Jump to content
Калькуляторы

Some update:

I think it is Netflow 5 format rrelated problem. it doesn't export ingress and egress information in packets. I think Netflow v9 does! I was looking how to send v9 flows using ipt_netflow no luck! README and forum don't suggest any solution :(

 

The problem is that it is a passive, non transitive traffic. Any suggestions ho to get accurate view for IN/OUT traffic in promisc mode?

Share this post


Link to post
Share on other sites

Собрал ipt_NETFLOW 1.7.1 для CentOS/RHEL/SL 6 пока только для архитектуры x86_64, ставим так

 

Устанавливаем репозиторий

rpm -ihv http://mirror.yandex.ru/epel/6/x86_64/epel-release-6-5.noarch.rpm
rpm -ihv http://centos.alt.ru/pub/repository/centos/6/x86_64/centalt-release-6-1.noarch.rpm

 

ставим софт

 

yum install ipt_netflow kmod-ipt_netflow

Share this post


Link to post
Share on other sites

Есть проблема:

В сети 3 наса, на всех стоит ubuntu 11.10, на ней крутится accel-ppp+iptables(v1.4.9.1, собирал из исходняков)+ipt_netflow(1.7.1, также их исходняков)

uname -a
Linux ppp4 3.0.0-12-server #20-Ubuntu SMP Fri Oct 7 16:36:30 UTC 2011 x86_64 x86_64 x86_64 GNU/Linux

Периодически, некоторым пользователям начисляется огромное кол-во трафика, от наса не зависит, такое встречается на всех трех насах. коллектор netflow - демон Lanbilling 1.9, когда была фряха с mpd, таких проблем не было. Никто не сталкивался с такой заморочкой?

Share this post


Link to post
Share on other sites

Есть проблема:

 

Периодически, некоторым пользователям начисляется огромное кол-во трафика

 

а не пробовали смотреть что там за трафик ? и что значит огромный ?

Share this post


Link to post
Share on other sites

За 1 день выкачать 50 Гб трафика при тарифе 512к просто не реально физически. Поверю до 4 Гб в сутки. За вчерашний день человек 5-6 имеют в статистике по 40-50 гб. В табличках биллинга какой-то трафик на ИП абонентов действительно есть, сессии/порты/ИП есть. Но физически такой трафик не может успеть пройти через нас за 1 день. Проблему c Lanbilling-ом пока не признаю, т.к. на фряхе/циске 7204 такой проблемы нет.

Share this post


Link to post
Share on other sites

ищите всплекс в файлах :) я думаю у вас же не один нетфлоу вайл создается в сутки... так же не стоит отменять тот факт что может у абонента шейпер не отработал? и ни о каких 512 речи не шло? :)

в общем нужно максимально собрать данные отовсех мест. например данные по загрузке порта, если свтч у правляемый, данные аккаунтинг пакетов ppp наса, итд, и всё сравнить. Ну а если ничего у вас кроме данных netflow нет, это печально, так как это не правильно, и разобраться в этой проблеме будет очень сложно...

Share this post


Link to post
Share on other sites

Ну почему нет ничего, кроме нетфлоу? Есть статистика с портов коммутатора, с портов наса, и т.п. Но всплеска трафика нет нигде! Нас абонентов не шейпит, шейпит выше железяка, там если ИП не попал не в одну таблицу шейпинга (ipfw), он попадает в табличку на 64k. Так что это точно не в шейпере дело. А вот насчет файлов - если можно подробнее. Где должны создаваться эти файлы? на насе? или на коллекторе? У меня в качестве коллектора стоит биллинг Lanbilling, на сколько я знаю он файлы не создает, пишет напрямую в базу.

Share this post


Link to post
Share on other sites

подскажите подходящий дистр Linux для работы модуля ipt_netflow

судя из описания ipt_netflow максимальная версия ядра может быть 2.6.37

2011-01-25 ABC

 

* ipt_NETFLOW.c: compile compatibility with 2.6.37 (ipt_*)

* ipt_NETFLOW.c: compile compatibility with 2.6.36.3 (NIPQUAD)

 

CentOS6.2 на сервер не ставиться (

Share this post


Link to post
Share on other sites

У меня на Дебиане (Убунту) 3.0.0.12 робит, правда есть непонятные глюки, пока не знаю с чем связаные.

Share this post


Link to post
Share on other sites

подскажите подходящий дистр Linux для работы модуля ipt_netflow

судя из описания ipt_netflow максимальная версия ядра может быть 2.6.37

2011-01-25 ABC

 

* ipt_NETFLOW.c: compile compatibility with 2.6.37 (ipt_*)

* ipt_NETFLOW.c: compile compatibility with 2.6.36.3 (NIPQUAD)

 

CentOS6.2 на сервер не ставиться (

 

Debian 6, самосборное ядро 3.3.6

ipt_netflow из cvs работает нормально. Пока правда еще и суток не прошло :)

Share this post


Link to post
Share on other sites

подскажите подходящий дистр Linux для работы модуля ipt_netflow

судя из описания ipt_netflow максимальная версия ядра может быть 2.6.37

2011-01-25 ABC

 

* ipt_NETFLOW.c: compile compatibility with 2.6.37 (ipt_*)

* ipt_NETFLOW.c: compile compatibility with 2.6.36.3 (NIPQUAD)

 

CentOS6.2 на сервер не ставиться (

 

У меня на Scientific linux и на Centos 6 ipt_netflow работает прекрасно.

Ставил отсюда:

http://centos.alt.ru/pub/repository/centos/6/x86_64/ipt_netflow-1.7.1-1.el6.x86_64.rpm

http://centos.alt.ru/pub/repository/centos/6/x86_64/kmod-ipt_netflow-1.7.1-1.el6.x86_64.rpm

Share this post


Link to post
Share on other sites

дополнение , проблема проявляется когда делаю копию трафика и tx и rx , если делать например только RX то все работает нормально

 

Та же самая проблема, бьемся третий день. Включаем миррор только TX - iptables не видит вообще ничего, а при RX - отлично ловится :(

 

У Вас в итоге что-то получилось?

 

Update: починили, проблема была в D-Link свитче, который не додумывался снимать теги при мирроринге трафика.

Edited by pavel.odintsov

Share this post


Link to post
Share on other sites

У меня не работает хак с бриджем и дамми интерфейсом.

 

Есть сервер, подключенный к порту коммутатора, на котором настроен порт мирроринг. Зеркалируется входящий и исходящий трафик с одного порта на порт, к которому подключен сервер.

На сервере tcpdump показывает зеркалируемый трафик и на eth1, и на br0. Но счётчик iptables для правила -j NETFLOW равен нулю, и ipt_netflow не видит трафик с зеркалируемого порта.

На сервере стоит клон RHEL 6.1 с ядром 2.6.32-131.0.15.el6.x86_64, iptables 1.4.7, ipt_netflow 1.8.

Настраивал по этой доке.

 

Есть какие-нибудь идеи?

Share this post


Link to post
Share on other sites

За 1 день выкачать 50 Гб трафика при тарифе 512к просто не реально физически. Поверю до 4 Гб в сутки. За вчерашний день человек 5-6 имеют в статистике по 40-50 гб. В табличках биллинга какой-то трафик на ИП абонентов действительно есть, сессии/порты/ИП есть. Но физически такой трафик не может успеть пройти через нас за 1 день. Проблему c Lanbilling-ом пока не признаю, т.к. на фряхе/циске 7204 такой проблемы нет.

 

PKTTYPE = broadcast and PKTTYPE = multicast are your "friends" :)

 

V9 still not supported :(

Share this post


Link to post
Share on other sites

За 1 день выкачать 50 Гб трафика при тарифе 512к просто не реально физически. Поверю до 4 Гб в сутки. За вчерашний день человек 5-6 имеют в статистике по 40-50 гб. В табличках биллинга какой-то трафик на ИП абонентов действительно есть, сессии/порты/ИП есть. Но физически такой трафик не может успеть пройти через нас за 1 день. Проблему c Lanbilling-ом пока не признаю, т.к. на фряхе/циске 7204 такой проблемы нет.

 

PKTTYPE = broadcast and PKTTYPE = multicast are your "friends" :)

 

V9 still not supported :(

Could be, could be. Now, with the transition to unlimited tariffs, the question was not relevant, no matter how many counted. But, thank you!

Share this post


Link to post
Share on other sites

sire а вообще трафик на интерфейсе виден? Если сделать iftop -i ethX -n что-либо покажет? В ifconfig ethX значения увеличиваются?

Share this post


Link to post
Share on other sites

sire а вообще трафик на интерфейсе виден? Если сделать iftop -i ethX -n что-либо покажет? В ifconfig ethX значения увеличиваются?

Если я правильно понимаю Ваш вопрос, то я уже писал "На сервере tcpdump показывает зеркалируемый трафик и на eth1, и на br0. Но счётчик iptables для правила -j NETFLOW равен нулю, и ipt_netflow не видит трафик с зеркалируемого порта."

Share this post


Link to post
Share on other sites

Уважаемые,

 

хочу поставить ipt_netflow в режиме port mirror через Catalyst 3560.

 

Операционная система Debian 6.0, текущая версия ядра:

Linux mon 2.6.32-5-686 #1 SMP Sun Sep 23 09:49:36 UTC 2012 i686 GNU/Linux

 

Есть ли стабильные пакеты для Debian? Нужно ли искать определенную версию под определенное ядро?

 

Судя по топику работа с ipt_netflow представляет из себя непрерывные глюки.

Печально когда люди описывают свои проблемы, но не пишут о положительных результатах.

Share this post


Link to post
Share on other sites

Не всю ветку читал, но скажу что у нас работает ipt_NETFLOW. Насколько помню, то патчили именно ядро. С Дебианом не получилось, а с Убунтой срослось.

# uname -a
Linux nfcollector1 2.6.32.15 #1 SMP Mon Jun 7 12:41:36 AQTT 2010 i686 GNU/Linux

Пережевывает до 7 гигабит трафика, выше начинаются проблемы. Но это беда решается установкой дополнительного тазика.

Share this post


Link to post
Share on other sites

Поставил ipt_netflow, ядро 2.6.32-5-686, Debian 6

Модуль скомпилировался и встал без проблем. Настроил бридж:

 

brctl addbr br0
brctl addif br0 eth1
ifconfig br0 up
brctl setageing br0 0
/sbin/ifconfig eth1 promisc
/sbin/ifconfig br0 promisc

 

iptables -A FORWARD -i br0 -j NETFLOW

Трафик на бридже есть, в - нетфлоу - нет!Ладно, добавил в правилах

 

iptables -A INPUT -i br0 -j NETFLOW

Запустил пинг - netflow его видит!

 

Что я не доделал?

 

Update. Проблема была в том, что не был создан и добавлен в бридж второй интерфейс dummy0. Без этого не происходит форвардинга пакетов и iptabes FORWARD соответственно не может их переслать в назначение NETFLOW.

 

Правильнее будет сделать как то так:

 

/sbin/ifconfig eth1 promisc
/sbin/ifconfig dummy0 up
/usr/sbin/brctl addbr br0
/usr/sbin/brctl addif br0 eth1
/usr/sbin/brctl addif br0 dummy0
/sbin/ifconfig br0 up
/usr/sbin/brctl setageing br0 0

Share this post


Link to post
Share on other sites

Что я не доделал?

 

Бридж он же как бы эмулятор свитча. Пакет приешел, свитч смотрит куда его слать, получателя нету? Значит не шлем а тихо прибиваем после PREROUTING но до FORWARD и INPUT.

 

Как вариант, на машине с бриджем можно поднять дефолтовый маршрут на blackhole. По идее тогда трафик получит формального получателя и FORWARD начнет работать.

Share this post


Link to post
Share on other sites

Не совсем так. Пакет пришедший на bridge попадет собственно на IP и cможет обрабатываться iptables только если dst mac принадлежит самой машине. В случае с отзеркалированным трафиком dst mac'и пакетов - это mac'и клиентов либо шлюза.

Чтобы все заработало нужно при помощи ebtables "вытолкнуть" пакет с уровня Ethernet на уровень IP.

Share this post


Link to post
Share on other sites

Не совсем так. Пакет пришедший на bridge попадет собственно на IP и cможет обрабатываться iptables только если dst mac принадлежит самой машине. В случае с отзеркалированным трафиком dst mac'и пакетов - это mac'и клиентов либо шлюза.

Чтобы все заработало нужно при помощи ebtables "вытолкнуть" пакет с уровня Ethernet на уровень IP.

 

Мне кажется что ebtables не обязателен:

http://habrahabr.ru/qa/29447/

 

Другой вопрос, что в инструкции написано создать eth0 и dummy0, а я этого не сделал! Поэтому трафик и не форвардится. Проверил, так и есть, как только добавил второй интерфейс в бридж на него пошел трафик и iptables его видит. В этом вся суть хака.

 

Посылаю лучи поноса crown, который своим конфигом марал топик. Некультурно выкладывать глючные конфиги и не давать после рабочий вариант.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.