foxroot Опубликовано 4 февраля, 2015 · Жалоба Добрый день! уже который день бьюсь над одной проблемой. возможно она уже встречалась на форумах но почитав их я так и не понял как ее решить проблема в следующем имеется сервер необходимо чтобы он работал как netflow сенсор. Пробовал использовать программы fprobe и softflowd они работают но очень сильно грузят проц по 100% вычитал про ipt_netflow пробую ставить его, модуль добавил скомпилировал но кое чего не работает, а именно: 1. на одну из карточек сервера eth3 сливается монитор сессионна с циски. через вторую карточку отправляю все это на коллектор. не получается загнать трафик в iptables и поэтому отправлять нечего. cat /proc/net/stat/ipt_netflow Flows: active 0 (peak 0 reached 0d0h1m ago), mem 0K Hash: size 8192 (mem 64K), metric 1.0, 1.0, 1.0, 1.0. MemTraf: 0 pkt, 0 K (pdu 0, 0). Timeout: active 1800, inactive 15. Maxflows 2000000 Rate: 0 bits/sec, 0 packets/sec; Avg 1 min: 0 bps, 0 pps; 5 min: 0 bps, 0 pps cpu# stat: <search found new, trunc frag alloc maxflows>, sock: <ok fail cberr, bytes>, traffic: <pkt, bytes>, drop: <pkt, bytes> Total stat: 0 0 0, 0 0 0 0, sock: 0 0 0, 0 K, traffic: 0, 0 MB, drop: 0, 0 K cpu0 stat: 0 0 0, 0 0 0 0, sock: 0 0 0, 0 K, traffic: 0, 0 MB, drop: 0, 0 K cpu1 stat: 0 0 0, 0 0 0 0, sock: 0 0 0, 0 K, traffic: 0, 0 MB, drop: 0, 0 K sock0: 10.0.1.73:9994, sndbuf 126976, filled 1, peak 0; err: sndbuf reached 0, other 0 как можно его туда поместить? если написать правило iptables -A INPUT -j NETFLOW и iptables -A OUTPUT -j NETFLOW то трафик начинает соиратся носибирается только трафик служебный а именно с других интерфейсов различные пинки ssh и т/д а вот трафик на карточке где подключен монитор сессионна упорно недочет собираться пробовал писать правило в таблицу raw iptables -A PREROUTING -i eth3 -j NETFLOW отключив при этом net.ipv4.ip_forward = 0 иначе правило не прописывается все равно без результатов пробывал включать ifconfig eth3 promisc тоже самое при этом трафик на eth3 приходит eth3 Link encap:Ethernet HWaddr 90:E2:BA:17:AD:BE inet6 addr: fe80::92e2:baff:fe17:adbe/64 Scope:Link UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1 RX packets:1718731 errors:0 dropped:0 overruns:0 frame:0 TX packets:6 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:2074422845 (1.9 GiB) TX bytes:468 (468.0 b) Memory:f0800000-f081ffff Если кто то сталкивался с проблемой подскажите что может быть??? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Megas Опубликовано 4 февраля, 2015 · Жалоба прицепите бридж, и снимайте трафик с бриджа, это лучший пока вариант, с чистого eth вы не получите его просто так. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
foxroot Опубликовано 5 февраля, 2015 · Жалоба а как прицепить bridge не совсем понял. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
foxroot Опубликовано 5 февраля, 2015 · Жалоба спасибо за помощь! вроде br0 риально помог! если кому нужно команды то вот http://kaba.org.ua/tag/bridge/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
aabc Опубликовано 6 февраля, 2015 · Жалоба Рекомендую почитать README.promisc Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
