Страница 1 из 1
Трабла с flow-capture и flow-fanout
Добавлено: 2010-11-07 22:15:35
Герцог Багратион
Привет всем. Проблема у меня такого характра - Flow_fanout не отправляет пакеты.
Вот rc.conf:
Код: Выделить всё
flow_capture_enable="YES"
flow_capture_localip="127.0.0.1"
flow_capture_remoteip="10.10.254.1"
flow_capture_port="9998"
flow_capture_datadir="/netflow/all"
flow_capture_flags="-S60 -z9 -n95 -N0"
flow_fanout_enable="YES"
flow_fanout_localip="127.0.0.1"
flow_fanout_remoteip="10.10.254.1"
flow_fanout_port="9996"
flow_fanout_export="127.0.0.1/127.0.0.1/9998"
flow_fanout слушает входящий трафик на порту 9996 и должна отправлять его на 127.0.0.1:9998. tcpdump говорит, что трафик на 10.10.254.1:9996 приходит, но дальше он никуда не идет. Даже pf отключил - не работает, хотя пинги проходят. Проверил версии ПО (сравнил с работающей версией) - все рабочее. flow_capture запущена, но файлов в /netflow/all нет.
Помогите разобраться. Заранее благодраен.
Re: Трабла с flow-capture и flow-fanout
Добавлено: 2010-11-07 23:05:47
hizel
у flow_fanout нет параметра _localip
и не понятно зачем в такой схеме как у вас вообще нужен flow_fanout
Re: Трабла с flow-capture и flow-fanout
Добавлено: 2010-11-07 23:17:28
Герцог Багратион
hizel писал(а):у flow_fanout нет параметра _localip
и не понятно зачем в такой схеме как у вас вообще нужен flow_fanout
Позже добавится и другйо ip. Да и на другой машине с _localip работает.
Вопрос даже по сути - почему не создается ни один файл от flow_capture ? Даже на диру права 777 уже поставил.
Re: Трабла с flow-capture и flow-fanout
Добавлено: 2010-11-07 23:40:58
hizel
для того чтобы создавались файлы к flow_capture должен приходить netflow-трафик, чего в вашем случае не происходит, очевидно
особенно доставляет
Код: Выделить всё
flow_capture_localip="127.0.0.1"
flow_capture_remoteip="10.10.254.1"
эта связка
вы плохо раскурили что написано в соответствующих rc скриптах и man-ах
Re: Трабла с flow-capture и flow-fanout
Добавлено: 2010-11-07 23:48:16
Герцог Багратион
hizel писал(а):для того чтобы создавались файлы к flow_capture должен приходить netflow-трафик, чего в вашем случае не происходит, очевидно
особенно доставляет
Код: Выделить всё
flow_capture_localip="127.0.0.1"
flow_capture_remoteip="10.10.254.1"
эта связка
вы плохо раскурили что написано в соответствующих rc скриптах и man-ах
Местами поменял:
Код: Выделить всё
flow_capture_localip="10.10.254.1"
flow_capture_remoteip="127.0.0.1"
В мане читал:
Код: Выделить всё
# Add the following line to /etc/rc.conf to enable flow-capture:
# flow_capture_enable (bool): Set it to "YES" to enable flow-capture daemon.
# Set to "NO" by default.
# flow_capture_datadir (str): Base flow data directory.
# Default is "/var/db/flows"
# flow_capture_localip (str): IP address to bind to
# Default to "0.0.0.0"
# flow_capture_remoteip (str): IP address to accept flows from
# Default to "0.0.0.0" or all IPs
# flow_capture_port (int): Port to accept flow data on
# Default is "8787"
# flow_capture_flags (str): Custom additional arguments to be passed
# to flow-collector (default "-E 128M").
flow_capture_localip - биндовый
flow_capture_remoteip - слушать поток.
в
tcpdump -vvvi lo0 тишина.
Re: Трабла с flow-capture и flow-fanout
Добавлено: 2010-11-08 0:01:54
Герцог Багратион
Код: Выделить всё
flow_capture_localip="127.0.0.1"
flow_capture_remoteip="127.0.0.1"
Так выглядит. а трафика все равно нет.
Re: Трабла с flow-capture и flow-fanout
Добавлено: 2010-11-08 0:12:28
hizel
если трафика нет, что-то не так с flow_fanout ;]
Re: Трабла с flow-capture и flow-fanout
Добавлено: 2010-11-08 0:17:40
Герцог Багратион
hizel писал(а):
если трафика нет, что-то не так с flow_fanout ;]
Вот так:
Код: Выделить всё
# tcpdump -vv port 9996
tcpdump: listening on re0, link-type EN10MB (Ethernet), capture size 96 bytes
02:15:41.122817 IP (tos 0x0, ttl 64, id 21118, offset 0, flags [none], proto UDP (17), length 1492) 10.10.2.1.65500 > flowstat.localhost.9996: UDP, length 1464
02:15:49.214131 IP (tos 0x0, ttl 64, id 21486, offset 0, flags [none], proto UDP (17), length 1492) 10.10.2.1.65500 > flowstat.localhost.9996: UDP, length 1464
02:15:49.875624 IP (tos 0x0, ttl 64, id 21515, offset 0, flags [none], proto UDP (17), length 1492) 10.10.2.1.65500 > flowstat.localhost.9996: UDP, length 1464
Траф на flow-fanout приходит, а дальше нет ничего.
Вот текущий rc.conf:
Код: Выделить всё
flow_capture_enable="YES"
flow_capture_localip="127.0.0.1"
flow_capture_remoteip="127.0.0.1"
flow_capture_port="9998"
flow_capture_datadir="/usr/local/_dump/ng"
flow_capture_flags="-S60 -z9 -n95 -N0"
flow_fanout_enable="YES"
flow_fanout_ip="10.10.254.1"
flow_fanout_remoteip="10.10.254.1"
flow_fanout_port="9996"
flow_fanout_export="127.0.0.1/127.0.0.1/9998 10.10.254.1/10.10.0.2/9997"
Re: Трабла с flow-capture и flow-fanout
Добавлено: 2010-11-08 0:29:07
hizel
Код: Выделить всё
# flow_fanout_remoteip (str): IP address to accept flows from
# Default to "0.0.0.0" or all IPs
прочитать пять раз
Re: Трабла с flow-capture и flow-fanout
Добавлено: 2010-11-08 0:32:43
Герцог Багратион
hizel писал(а):Код: Выделить всё
# flow_fanout_remoteip (str): IP address to accept flows from
# Default to "0.0.0.0" or all IPs
прочитать пять раз
ip адрес для приема flow По умолчанию 0.0.0.0 или на все IP.
Я и указал ip сетевого ифейса на котором слушать статистику. что не так? Или мне нужно указать от кого слушать?
Re: Трабла с flow-capture и flow-fanout
Добавлено: 2012-03-20 14:38:54
_Andy
Бампну пожалуй.
Не могу заставить работать утилиту flow-fanout. Мне надо зеркалировать
поток который идет на мой сервер с сохранением ip адреса источника.
Смотрю интерфейсы tcpdump'ом - вообще ничего не отправляется.
Код: Выделить всё
[root@кряк1 ~]# cat /etc/redhat-release
CentOS release 6.2 (Final)
[root@кряк1 ~]# rpm -qa | grep flow-tools
flow-tools-docs-0.68.5.1-1.el6.x86_64
flow-tools-0.68.5.1-1.el6.x86_64
[root@rt-кряк1 ~]#
Порядок запуска значение имеет?