Просмотреть информацию о канале можно с помощью команды:

# ipfw pipe 1 list

00001:  80.000 Kbit/s    0 ms   50 sl. 1 queues (1 buckets) droptail

    mask: 0x00 0x00000000/0x0000 -> 0x00000000/0x0000

BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp

  0 tcp   192.168.15.199/80     192.168.15.254/52995 12365 15440683  0    0 1

Она выдает не только сведения о канале, но и о соединениях, которые проходят через этот канал.

Учет трафика

Учет трафика выполняется с помощью системы фильтрации пакетов IPFW. Собственно, подсчитывать трафик – это еще одна задача этой подсистемы.

Все пакеты, которые соответствуют какому-либо правилу автоматически учитываются системой фильтрации. Посмотреть, чему равны счетчики для каждого из правил можно командой ipfw:

# ipfw -a list

65535 4386 844198 allow ip from any to any

Ключ -a команды заставляет ее показывать не только список правил, но и счетчики каждого из них. Строка содержит три числа: номер правила (65535), количество пакетов (4386) и байт (844198), которые совпали с правилом.

Если все, что нужно сделать с трафиком, – это подсчитать его (то есть к нему не нужно применять никаких других действий, для данного типа трафика у фильтра нет специального правила), следует использовать действие count.

Например, для того чтобы подсчитать весь трафик, который направляется из подсети 192.168.15.0 и который проходит через даный хост, нужно добавить правило:

# ipfw add count ip from 192.168.15.0/24 to any

Это правило не затронет никаких остальных правил фильтрации, которые идут за ним. Например, если далее явным образом разрешается прохождение трафика с 192.168.15.1 и запрещается с 192.68.15.2, они будут работать как и до этого.

Правила подсчета трафика лучше всего ставить в начало цепочки, то есть там, где они учтут все пакеты, даже те из них, которые будут после отброшены.

Работа с ipfw

Настройка ядра для поддержки ipfw

Для того чтобы ядро выполняло фильтрацию пакетов, нужно, чтобы в его состав были включены соответствующие модули.

Для этого необходимо поправить файл конфигурации ядра и пересобрать ядро системы. В файле /usr/src/sys/i386/conf/ВАШЕ_ЯДРО нужно добавить такие строки:

options IPFIREWALL                     

options IPFIREWALL_VERBOSE