Название: Пытаюсь добавить коллектор на сателите, падает ядро.
Отправлено: poxy. от 26 Мая 2012, 10:53:32
Добавляю второй коллектор так :
первый 127.0.0.1 Local ipcad
второй 172.20.12.250 Nas ipcad
первый 192.168.0.0/16 1_*
второй 172.20.0.0/16 2_*
На вкладке мониторинг ядро не запущено после рестарта, возвращаю все как было (один коллектор по мануалу) начинает работать... ???
Название: Re: Пытаюсь добавить коллектор на сателите, падает ядро.
Отправлено: poxy. от 27 Мая 2012, 18:46:03
Подскажите плиз, что не так делаю.
Название: Re: Пытаюсь добавить коллектор на сателите, падает ядро.
Отправлено: Efendy от 27 Мая 2012, 23:00:38
/usr/local/nodeny/nodeny.log что пишет?
Название: Re: Пытаюсь добавить коллектор на сателите, падает ядро.
Отправлено: poxy. от 28 Мая 2012, 16:18:02
Странно, но ничего такого, записи стандартные (платежи и т.д.). Подскажи как добавить правильно - первый сервер - биллинг на нем ipcad (localhost), второй сервер - ipcad слушает на адресе 192.168.20.46.
Название: Re: Пытаюсь добавить коллектор на сателите, падает ядро.
Отправлено: Rico-X от 30 Мая 2012, 20:02:48
Что говорит rsh 172.20.12.250 show ip acco запущеный на ПЕРВОМ сервере, тоесть может ли ядро получить статистику?
Название: Re: Пытаюсь добавить коллектор на сателите, падает ядро.
Отправлено: poxy. от 31 Мая 2012, 09:11:55
select: protocol failure in circuit setup , в фаерволе открыто только tcp на 514 порт.
Название: Re: Пытаюсь добавить коллектор на сателите, падает ядро.
Отправлено: poxy. от 31 Мая 2012, 09:37:51
В фаерволе таким образом разрешен rsh (на обоих серверах) : ${f} add 54 allow tcp from any to me 514
${f} add 55 allow tcp from me 514 to anyКонфиг ipcad на nas-сервере : capture-ports enable;
interface tee port 1 netflow-disable;
interface tee port 2 netflow-disable;
rsh enable at 127.0.0.1;
rsh enable at 172.20.11.250; # nas
rsh root@172.20.12.254 admin; # core
rsh root@127.0.0.1 admin;
rsh ttl = 3;
rsh timeout = 30;
dumpfile = ipcad.dump;
chroot = /tmp;
memory_limit = 256m; PS первый раз столкнулся, доки читал и понял. Просьба не пинать, если где натупил.
Название: Re: Пытаюсь добавить коллектор на сателите, падает ядро.
Отправлено: Rico-X от 31 Мая 2012, 10:42:46
Добавляем в конфиг ipcad rsh root@172.20.11.250 admin; на сервере с базой делаем запрос в консоли rsh 172.20.12.250 show ip acco Должны получить вывод статистики, если не получаем ту же команду вводим на сателите если там статистика идет, разбираемся с транспортом.
Название: Re: Пытаюсь добавить коллектор на сателите, падает ядро.
Отправлено: poxy. от 02 Июня 2012, 13:04:37
Как не из*бывался не работает, фаервол ядра : #!/bin/sh -
f='/sbin/ipfw'
ifOut='vlan777'
${f} -f flush
${f} add 50 allow tcp from any to me 22
${f} add 51 allow tcp from me 22 to any
${f} add 52 allow tcp from any to me 3306
${f} add 53 allow tcp from me 3306 to any
${f} add 54 allow ip from 10.2.2.2,10.1.1.2,10.2.2.1,10.1.1.1 to any
${f} add 61 allow ip from 172.20.0.0/16 to 172.20.0.0/16
${f} add 110 allow ip from any to any via lo0
${f} add 120 skipto 1000 ip from me to any
${f} add 130 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${f} add 160 skipto 2000 ip from any to me
${f} add 200 skipto 500 ip from any to any via ${ifOut}
${f} add 300 skipto 4500 ip from any to any in
${f} add 400 skipto 450 ip from any to any recv ${ifOut}
${f} add 420 tee 1 ip from any to any
${f} add 450 tee 2 ip from any to any
${f} add 490 allow ip from any to any
${f} add 500 skipto 32500 ip from any to any in
${f} add 510 tee 1 ip from any to any
${f} add 540 allow ip from any to any
${f} add 1000 allow udp from any 53,7723 to any
${f} add 1010 allow tcp from any to any setup keep-state
${f} add 1020 allow udp from any to any keep-state
${f} add 1100 allow ip from any to any
${f} add 2000 check-state
${f} add 2010 allow icmp from any to any
${f} add 2020 allow tcp from any to any 80,443
${f} add 2050 deny ip from any to any via ${ifOut}
${f} add 2060 allow udp from any to any 53,7723
${f} add 2100 deny ip from any to any фаервол наса : #!/bin/sh -
f='/sbin/ipfw'
ifOut='vlan778'
${f} -f flush
${f} add 50 allow tcp from any to me 22
${f} add 51 allow tcp from me 22 to any
${f} add 52 allow tcp from any to me 3306
${f} add 53 allow tcp from me 3306 to any
${f} add 54 allow ip from 10.1.1.2,10.2.2.2,10.1.1.1,10.2.2.1 to any
${f} add 110 allow ip from any to any via lo0
${f} add 120 skipto 1000 ip from me to any
${f} add 130 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${f} add 160 skipto 2000 ip from any to me
${f} add 200 skipto 500 ip from any to any via ${ifOut}
${f} add 300 skipto 4500 ip from any to any in
${f} add 400 skipto 450 ip from any to any recv ${ifOut}
${f} add 420 tee 1 ip from any to any
${f} add 450 tee 2 ip from any to any
${f} add 490 allow ip from any to any
${f} add 500 skipto 32500 ip from any to any in
${f} add 510 tee 1 ip from any to any
${f} add 540 allow ip from any to any
${f} add 1000 allow udp from any 53,7723 to any
${f} add 1010 allow tcp from any to any setup keep-state
${f} add 1020 allow udp from any to any keep-state
${f} add 1100 allow ip from any to any
${f} add 2000 check-state
${f} add 2010 allow icmp from any to any
${f} add 2020 allow tcp from any to any 80,443
${f} add 2050 deny ip from any to any via ${ifOut}
${f} add 2060 allow udp from any to any 53,7723
${f} add 2100 deny ip from any to any
${f} add 32490 deny ip from any to any ip nas - 10.2.2.2 ip core - 10.1.1.2 10.1.1.1 - шлюз на бодере (микротик) для ядра 10.2.2.1 - шлюз на бодере (микротик) для наса фаервол на бордере в сторону этих серверов не задействован (только на внешний интерфейс) пинги между серверами ходят конфиг ipcad : capture-ports enable;
interface tee port 1 netflow-disable;
interface tee port 2 netflow-disable;
rsh enable at 127.0.0.1;
rsh enable at 10.2.2.2;
rsh root@10.2.2.1 admin;
rsh root@10.1.1.2 admin;
rsh root@10.1.1.1 admin;
rsh root@10.2.2.2 admin;
rsh root@127.0.0.1 admin;
rsh ttl = 3;
rsh timeout = 30;
dumpfile = ipcad.dump;
chroot = /tmp;
memory_limit = 256m;
Название: Re: Пытаюсь добавить коллектор на сателите, падает ядро.
Отправлено: goletsa от 02 Июня 2012, 13:50:23
Вы rsh проверили?
Название: Re: Пытаюсь добавить коллектор на сателите, падает ядро.
Отправлено: poxy. от 03 Июня 2012, 09:28:31
Вы rsh проверили?
rsh 10.2.2.2 show ip acco на насе выдает статистику, в консоли ядра select: protocol failure in circuit setup
Название: Re: Пытаюсь добавить коллектор на сателите, падает ядро.
Отправлено: Rico-X от 03 Июня 2012, 11:28:06
На насе выдает, а на сервере с базой при указания IP нас сервера? Ядро же статистику не через libastral получает. Если нету, тисипидамп по порту нужен как на сервере с базой так и на насе, в экстрасенсов играть весело, но непродуктивно.
Название: Re: Пытаюсь добавить коллектор на сателите, падает ядро.
Отправлено: poxy. от 04 Июня 2012, 11:42:24
На сервере с базой rsh 10.2.2.2 show ip acco - дает select: protocol failure in circuit setup
Название: Re: Пытаюсь добавить коллектор на сателите, падает ядро.
Отправлено: Rico-X от 04 Июня 2012, 12:03:37
Разрешить на фаирволе между сервером с базой и сателитом прохождение любого трафика по любым портам. Если пойдет дампом смотреть какие порты используются.
Название: Re: Пытаюсь добавить коллектор на сателите, падает ядро.
Отправлено: poxy. от 04 Июня 2012, 12:44:41
Вроде разрешил ${f} add 54 allow ip from 10.1.1.2,10.2.2.2,10.1.1.1,10.2.2.1 to any, шлюз для них микротик, может там что то в роут прописать? Имею ввиду чтоб пакеты из этой подсети и интерфейса ходили в другую. Хотя пинг между ними есть
Название: Re: Пытаюсь добавить коллектор на сателите, падает ядро.
Отправлено: Rico-X от 04 Июня 2012, 13:45:07
При неправильном роутинге пинг не показатель. Например имеем 2 внешних интерфейса, шлюз по умолчанию настроен через интерфейс 1, тогда пинг на интерфейс 2 работать будет, но при попытке зайти на интерфейс 2 например по ssh ничего не выйдет. Проблема на 99% в транспорте, но на каком моменте, без дампов не скажу, тем более не зная структуру сети.
Название: Re: Пытаюсь добавить коллектор на сателите, падает ядро.
Отправлено: poxy. от 24 Июня 2012, 10:21:22
Забил на ipcad, поставил neflow... порт в фаерволе открыт tcpdump -ivlan777 -p -n udp port 8888
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vlan777, link-type EN10MB (Ethernet), capture size 96 bytes
11:11:02.672253 IP 172.20.140.24.18223 > 218.164.36.156.8888: UDP, length 65
11:11:03.144886 IP 218.164.36.156.8888 > 172.20.140.24.18223: UDP, length 47
11:11:06.782547 IP 192.168.33.68.64926 > 95.61.170.36.8888: UDP, length 67
11:11:17.951214 IP 192.168.26.6.25035 > 111.250.63.43.8888: UDP, length 30
11:11:21.096964 IP 192.168.23.9.26963 > 182.166.34.251.8888: UDP, length 65
11:11:21.145394 IP 192.168.26.6.25035 > 111.250.63.43.8888: UDP, length 30
11:11:22.136080 IP 192.168.23.9.26963 > 121.103.147.183.8888: UDP, length 65
11:11:25.087166 IP 172.20.80.65.14242 > 81.9.63.247.8888: UDP, length 65
11:11:25.129702 IP 81.9.63.247.8888 > 172.20.80.65.14242: UDP, length 56
11:11:40.527474 IP 192.168.23.9.26963 > 122.116.176.117.8888: UDP, length 65
11:11:44.268567 IP 172.20.100.58.31642 > 74.70.146.138.8888: UDP, length 71
11:11:44.422769 IP 74.70.146.138.8888 > 172.20.100.58.31642: UDP, length 239
11:11:51.261140 IP 192.168.23.9.26963 > 122.116.189.124.8888: UDP, length 65
11:11:51.683661 IP 122.116.189.124.8888 > 192.168.23.9.26963: UDP, length 47
11:11:54.817906 IP 192.168.33.68.64926 > 95.61.170.36.8888: UDP, length 30
11:11:57.996157 IP 192.168.33.68.64926 > 95.61.170.36.8888: UDP, length 30
11:11:59.085833 IP 192.168.32.6.52525 > 182.168.20.1.8888: UDP, length 65
11:12:01.092240 IP 172.20.140.47.19023 > 81.174.48.240.8888: UDP, length 65
11:12:01.169669 IP 81.174.48.240.8888 > 172.20.140.47.19023: UDP, length 66 в ядре : options NETGRAPH
options NETGRAPH_SOCKET
options NETGRAPH_IPFW
options NETGRAPH_NETFLOW
options NETGRAPH_KSOCKET файл создается ls /usr/local/nodeny/netflow_8888.pl
/usr/local/nodeny/netflow_8888.pl Не понял как в админке добавить... В веб-адмике, в настройках коллекторов вместо порта «8888» укажите «8888:1», где 1 - порядковый номер внешнего интерфейса при выводе ifconfig (нумерация с единицы). Благодаря указанию внешнего интерфейса, у вас получится универсальная схема, при которой вы можете задействовать любое количество маршрутизаторов и при этом корректно регистрировать локальный трафик. Если внешних интерфейсов несколько, то их необходимо перечислить через запятую, например: «8888:1,3». Во втором столбце обязательно укажите комментарий начинающийся с «netflow:»! ifconfig nas
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
ether 00:14:22:b1:5b:6d
inet 10.5.5.5 netmask 0xffffffff broadcast 10.5.5.5
media: Ethernet autoselect (1000baseT <full-duplex>)
status: active
em1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
ether 00:14:22:b1:5b:6e
inet 192.168.21.250 netmask 0xffffff00 broadcast 192.168.21.255
inet 192.168.22.250 netmask 0xffffff00 broadcast 192.168.22.255
inet 192.168.23.250 netmask 0xffffff00 broadcast 192.168.23.255
inet 192.168.24.250 netmask 0xffffff00 broadcast 192.168.24.255
inet 192.168.25.250 netmask 0xffffff00 broadcast 192.168.25.255
inet 192.168.26.250 netmask 0xffffff00 broadcast 192.168.26.255
inet 192.168.27.250 netmask 0xffffff00 broadcast 192.168.27.255
inet 192.168.28.250 netmask 0xffffff00 broadcast 192.168.28.255
inet 192.168.29.250 netmask 0xffffff00 broadcast 192.168.29.255
inet 192.168.30.250 netmask 0xffffff00 broadcast 192.168.30.255
inet 192.168.31.250 netmask 0xffffff00 broadcast 192.168.31.255
inet 192.168.32.250 netmask 0xffffff00 broadcast 192.168.32.255
inet 192.168.33.250 netmask 0xffffff00 broadcast 192.168.33.255
inet 192.168.34.250 netmask 0xffffff00 broadcast 192.168.34.255
inet 192.168.35.250 netmask 0xffffff00 broadcast 192.168.35.255
inet 192.168.36.250 netmask 0xffffff00 broadcast 192.168.36.255
inet 192.168.37.250 netmask 0xffffff00 broadcast 192.168.37.255
media: Ethernet autoselect (1000baseT <full-duplex>)
status: active
ipfw0: flags=8801<UP,SIMPLEX,MULTICAST> metric 0 mtu 65536
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
options=3<RXCSUM,TXCSUM>
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
inet6 ::1 prefixlen 128
inet 127.0.0.1 netmask 0xff000000
nd6 options=3<PERFORMNUD,ACCEPT_RTADV>
vlan778: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=3<RXCSUM,TXCSUM>
ether 00:14:22:b1:5b:6d
inet 10.2.2.2 netmask 0xfffffffc broadcast 10.2.2.3
media: Ethernet autoselect (1000baseT <full-duplex>)
status: active
vlan: 778 parent interface: em0 ноду создал так : /usr/sbin/ngctl -f- <<-NODENY
mkpeer ipfw: netflow 100 iface0
name ipfw:100 netflow
msg netflow: setdlt { iface = 0 dlt = 12 }
mkpeer netflow: ksocket export inet/dgram/udp
msg netflow:export connect inet/[color=red]10.2.2.2[/color]:8888
NODENY 10.2.2.2 - адрес внешнего интерфейса nas ядро принимает поток на адресе 10.1.1.2 что вписать тут:
Название: Re: Пытаюсь добавить коллектор на сателите, падает ядро.
Отправлено: Efendy от 24 Июня 2012, 14:14:55
Исходя из твоей же цитаты, на первом скрине вводи:
в первой колонке: 8888
во второй: netflow: комментарий
2й скрин без изменений
Название: Re: Пытаюсь добавить коллектор на сателите, падает ядро.
Отправлено: poxy. от 25 Июня 2012, 14:16:42
папка flows пуста... может кто то посмотрит по удаленному доступу за $ ?
Название: Re: Пытаюсь добавить коллектор на сателите, падает ядро.
Отправлено: stix от 25 Июня 2012, 14:46:26
могу глянуть )
Название: Re: Пытаюсь добавить коллектор на сателите, падает ядро.
Отправлено: poxy. от 25 Июня 2012, 14:59:54
номер тел дай в лс
Название: Re: Пытаюсь добавить коллектор на сателите, падает ядро.
Отправлено: Rico-X от 25 Июня 2012, 17:48:07
папка flows пуста... может кто то посмотрит по удаленному доступу за $ ?
Изначальный IPCAD могу сделать
Название: Re: Пытаюсь добавить коллектор на сателите, падает ядро.
Отправлено: poxy. от 25 Июня 2012, 20:43:26
напиши в лс куда нужен доступ
Название: Re: Пытаюсь добавить коллектор на сателите, падает ядро.
Отправлено: poxy. от 10 Июля 2012, 10:11:46
Вообщем никчему не пришел, кто берется за $ ? Доступ везде дам.
Название: Re: Пытаюсь добавить коллектор на сателите, падает ядро.
Отправлено: stix от 10 Июля 2012, 10:43:42
Вообщем никчему не пришел, кто берется за $ ? Доступ везде дам.
что нужно сделать?
Название: Re: Пытаюсь добавить коллектор на сателите, падает ядро.
Отправлено: poxy. от 10 Июля 2012, 17:58:25
Установлен и ипкад и нетфлоу, сделать чтоб хоть один из них снимал статистику и отправлял на базу, ипкад локально работает но с базы его не видно. Походу что то в фаерволе. Между биллингом и насом стоит бордер (микротик) он является шлюзом для обоих.
Название: Re: Пытаюсь добавить коллектор на сателите, падает ядро.
Отправлено: poxy. от 19 Июля 2012, 20:18:27
Разобрался что за хрень творилась с ipcad - на бордере был нат (маскарадинг), поэтому приходило с одного адреса, а уходило с другого... Отдельное Спасибо Ser970 (за помощь с нетфлоу, его и оставил в качестве коллектора).
|