Starten des Initskripts /etc/init.d/eisgraph_traffic_port.
> 
> aus /etc/init.d/
> lrwxrwxrwx  1 root root   33 Sep 12 21:44 S31eisgraph_traffic_port ->
> /etc/init.d/eisgraph_traffic_port

Das wird angelegt, aber hat nur beim Boot dann auch eine Auswirkung.

Im Konfigurationsskript wird das Initskript nicht aufgerufen, womit dann
auch die Chain nicht vorliegt.

Gleichermaßen müsste vorher auch das Initskript mit stop aufgerufen werden.

Andererseits findet sich ab Zeile 86 Code, der auch genau die Arbeiten aus
dem Initskript erledigt.

So genau habe ich mir das aber nicht angesehen.

> Was mir beim graph für nntp (119/TCP) aber auffiel: Der zeigt leider
> eben genau DEN Traffic NICHT an den der sn produziert wenn er gruppen
> aktualisiert. Das liegt wohl an den Regeln die eben so:
> 
> -A EISGRAPH_IN -i eth0 -p tcp -m tcp --dport 119
> -A EISGRAPH_OUT -o eth0 -p tcp -m tcp --sport 119
> 
> sind das eingehend der Zielport 119 und ausgehend der Quellport 119
> erfasst wird. Wenn ich den Update-Traffic auch sehen will brauche ich
> also wohl zusätzlich eine Regel wie:
> 
> -A EISGRAPH_OUT -o eth0 -p tcp -m tcp --dport 119

Ich nehme an, dass Ansatz des Paketes war, den an den Server gerichteten
Verkehr zu protokollieren.

Spielt der Server nun selbst Client, dann müssten für alle Port die Regeln
nach Deinem Beispiel ergänzt werden, also dann wohl auch

-A EISGRAPH_IN -o eth0 -p tcp -m tcp --sport 119

> Aber über das Setup-Menü lässt sich das wohl nicht bewerkstelligen. Blöd
> daran ist das damit nicht jeder; wie ich finde; relevante Traffic
> erfasst wird und das gleiches auch für den Mailversand nach Extern oder
> das Abholen von Extern betrifft. Diese Regeln $irgendwo fest ein zu
> tragen ist IMHO auch keine Gute Lösung.

So ist sie aber.

Oder Du legst selbst Hand an /var/install/config.d/eisgraph_mod_port.sh an
und ergänzt die fehlenden Regeln in der while-Schleife ab Zeile 202.

Hier als Beispiel der eine von vir zu ändernden Blöcken:

Ist:

  echo "    \$ipt -A EISGRAPH_IN -i eth0 -p tcp --dport ${port}" >> ${tin}
  check=`$ipt -xvn -L EISGRAPH_IN | grep "tcp dpt:${port}" `
  if [ "$check" = "" ]
     then
         $ipt -A EISGRAPH_IN -i eth0 -p tcp --dport ${port}
     fi

Soll:

  echo "    \$ipt -A EISGRAPH_IN -i eth0 -p tcp --dport ${port}" >> ${tin}
  echo "    \$ipt -A EISGRAPH_IN -i eth0 -p tcp --sport ${port}" >> ${tin}
  check=`$ipt -xvn -L EISGRAPH_IN | grep "tcp dpt:${port}" `
  if [ "$check" = "" ]
     then
         $ipt -A EISGRAPH_IN -i eth0 -p tcp --dport ${port}
     fi
  check=`$ipt -xvn -L EISGRAPH_IN | grep "tcp spt:${port}" `
  if [ "$check" = "" ]
     then
         $ipt -A EISGRAPH_IN -i eth0 -p tcp --sport ${port}
     fi

Die anderen Blöcken analog, aber sichere das Skript, falls was schief geht.

-- 
Gruss Marcus

Mehr Informationen über die Mailingliste Eisfair