S_ergey

~pavel~ В версии nfdump-1.6.11 можно поправить 351 и 352 строки файла nf_common.c - { "%nsap", 1, " X-Src IP Addr:Port ", String_xlateSrcAddrPort },// NEL Xlate Source Address:Port - { "%ndap", 1, " X-Dst IP Addr:Port ", String_xlateDstAddrPort },// NEL Xlate Destination Address:Port + { "%nsap", 1, " Src NAT IP Addr:Port ", String_xlateSrcAddrPort },// NEL Xlate Source Address:Port + { "%ndap", 1, " Dst NAT IP Addr:Port ", String_xlateDstAddrPort },// NEL Xlate Destination Address:Port

В v9 работает теперь прекрасно. nfdump -r nfcapd.201311291910 -onel "nat event add" |more Date first seen Event Proto Src IP Addr:Port Dst IP Addr:Port Src NAT IP Addr:Port Dst NAT IP Addr:Port 2013-11-29 19:11:07.666 ADD TCP 192.168.64.201:49380 -> 46.200.113.203:6881 26.157.166.45:49380 -> 46.200.113.203:6881 2013-11-29 19:11:07.667 ADD TCP 192.168.202.152:26293 -> 78.25.121.233:40786 26.157.166.47:26293 -> 78.25.121.233:40786 2013-11-29 19:11:07.667 ADD UDP 192.168.140.100:6881 -> 62.78.38.93:6881 26.157.166.31:6881 -> 62.78.38.93:6881 2013-11-29 19:11:07.667 ADD UDP 192.168.157.89:64550 -> 91.52.23.132:59995 26.157.166.3:1841 -> 91.52.23.132:59995 2013-11-29 19:11:07.667 ADD TCP 192.168.203.20:26291 -> 78.57.233.48:52952 26.157.166.55:26291 -> 78.57.233.48:52952 2013-11-29 19:11:07.668 ADD TCP 192.168.61.39:8070 -> 94.29.40.13:51530 26.157.166.38:8070 -> 94.29.40.13:51530 2013-11-29 19:11:07.668 ADD TCP 192.168.202.121:3970 -> 193.106.64.36:52485 26.157.166.20:3970 -> 193.106.64.36:52485 2013-11-29 19:11:07.671 ADD UDP 192.168.214.69:45095 -> 81.215.169.232:22583 26.157.166.27:1844 -> 81.215.169.232:22583

Готово tcpdump -np -s9000 -w dump-1.pkt udp and port 9995 http://46.175.163.130/dump-1.pkt

nfcapd.201311291245 дата и время создания файла. Вывод nfdump -r nfcapd.201311291245 -oline тоесть без ната 2013-11-29 12:44:29.996 0.000 TCP 192.168.164.88:51362 -> 87.240.135.68:80 1 41 1 2013-11-29 12:44:29.996 0.000 UDP 192.168.207.35:8621 -> 94.242.229.182:6881 1 129 1 2013-11-29 12:44:29.996 0.000 TCP 192.168.160.47:1371 -> 94.100.178.241:2041 1 48 1 2013-10-10 20:42:12.696 4238010.940 TCP 192.168.209.20:2495 -> 87.251.157.250:20055 0 0 1 2013-10-10 20:42:12.696 4238010.940 TCP 192.168.199.140:49849 -> 81.19.104.57:443 0 0 1 2013-10-10 20:42:12.700 4238010.936 TCP 192.168.141.57:56832 -> 173.194.39.154:80 0 0 1 2013-10-10 20:42:12.700 4238010.936 TCP 192.168.64.79:55140 -> 178.76.222.36:10234 0 0 1 2013-10-10 20:42:12.700 4238010.936 TCP 192.168.203.41:60225 -> 77.67.96.231:443 0 0 1 2013-10-10 20:42:12.700 4238010.936 TCP 192.168.203.41:60226 -> 77.67.96.231:443 0 0 1 2013-10-10 20:42:12.700 4238010.936 TCP 192.168.141.57:56820 -> 173.194.70.156:80 0 0 1 2013-10-10 20:42:12.700 4238010.936 TCP 192.168.137.22:55448 -> 206.144.175.200:59595 0 0 1 2013-11-29 12:44:30.000 0.000 UDP 92.37.161.147:6890 -> 192.168.199.45:34550 1 52 1 2013-11-29 12:44:30.000 0.000 TCP 192.168.142.47:12686 -> 94.126.61.94:61389 1 52 1 2013-11-29 12:44:30.000 0.000 TCP 192.168.204.29:50357 -> 37.131.219.244:35691 1 52 1 2013-11-29 12:44:30.000 0.000 UDP 192.168.215.89:56612 -> 157.56.144.215:3544 1 84 1 2013-11-29 12:44:30.000 0.000 TCP 192.168.204.96:49334 -> 213.21.43.242:19843 1 52 1 там где дата 2013-10-10 20:42:12 это строки которые выводятся при нате. время на серваке по ntp установленно tcpdump с какими параметрами выложить.

Может для анализа выложить сам nfcapd.201311291245 А то совпадает только год теперь а дата и время то разные.

ipt_NETFLOW version v1.8-80-g33caa49 nfdump -r nfcapd.201311291245 -onel "nat event add" Date first seen Event Proto Src IP Addr:Port Dst IP Addr:Port Src NAT IP Addr:Port Dst NAT IP Addr:Port 2013-10-10 20:42:12.700 ADD TCP 192.168.141.57:56832 -> 173.194.39.154:80 26.157.166.25:56832 -> 173.194.39.154:80 2013-10-10 20:42:12.700 ADD TCP 192.168.64.79:55140 -> 178.76.222.36:10234 26.157.166.35:55140 -> 178.76.222.36:10234 2013-10-10 20:42:12.700 ADD TCP 192.168.203.41:60225 -> 77.67.96.231:443 26.157.166.8:60225 -> 77.67.96.231:443 2013-10-10 20:42:12.700 ADD TCP 192.168.203.41:60226 -> 77.67.96.231:443 26.157.166.8:60226 -> 77.67.96.231:443 2013-10-10 20:42:12.700 ADD TCP 192.168.141.57:56820 -> 173.194.70.156:80 26.157.166.25:56820 -> 173.194.70.156:80 2013-10-10 20:42:12.696 ADD TCP 192.168.163.26:60835 -> 94.180.181.229:31699 26.157.166.36:60835 -> 94.180.181.229:31699

Поставил версию с гита проверить natevents=1 Нат адреса появились но время странно пишет. nfdump -r nfcapd.201311290935 -onel "nat event add" Date first seen Event Proto Src IP Addr:Port Dst IP Addr:Port Src NAT IP Addr:Port Dst NAT IP Addr:Port 1970-01-01 03:00:00.000 ADD TCP 192.168.209.90:0 -> 178.72.104.21:0 26.157.166.34:3642 -> 178.72.104.21:0 1970-01-01 03:00:00.996 ADD TCP 192.168.158.34:0 -> 87.240.159.36:0 26.157.166.43:51078 -> 87.240.159.36:0 1970-01-01 03:00:00.52229 ADD TCP 192.168.158.34:0 -> 87.240.159.36:0 26.157.166.43:51080 -> 87.240.159.36:0 1970-01-01 03:00:00.000 ADD TCP 192.168.158.34:0 -> 87.240.152.125:0 26.157.166.43:51043 -> 87.240.152.125:0 1970-01-01 03:00:00.001 ADD TCP 192.168.128.48:0 -> 89.184.81.136:0 26.157.166.35:50976 -> 89.184.81.136:0 1970-01-01 03:00:00.17284 ADD TCP 192.168.128.48:0 -> 91.198.36.35:0 26.157.166.35:50979 -> 91.198.36.35:0 1970-01-01 03:00:00.56791 ADD TCP 192.168.158.34:0 -> 87.240.159.36:0 26.157.166.43:51069 -> 87.240.159.36:0 1970-01-01 03:00:00.796 ADD UDP 192.168.137.123:0 -> 78.60.199.249:0 26.157.166.12:26439 -> 78.60.199.249:0 1970-01-01 03:00:00.53055 ADD UDP 192.168.194.94:0 -> 41.47.95.198:0 26.157.166.59:1408 -> 41.47.95.198:0 1970-01-01 03:00:00.000 ADD TCP 192.168.158.34:0 -> 87.240.148.50:0 26.157.166.43:51089 -> 87.240.148.50:0 1970-01-01 03:00:00.001 ADD TCP 192.168.158.34:0 -> 87.240.159.36:0 26.157.166.43:51048 -> 87.240.159.36:0 1970-01-01 03:00:00.17284 ADD UDP 192.168.155.116:0 -> 2.132.13.227:0 26.157.166.2:1411 -> 2.132.13.227:0 1970-01-01 03:00:00.40289 ADD UDP 192.168.194.94:0 -> 95.225.203.249:0 26.157.166.59:1408 -> 95.225.203.249:0 Куда копать?

processor : 0 vendor_id : GenuineIntel cpu family : 6 model : 44 model name : Intel® Xeon® CPU E5620 @ 2.40GHz stepping : 2 cpu MHz : 2399.707 cache size : 12288 KB physical id : 0 Машина с 4-мя ядрами ifb+nat+tc+iptables перемалывает 800 M

меняй проц с кешем на 8-12 метров и все побежит.

Спасибо все заработало.

Была 1 поставил 0 посмотрю поможет ли.

set as-path prepend я выставлял проблема остается часть ресурсов отваливается. В норму приходит если только разорвать сессию в 2 аплинком.

Есть 2а аплинка один отдает default, второй default. Первый работает, как основной, 2ой как резервный. Нужно чтобы анонсы уходили на 2 канал только при пропадании 1. И при восстановлении 1 убирались с 2 канала.

здесь явно неправильно заданны параметры и синтаксис.#duplicate{dst=std{access=udp,mux=ts,dst=239.255.2.1:1234}} запускайте vlc -H и читайте параметры для вещания.

Думаю в качестве головного девайса для сети. сеть на 1,5 килоюзеров. L3 нужен.