Ivan Rostovikov Опубликовано 14 января, 2010 · Жалоба С каталиста миррорится трафик (monitor session) На интерфейс линукс машины. ifconfig eth0 up ifconfig eth0 promisc Какой командой iptables направить этот трафик в цепочку NETFLOW ? iptables -A INPUT -i eth0 -j NETFLOW - не канает. iptables -A FORWARD -i eth0 -j NETFLOW - тоже не канает.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 14 января, 2010 · Жалоба Почитайте файлик README.promisc в дистрибутиве ipt_NETFLOW. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Алексей Андриянов Опубликовано 14 января, 2010 · Жалоба Почитайте файлик README.promisc в дистрибутиве ipt_NETFLOW.У мненя, кстати, не получилось как там написано. Пропатчил нужное место, перекомпилил ядро, включил promisc на интерфейсе, а счетчики на правиле в raw все раано не растут. пробовал на ядрах 2.6.31 и 2.6.26. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orlik Опубликовано 14 января, 2010 · Жалоба С каталиста миррорится трафик (monitor session) На интерфейс линукс машины.ifconfig eth0 up ifconfig eth0 promisc Какой командой iptables направить этот трафик в цепочку NETFLOW ? iptables -A INPUT -i eth0 -j NETFLOW - не канает. iptables -A FORWARD -i eth0 -j NETFLOW - тоже не канает.... глупый вопрос , а зачем такой изврат ? Может лучше взять правильный софт, например pmacct ? Данный продукт может слушать на интерфейсе (в промиск режиме использую libpcap)и на весть этот трафик генерить netflow Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 14 января, 2010 · Жалоба >например pmacct А от гигабита не помрет ? fprobe например - укладывает 4 ядра под 100%% Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orlik Опубликовано 15 января, 2010 · Жалоба >например pmacct А от гигабита не помрет ? fprobe например - укладывает 4 ядра под 100%% ну у них на сайте есть рекомендации по оптимизации как ядра так и libpcap. А вообще думаю что разница будет не особо велика если вы попатаетесь через iptables делать. Так что думаю вас спасет только тест :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
photon Опубликовано 15 января, 2010 (изменено) · Жалоба Чтобы избежать потерь трафика и лишних копирований трафика между ядром и процессами, нужно собрать libpcap с использованием сокета PF_RING. См. http://www.ntop.org/PF_RING.html Изменено 15 января, 2010 пользователем photon Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 15 января, 2010 · Жалоба Попробовал pmacct. Выяснилось, что в сравнении с ipt_NETFLOW он генерит, слишком подробные flow. Например у меня flow-capture собирает 15-минутными кусками. от ipt_NETFLOW эти куски по 50-70 Мб А от pmacct по 100-150 Мб. Как попросить pmacct суммировать flow "по плотнее" ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mishasat Опубликовано 15 января, 2010 · Жалоба сами мучались с этим ipt_NETWLOW и умные люди подсказали, что работает только на 31 ядре пришлось откотиться с 32 + там еще пару загагулинок я админа попрошу отписаться тут с подробностями Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hub00 Опубликовано 15 января, 2010 (изменено) · Жалоба Если кому поможет данный пост, благодарите Романа. На днях пришлось работать с ipt-netflow, куча граблей вот выложил описание по установке. Советую использовать ядро 2.6.31 (на других версиях ядра у меня модуль не собрался (32 включительно) ) и ту версию модуля которая выложена по вышеприведенной ссылке. До сего момента в такой сборке все работает как надо. Какой командой iptables направить этот трафик в цепочку NETFLOW ? iptables -A INPUT -i eth0 -j NETFLOW - не канает. iptables -A FORWARD -i eth0 -j NETFLOW - тоже не канает.... iptables -A FORWARD -s 1.1.1.1 -j NETFLOW iptables -A FORWARD -s 1.1.1.1 -j ACCEPT iptables -L -n -v 519 60575 NETFLOW all -- * * 1.1.1.1 NETFLOW 519 60575 ACCEPT all -- * * 1.1.1.1 Изменено 15 января, 2010 пользователем hub00 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 15 января, 2010 · Жалоба У меня исправно работает на 2.6.30.4 >iptables -A FORWARD -s 1.1.1.1 -j NETFLOW Трафик не попадает в таблицу filter если это не роутер. "Умник" правильно написал. README.promisc ответ тут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hub00 Опубликовано 15 января, 2010 · Жалоба У меня исправно работает на 2.6.30.4 >iptables -A FORWARD -s 1.1.1.1 -j NETFLOW Трафик не попадает в таблицу filter если это не роутер. "Умник" правильно написал. README.promisc ответ тут. У меня на 26.х,29.х,30.х,32 не заработало (х - точно не скажу). Это мой опыт и еще одного человека. Не ну хорошо если у тебя на 30 собралось. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 15 января, 2010 · Жалоба Я правил исходники ipt_Netflow для 2.6.30.4 В общем потестил pmacct: На гигабите - Xeon "лег" намертво. Как и c fprobe. Те же яйца - только в профиль. Слишком много "user mode"... Та же машина но с ipt_Netflow, поток 1Г загрузка 1% Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hub00 Опубликовано 15 января, 2010 · Жалоба Я правил исходники ipt_Netflow для 2.6.30.4 А что редактировал в ядре? Чтоб знать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nickD Опубликовано 15 января, 2010 (изменено) · Жалоба У меня работает не жалуюсь uname -r 2.6.30.5 Качал: cvs -d :pserver:anonymous@ipt-netflow.cvs.sourceforge.net:/cvsroot/ipt-netflow co ipt_netflow СТавил: ./configure --ipt-ver=1.4.5 --ipt-bin=/sbin/iptables --ipt-src=./iptables --ipt-lib=/lib/xtables make all install Ни чего не редактировал и не патчил. Изменено 15 января, 2010 пользователем nickD Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 15 января, 2010 (изменено) · Жалоба >А что редактировал в ядре? Чтоб знать. Не в ядре. В ipt_Netflow. Потом эти изменения внесли в CVS #include <linux/sysctl.h> #endif +#if LINUX_VERSION_CODE < KERNEL_VERSION(2,6,30) +/* + * Display an IP address in readable format. + */ + +#define NIPQUAD(addr) \ + ((unsigned char *)&addr)[0], \ + ((unsigned char *)&addr)[1], \ + ((unsigned char *)&addr)[2], \ + ((unsigned char *)&addr)[3] +#define NIPQUAD_FMT "%u.%u.%u.%u" + +#define NIP6(addr) \ + ntohs((addr).s6_addr16[0]), \ + ntohs((addr).s6_addr16[1]), \ + ntohs((addr).s6_addr16[2]), \ + ntohs((addr).s6_addr16[3]), \ + ntohs((addr).s6_addr16[4]), \ + ntohs((addr).s6_addr16[5]), \ + ntohs((addr).s6_addr16[6]), \ + ntohs((addr).s6_addr16[7]) +#define NIP6_FMT "%04x:%04x:%04x:%04x:%04x:%04x:%04x:%04x" +#define NIP6_SEQFMT "%04x%04x%04x%04x%04x%04x%04x%04x" + +#if defined(__LITTLE_ENDIAN) +#define HIPQUAD(addr) \ + ((unsigned char *)&addr)[3], \ + ((unsigned char *)&addr)[2], \ + ((unsigned char *)&addr)[1], \ + ((unsigned char *)&addr)[0] +#elif defined(__BIG_ENDIAN) +#define HIPQUAD NIPQUAD +#else +#error "Please fix asm/byteorder.h" +#endif /* __LITTLE_ENDIAN */ +#endif + #define IPT_NETFLOW_VERSION "1.6" MODULE_LICENSE("GPL"); @@ -1312,7 +1349,9 @@ goto err_free_netflow_slab; } proc_stat->proc_fops = &nf_seq_fops; +#if LINUX_VERSION_CODE < KERNEL_VERSION(2,6,30) proc_stat->owner = THIS_MODULE; +#endif printk(KERN_INFO "netflow: registered: /proc/net/stat/ipt_netflow\n"); #endif Изменено 15 января, 2010 пользователем Ivan Rostovikov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Max P Опубликовано 15 января, 2010 · Жалоба может кому то готовый ебилд для сборки из цвс дать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TiFFolk Опубликовано 16 января, 2010 (изменено) · Жалоба Для сбора netflow под линуксом надо использовать только супер быстрый nProbe, работающий через TNAPI+PFRING. Стоит порядка 450 баксов как донейт, исходники открые, но не в свободном доступе, если кто купит, готов взять на себя часть суммы,а кредитки нет у меня. Можем скинуться группой. Изменено 16 января, 2010 пользователем TiFFolk Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wingman Опубликовано 16 января, 2010 · Жалоба http://www.nmon.net/shop/ nProbe 5.x [unix] 99.95 Euro nProbe 5.x Professional [Linux] 199.95 Euro Где там 450? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 16 января, 2010 (изменено) · Жалоба Для сбора netflow под линуксом надо использовать только супер быстрый nProbe, работающий через TNAPI+PFRING.Чем не устраивает ipt_NETFLOW? Как может решение, которое гоняет каждый пакет (пусть даже только заголовки) в юзерспейс, производительней чисто kerel-based решения? P.S.: Или вы говорите о коллекторе (не об агенте) Netflow? Изменено 16 января, 2010 пользователем Умник Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
photon Опубликовано 16 января, 2010 (изменено) · Жалоба Чем не устраивает ipt_NETFLOW? Как может решение, которое гоняет каждый пакет (пусть даже только заголовки) в юзерспейс, производительней чисто kerel-based решения? P.S.: Или вы говорите о коллекторе (не об агенте) Netflow? Nprobe может использоваться по-всякому: и как коллектор, и как агент. Там используется специальный сокет для чтения пакетов из ядра без копирования. Кстати, было бы интересно сравнить производительность nProbe и ipt_netflow. Изменено 16 января, 2010 пользователем photon Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TiFFolk Опубликовано 16 января, 2010 · Жалоба http://www.nmon.net/shop/ nProbe 5.x [unix] 99.95 Euro nProbe 5.x Professional [Linux] 199.95 Euro Где там 450? TNAPI 1Gbit [Linux] 199.95nProbe 5.x Professional [Linux] 199.95 Euro Обсчитался немного. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vadislaus Опубликовано 17 января, 2010 · Жалоба Ядро 2.6.31, ipt_NETFLOW из svn, трафик около 600 мбит на каталисте 3750 миррорил порт, делал как написано в README.promisc. Все работает на ура, загрузка CPU 2-3% Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orlik Опубликовано 19 января, 2010 · Жалоба Народ , а такой интересный вопрос , а как ipt_netflow отнесется если замиррорить трафик с mpls метками ? Сможет ли оно пережевать это, хотя бы просто сорвав метки и обработав чистый ip пакет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vazir Опубликовано 9 февраля, 2010 · Жалоба патч для 32 ядра http://forum.nag.ru/forum/index.php?s=&...st&p=458686 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...