[alex39x]

Никто не сталкивался при сдаче СОРМ-3 МФИ-СОФТ с замечанием "Выявлен низкий процент NAT-сопоставлений по части потокам" ?

[Phantom]

Было такое недавно. Исправили у себя в конфиге модуля.

[alex39x]

Цитата

Было такое недавно. Исправили у себя в конфиге модуля.

Не понял :  мфи исправили у себя или Вы у себя? 

Изменено 23 марта, 2023 пользователем alex39x

[Phantom]

15 часов назад, alex39x сказал:

Не понял :  мфи исправили у себя или Вы у себя? 

И мы у себя исправили пару строк и они на нашем сорме чего-то исправляли(чего именно - не знаю. Может как всегда - ПО обновляли)

[alex39x]

Цитата

И мы у себя исправили пару строк и они на нашем сорме чего-то исправляли(чего именно - не знаю. Может как всегда - ПО обновляли)

А Вы у себя что исправляли? hashsize  и  sndbuf  ?

[Phantom]

56 минут назад, alex39x сказал:

А Вы у себя что исправляли? hashsize  и  sndbuf  ?

Они самые:

net.netflow.sndbuf = 16777216

net.netflow.hashsize = 32768

С такими значениями у нас на бордере процент NAT-сопоставлений стал >90%. По крайней мере, со стороны МФИ больше вопросов к нам не возникало.

[sanyasi]

Может кому будет полезным. При экспорте на два адреса (себе и на съемник), наблюдались потери трафика на одном из сокетов. На втором, думаю. 

Решилось отключением второго экспортёра нетфлоу и копированием трафика на съемник, без изменения заголовков. Они им там не нужны.
-A OUTPUT -d 1.1.1.1 -p udp --dport 9996 -j TEE --gateway 2.2.2.2

Где 1.1.1.1 мой коллектор, 2.2.2.2 — не мой :)

Версия git  b049e91on Jan 18

Изменено 28 марта, 2023 пользователем sanyasi
Версия git b049e91on Jan 18

[alex39x]

Цитата

Может кому будет полезным. При экспорте на два адреса (себе и на съемник), наблюдались потери трафика на одном из сокетов. На втором, думаю. 

У вас какая версия ipt_netflow?

[AlexMSQ]

Народ, а кто-то вот это говно-сообщение поборол?

kernel:[551633.449924] ipt_NETFLOW: natevents already disabled.

 

[iltmpz]

Приветствую!

Возникла задача - считать трафик от провайдера к внутренним сервисам и обратно.

Организовал линукс с бриджем, собрал модуль ipt_NETFLOW, заворачиваю весь трафик в сенсор через iptables -A FORWARD -j NETFLOW

 

Далее пускаю тестовое скачивание файла с ftp и смотрю в логи настроенного для этого nfdump:

2023-06-13 17:33:52.014 INVALID  Ignore TCP     xxx.xxx.xxx.xxx:443   ->   yyy.yyy.yyy.yyy:43526          0.0.0.0:0     ->          0.0.0.0:0      398.4 M        0

Эта строчка появляется в момент, когда скачивание файла завершается, а до этого, пока файл качается минут 5, в логе ничего про скачивание не видно.

Насколько я понял, запись появляется в момент закрытия TCP-соединения, а я бы хотел мониторить трафик в реальном времени, по пакетам, а не по коннекшенам. С целью понимать утилизацию канала в каждый момент времени.

 

Можно каким-то образом так сделать, с помощью ipt_NETFLOW или каких-то других средств?

 

UPD: вроде как нашел параметр: active_timeout=1 задал, теперь во всяком случае детализация по секундам есть.

Изменено 20 июня, 2023 пользователем iltmpz

[Phantom]

Добрый день, коллеги. А, может ли кто-нибудь подсказать, с какими последними версиями ядер можно еще собрать модуль? 

"Бордер" сейчас работает у нас с 

4.18.0-348.20.1.el8_5.x86_64 #1 SMP Thu Mar 10 20:59:28 UTC 2022 x86_64 x86_64 x86_64 GNU/Linux

Может был у кого опыт сборки с 5 или 6ой веткой ядра? 

[passer]

На 5.15 собирается из гита.

[nixx]

17 часов назад, Phantom сказал:

Добрый день, коллеги. А, может ли кто-нибудь подсказать, с какими последними версиями ядер можно еще собрать модуль? 

Может был у кого опыт сборки с 5 или 6ой веткой ядра? 

12й дебиан с ядром 6.1 утверждает, что с 6м ядром собирается:

https://packages.debian.org/bookworm/iptables-netflow-dkms

сам ставить не пробовал, да и дебиановцы свой bookworm в продакшен пока не рекомендуют.

[Phantom]

Спасибо всем. У меня, правда, не дебиан, а Rocky 8.6 установлен, хотел бы обновить ядро на пограничнике. Попробую на виртуалке собрать с 6.х модуль.

[taf_321]

Собирается вплоть до 6.1, на 6.3 уже облом.

[Phantom]

Собственно, собралось и на 6.5.2-1(в тестовой среде, на виртуалке). Вот тут https://github.com/aabc/ipt-netflow/pull/221/commits/2423308cedc7db63ef8c68a1180f4574fd1c7354 

[Diman_xxxx]

Доброго времени суток.
Подскажите пожалуйста как добавить пару полей в NetFlow ver9 на Cisco ASR1001x
Не можем получить для сорма следующие поля:
И есть ли они там ???
 

PostNATSourceIPv4Address - 225

PostNATDestinationIPv4Address - 226

PostNAPTSourceTrabsportPort - 227

PostNAPTDestinationTrabsportPort - 228

[nixx]

17 часов назад, Diman_xxxx сказал:

Подскажите пожалуйста как добавить пару полей в NetFlow ver9 на Cisco ASR1001x
Не можем получить для сорма следующие поля:
И есть ли они там ???
 

PostNATSourceIPv4Address - 225

встречный вопрос - вы NAT events льёте (ip nat log translations flow-export), или обычное netflow с порта (ip flow monitor)?

если первое, то должны быть по умолчанию, если второе, то не будет.

[Diman_xxxx]

Цитата

nixx

встречный вопрос

Спасибо!

ip flow monitor  на входящем BGP интерфейсе и такое еще :
 

flow record NFr-Users
 match ipv4 destination address
 match transport destination-port
 match ipv4 source address
 match transport source-port
 collect counter bytes
 collect counter packets
!
!
flow exporter NFe-Users
 destination 10.90.2.2
 transport udp 7777
!
!
flow monitor NFm-Users
 exporter NFe-Users
 cache timeout active 300
 record netflow-original
!

надо переделать на другой вариант похоже......

Кусочек кода не подскажите ?

[nixx]

1 час назад, Diman_xxxx сказал:

ip flow monitor  на входящем BGP интерфейсе и такое еще :

flow record NFr-Users
 match ipv4 destination address

надо переделать на другой вариант похоже.....
Кусочек кода не подскажите ?

насчет переделать или доделать - это думайте сами, что вам нужно.

тот вариант, который будет вам сливать нетфлоу по NAT-events, не будет видеть ничего, что ходит мимо ната (ну то есть абонентов с белыми адресами, например). но сорму это, возможно, и не нужно (по крайней мере, у нас "заведующий" сормом чел мне говорил, что флоу по белым адресам лить не надо).

 

короткий мануал здесь - https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipaddr_nat/configuration/xe-16-9/nat-xe-16-9-book/iadnat-hsl-vrf.html

вся настройка заключается в одной строчке, начало которой я привел.

[Cramac]

Всем привет.  

Стоит линукс, есть ipt_netflow, льет 5 версию в биллинг.

Сейчас стоит задача для СОРМА лить 9 версию. через sysctl сменил протокол с 5 на 9, снял дамп, но что то нет параметров:

Post NAT Source IPv4 address и Post NAT Destination IPv4 address

 

Как быть?

[Diman_xxxx]

Цитата

nixx

Спасибо!!)

[nixx]

11 часов назад, Cramac сказал:

Стоит линукс, есть ipt_netflow, льет 5 версию в биллинг.

Сейчас стоит задача для СОРМА лить 9 версию. через sysctl сменил протокол с 5 на 9, снял дамп, но что то нет параметров:

Post NAT Source IPv4 address и Post NAT Destination IPv4 address

 

Как быть?

ipt_netflow с поддержкой ли NEL собран? (/proc/net/stat/ipt_netflow в первой строчке смотрите)

sysctl net.netflow.natevents=1 сделано?

[alex39x]

20 часов назад, Cramac сказал:

Всем привет.  

Стоит линукс, есть ipt_netflow, льет 5 версию в биллинг.

Сейчас стоит задача для СОРМА лить 9 версию. через sysctl сменил протокол с 5 на 9, снял дамп, но что то нет параметров:

Post NAT Source IPv4 address и Post NAT Destination IPv4 address

 

Как быть?

natevents присутствует только в 258 темплейте

[Cramac]

9 часов назад, nixx сказал:

ipt_netflow с поддержкой ли NEL собран? (/proc/net/stat/ipt_netflow в первой строчке смотрите)

sysctl net.netflow.natevents=1 сделано?

Такого нет, видимо надо пересобирать