jimbarello Опубликовано 28 марта, 2022 · Жалоба По всей видимости нашел причину, выгрузил модуль ipt_NETFLOW пол дня полет нормальный, теперь нужно будет искать рабочую версию на мое ядро... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
boco Опубликовано 29 марта, 2022 · Жалоба попробуйте увеличить параметр scan-min, при большом pps сильно разгружает cpu Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dryukov Опубликовано 29 марта, 2022 · Жалоба В 28.03.2022 в 18:46, jimbarello сказал: По всей видимости нашел причину, выгрузил модуль ipt_NETFLOW пол дня полет нормальный, теперь нужно будет искать рабочую версию на мое ядро... Обнови ipt_NETFLOW может у тебя та версия что с багом для процессоров в режиме гиппертреда, а настройки ядра не перегружают автоматом при локе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jimbarello Опубликовано 29 марта, 2022 · Жалоба On 3/29/2022 at 9:58 AM, dryukov said: Обнови ipt_NETFLOW может у тебя та версия что с багом для процессоров в режиме гиппертреда, а настройки ядра не перегружают автоматом при локе. Версия стоит последняя, младше поставить не могу физически, она работает начиная с ядра 5.15 (nat_events), на другом последнем собранном NATe стояла предыдущая версия netflow 2.5.1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dryukov Опубликовано 29 марта, 2022 · Жалоба В 29.03.2022 в 20:59, jimbarello сказал: Версия стоит последняя, младше поставить не могу физически, она работает начиная с ядра 5.15 (nat_events), на другом последнем собранном NATe стояла предыдущая версия netflow 2.5.1 nat_events и в старых тоже есть, последнее что запускал 5.12.9 проблем нет. Ядро собрать делов 5 минут. Попробуй гиппертред отключить на тест, опять же 5.15 наверное не удачная версия, судя по всему там изменения есть в нате, если по патчу смотреть. Лучше не спешить :) ну и ядро не может намертво вешаться если включен детект лока потоков. Но я правила через nft уже все писал. Не вникал, но возможно модули разные ... table ip filter { ct helper CT_PPTP { type "pptp" protocol tcp l3proto ip } ct helper CT_FTP { type "ftp" protocol tcp l3proto ip } ..... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jimbarello Опубликовано 29 марта, 2022 · Жалоба On 3/29/2022 at 8:02 PM, dryukov said: nat_events и в старых тоже есть, последнее что запускал 5.12.9 проблем нет у меня была ошибка сборки на штатном ядре 5.10 с поддержкой nat_events Fix build on v5.15 (ct_event) Spoiler CC [M] ipt_NETFLOW.o ipt_NETFLOW.c: In function ‘netflow_conntrack_event’: ipt_NETFLOW.c:4622:31: error: ‘struct nf_ct_event_notifier’ has no member named ‘fcn’ 4622 | ret = notifier->fcn(events, item); | ^~ ipt_NETFLOW.c: At top level: ipt_NETFLOW.c:4687:10: error: ‘struct nf_ct_event_notifier’ has no member named ‘fcn’ 4687 | .fcn = netflow_conntrack_event | ^~~ ipt_NETFLOW.c:4687:16: error: initialization of ‘int (*)(unsigned int, const struct nf_ct_event *)’ from incompatible pointer type ‘int (*)(const unsigned int, struct nf_ct_event *)’ [-Werror=incompatible-pointer-types] 4687 | .fcn = netflow_conntrack_event | ^~~~~~~~~~~~~~~~~~~~~~~ ipt_NETFLOW.c:4687:16: note: (near initialization for ‘ctnl_notifier.ct_event’) ipt_NETFLOW.c: In function ‘unset_notifier_cb’: ipt_NETFLOW.c:5455:25: error: too many arguments to function ‘nf_conntrack_unregister_notifier’ 5455 | nf_conntrack_unregister_notifier(NET_ARG &ctnl_notifier); | ^~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ In file included from ./include/net/netfilter/nf_conntrack_core.h:18, from ipt_NETFLOW.c:68: ./include/net/netfilter/nf_conntrack_ecache.h:88:6: note: declared here 88 | void nf_conntrack_unregister_notifier(struct net *net); Можешь скинуть какую версию качаешь и последовательность команд для сборки и установки? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dryukov Опубликовано 2 апреля, 2022 · Жалоба ./configure --ipt-inc=./../iptables-1.8.2/include --kdir=/root/linux --kver=5.9.12 --enable-natevents --enable-sampler=hash --disable-snmp-agent --enable-macaddress --enable-vlan --enabledirection --enable-aggregation make Версия: ipt-netflow NEWS ================ 2.5.1 (2020-08-12) * Maintenance release. - Fix soft lockup on kernels with xtables targets used via nftables. - Fix compilation with Linux 5.8 and with CentOS 8. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 3 апреля, 2022 · Жалоба ipt_NETFLOW не поддерживает netns. Из-за этого его нельзя использовать в контейнерах. А гонять виртуалки ради паритга - слишком накладно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dryukov Опубликовано 4 апреля, 2022 · Жалоба В 03.04.2022 в 23:17, ne-vlezay80 сказал: ipt_NETFLOW не поддерживает netns. Из-за этого его нельзя использовать в контейнерах. А гонять виртуалки ради паритга - слишком накладно. Ну всё тогда, не вариант .... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 4 апреля, 2022 · Жалоба В 04.04.2022 в 06:37, dryukov сказал: Ну всё тогда, не вариант .... согласен Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...