crown Опубликовано 17 января, 2012 · Жалоба Some update: I think it is Netflow 5 format rrelated problem. it doesn't export ingress and egress information in packets. I think Netflow v9 does! I was looking how to send v9 flows using ipt_netflow no luck! README and forum don't suggest any solution :( The problem is that it is a passive, non transitive traffic. Any suggestions ho to get accurate view for IN/OUT traffic in promisc mode? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
_INF_ Опубликовано 28 февраля, 2012 · Жалоба Собрал ipt_NETFLOW 1.7.1 для CentOS/RHEL/SL 6 пока только для архитектуры x86_64, ставим так Устанавливаем репозиторий rpm -ihv http://mirror.yandex.ru/epel/6/x86_64/epel-release-6-5.noarch.rpm rpm -ihv http://centos.alt.ru/pub/repository/centos/6/x86_64/centalt-release-6-1.noarch.rpm ставим софт yum install ipt_netflow kmod-ipt_netflow Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
breusovok Опубликовано 2 мая, 2012 · Жалоба Есть проблема: В сети 3 наса, на всех стоит ubuntu 11.10, на ней крутится accel-ppp+iptables(v1.4.9.1, собирал из исходняков)+ipt_netflow(1.7.1, также их исходняков) uname -a Linux ppp4 3.0.0-12-server #20-Ubuntu SMP Fri Oct 7 16:36:30 UTC 2011 x86_64 x86_64 x86_64 GNU/Linux Периодически, некоторым пользователям начисляется огромное кол-во трафика, от наса не зависит, такое встречается на всех трех насах. коллектор netflow - демон Lanbilling 1.9, когда была фряха с mpd, таких проблем не было. Никто не сталкивался с такой заморочкой? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orlik Опубликовано 2 мая, 2012 · Жалоба Есть проблема: Периодически, некоторым пользователям начисляется огромное кол-во трафика а не пробовали смотреть что там за трафик ? и что значит огромный ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
breusovok Опубликовано 2 мая, 2012 · Жалоба За 1 день выкачать 50 Гб трафика при тарифе 512к просто не реально физически. Поверю до 4 Гб в сутки. За вчерашний день человек 5-6 имеют в статистике по 40-50 гб. В табличках биллинга какой-то трафик на ИП абонентов действительно есть, сессии/порты/ИП есть. Но физически такой трафик не может успеть пройти через нас за 1 день. Проблему c Lanbilling-ом пока не признаю, т.к. на фряхе/циске 7204 такой проблемы нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
KotikBSd Опубликовано 3 мая, 2012 · Жалоба ищите всплекс в файлах :) я думаю у вас же не один нетфлоу вайл создается в сутки... так же не стоит отменять тот факт что может у абонента шейпер не отработал? и ни о каких 512 речи не шло? :) в общем нужно максимально собрать данные отовсех мест. например данные по загрузке порта, если свтч у правляемый, данные аккаунтинг пакетов ppp наса, итд, и всё сравнить. Ну а если ничего у вас кроме данных netflow нет, это печально, так как это не правильно, и разобраться в этой проблеме будет очень сложно... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
breusovok Опубликовано 7 мая, 2012 · Жалоба Ну почему нет ничего, кроме нетфлоу? Есть статистика с портов коммутатора, с портов наса, и т.п. Но всплеска трафика нет нигде! Нас абонентов не шейпит, шейпит выше железяка, там если ИП не попал не в одну таблицу шейпинга (ipfw), он попадает в табличку на 64k. Так что это точно не в шейпере дело. А вот насчет файлов - если можно подробнее. Где должны создаваться эти файлы? на насе? или на коллекторе? У меня в качестве коллектора стоит биллинг Lanbilling, на сколько я знаю он файлы не создает, пишет напрямую в базу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
QWE Опубликовано 14 мая, 2012 · Жалоба подскажите подходящий дистр Linux для работы модуля ipt_netflow судя из описания ipt_netflow максимальная версия ядра может быть 2.6.37 2011-01-25 ABC * ipt_NETFLOW.c: compile compatibility with 2.6.37 (ipt_*) * ipt_NETFLOW.c: compile compatibility with 2.6.36.3 (NIPQUAD) CentOS6.2 на сервер не ставиться ( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
breusovok Опубликовано 16 мая, 2012 · Жалоба У меня на Дебиане (Убунту) 3.0.0.12 робит, правда есть непонятные глюки, пока не знаю с чем связаные. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
settler001 Опубликовано 23 мая, 2012 · Жалоба подскажите подходящий дистр Linux для работы модуля ipt_netflow судя из описания ipt_netflow максимальная версия ядра может быть 2.6.37 2011-01-25 ABC * ipt_NETFLOW.c: compile compatibility with 2.6.37 (ipt_*) * ipt_NETFLOW.c: compile compatibility with 2.6.36.3 (NIPQUAD) CentOS6.2 на сервер не ставиться ( Debian 6, самосборное ядро 3.3.6 ipt_netflow из cvs работает нормально. Пока правда еще и суток не прошло :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sn0wle0 Опубликовано 23 мая, 2012 · Жалоба подскажите подходящий дистр Linux для работы модуля ipt_netflow судя из описания ipt_netflow максимальная версия ядра может быть 2.6.37 2011-01-25 ABC * ipt_NETFLOW.c: compile compatibility with 2.6.37 (ipt_*) * ipt_NETFLOW.c: compile compatibility with 2.6.36.3 (NIPQUAD) CentOS6.2 на сервер не ставиться ( У меня на Scientific linux и на Centos 6 ipt_netflow работает прекрасно. Ставил отсюда: http://centos.alt.ru/pub/repository/centos/6/x86_64/ipt_netflow-1.7.1-1.el6.x86_64.rpm http://centos.alt.ru/pub/repository/centos/6/x86_64/kmod-ipt_netflow-1.7.1-1.el6.x86_64.rpm Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 27 июня, 2012 (изменено) · Жалоба дополнение , проблема проявляется когда делаю копию трафика и tx и rx , если делать например только RX то все работает нормально Та же самая проблема, бьемся третий день. Включаем миррор только TX - iptables не видит вообще ничего, а при RX - отлично ловится :( У Вас в итоге что-то получилось? Update: починили, проблема была в D-Link свитче, который не додумывался снимать теги при мирроринге трафика. Изменено 28 сентября, 2012 пользователем pavel.odintsov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sire Опубликовано 8 октября, 2012 · Жалоба У меня не работает хак с бриджем и дамми интерфейсом. Есть сервер, подключенный к порту коммутатора, на котором настроен порт мирроринг. Зеркалируется входящий и исходящий трафик с одного порта на порт, к которому подключен сервер. На сервере tcpdump показывает зеркалируемый трафик и на eth1, и на br0. Но счётчик iptables для правила -j NETFLOW равен нулю, и ipt_netflow не видит трафик с зеркалируемого порта. На сервере стоит клон RHEL 6.1 с ядром 2.6.32-131.0.15.el6.x86_64, iptables 1.4.7, ipt_netflow 1.8. Настраивал по этой доке. Есть какие-нибудь идеи? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 8 октября, 2012 · Жалоба sire у бриджа точно setaging отключено? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
crown Опубликовано 10 октября, 2012 · Жалоба За 1 день выкачать 50 Гб трафика при тарифе 512к просто не реально физически. Поверю до 4 Гб в сутки. За вчерашний день человек 5-6 имеют в статистике по 40-50 гб. В табличках биллинга какой-то трафик на ИП абонентов действительно есть, сессии/порты/ИП есть. Но физически такой трафик не может успеть пройти через нас за 1 день. Проблему c Lanbilling-ом пока не признаю, т.к. на фряхе/циске 7204 такой проблемы нет. PKTTYPE = broadcast and PKTTYPE = multicast are your "friends" :) V9 still not supported :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
breusovok Опубликовано 11 октября, 2012 · Жалоба За 1 день выкачать 50 Гб трафика при тарифе 512к просто не реально физически. Поверю до 4 Гб в сутки. За вчерашний день человек 5-6 имеют в статистике по 40-50 гб. В табличках биллинга какой-то трафик на ИП абонентов действительно есть, сессии/порты/ИП есть. Но физически такой трафик не может успеть пройти через нас за 1 день. Проблему c Lanbilling-ом пока не признаю, т.к. на фряхе/циске 7204 такой проблемы нет. PKTTYPE = broadcast and PKTTYPE = multicast are your "friends" :) V9 still not supported :( Could be, could be. Now, with the transition to unlimited tariffs, the question was not relevant, no matter how many counted. But, thank you! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sire Опубликовано 15 октября, 2012 · Жалоба sire у бриджа точно setaging отключено? Да, пробовал и с включенным, и с отключенным :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 15 октября, 2012 · Жалоба sire а вообще трафик на интерфейсе виден? Если сделать iftop -i ethX -n что-либо покажет? В ifconfig ethX значения увеличиваются? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sire Опубликовано 25 октября, 2012 · Жалоба sire а вообще трафик на интерфейсе виден? Если сделать iftop -i ethX -n что-либо покажет? В ifconfig ethX значения увеличиваются? Если я правильно понимаю Ваш вопрос, то я уже писал "На сервере tcpdump показывает зеркалируемый трафик и на eth1, и на br0. Но счётчик iptables для правила -j NETFLOW равен нулю, и ipt_netflow не видит трафик с зеркалируемого порта." Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sonne Опубликовано 11 февраля, 2013 · Жалоба Уважаемые, хочу поставить ipt_netflow в режиме port mirror через Catalyst 3560. Операционная система Debian 6.0, текущая версия ядра: Linux mon 2.6.32-5-686 #1 SMP Sun Sep 23 09:49:36 UTC 2012 i686 GNU/Linux Есть ли стабильные пакеты для Debian? Нужно ли искать определенную версию под определенное ядро? Судя по топику работа с ipt_netflow представляет из себя непрерывные глюки. Печально когда люди описывают свои проблемы, но не пишут о положительных результатах. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 13 февраля, 2013 · Жалоба Не всю ветку читал, но скажу что у нас работает ipt_NETFLOW. Насколько помню, то патчили именно ядро. С Дебианом не получилось, а с Убунтой срослось. # uname -a Linux nfcollector1 2.6.32.15 #1 SMP Mon Jun 7 12:41:36 AQTT 2010 i686 GNU/Linux Пережевывает до 7 гигабит трафика, выше начинаются проблемы. Но это беда решается установкой дополнительного тазика. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sonne Опубликовано 13 февраля, 2013 · Жалоба Поставил ipt_netflow, ядро 2.6.32-5-686, Debian 6 Модуль скомпилировался и встал без проблем. Настроил бридж: brctl addbr br0 brctl addif br0 eth1 ifconfig br0 up brctl setageing br0 0 /sbin/ifconfig eth1 promisc /sbin/ifconfig br0 promisc iptables -A FORWARD -i br0 -j NETFLOW Трафик на бридже есть, в - нетфлоу - нет!Ладно, добавил в правилах iptables -A INPUT -i br0 -j NETFLOW Запустил пинг - netflow его видит! Что я не доделал? Update. Проблема была в том, что не был создан и добавлен в бридж второй интерфейс dummy0. Без этого не происходит форвардинга пакетов и iptabes FORWARD соответственно не может их переслать в назначение NETFLOW. Правильнее будет сделать как то так: /sbin/ifconfig eth1 promisc /sbin/ifconfig dummy0 up /usr/sbin/brctl addbr br0 /usr/sbin/brctl addif br0 eth1 /usr/sbin/brctl addif br0 dummy0 /sbin/ifconfig br0 up /usr/sbin/brctl setageing br0 0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 14 февраля, 2013 · Жалоба Что я не доделал? Бридж он же как бы эмулятор свитча. Пакет приешел, свитч смотрит куда его слать, получателя нету? Значит не шлем а тихо прибиваем после PREROUTING но до FORWARD и INPUT. Как вариант, на машине с бриджем можно поднять дефолтовый маршрут на blackhole. По идее тогда трафик получит формального получателя и FORWARD начнет работать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
agr Опубликовано 14 февраля, 2013 · Жалоба Не совсем так. Пакет пришедший на bridge попадет собственно на IP и cможет обрабатываться iptables только если dst mac принадлежит самой машине. В случае с отзеркалированным трафиком dst mac'и пакетов - это mac'и клиентов либо шлюза. Чтобы все заработало нужно при помощи ebtables "вытолкнуть" пакет с уровня Ethernet на уровень IP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sonne Опубликовано 14 февраля, 2013 · Жалоба Не совсем так. Пакет пришедший на bridge попадет собственно на IP и cможет обрабатываться iptables только если dst mac принадлежит самой машине. В случае с отзеркалированным трафиком dst mac'и пакетов - это mac'и клиентов либо шлюза. Чтобы все заработало нужно при помощи ebtables "вытолкнуть" пакет с уровня Ethernet на уровень IP. Мне кажется что ebtables не обязателен: http://habrahabr.ru/qa/29447/ Другой вопрос, что в инструкции написано создать eth0 и dummy0, а я этого не сделал! Поэтому трафик и не форвардится. Проверил, так и есть, как только добавил второй интерфейс в бридж на него пошел трафик и iptables его видит. В этом вся суть хака. Посылаю лучи поноса crown, который своим конфигом марал топик. Некультурно выкладывать глючные конфиги и не давать после рабочий вариант. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...