昨天,介绍了如何在网关上利用iptables实现监控各客户端IP流量的原理,并且提供了一个简单的监控脚本。今天,我继续修改完善该脚本,工作的目标是:希望可定时运行该脚本,当发现超出限定流量的客户端时,暂时终止其IP。
一、想法
我想实现的是:
2、当发现超出限定流量的客户端时,用iptables暂时禁用对应的IP若干秒;
3、考虑到crontab运行的时间和禁止用户的时间可能不相同,采用两个脚本;
4、禁止用户的脚本需要等待若干秒,应放在后台运行。
二、脚本
1、ipflow.pl脚本
改动原ipflow.pl脚本,内容如下:
# Date:2009-03-12
# Author:HyphenWang
# Version:1.1
use strict;
my $IPTABLES_CMD="/sbin/iptables -v -n -x -L FORWARD";
my $BANIP_CMD="/root/banip.sh"; #定义禁止客户端IP的脚本路径
my $SEC="3"; #定义监控时收集数据的间隔时间,取平均值
my $ZERO="0"; #定义是否输出没有流量的客户端信息
my $BANIP="1"; #定义是否启用禁止IP的功能
my $BANSEC="60"; #定义禁止时间
my $limit_input_rate=150; #定义限定的下载流量
my $limit_output_rate=20; #定义限定的上传流量
my @exclude_ip=qw(30 153 155 200 221); #定义排除列表,表中的IP被排除在禁用范围外
my (%first_input,%first_output);
my (%second_input,%second_output);
my (%ban_ip,$input_rate,$output_rate);
#定义收集流量的函数
sub get_ipflow {
my ($ip_input,$ip_output)=@_;
for my $line (`$IPTABLES_CMD`) {
my @columns = split(/\s+/,$line);
$ip_input->{$columns[-1]}=$columns[2] if ($columns[3] eq "ACCEPT" and $columns[-1] =~ m/192\.168\.228\.\d+/);
$ip_output->{$columns[-2]}=$columns[2] if ($columns[3] eq "ACCEPT" and $columns[-2] =~ m/192\.168\.228\.\d+/);
$ban_ip{$columns[-1]}=1 if ($columns[3] eq "DROP" and $columns[-1] =~ m/192\.168\.228\.\d+/);
$ban_ip{$columns[-2]}=1 if ($columns[3] eq "DROP" and $columns[-2] =~ m/192\.168\.228\.\d+/);
}
}
get_ipflow(\%first_input,\%first_output);
sleep $SEC;
get_ipflow(\%second_input,\%second_output);
#开始输出
print "Now is ".localtime()."\n";
print "-"x53,"\n";
print "IP Address\t\tIn Flow Rate\tOut Flow Rate\n";
for my $ip (keys %first_input) {
if ($ZERO != 1) {
if (defined $second_input{$ip} and defined $second_output{$ip} and int(($second_input{$ip}-$first_input{$ip})/1024/$SEC) == 0) {
next;
}
}
if (defined $second_input{$ip} and defined $second_output{$ip}) {
$input_rate = ($second_input{$ip}-$first_input{$ip})/1024/$SEC;
$output_rate = ($second_output{$ip}-$first_output{$ip})/1024/$SEC;
printf ("%s\t\t%.f KByte/s\t%.f KByte/s\n",$ip,$input_rate,$output_rate);
#禁用超出流量的IP
if ($BANIP == 1 and $input_rate >= $limit_input_rate and ! grep ("192.168.228.$_" eq $ip,@exclude_ip)) {
#传递给禁用脚本,并放到后台运行,而不会影响当前脚本的继续运行
system ("$BANIP_CMD INPUT $ip $BANSEC &");
#被禁用的IP当然需要在最后的Banned IP Address栏显示出来
$ban_ip{$ip}=1;
}
if ($BANIP == 1 and $output_rate >= $limit_output_rate and ! grep ("192.168.228.$_" eq $ip,@exclude_ip)) {
system ("$BANIP_CMD OUTPUT $ip $BANSEC &");
$ban_ip{$ip}=1;
}
}
}
print "-"x53,"\n";
print "Banned IP Address:\n";
for (keys %ban_ip) {
print "$_\n";
}
2、banip.sh脚本
这个脚本是用于接收来自ipflow.pl的信息,然后禁用对应的IP的:
SEC="$3";
IPTABLES="/sbin/iptables"
case $1 in
"INPUT")
$IPTABLES -I FORWARD -d $2 -j DROP
;;
"OUTPUT")
$IPTABLES -I FORWARD -s $2 -j DROP
;;
esac
sleep $SEC;
case $1 in
"INPUT")
$IPTABLES -D FORWARD -d $2 -j DROP
;;
"OUTPUT")
$IPTABLES -D FORWARD -s $2 -j DROP
;;
esac
exit 0
※ 虽然我这里定义了下载和上传使用不同的命令,实际上效果是相同的——禁用那一个方向,所有流量都不能通过。我这样写,仅是为了今后统计客户端信息而考虑。
另外,正如之前所说的,不通过网关nat转发的流量是不会计算在FORWARD表中,而是在INPUT/OUTPUT表。所以,这脚本不会影响直接访问网关的流量。
本地下载:
![[原]流量监控脚本 v1.1](http://www.linuxfly.org/template/meSimple/images/download.gif)
下载文件 三、定时运行
把脚本写入crontab中,让其自动运行:
*/1 * * * * /root/ipflow.pl
流量监控脚本 v1.2
在Linux路由网关下查看客户端IP的实际流量
[转]iptables 流程图
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/110928.html