Трабла с flow-capture и flow-fanout

[Герцог Багратион]

Привет всем. Проблема у меня такого характра - Flow_fanout не отправляет пакеты.
Вот rc.conf:

Код: Выделить всё

flow_capture_enable="YES"
flow_capture_localip="127.0.0.1"
flow_capture_remoteip="10.10.254.1"
flow_capture_port="9998"
flow_capture_datadir="/netflow/all"
flow_capture_flags="-S60 -z9 -n95 -N0"

flow_fanout_enable="YES"
flow_fanout_localip="127.0.0.1"
flow_fanout_remoteip="10.10.254.1"
flow_fanout_port="9996"
flow_fanout_export="127.0.0.1/127.0.0.1/9998"

flow_fanout слушает входящий трафик на порту 9996 и должна отправлять его на 127.0.0.1:9998. tcpdump говорит, что трафик на 10.10.254.1:9996 приходит, но дальше он никуда не идет. Даже pf отключил - не работает, хотя пинги проходят. Проверил версии ПО (сравнил с работающей версией) - все рабочее. flow_capture запущена, но файлов в /netflow/all нет.

Помогите разобраться. Заранее благодраен.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[hizel]

у flow_fanout нет параметра _localip
и не понятно зачем в такой схеме как у вас вообще нужен flow_fanout

[Герцог Багратион]

у flow_fanout нет параметра _localip
и не понятно зачем в такой схеме как у вас вообще нужен flow_fanout

Позже добавится и другйо ip. Да и на другой машине с _localip работает.
Вопрос даже по сути - почему не создается ни один файл от flow_capture ? Даже на диру права 777 уже поставил.

[hizel]

для того чтобы создавались файлы к flow_capture должен приходить netflow-трафик, чего в вашем случае не происходит, очевидно

особенно доставляет

Код: Выделить всё

flow_capture_localip="127.0.0.1"
flow_capture_remoteip="10.10.254.1"

эта связка

вы плохо раскурили что написано в соответствующих rc скриптах и man-ах

[Герцог Багратион]

для того чтобы создавались файлы к flow_capture должен приходить netflow-трафик, чего в вашем случае не происходит, очевидно

особенно доставляет

Код: Выделить всё

flow_capture_localip="127.0.0.1"
flow_capture_remoteip="10.10.254.1"

эта связка

вы плохо раскурили что написано в соответствующих rc скриптах и man-ах

Местами поменял:

Код: Выделить всё

flow_capture_localip="10.10.254.1"
flow_capture_remoteip="127.0.0.1"

В мане читал:

Код: Выделить всё

# Add the following line to /etc/rc.conf to enable flow-capture:
# flow_capture_enable (bool):   Set it to "YES" to enable flow-capture daemon.
#                               Set to "NO" by default.
# flow_capture_datadir (str):   Base flow data directory.
#                               Default is "/var/db/flows"
# flow_capture_localip (str):   IP address to bind to
#                               Default to "0.0.0.0"
# flow_capture_remoteip (str):  IP address to accept flows from
#                               Default to "0.0.0.0" or all IPs
# flow_capture_port (int):      Port to accept flow data on
#                               Default is "8787"
# flow_capture_flags (str):     Custom additional arguments to be passed
#                               to flow-collector (default "-E 128M").

flow_capture_localip - биндовый
flow_capture_remoteip - слушать поток.

в tcpdump -vvvi lo0 тишина.

[Герцог Багратион]

Код: Выделить всё

flow_capture_localip="127.0.0.1"
flow_capture_remoteip="127.0.0.1"

Так выглядит. а трафика все равно нет.

[hizel]

Код: Выделить всё

tcpdump -vvvi lo0

если трафика нет, что-то не так с flow_fanout ;]

[Герцог Багратион]

Код: Выделить всё

tcpdump -vvvi lo0

если трафика нет, что-то не так с flow_fanout ;]

Вот так:

Код: Выделить всё

# tcpdump -vv port 9996
tcpdump: listening on re0, link-type EN10MB (Ethernet), capture size 96 bytes
02:15:41.122817 IP (tos 0x0, ttl 64, id 21118, offset 0, flags [none], proto UDP (17), length 1492) 10.10.2.1.65500 > flowstat.localhost.9996: UDP, length 1464
02:15:49.214131 IP (tos 0x0, ttl 64, id 21486, offset 0, flags [none], proto UDP (17), length 1492) 10.10.2.1.65500 > flowstat.localhost.9996: UDP, length 1464
02:15:49.875624 IP (tos 0x0, ttl 64, id 21515, offset 0, flags [none], proto UDP (17), length 1492) 10.10.2.1.65500 > flowstat.localhost.9996: UDP, length 1464

Траф на flow-fanout приходит, а дальше нет ничего.

Вот текущий rc.conf:

Код: Выделить всё

flow_capture_enable="YES"
flow_capture_localip="127.0.0.1"
flow_capture_remoteip="127.0.0.1"
flow_capture_port="9998"

flow_capture_datadir="/usr/local/_dump/ng"
flow_capture_flags="-S60 -z9 -n95 -N0"

flow_fanout_enable="YES"
flow_fanout_ip="10.10.254.1"
flow_fanout_remoteip="10.10.254.1"
flow_fanout_port="9996"
flow_fanout_export="127.0.0.1/127.0.0.1/9998 10.10.254.1/10.10.0.2/9997"

[hizel]

Код: Выделить всё

# flow_fanout_remoteip (str):   IP address to accept flows from
#                               Default to "0.0.0.0" or all IPs

прочитать пять раз

[Герцог Багратион]

Код: Выделить всё

# flow_fanout_remoteip (str):   IP address to accept flows from
#                               Default to "0.0.0.0" or all IPs

прочитать пять раз

ip адрес для приема flow По умолчанию 0.0.0.0 или на все IP.
Я и указал ip сетевого ифейса на котором слушать статистику. что не так? Или мне нужно указать от кого слушать?

[_Andy]

Бампну пожалуй.
Не могу заставить работать утилиту flow-fanout. Мне надо зеркалировать
поток который идет на мой сервер с сохранением ip адреса источника.
Смотрю интерфейсы tcpdump'ом - вообще ничего не отправляется.

Код: Выделить всё

[root@кряк1 ~]# cat /etc/redhat-release 
CentOS release 6.2 (Final)
[root@кряк1 ~]# rpm -qa | grep flow-tools
flow-tools-docs-0.68.5.1-1.el6.x86_64
flow-tools-0.68.5.1-1.el6.x86_64
[root@rt-кряк1 ~]#

Порядок запуска значение имеет?