|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Kirill Nuzhdin 2:5020/400 29 Nov 2005 13:19:39
To : Slava Trofimov
Subject : Re: Как правильно составлять конфиг для netflow?
--------------------------------------------------------------------------------
Slava Trofimov wrote:
> Доброго здравия тебе All!
>
> Дайте мне ссылки, где можно почитать об этом, сам разобраться нек могу.
> Взял я готовый скрипт Алексея, он в моем случае вообще не заработал:
>
> 00019 12934 7285569 tee 2000 ip from any to me in { via mgn or via svtk or
> via mmk }
> 00019 2515 224533 tee 2001 ip from not me to any out { via local or via
> ng* or via ppp* }
> 00019 650 813264 tee 2001 ip from 192.168.2.254 to any out { via local
> or via ng* or via ppp* }
> 00019 16403 3258628 tee 2001 ip from any to any out { via mgn or via svtk
> or via mmk }
>
> mgn, svtk, mmk - интернет интерфейсы провайдеров
> local - локальный езернет, ng* & ppp* ну понятно что это
>
> конфиг для netflow
>
> mkpeer netflow dummy iface0
> name .:dummy netflow
> mkpeer netflow: ksocket export inet/dgram/udp
> name netflow:export flowexport
> msg netflow:export connect inet/127.0.0.1:4444
>
> disconnect dummy
>
> mkpeer netflow: tee iface0 left2right
> name netflow:iface0 flow_in
> mkpeer flow_in: ksocket left inet/raw/divert
> name flow_in:left sflow_in
> msg sflow_in: bind inet/0.0.0.0:2000
> msg netflow: setdlt { iface=0 dlt=12 }
> msg netflow: setifindex { iface=0 index=1 }
> mkpeer netflow: tee iface1 left2right
> name netflow:iface1 flow_out
> mkpeer flow_out: ksocket left inet/raw/divert
> name flow_out:left sflow_out
> msg sflow_out: bind inet/0.0.0.0:2001
> msg netflow: setdlt { iface=1 dlt=12 }
> msg netflow: setifindex { iface=1 index=2 }
>
> В исходном варианте стояло right2left (вообще ничего не считал), методом тыка
> поставил left2right, хотя в моем случае логично первый все-таки ставить
> right2left, т.к. копируется входящий траффик
> Я почему привел правила ipfw с show, на них видно, что с 192.168.2.254 (это
> frox работает на нем), прошло какое-то кол-во трафика (я сам сгенерировал,
> файлик качнул), а в статистике (использую flow-tools) вот что
>
> flow-cat ./ft-v05.2005-11-29.100001+0500 | flow-print -f5 | grep 192.168.2.254
> 1129.10:03:47.455 1129.10:03:47.455 2 192.168.2.254 41572 6
> 192.168.1.3 2562 6 3 3 196
> 1129.10:03:47.455 1129.10:03:47.455 2 192.168.2.254 41572 6
> 192.168.1.3 2562 6 0 1 40
>
> можно сказать вообще ничего. Это первое, что сразу бросилось в глаза при
> проверке, остальное пока не проверял, но думаю раз тут так считает, то и в
> остальном на правильность надеятся не стоит. Подскажите где фундаментальная
> ошибка (кроме ДHК и прямости рук) :-)
не очень понял: зачем использовать в нетграфе tee вместе с netflow? И
особенно в таком варианте. Тем более, что ты из ipfw траффик копируешь в
нетграф.
--
Best regards,
Kirill Nuzhdin
--- ifmail v.2.15dev5.3
* Origin: MSU (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
