poxy.
NoDeny
Спец
Карма: 10
 Offline
Сообщений: 844
|
 |
« : 26 Мая 2012, 10:53:32 » |
|
Добавляю второй коллектор так : первый 127.0.0.1 Local ipcad второй 172.20.12.250 Nas ipcad первый 192.168.0.0/16 1_* второй 172.20.0.0/16 2_* На вкладке мониторинг ядро не запущено после рестарта, возвращаю все как было (один коллектор по мануалу) начинает работать...  |
|
|
|
|
Записан
|
|
|
|
poxy.
NoDeny
Спец
Карма: 10
Offline
Сообщений: 844
|
|
« Ответ #1 : 27 Мая 2012, 18:46:03 » |
|
Подскажите плиз, что не так делаю.
|
|
|
|
|
Записан
|
|
|
|
|
Efendy
|
|
« Ответ #2 : 27 Мая 2012, 23:00:38 » |
|
/usr/local/nodeny/nodeny.log что пишет?
|
|
|
|
|
Записан
|
|
|
|
poxy.
NoDeny
Спец
Карма: 10
Offline
Сообщений: 844
|
|
« Ответ #3 : 28 Мая 2012, 16:18:02 » |
|
Странно, но ничего такого, записи стандартные (платежи и т.д.). Подскажи как добавить правильно - первый сервер - биллинг на нем ipcad (localhost), второй сервер - ipcad слушает на адресе 192.168.20.46.
|
|
|
|
|
Записан
|
|
|
|
Rico-X
NoDeny
Старожил
Карма: 7
Offline
Сообщений: 350
|
|
« Ответ #4 : 30 Мая 2012, 20:02:48 » |
|
Что говорит rsh 172.20.12.250 show ip acco запущеный на ПЕРВОМ сервере, тоесть может ли ядро получить статистику? |
|
|
|
|
Записан
|
|
|
|
poxy.
NoDeny
Спец
Карма: 10
Offline
Сообщений: 844
|
|
« Ответ #5 : 31 Мая 2012, 09:11:55 » |
|
select: protocol failure in circuit setup , в фаерволе открыто только tcp на 514 порт. |
|
|
|
« Последнее редактирование: 31 Мая 2012, 09:22:50 от marcus7 »
|
Записан
|
|
|
|
poxy.
NoDeny
Спец
Карма: 10
Offline
Сообщений: 844
|
|
« Ответ #6 : 31 Мая 2012, 09:37:51 » |
|
В фаерволе таким образом разрешен rsh (на обоих серверах) : ${f} add 54 allow tcp from any to me 514
${f} add 55 allow tcp from me 514 to anyКонфиг ipcad на nas-сервере : capture-ports enable;
interface tee port 1 netflow-disable;
interface tee port 2 netflow-disable;
rsh enable at 127.0.0.1;
rsh enable at 172.20.11.250; # nas
rsh root@172.20.12.254 admin; # core
rsh root@127.0.0.1 admin;
rsh ttl = 3;
rsh timeout = 30;
dumpfile = ipcad.dump;
chroot = /tmp;
memory_limit = 256m; PS первый раз столкнулся, доки читал и понял. Просьба не пинать, если где натупил. |
|
|
|
|
Записан
|
|
|
|
Rico-X
NoDeny
Старожил
Карма: 7
Offline
Сообщений: 350
|
|
« Ответ #7 : 31 Мая 2012, 10:42:46 » |
|
Добавляем в конфиг ipcad rsh root@172.20.11.250 admin; на сервере с базой делаем запрос в консоли rsh 172.20.12.250 show ip acco Должны получить вывод статистики, если не получаем ту же команду вводим на сателите если там статистика идет, разбираемся с транспортом. |
|
|
|
|
Записан
|
|
|
|
poxy.
NoDeny
Спец
Карма: 10
Offline
Сообщений: 844
|
|
« Ответ #8 : 02 Июня 2012, 13:04:37 » |
|
Как не из*бывался не работает, фаервол ядра : #!/bin/sh -
f='/sbin/ipfw'
ifOut='vlan777'
${f} -f flush
${f} add 50 allow tcp from any to me 22
${f} add 51 allow tcp from me 22 to any
${f} add 52 allow tcp from any to me 3306
${f} add 53 allow tcp from me 3306 to any
${f} add 54 allow ip from 10.2.2.2,10.1.1.2,10.2.2.1,10.1.1.1 to any
${f} add 61 allow ip from 172.20.0.0/16 to 172.20.0.0/16
${f} add 110 allow ip from any to any via lo0
${f} add 120 skipto 1000 ip from me to any
${f} add 130 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${f} add 160 skipto 2000 ip from any to me
${f} add 200 skipto 500 ip from any to any via ${ifOut}
${f} add 300 skipto 4500 ip from any to any in
${f} add 400 skipto 450 ip from any to any recv ${ifOut}
${f} add 420 tee 1 ip from any to any
${f} add 450 tee 2 ip from any to any
${f} add 490 allow ip from any to any
${f} add 500 skipto 32500 ip from any to any in
${f} add 510 tee 1 ip from any to any
${f} add 540 allow ip from any to any
${f} add 1000 allow udp from any 53,7723 to any
${f} add 1010 allow tcp from any to any setup keep-state
${f} add 1020 allow udp from any to any keep-state
${f} add 1100 allow ip from any to any
${f} add 2000 check-state
${f} add 2010 allow icmp from any to any
${f} add 2020 allow tcp from any to any 80,443
${f} add 2050 deny ip from any to any via ${ifOut}
${f} add 2060 allow udp from any to any 53,7723
${f} add 2100 deny ip from any to any фаервол наса : #!/bin/sh -
f='/sbin/ipfw'
ifOut='vlan778'
${f} -f flush
${f} add 50 allow tcp from any to me 22
${f} add 51 allow tcp from me 22 to any
${f} add 52 allow tcp from any to me 3306
${f} add 53 allow tcp from me 3306 to any
${f} add 54 allow ip from 10.1.1.2,10.2.2.2,10.1.1.1,10.2.2.1 to any
${f} add 110 allow ip from any to any via lo0
${f} add 120 skipto 1000 ip from me to any
${f} add 130 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${f} add 160 skipto 2000 ip from any to me
${f} add 200 skipto 500 ip from any to any via ${ifOut}
${f} add 300 skipto 4500 ip from any to any in
${f} add 400 skipto 450 ip from any to any recv ${ifOut}
${f} add 420 tee 1 ip from any to any
${f} add 450 tee 2 ip from any to any
${f} add 490 allow ip from any to any
${f} add 500 skipto 32500 ip from any to any in
${f} add 510 tee 1 ip from any to any
${f} add 540 allow ip from any to any
${f} add 1000 allow udp from any 53,7723 to any
${f} add 1010 allow tcp from any to any setup keep-state
${f} add 1020 allow udp from any to any keep-state
${f} add 1100 allow ip from any to any
${f} add 2000 check-state
${f} add 2010 allow icmp from any to any
${f} add 2020 allow tcp from any to any 80,443
${f} add 2050 deny ip from any to any via ${ifOut}
${f} add 2060 allow udp from any to any 53,7723
${f} add 2100 deny ip from any to any
${f} add 32490 deny ip from any to any ip nas - 10.2.2.2 ip core - 10.1.1.2 10.1.1.1 - шлюз на бодере (микротик) для ядра 10.2.2.1 - шлюз на бодере (микротик) для наса фаервол на бордере в сторону этих серверов не задействован (только на внешний интерфейс) пинги между серверами ходят конфиг ipcad : capture-ports enable;
interface tee port 1 netflow-disable;
interface tee port 2 netflow-disable;
rsh enable at 127.0.0.1;
rsh enable at 10.2.2.2;
rsh root@10.2.2.1 admin;
rsh root@10.1.1.2 admin;
rsh root@10.1.1.1 admin;
rsh root@10.2.2.2 admin;
rsh root@127.0.0.1 admin;
rsh ttl = 3;
rsh timeout = 30;
dumpfile = ipcad.dump;
chroot = /tmp;
memory_limit = 256m;
|
|
|
|
|
Записан
|
|
|
|
goletsa
NoDeny
Спец
Карма: 21
Offline
Сообщений: 973
|
|
« Ответ #9 : 02 Июня 2012, 13:50:23 » |
|
Вы rsh проверили?
|
|
|
|
|
Записан
|
|
|
|
poxy.
NoDeny
Спец
Карма: 10
Offline
Сообщений: 844
|
|
« Ответ #10 : 03 Июня 2012, 09:28:31 » |
|
Вы rsh проверили?
rsh 10.2.2.2 show ip acco на насе выдает статистику, в консоли ядра select: protocol failure in circuit setup |
|
|
|
|
Записан
|
|
|
|
Rico-X
NoDeny
Старожил
Карма: 7
Offline
Сообщений: 350
|
|
« Ответ #11 : 03 Июня 2012, 11:28:06 » |
|
На насе выдает, а на сервере с базой при указания IP нас сервера? Ядро же статистику не через libastral получает. Если нету, тисипидамп по порту нужен как на сервере с базой так и на насе, в экстрасенсов играть весело, но непродуктивно.
|
|
|
|
|
Записан
|
|
|
|
poxy.
NoDeny
Спец
Карма: 10
Offline
Сообщений: 844
|
|
« Ответ #12 : 04 Июня 2012, 11:42:24 » |
|
На сервере с базой rsh 10.2.2.2 show ip acco - дает select: protocol failure in circuit setup |
|
|
|
|
Записан
|
|
|
|
Rico-X
NoDeny
Старожил
Карма: 7
Offline
Сообщений: 350
|
|
« Ответ #13 : 04 Июня 2012, 12:03:37 » |
|
Разрешить на фаирволе между сервером с базой и сателитом прохождение любого трафика по любым портам. Если пойдет дампом смотреть какие порты используются.
|
|
|
|
|
Записан
|
|
|
|
poxy.
NoDeny
Спец
Карма: 10
Offline
Сообщений: 844
|
|
« Ответ #14 : 04 Июня 2012, 12:44:41 » |
|
Вроде разрешил ${f} add 54 allow ip from 10.1.1.2,10.2.2.2,10.1.1.1,10.2.2.1 to any, шлюз для них микротик, может там что то в роут прописать? Имею ввиду чтоб пакеты из этой подсети и интерфейса ходили в другую. Хотя пинг между ними есть |
|
|
|
|
Записан
|
|
|
|
|
