ixi Опубликовано 4 февраля, 2016 · Жалоба Добрый день! Решил установить nfqfilter на физический сервер с Centos 7 и зеркалить трафик с коммутатора. Все настроил, пакеты бегут, но на nfqfilter не попадают, и в iptables, видимо, тоже, так как счетчики не растут. В чем может быть проблема? 4: enp13s0f1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000 link/ether 90:e2:ba:02:a7:99 brd ff:ff:ff:ff:ff:ff Настройте интерфейс, и должно заработать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
evgen.v Опубликовано 4 февраля, 2016 · Жалоба Добрый день! Решил установить nfqfilter на физический сервер с Centos 7 и зеркалить трафик с коммутатора. Все настроил, пакеты бегут, но на nfqfilter не попадают, и в iptables, видимо, тоже, так как счетчики не растут. В чем может быть проблема? 4: enp13s0f1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000 link/ether 90:e2:ba:02:a7:99 brd ff:ff:ff:ff:ff:ff Настройте интерфейс, и должно заработать. Тестили какое-то время другие системы блокировки, коммерческие, так там только на исходящем интерфейсе настраивался IP адрес, на входящем не было адреса, и все работало. Неужели тут не так? Обязательно надо на входящем интерфейсе указывать адрес? Пакеты же видно что идут Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wingman Опубликовано 5 февраля, 2016 · Жалоба Оно рассчитано на перехват роутящегося трафика, а не на зеркалирование. Правила в iptables у вас что перехватывать-то будут, по вашему? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
evgen.v Опубликовано 9 февраля, 2016 · Жалоба Несколько раз в этой теме мне рекомендовали зеркалировать трафик - настроил зеркало. Теперь говорят, что не рассчитано на зеркалирование. Чему верить то? Вот нашел мануал по настройке интерфейсов centos с редуктором для работы с зеркалированным трафиком, если настроить по нему - должен будет трафик попадать на iptables и дальше на nfqfilter? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wingman Опубликовано 9 февраля, 2016 · Жалоба Софт разный, для разного софта - разные советы. Редуктор, видимо, умеет работать с зеркалированным трафиком, если так написано в его мануалах, но причём тут nfqfilter? Или Вы действительно искренне считаете, что ман одного софта должен подходить для совершенно другого софта? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yKpon Опубликовано 9 февраля, 2016 · Жалоба парни, вопрос по nfqfilter_config, что-то не взлетает Can't open '': Нет такого файла или каталога at ./make_files.pl line 362. секция [bGP] в конфиге закрыта Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
evgen.v Опубликовано 9 февраля, 2016 · Жалоба Софт разный, для разного софта - разные советы. Редуктор, видимо, умеет работать с зеркалированным трафиком, если так написано в его мануалах, но причём тут nfqfilter? Или Вы действительно искренне считаете, что ман одного софта должен подходить для совершенно другого софта? :) Ну я искренне надеюсь, что совет делать зеркалку был дан не просто так, поэтому пришлось искать, как же все таки настроить интерфейсы на центосе, чтоб он принимал трафик. Но так и быть, раз уж с зеркалированием не вышло - буду ковыряться с маршрутизированием тэтого трафика... Покажи таблицу маршрутизации ZAPRET С маршрутами все в порядке, там только маршрут по умолчанию, отправляющий на бордер, и маршрут до сети, в которой находятся оба сервера. # ip r default via XXX.XXX.XXX.246 {IP бордера} dev vlan761 proto static metric 400 XXX.XXX.XXX.240/29 dev vlan761 proto kernel scope link src XXX.XXX.XXX.243 metric 400 Делай зеркалку То есть надо зеркалить трафик на коммутаторе? Да Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 9 февраля, 2016 · Жалоба парни, вопрос по nfqfilter_config, что-то не взлетает Can't open '': Нет такого файла или каталога at ./make_files.pl line 362. секция [bGP] в конфиге закрыта Так делать нельзя. Секция BGP обязательна. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yKpon Опубликовано 9 февраля, 2016 · Жалоба парни, вопрос по nfqfilter_config, что-то не взлетает Can't open '': Нет такого файла или каталога at ./make_files.pl line 362. секция [bGP] в конфиге закрыта Так делать нельзя. Секция BGP обязательна. а как же быть если bgp+as подняты на микротике Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 9 февраля, 2016 · Жалоба а как же быть если у меня bgp+as подтяны на на микротике? Пускай программа создает файлы, вы просто не запускайте bgpd. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
micol Опубликовано 9 февраля, 2016 · Жалоба m-work nfqfilter # make Making all in src make[1]: Вход в каталог `/srv/scripts/rzs/nfqfilter/src' CXX main.o CXX nfqstatistictask.o nfqstatistictask.cpp: In member function ‘void NFQStatisticTask::OutStatistic()’: nfqstatistictask.cpp:60:99: error: invalid application of ‘sizeof’ to incomplete type ‘ndpi_detection_module_struct’ app.logger().information("nDPI memory (once): %s",formatBytes(sizeof(ndpi_detection_module_struct))); ^ make[1]: *** [nfqstatistictask.o] Ошибка 1 make[1]: Выход из каталога `/srv/scripts/rzs/nfqfilter/src' make: *** [all-recursive] Ошибка 1 не собирается что-то... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yKpon Опубликовано 9 февраля, 2016 (изменено) · Жалоба Пускай программа создает файлы, вы просто не запускайте bgpd. ./make_files.pl Exiting: failed to connect to any daemons. Could not open file '' Нет такого файла или каталога at ./make_files.pl line 92. Изменено 9 февраля, 2016 пользователем yKpon Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 9 февраля, 2016 · Жалоба m-work nfqfilter # make Making all in src make[1]: Вход в каталог `/srv/scripts/rzs/nfqfilter/src' CXX main.o CXX nfqstatistictask.o nfqstatistictask.cpp: In member function ‘void NFQStatisticTask::OutStatistic()’: nfqstatistictask.cpp:60:99: error: invalid application of ‘sizeof’ to incomplete type ‘ndpi_detection_module_struct’ app.logger().information("nDPI memory (once): %s",formatBytes(sizeof(ndpi_detection_module_struct))); ^ make[1]: *** [nfqstatistictask.o] Ошибка 1 make[1]: Выход из каталога `/srv/scripts/rzs/nfqfilter/src' make: *** [all-recursive] Ошибка 1 не собирается что-то... Какая ОС ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
micol Опубликовано 9 февраля, 2016 · Жалоба а как же быть если bgp+as подняты на микротике Если у вас микротик пограничный - то придется к тому же маршрутизацию от источника делать, иначе получите петлю... Если нет - то вроде как есть API у микротика, не знаю только на счет BGP в нем, но если оно там есть - допилить 15 минут будет Какая ОС ? Linux m-work 3.16.0-38-generic #52~14.04.1-Ubuntu SMP Fri May 8 09:43:57 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 9 февраля, 2016 · Жалоба Пускай программа создает файлы, вы просто не запускайте bgpd. ./make_files.pl Exiting: failed to connect to any daemons. Could not open file '' Нет такого файла или каталога at ./make_files.pl line 92. В APP.protocols не указан путь к файлу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yKpon Опубликовано 9 февраля, 2016 · Жалоба Если у вас микротик пограничный - то придется к тому же маршрутизацию от источника делать, иначе получите петлю... Если нет - то вроде как есть API у микротика, не знаю только на счет BGP в нем, но если оно там есть - допилить 15 минут будет да я не хочу блокировать микротиком, он у меня пограничный и BGP, я хочу фильтровать на брасе с дебианом =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 9 февраля, 2016 · Жалоба Linux m-work 3.16.0-38-generic #52~14.04.1-Ubuntu SMP Fri May 8 09:43:57 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux Какая версия nDPI установлена? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
micol Опубликовано 9 февраля, 2016 (изменено) · Жалоба Если у вас микротик пограничный - то придется к тому же маршрутизацию от источника делать, иначе получите петлю... Если нет - то вроде как есть API у микротика, не знаю только на счет BGP в нем, но если оно там есть - допилить 15 минут будет да я не хочу блокировать микротиком, он у меня пограничный и BGP, я хочу фильтровать на брасе с дебианом =) Так фильтруйте, если он там один и через него весь трафик идет... Вам квагу надо "выкосить" из генератора и в таблесы правило добавить Какая версия nDPI установлена? с репо? 1.4.0 А какую надо? Все, нашел. Сам дурак... Ушел качать 1.7 Изменено 9 февраля, 2016 пользователем micol Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 9 февраля, 2016 · Жалоба с репо? 1.4.0 А какую надо? Из README: Для сборки программы необходимы следующие библиотеки: libnetfilter_queue libnfnetlink Poco >= 1.6 nDPI = 1.7 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yKpon Опубликовано 9 февраля, 2016 (изменено) · Жалоба max1976, большое спасибо за проделанный труд и помощь! =) всё отрабатывает, но почему то плюётся много строк Exiting: failed to connect to any daemons. Exiting: failed to connect to any daemons. Exiting: failed to connect to any daemons. Exiting: failed to connect to any daemons. Exiting: failed to connect to any daemons. Exiting: failed to connect to any daemons. Exiting: failed to connect to any daemons. Exiting: failed to connect to any daemons. Exiting: failed to connect to any daemons. Exiting: failed to connect to any daemons. Exiting: failed to connect to any daemons. попробую выпилить квагу их скрипта =) Изменено 9 февраля, 2016 пользователем yKpon Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
micol Опубликовано 9 февраля, 2016 · Жалоба всё отрабатывает, но почему то плюётся много строк это попытки добавить через vtysh ip адреса для анонса через BGP а у вас кваги то нет), вот и ругает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yKpon Опубликовано 9 февраля, 2016 (изменено) · Жалоба для 443 порта какие должны быть правила? как написано в мане чтото не блокирует ещё когда делаю выгрузку часто ругается ./zapret.pl Subroutine _call redefined at (eval 129) line 50. Subroutine OperatorRequestService::want_som redefined at (eval 129) line 92. Subroutine AUTOLOAD redefined at (eval 129) line 109. Subroutine OperatorRequestService::sendRequest redefined at (eval 129) line 107. Subroutine OperatorRequestService::getLastDumpDateEx redefined at (eval 129) line 107. Subroutine OperatorRequestService::getLastDumpDate redefined at (eval 129) line 107. Subroutine OperatorRequestService::getResult redefined at (eval 129) line 107. Изменено 9 февраля, 2016 пользователем yKpon Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 10 февраля, 2016 · Жалоба ещё когда делаю выгрузку часто ругается ./zapret.pl Subroutine _call redefined at (eval 129) line 50. Subroutine OperatorRequestService::want_som redefined at (eval 129) line 92. Subroutine AUTOLOAD redefined at (eval 129) line 109. Subroutine OperatorRequestService::sendRequest redefined at (eval 129) line 107. Subroutine OperatorRequestService::getLastDumpDateEx redefined at (eval 129) line 107. Subroutine OperatorRequestService::getLastDumpDate redefined at (eval 129) line 107. Subroutine OperatorRequestService::getResult redefined at (eval 129) line 107. Посмотрите здесь Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 10 февраля, 2016 · Жалоба max1976, большое спасибо за проделанный труд и помощь! =) всё отрабатывает, но почему то плюётся много строк Exiting: failed to connect to any daemons. Exiting: failed to connect to any daemons. Exiting: failed to connect to any daemons. Exiting: failed to connect to any daemons. Exiting: failed to connect to any daemons. Exiting: failed to connect to any daemons. Exiting: failed to connect to any daemons. Exiting: failed to connect to any daemons. Exiting: failed to connect to any daemons. Exiting: failed to connect to any daemons. Exiting: failed to connect to any daemons. попробую выпилить квагу их скрипта =) Можете поделиться вариантом без кваги? Тоже хочу фильтровать на брасе с дебиан. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yKpon Опубликовано 10 февраля, 2016 · Жалоба max1976, коллеги помогли найти решение. Внесение следующего дополнения в скрипт: $XML::Simple::PREFERRED_PARSER = 'XML::Parser'; Решает проблему. Протестирвоано на CentOS и Fedora 23. куда именно вставили то, в перле я далеко не гуру Можете поделиться вариантом без кваги? Тоже хочу фильтровать на брасе с дебиан. да я просто квагу поставил, ничего не настраивал в ней, всё по дефолту как в примере конфига, ну по сути она просто так стоит =) знал бы перл выпилил бы её и email Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...