ng_nat + ng_netflow (учитывается только исходящий трафик)

[Forst]

Доброго времени суток :-)

Вобщем делаю всё по манам и по гуглю.

Всё работает, но ng_netflow скидывае статистику только с исходящим трафиком

 

ngctl -f- <<-SEQ
    mkpeer ipfw: nat 60 out
    name ipfw:60 nat
    connect ipfw: nat: 61 in
    msg nat: setaliasaddr XX.XX.XX.XX

    mkpeer ipfw: netflow 71 iface0
    name ipfw:71 netflow
    connect ipfw: netflow: 70 out0
    mkpeer netflow: ksocket export inet/dgram/udp
    msg netflow:export connect inet/127.0.0.1:9996

    msg netflow: setdlt { iface=0 dlt=12 }
    msg netflow: setifindex { iface=0 index=5 }
SEQ

ipfw add 20 netgraph 61 ip from not 10.0.0.0/24 to XX.XX.XX.XX in via vlan2
ipfw add 20 netgraph 60 ip from 10.0.0.0/24 to not 10.0.0.0/24 out via vlan
ipfw add 21 netgraph 71 ip from any to any in

 

Что надо ещё добавить...

[catalist]

хм... а зачем заворачивать на нетграф когда этого можно и не делать?

у меня гдето скриптик инициализации был.....

[Сильвер]

#!/bin/sh
. /etc/rc.subr

name="ngnat"
rcvar=`set_rcvar`
start_cmd="ngnat_start"
stop_cmd="ngnat_stop"
load_rc_config $name

ngnat_start() {
    echo "Setup ng_nat"
    /sbin/kldload ng_ipfw.ko
    /usr/sbin/ngctl -f- <<-SEQ
    mkpeer ipfw: tee 60 left
    name ipfw:60 tee1
    mkpeer tee1: nat right out
    name tee1:right nat1
    connect ipfw: nat1: 61 in
    msg nat1: setaliasaddr 10.1.1.1
    mkpeer ipfw: tee 62 left
    name ipfw:62 tee2
    mkpeer tee2: nat right out
    name tee2:right nat2
    connect ipfw: nat2: 63 in
    msg nat2: setaliasaddr 172.1.1.1
    mkpeer tee1: netflow left2right iface0
    name tee1:left2right netflow1
    connect tee1: netflow1: right2left iface1
    mkpeer netflow1: ksocket export inet/dgram/udp
    msg netflow1:export connect inet/127.0.0.1:9999
    mkpeer tee2: netflow left2right iface0
    name tee2:left2right netflow2
    connect tee2: netflow2: right2left iface1
    mkpeer netflow2: ksocket export inet/dgram/udp
    msg netflow2:export connect inet/127.0.0.1:9999
    msg netflow1: setdlt { iface=0 dlt=12 }
    msg netflow1: setifindex { iface=0 index=2 }
    msg netflow1: setdlt { iface=1 dlt=12 }
    msg netflow1: setifindex { iface=1 index=2 }
    msg netflow2: setdlt { iface=0 dlt=12 }
    msg netflow2: setifindex { iface=0 index=3 }
    msg netflow2: setdlt { iface=1 dlt=12 }
    msg netflow2: setifindex { iface=1 index=3 }
SEQ
    /sbin/ipfw add 10 netgraph 61 all from any to any in via uplink1
    /sbin/ipfw add 11 netgraph 60 all from any to any out via uplink1
    /sbin/ipfw add 12 netgraph 63 all from any to any in via uplink2
    /sbin/ipfw add 13 netgraph 62 all from any to any out via uplink2
}

ngnat_stop() {
    /usr/sbin/ngctl -f- <<-SEQ
    shutdown nat1:
    shutdown nat2:
    shutdown ipfw:
    shutdown netflow1:
    shutdown netflow2:
    shutdown tee1:
    shutdown tee2:
SEQ
    /sbin/kldunload ng_ipfw.ko
    /sbin/ipfw delete 10
    /sbin/ipfw delete 11
    /sbin/ipfw delete 12
    /sbin/ipfw delete 13
}

run_rc_command "$1"

Нат+учёт по "серым" адресам на двух интерфейсах.

[Forst]

catalist - посмотри пожалуйста.

Сильвер - с использованием tee я видел где-то подобный пример, но хочется обойтись без tee.

 

Сейчас работает так.

NAT - ipnat

NetFlow - ng_netflow

Считается всё нормально, у меня просто в правиле фаервола косяк был.

Сейчас работает так:

    mkpeer ipfw: netflow 71 iface0
    name ipfw:71 netflow
    connect ipfw: netflow: 70 out0
    mkpeer netflow: ksocket export inet/dgram/udp
    msg netflow:export connect inet/127.0.0.1:9996
    msg netflow: setdlt { iface=0 dlt=12 }
    msg netflow: setifindex { iface=0 index=5 }

ipfw add 21 netgraph 71 ip from any to any via vlan*

 

Тут такой ещё вопрос, а с помощью ng_netflow можно поток на два порта кинуть?

Если добавить строчку msg netflow:export connect inet/127.0.0.1:9997 будет статистика валиться на два порта?

Эксперементировать нельзя :-( поэтому и спрашиваю.

Edited October 3, 2007 by Forst

[Сильвер]

Тут такой ещё вопрос, а с помощью ng_netflow можно поток на два порта кинуть?

/usr/ports/net/samplicator