Дублируется трафик

[LMik]

зачем извращатся, когда
в mpd4 есть тоже netflow
который работает через тотже ng_netflow
только настраивается элементарно
тремя строчками

ну вопервых мпд4 глюченный, во вторых это не наглядно и этим невозможно управлять.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[hizel]

поповоду глючности это вы загнули =/
что касается наглядности
ngctl он и там и там все отлично показывает

дело в том что в данном случае это все по идее нинадо
так как есть Ъ cisco которая генерирует netflow
и по идее должна экспортировать в UTM

зачем лишние сущности

[sktv]

Я так понял клиенты получают по впн ип и висят на сервере на ng тунелях?

совершенно верно.
Теперь по пунктам, что я делаю.
1. на циске у меня такая штука прописана

Код: Выделить всё

interface fa 0/1
ip route-cache flow
!
interface cable 1/0
ip route-cache flow
!
ip route 0.0.0.0 0.0.0.0 192.168.3.1
ip flow-export version 5
ip flow-export dostinstion 192.168.3.1. 9996

Это убирать?
2. Убираю nsfd и ipfw
3. кидаю скрипт в rc.d
4. в ipfw пишу

Код: Выделить всё

ipfw -q add 4000 ngtee 30 ip from table(105) to any out via "ng*"
ipfw -q add 4001 ngtee 30 ip from any to table(105) in via "ng*"

5.удаляю свои правила с вязанные с tee

Верно?

[LMik]

1. no ip flow-export

2. Убираешь ipcad и nsad

3. Кидаешь скрипт в /usr/local/etc/rc.d/ну и запускаешь наверное

4. Пишешь и релоадишь ipfw

5. Удаляешь tee

Если у тебя > 1 таких серверов ОБЯЗАТЕЛЬНО в UTM прописывать для связки передачи ip-трафика ID Брэндмауера - это не что иное как источник нетфлоу для пользователя, или трафик начнет двоиться при передачи его между роутерами, так же при данной схеме он уже будет двоиться в пределах одного роутера т.к он считается на обоих интерфейсах одинаково.

Выходы есть, но пока сам не реализовывал т.к нет времени, пока внутрироутерный трафик у меня не считается.

[XliN]

ipfw не принимает правила. Пишу их в начале всех правил

Код: Выделить всё

{ipfw}  add 210 ngtee 30 ip from any to any out via "ng*"
{ipfw} add 215 ngtee 30 ip from any to any in via "ng*"

Код: Выделить всё

ipfw: getsockopt(IP_FW_ADD): invalid argument
ipfw: getsockopt(IP_FW_ADD): invalid argument

[LMik]

ipfw не принимает правила. Пишу их в начале всех правил

Код: Выделить всё

{ipfw}  add 210 ngtee 30 ip from any to any out via "ng*"
{ipfw} add 215 ngtee 30 ip from any to any in via "ng*"

Код: Выделить всё

ipfw: getsockopt(IP_FW_ADD): invalid argument
ipfw: getsockopt(IP_FW_ADD): invalid argument

Код: Выделить всё

#cat /boot/loader.conf
ng_tee_load="YES"
ng_ipfw_load="YES"

или kldload эти модули сделай на живой системе

[XliN]

скрипт ругается

Код: Выделить всё

Starting netflow....
ngctl: send msg: Function not implemented
Ok.

[LMik]

скрипт ругается

Код: Выделить всё

Starting netflow....
ngctl: send msg: Function not implemented
Ok.

ааа

ещё наверное нужно kldload ng_netflow и прописать это в лоадер, у меня он в ядро собран просто.

[XliN]

таже фигня

[LMik]

таже фигня

убери скрипт из rc.d или chown -x на него
ребут

дальше ngctl

и все команды ngctl по очереди вводи и показывай на чем ошибка идет.

[XliN]

Спасибо огромное. Все прекрасно работает. Скрипт правда не грузится автоматом, но это фигня. Еще раз спасибо.
З.Ы. Единственный касяк, что задержка около минуты полторы. А так всенормуль.
Но у меня еще куча вопросов. Пойду создавать тему на радостях )))
И еще раз спасибо.

[sktv]

Рано я радовался. Короче, считает тпафик не долго. Потом перестает. Приходится в ручную останавливать скрипт и снова запускать. Что это?

[LMik]

Рано я радовался. Короче, считает тпафик не долго. Потом перестает. Приходится в ручную останавливать скрипт и снова запускать. Что это?

Откуда такая уверенность? чтобы скрипт сам работал надо на него chmod +x.

У УТМ агрегация нетфлоу делается, причем криво, скорее всего нетфлоу то идет просто в базу ещё не записался.

tcpdump -ni ваш ифейс port 9996 - смотрите бегут ли пакетики

[sktv]

Точно не могу сказать, но я на ночь оставил и сегодня проверил, все вроде считает. Не ужели такая большая задержка? А chmod +x cтоит.

[LMik]

Точно не могу сказать, но я на ночь оставил и сегодня проверил, все вроде считает. Не ужели такая большая задержка? А chmod +x cтоит.

Если х стоит давай смотри dmesg -a где то что то ругается....

В УТМ агрегация ставится в параметрах, там 900 секунд вроде по дефолту.