wed Опубликовано 23 апреля, 2022 · Жалоба насчет прокси думал, искал - не нашел красивого решения. предлагается в nfdump с патчем под v9 и из него в v5 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wed Опубликовано 23 апреля, 2022 · Жалоба В 23.04.2022 в 19:04, pppoetest сказал: Badway, только ручками и просматривая код глазами. Может в коде что-нить типа strcat(str, "NET"); strcat(str, "FLOW"); И приехали Поставил debian10. Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 2164 613K NETFLOW all -- * * 0.0.0.0/0 0.0.0.0/0 NETFLOW 2678 734K NETFLOW2 all -- * * 0.0.0.0/0 0.0.0.0/0 NETFLOW2 root@debian10:/home/test/ipt-netflow-master# cat /proc/net/stat/ipt_netflow ipt_NETFLOW 2.6, srcversion 46006394A37CB6C91707DB4; llist Protocol version 9 (netflow), refresh-rate 20, timeout-rate 30, (templates 5, active 5). Timeouts: active 1800s, inactive 15s. Maxflows 2000000 Flows: active 49 (peak 69 reached 0d0h3m ago), mem 994K, worker delay 25/250 [1..25] (52 ms, 0 us, 42:0 0 [cpu0]). Hash: size 126382 (mem 987K), metric 1.00 [1.00, 1.00, 1.00]. InHash: 1167 pkt, 393 K, InPDU 5, 1041. Rate: 40314 bits/sec, 16 packets/sec; Avg 1 min: 31659 bps, 9 pps; 5 min: 25951 bps, 0 pps cpu# pps; <search found new [metric], trunc frag alloc maxflows>, traffic: <pkt, bytes>, drop: <pkt, bytes> Total 16; 1 2817 781 [1.00], 0 0 0 0, traffic: 3598, 1 MB, drop: 0, 0 K Export: Rate 372 bytes/s; Total 26 pkts, 0 MB, 727 flows; Errors 0 pkts; Traffic lost 0 pkts, 0 Kbytes, 0 flows. sock0: 127.0.0.1:2000, sndbuf 212992, filled 1, peak 1; err: sndbuf reached 0, connect 0, cberr 15, other 0 root@debian10:/home/test/ipt-netflow-master# cat /proc/net/stat/ipt_netflow2 ipt_NETFLOW2 2.6, srcversion 04DBE03B2C2FA3F87645595; llist Protocol version 5 (netflow2) Timeouts: active 1800s, inactive 15s. Maxflows 2000000 Flows: active 52 (peak 69 reached 0d0h3m ago), mem 994K, worker delay 25/250 [1..25] (72 ms, 0 us, 44:0 0 [cpu0]). Hash: size 126382 (mem 987K), metric 1.00 [1.00, 1.00, 1.00]. InHash: 2816 pkt, 941 K, InPDU 16, 3253. Rate: 39976 bits/sec, 15 packets/sec; Avg 1 min: 31671 bps, 8 pps; 5 min: 27003 bps, 0 pps cpu# pps; <search found new [metric], trunc frag alloc maxflows>, traffic: <pkt, bytes>, drop: <pkt, bytes> Total 15; 1 3274 878 [1.00], 0 0 0 0, traffic: 4152, 1 MB, drop: 0, 0 K Export: Rate 366 bytes/s; Total 27 pkts, 0 MB, 810 flows; Errors 0 pkts; Traffic lost 0 pkts, 0 Kbytes, 0 flows. sock0: 127.0.0.1:2055, sndbuf 212992, filled 1, peak 1; err: sndbuf reached 0, connect 0, cberr 27, other 0 и файрволл нормально принял правила и статистика работает... Проблема в debian11. Как бы это найти? Там iptables выпилен, вместо него правила конвертируются и добавляются в nft. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 24 апреля, 2022 · Жалоба В 24.04.2022 в 02:12, wed сказал: Там iptables выпилен, вместо него правила конвертируются и добавляются в nft. Если ntf не пользуешь, то что-нить типа apt-get update apt-get remove --auto-remove nftables apt-get purge nftables apt-get install iptables В 24.04.2022 в 01:35, wed сказал: насчет прокси думал, искал - не нашел красивого решения. Дык сам напили, там не сложно, за основу можно взять тот же as-stats Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wed Опубликовано 24 апреля, 2022 · Жалоба nft для ната используется, и работает гораздо лучше Iptables. Конвертер оставим как самый плохой вариант. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 24 апреля, 2022 · Жалоба В 24.04.2022 в 15:12, wed сказал: nft для ната используется Мне больше этот нат понравился + сразу nat events в сорм шлёт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wed Опубликовано 25 апреля, 2022 · Жалоба А он умеет разные пулы брать? Например 192.168.1.0/24 и 192.168.7.0/24? Кажется он подгружает только один пул реальников и все. Мне это не подойдет, нужны разные пулы. И все таки, народ, есть мысли что еще попробовать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 26 апреля, 2022 · Жалоба В 25.04.2022 в 22:56, wed сказал: А он умеет разные пулы брать? Например 192.168.1.0/24 и 192.168.7.0/24? Нет. Но судя по коду, это, в принципе, реализуемо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alex39x Опубликовано 26 апреля, 2022 · Жалоба Подскажите т.е. под 10-кой после sed собирается и нормально работают два модуля v5 и v9 ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wed Опубликовано 26 апреля, 2022 · Жалоба Под debian 10 нормально завелись и работали 2 модуля. Проблема с debian 11. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Стич Опубликовано 3 мая, 2022 (изменено) · Жалоба Подскажите плиз. Столкнулся со значением счетчиков байтов в netflow v5 приближающимися к пределу 32битного числа. Связано с тем что у меня усановлено net.netflow.active_timeout=300 И нашлись юзеры которые одним потоком гонят на скорости 100МБит/c продолжительное время. А например при потоке в 1ГБит/c, 32битный счетчик(netflow v5) переполнится через 30 секунд. Как себя ведёт ipt_NETFLOW в такой ситуации разобьёт на несколько записей и отправит? Или выходом из ситуации является уменьшение net.netflow.active_timeout Есть ли какой механизм что бы ipt_NETFLOW сообщал при такой проблеме? Изменено 3 мая, 2022 пользователем Стич Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wed Опубликовано 9 мая, 2022 · Жалоба Разобрался. 2 модуля на 11 дебиане будут работать, если их собрать до того как поставить iptables. Либо если выпилить блок проверки наличия iptables из iptables_find_version в configure. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sanyasi Опубликовано 2 июня, 2022 (изменено) · Жалоба https://bugs.launchpad.net/ubuntu/+source/iptables-netflow/+bug/1960164 На ядре с ubuntu 22.04 5.15.0-33 не собирается. В самой убунте сделали патч. Изменено 2 июня, 2022 пользователем sanyasi пересобрал не те исходники. С гита — собирается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sanyasi Опубликовано 9 июня, 2022 · Жалоба В 20.04.2022 в 13:00, Massacre_Rage сказал: Никак не могу понять в чем причина. Добрый день! Удалось разобраться с неправильным форматом? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nixx Опубликовано 17 октября, 2022 · Жалоба господа, а кто-нибудь льет nat-events с ipt_NETFLOW 2.3 (да, старый) в IPFIX-формате в nfcapd? получается нормально принять? если да, то сразу завелось, или были нюансы? у меня распоследний nfcapd (и 1.6.25 и 1.7.0.1) отказывается читать время в NAT-events, пишет 1970-й год. обычные flow пишет нормально. сдампил летящие flow - вроде как время передается нормально, wireshark видит корректную дату. или я что-то недоконфигурил в ipt_NETFLOW (а что там можно конфигурить? protocol=10 natevents=1, всё) или nfdump немного не очень в IPFIX? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
passer Опубликовано 18 октября, 2022 · Жалоба В 17.10.2022 в 04:54, nixx сказал: у меня распоследний nfcapd (и 1.6.25 и 1.7.0.1) отказывается читать время в NAT-events, пишет 1970-й год У меня нормально nat events понимает только nfdump-1.6.11 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nixx Опубликовано 18 октября, 2022 · Жалоба В 18.10.2022 в 14:01, passer сказал: У меня нормально nat events понимает только nfdump-1.6.11 у вас IPFIX льется? в 1.6.11 еще вообще не заявлены nat-event из IPFIX. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
passer Опубликовано 19 октября, 2022 · Жалоба Извините, не заметил. IPFIX нет. protocol=9 natevents=1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
init_ Опубликовано 21 октября, 2022 · Жалоба Добрый день! Каким образом мне указать ipt_netflow слать данные с определенного интерфейса? (не с того который дефолтовый) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nixx Опубликовано 21 октября, 2022 · Жалоба В 21.10.2022 в 11:39, init_ сказал: Добрый день! Каким образом мне указать ipt_netflow слать данные с определенного интерфейса? (не с того который дефолтовый) прочитать одну страницу документации https://github.com/aabc/ipt-netflow, ищите по строке "bind socket to" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
init_ Опубликовано 23 октября, 2022 · Жалоба On 10/22/2022 at 2:14 AM, nixx said: прочитать одну страницу документации https://github.com/aabc/ipt-netflow, ищите по строке "bind socket to" Спасибо большое )))) как то пропустил этот отрывок я Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 11 ноября, 2022 · Жалоба Коллеги, а можно разъяснить для начинающих: почему нет nat events ? [root@nat2 ~]# cat /proc/net/stat/ipt_netflow Natevents enabled, count start 0, stop 0. При всём при этом [root@nat2 ~]# sysctl net.netflow.natevents net.netflow.natevents = 1 [root@nat2 ~]# sysctl net.netfilter.nf_conntrack_events net.netfilter.nf_conntrack_events = 2 [root@nat2 ~]# ЧЯДНТ? PS: Само собой ./configure --enable-natevents было. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sanyasi Опубликовано 11 ноября, 2022 · Жалоба Ubuntu 22.04 5.15.0-52-generic Компилируется, но что-то идёт не так. ./configure --disable-snmp-agent --enable-natevents --disable-dkms --ipt-lib=/usr/lib/x86_64-linux-gnu/xtables ipt_NETFLOW 2.6, srcversion D591EC4E9D437B9AA55C498; llist nel Protocol version 9 (netflow), refresh-rate 20, timeout-rate 30, (templates 7, active 7). Timeouts: active 300s, inactive 15s. Maxflows 2000000 Natevents enabled, count start 85508, stop 82498. Flows: active 544 (peak 5811 reached 0d0h11m ago), mem 5205K, worker delay 25/250 [1..25] (36 ms, 0 us, 222:0 0 [cpu2]). Hash: size 655360 (mem 5120K), metric 1.00 [1.00, 1.00, 1.00]. InHash: 3126 pkt, 330 K, InPDU 110, 9727. Rate: 109712 bits/sec, 113 packets/sec; Avg 1 min: 331455 bps, 123 pps; 5 min: 124177251 bps, 11440 pps cpu# pps; <search found new [metric], trunc frag alloc maxflows>, traffic: <pkt, bytes>, drop: <pkt, bytes> Total 110; 100059 24133332 121675 [1.00], 0 0 0 0, traffic: 24255007, 31772 MB, drop: 0, 0 K cpu0 19; 15719 2309574 15359 [1.00], 0 0 0 0, traffic: 2324933, 2822 MB, drop: 0, 0 K cpu1 10; 44368 3881864 15442 [1.00], 0 0 0 0, traffic: 3897306, 5279 MB, drop: 0, 0 K cpu2 10; 322 4271910 15429 [1.00], 0 0 0 0, traffic: 4287339, 5669 MB, drop: 0, 0 K cpu3 18; 17070 2642426 15045 [1.00], 0 0 0 0, traffic: 2657471, 3545 MB, drop: 0, 0 K cpu4 9; 8268 2454532 15330 [1.00], 0 0 0 0, traffic: 2469862, 3111 MB, drop: 0, 0 K cpu5 16; 9344 2862800 14976 [1.00], 0 0 0 0, traffic: 2877776, 3676 MB, drop: 0, 0 K cpu6 14; 309 2903448 15169 [1.00], 0 0 0 0, traffic: 2918617, 3877 MB, drop: 0, 0 K cpu7 14; 4659 2806778 14925 [1.00], 0 0 0 0, traffic: 2821703, 3790 MB, drop: 0, 0 K Export: Rate 2108 bytes/s; Total 16590 pkts, 21 MB, 289127 flows; Errors 0 pkts; Traffic lost 0 pkts, 0 Kby sock0: 192.168.1.1:9996, sndbuf 3145728, filled 1, peak 32257; err: sndbuf reached 0, connect 0, cberr 0, other 0 2022-11-11 12:18:17 kernel:[ 7177.814466] ================================================================================ 2022-11-11 12:18:17 kernel:[ 7177.814471] UBSAN: shift-out-of-bounds in /usr/src/ipt-netflow/ipt_NETFLOW.c:4857:13 2022-11-11 12:18:17 kernel:[ 7177.814473] shift exponent 32 is too large for 32-bit type 'int' 2022-11-11 12:18:17 kernel:[ 7177.814476] CPU: 4 PID: 0 Comm: swapper/4 Tainted: G OE 5.15.0-52-generic #58-Ubuntu 2022-11-11 12:18:17 kernel:[ 7177.814466] ================================================================================ 2022-11-11 12:18:17 kernel:[ 7177.814471] UBSAN: shift-out-of-bounds in /usr/src/ipt-netflow/ipt_NETFLOW.c:4857:13 2022-11-11 12:18:17 kernel:[ 7177.814473] shift exponent 32 is too large for 32-bit type 'int' 2022-11-11 12:18:17 kernel:[ 7177.814476] CPU: 4 PID: 0 Comm: swapper/4 Tainted: G OE 5.15.0-52-generic #58-Ubuntu 2022-11-11 12:18:17 kernel:[ 7177.814477] Hardware name: Gigabyte Technology Co., Ltd. B560 HD3/B560 HD3, BIOS F10 11/03/2021 2022-11-11 12:18:17 kernel:[ 7177.814478] Call Trace: 2022-11-11 12:18:17 kernel:[ 7177.814479] <IRQ> 2022-11-11 12:18:17 kernel:[ 7177.814481] show_stack+0x52/0x5c 2022-11-11 12:18:17 kernel:[ 7177.814484] dump_stack_lvl+0x4a/0x63 2022-11-11 12:18:17 kernel:[ 7177.814487] dump_stack+0x10/0x16 2022-11-11 12:18:17 kernel:[ 7177.814488] ubsan_epilogue+0x9/0x49 2022-11-11 12:18:17 kernel:[ 7177.814489] __ubsan_handle_shift_out_of_bounds.cold+0x61/0xef 2022-11-11 12:18:17 kernel:[ 7177.814491] ? alloc_skb_with_frags+0x4e/0x1e0 2022-11-11 12:18:17 kernel:[ 7177.814493] ? ip_route_input_slow+0x807/0xa10 2022-11-11 12:18:17 kernel:[ 7177.814496] ? hash_ip4_test+0x136/0x160 [ip_set_hash_ip] 2022-11-11 12:18:17 kernel:[ 7177.814499] netflow_target.cold+0x30/0x3e [ipt_NETFLOW] 2022-11-11 12:18:17 kernel:[ 7177.814502] ? hash_ip4_kadt+0xc8/0x120 [ip_set_hash_ip] 2022-11-11 12:18:17 kernel:[ 7177.814504] ? ratelimit_mt+0x152/0x3f0 [xt_ratelimit] 2022-11-11 12:18:17 kernel:[ 7177.814507] nft_target_eval_xt+0x5e/0xa0 [nft_compat] 2022-11-11 12:18:17 kernel:[ 7177.814509] nft_do_chain+0x169/0x600 [nf_tables] 2022-11-11 12:18:17 kernel:[ 7177.814513] ? icmp_push_reply+0xeb/0x130 2022-11-11 12:18:17 kernel:[ 7177.814516] nft_do_chain_ipv4+0x65/0x80 [nf_tables] 2022-11-11 12:18:17 kernel:[ 7177.814521] nf_hook_slow+0x41/0xc0 2022-11-11 12:18:17 kernel:[ 7177.814522] ip_forward+0x4dc/0x550 2022-11-11 12:18:17 kernel:[ 7177.814524] ? ipv4_mtu+0x52/0xa0 2022-11-11 12:18:17 kernel:[ 7177.814525] ? ip_expire+0x1a0/0x1a0 2022-11-11 12:18:17 kernel:[ 7177.814526] ip_sublist_rcv_finish+0x6f/0x80 2022-11-11 12:18:17 kernel:[ 7177.814528] ip_sublist_rcv+0x17c/0x200 2022-11-11 12:18:17 kernel:[ 7177.814529] ? ip_sublist_rcv+0x200/0x200 2022-11-11 12:18:17 kernel:[ 7177.814531] ip_list_rcv+0xf9/0x120 2022-11-11 12:18:17 kernel:[ 7177.814532] __netif_receive_skb_list_core+0x218/0x240 2022-11-11 12:18:17 kernel:[ 7177.814534] netif_receive_skb_list_internal+0x18e/0x2a0 2022-11-11 12:18:17 kernel:[ 7177.814536] napi_complete_done+0x7a/0x1c0 2022-11-11 12:18:17 kernel:[ 7177.814537] ixgbe_poll+0x124/0x260 [ixgbe] 2022-11-11 12:18:17 kernel:[ 7177.814544] __napi_poll+0x30/0x190 2022-11-11 12:18:17 kernel:[ 7177.814545] net_rx_action+0x126/0x280 2022-11-11 12:18:17 kernel:[ 7177.814546] __do_softirq+0xd6/0x2e7 2022-11-11 12:18:17 kernel:[ 7177.814548] irq_exit_rcu+0x94/0xc0 2022-11-11 12:18:17 kernel:[ 7177.814550] common_interrupt+0x8e/0xa0 2022-11-11 12:18:17 kernel:[ 7177.814553] </IRQ> 2022-11-11 12:18:17 kernel:[ 7177.814553] <TASK> 2022-11-11 12:18:17 kernel:[ 7177.814554] asm_common_interrupt+0x26/0x40 2022-11-11 12:18:17 kernel:[ 7177.814556] RIP: 0010:cpu_idle_poll.isra.0+0x33/0xd0 2022-11-11 12:18:17 kernel:[ 7177.814558] Code: 53 65 8b 15 37 c7 a6 56 66 90 e8 f8 01 3b ff fb 66 0f 1f 44 00 00 65 48 8b 1c 25 c0 fb 01 00 48 8b 03 a8 08 74 0b eb 1c f3 90 <48> 8b 03 a8 08 75 13 8b 05 70 c8 48 01 85 c0 75 ed e8 17 a1 3d ff 2022-11-11 12:18:17 kernel:[ 7177.814559] RSP: 0018:ffffb588c0163ed8 EFLAGS: 00000202 2022-11-11 12:18:17 kernel:[ 7177.814560] RAX: 0000000000000001 RBX: ffff97e500826000 RCX: 0000000000000000 2022-11-11 12:18:17 kernel:[ 7177.814561] RDX: 000000000040a4bd RSI: 0000000000000000 RDI: 000000000040a4be 2022-11-11 12:18:17 kernel:[ 7177.814562] RBP: ffffb588c0163ee0 R08: 0000068736dcfe1a R09: 0000000000000000 2022-11-11 12:18:17 kernel:[ 7177.814562] R10: 0000000000000000 R11: 0000000000000000 R12: ffff97e500826000 2022-11-11 12:18:17 kernel:[ 7177.814563] R13: 0000000000000000 R14: 0000000000000000 R15: 0000000000000000 2022-11-11 12:18:17 kernel:[ 7177.814564] ? cpu_idle_poll.isra.0+0x18/0xd0 2022-11-11 12:18:17 kernel:[ 7177.814565] do_idle+0x45/0xf0 2022-11-11 12:18:17 kernel:[ 7177.814567] cpu_startup_entry+0x20/0x30 2022-11-11 12:18:17 kernel:[ 7177.814568] start_secondary+0x12a/0x180 2022-11-11 12:18:17 kernel:[ 7177.814570] secondary_startup_64_no_verify+0xc2/0xcb 2022-11-11 12:18:17 kernel:[ 7177.814572] </TASK> 2022-11-11 12:18:17 kernel:[ 7177.814572] ================================================================================ 2022-11-11 12:18:17 kernel:[ 7177.814477] Hardware name: Gigabyte Technology Co., Ltd. B560 HD3/B560 HD3, BIOS F10 11/03/2021 2022-11-11 12:18:17 kernel:[ 7177.814478] Call Trace: 2022-11-11 12:18:17 kernel:[ 7177.814479] <IRQ> 2022-11-11 12:18:17 kernel:[ 7177.814481] show_stack+0x52/0x5c 2022-11-11 12:18:17 kernel:[ 7177.814484] dump_stack_lvl+0x4a/0x63 2022-11-11 12:18:17 kernel:[ 7177.814487] dump_stack+0x10/0x16 2022-11-11 12:18:17 kernel:[ 7177.814488] ubsan_epilogue+0x9/0x49 2022-11-11 12:18:17 kernel:[ 7177.814489] __ubsan_handle_shift_out_of_bounds.cold+0x61/0xef 2022-11-11 12:18:17 kernel:[ 7177.814491] ? alloc_skb_with_frags+0x4e/0x1e0 2022-11-11 12:18:17 kernel:[ 7177.814493] ? ip_route_input_slow+0x807/0xa10 2022-11-11 12:18:17 kernel:[ 7177.814496] ? hash_ip4_test+0x136/0x160 [ip_set_hash_ip] 2022-11-11 12:18:17 kernel:[ 7177.814499] netflow_target.cold+0x30/0x3e [ipt_NETFLOW] 2022-11-11 12:18:17 kernel:[ 7177.814502] ? hash_ip4_kadt+0xc8/0x120 [ip_set_hash_ip] 2022-11-11 12:18:17 kernel:[ 7177.814504] ? ratelimit_mt+0x152/0x3f0 [xt_ratelimit] 2022-11-11 12:18:17 kernel:[ 7177.814507] nft_target_eval_xt+0x5e/0xa0 [nft_compat] 2022-11-11 12:18:17 kernel:[ 7177.814509] nft_do_chain+0x169/0x600 [nf_tables] 2022-11-11 12:18:17 kernel:[ 7177.814513] ? icmp_push_reply+0xeb/0x130 2022-11-11 12:18:17 kernel:[ 7177.814516] nft_do_chain_ipv4+0x65/0x80 [nf_tables] 2022-11-11 12:18:17 kernel:[ 7177.814521] nf_hook_slow+0x41/0xc0 2022-11-11 12:18:17 kernel:[ 7177.814522] ip_forward+0x4dc/0x550 2022-11-11 12:18:17 kernel:[ 7177.814524] ? ipv4_mtu+0x52/0xa0 2022-11-11 12:18:17 kernel:[ 7177.814525] ? ip_expire+0x1a0/0x1a0 2022-11-11 12:18:17 kernel:[ 7177.814526] ip_sublist_rcv_finish+0x6f/0x80 2022-11-11 12:18:17 kernel:[ 7177.814528] ip_sublist_rcv+0x17c/0x200 2022-11-11 12:18:17 kernel:[ 7177.814529] ? ip_sublist_rcv+0x200/0x200 2022-11-11 12:18:17 kernel:[ 7177.814531] ip_list_rcv+0xf9/0x120 2022-11-11 12:18:17 kernel:[ 7177.814532] __netif_receive_skb_list_core+0x218/0x240 2022-11-11 12:18:17 kernel:[ 7177.814534] netif_receive_skb_list_internal+0x18e/0x2a0 2022-11-11 12:18:17 kernel:[ 7177.814536] napi_complete_done+0x7a/0x1c0 2022-11-11 12:18:17 kernel:[ 7177.814537] ixgbe_poll+0x124/0x260 [ixgbe] 2022-11-11 12:18:17 kernel:[ 7177.814544] __napi_poll+0x30/0x190 2022-11-11 12:18:17 kernel:[ 7177.814545] net_rx_action+0x126/0x280 2022-11-11 12:18:17 kernel:[ 7177.814546] __do_softirq+0xd6/0x2e7 2022-11-11 12:18:17 kernel:[ 7177.814548] irq_exit_rcu+0x94/0xc0 2022-11-11 12:18:17 kernel:[ 7177.814550] common_interrupt+0x8e/0xa0 2022-11-11 12:18:17 kernel:[ 7177.814553] </IRQ> 2022-11-11 12:18:17 kernel:[ 7177.814553] <TASK> 2022-11-11 12:18:17 kernel:[ 7177.814554] asm_common_interrupt+0x26/0x40 2022-11-11 12:18:17 kernel:[ 7177.814556] RIP: 0010:cpu_idle_poll.isra.0+0x33/0xd0 2022-11-11 12:18:17 kernel:[ 7177.814558] Code: 53 65 8b 15 37 c7 a6 56 66 90 e8 f8 01 3b ff fb 66 0f 1f 44 00 00 65 48 8b 1c 25 c0 fb 01 00 48 8b 03 a8 08 74 0b eb 1c f3 90 <48> 8b 03 a8 08 75 13 8b 05 70 c8 48 01 85 c0 75 ed e8 17 a1 3d ff 2022-11-11 12:18:17 kernel:[ 7177.814559] RSP: 0018:ffffb588c0163ed8 EFLAGS: 00000202 2022-11-11 12:18:17 kernel:[ 7177.814560] RAX: 0000000000000001 RBX: ffff97e500826000 RCX: 0000000000000000 2022-11-11 12:18:17 kernel:[ 7177.814561] RDX: 000000000040a4bd RSI: 0000000000000000 RDI: 000000000040a4be 2022-11-11 12:18:17 kernel:[ 7177.814562] RBP: ffffb588c0163ee0 R08: 0000068736dcfe1a R09: 0000000000000000 2022-11-11 12:18:17 kernel:[ 7177.814562] R10: 0000000000000000 R11: 0000000000000000 R12: ffff97e500826000 2022-11-11 12:18:17 kernel:[ 7177.814563] R13: 0000000000000000 R14: 0000000000000000 R15: 0000000000000000 2022-11-11 12:18:17 kernel:[ 7177.814564] ? cpu_idle_poll.isra.0+0x18/0xd0 2022-11-11 12:18:17 kernel:[ 7177.814565] do_idle+0x45/0xf0 2022-11-11 12:18:17 kernel:[ 7177.814567] cpu_startup_entry+0x20/0x30 2022-11-11 12:18:17 kernel:[ 7177.814568] start_secondary+0x12a/0x180 2022-11-11 12:18:17 kernel:[ 7177.814570] secondary_startup_64_no_verify+0xc2/0xcb 2022-11-11 12:18:17 kernel:[ 7177.814572] </TASK> 2022-11-11 12:18:17 kernel:[ 7177.814572] ================================================================================ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
passer Опубликовано 11 ноября, 2022 · Жалоба В 11.11.2022 в 10:11, sol сказал: почему нет nat events protocol =9 или =10 ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 11 ноября, 2022 · Жалоба 9 само собой... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 11 ноября, 2022 · Жалоба Дело вот в чём... Fri, 13 May 2022 23:43:26 было добавлено новое поведение при значении "2". При этом генерация событий происходит только если есть ctnetlink listener... sysctl net.netfilter.nf_conntrack_events=1 решило проблему. nf_conntrack_events - BOOLEAN - 0 - disabled - - not 0 - enabled (default) + - 1 - enabled + - 2 - auto (default) + case 0: + /* assignment via template / ruleset? ignore sysctl. */ + if (ctmask || expmask) + break; + return true; + case 2: /* autodetect: no event listener, don't allocate extension. */ + if (!READ_ONCE(net->ct.ctnetlink_has_listener)) + return true; + fallthrough; + case 1: + /* always allocate an extension. */ + if (!ctmask && !expmask) { + ctmask = ~0; + expmask = ~0; + } + break; Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...