foxroot Posted February 4, 2015 Posted February 4, 2015 Добрый день! уже который день бьюсь над одной проблемой. возможно она уже встречалась на форумах но почитав их я так и не понял как ее решить проблема в следующем имеется сервер необходимо чтобы он работал как netflow сенсор. Пробовал использовать программы fprobe и softflowd они работают но очень сильно грузят проц по 100% вычитал про ipt_netflow пробую ставить его, модуль добавил скомпилировал но кое чего не работает, а именно: 1. на одну из карточек сервера eth3 сливается монитор сессионна с циски. через вторую карточку отправляю все это на коллектор. не получается загнать трафик в iptables и поэтому отправлять нечего. cat /proc/net/stat/ipt_netflow Flows: active 0 (peak 0 reached 0d0h1m ago), mem 0K Hash: size 8192 (mem 64K), metric 1.0, 1.0, 1.0, 1.0. MemTraf: 0 pkt, 0 K (pdu 0, 0). Timeout: active 1800, inactive 15. Maxflows 2000000 Rate: 0 bits/sec, 0 packets/sec; Avg 1 min: 0 bps, 0 pps; 5 min: 0 bps, 0 pps cpu# stat: <search found new, trunc frag alloc maxflows>, sock: <ok fail cberr, bytes>, traffic: <pkt, bytes>, drop: <pkt, bytes> Total stat: 0 0 0, 0 0 0 0, sock: 0 0 0, 0 K, traffic: 0, 0 MB, drop: 0, 0 K cpu0 stat: 0 0 0, 0 0 0 0, sock: 0 0 0, 0 K, traffic: 0, 0 MB, drop: 0, 0 K cpu1 stat: 0 0 0, 0 0 0 0, sock: 0 0 0, 0 K, traffic: 0, 0 MB, drop: 0, 0 K sock0: 10.0.1.73:9994, sndbuf 126976, filled 1, peak 0; err: sndbuf reached 0, other 0 как можно его туда поместить? если написать правило iptables -A INPUT -j NETFLOW и iptables -A OUTPUT -j NETFLOW то трафик начинает соиратся носибирается только трафик служебный а именно с других интерфейсов различные пинки ssh и т/д а вот трафик на карточке где подключен монитор сессионна упорно недочет собираться пробовал писать правило в таблицу raw iptables -A PREROUTING -i eth3 -j NETFLOW отключив при этом net.ipv4.ip_forward = 0 иначе правило не прописывается все равно без результатов пробывал включать ifconfig eth3 promisc тоже самое при этом трафик на eth3 приходит eth3 Link encap:Ethernet HWaddr 90:E2:BA:17:AD:BE inet6 addr: fe80::92e2:baff:fe17:adbe/64 Scope:Link UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1 RX packets:1718731 errors:0 dropped:0 overruns:0 frame:0 TX packets:6 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:2074422845 (1.9 GiB) TX bytes:468 (468.0 b) Memory:f0800000-f081ffff Если кто то сталкивался с проблемой подскажите что может быть??? Вставить ник Quote
Megas Posted February 4, 2015 Posted February 4, 2015 прицепите бридж, и снимайте трафик с бриджа, это лучший пока вариант, с чистого eth вы не получите его просто так. Вставить ник Quote
foxroot Posted February 5, 2015 Author Posted February 5, 2015 а как прицепить bridge не совсем понял. Вставить ник Quote
foxroot Posted February 5, 2015 Author Posted February 5, 2015 спасибо за помощь! вроде br0 риально помог! если кому нужно команды то вот http://kaba.org.ua/tag/bridge/ Вставить ник Quote
aabc Posted February 6, 2015 Posted February 6, 2015 Рекомендую почитать README.promisc Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.