Название: Сбор трафика
Отправлено: unisol от 27 Ноября 2012, 12:00:01
Подскажите пожалуйста. Для сбора трафика использую ipcad. Имею стандартный конфиг фаервола #!/bin/sh -
f='/sbin/ipfw'
ifOut='em0'
${f} -f flush
${f} add 50 allow tcp from any to me 22
${f} add 51 allow tcp from me 22 to any
${f} add 110 allow ip from any to any via lo0
${f} add 120 skipto 1000 ip from me to any
${f} add 130 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${f} add 160 skipto 2000 ip from any to me
${f} add 200 skipto 500 ip from any to any via ${ifOut}
${f} add 300 skipto 4500 ip from any to any in
${f} add 400 skipto 450 ip from any to any recv ${ifOut}
${f} add 420 divert 1 ip from any to any
${f} add 450 divert 2 ip from any to any
${f} add 490 allow ip from any to any
${f} add 500 skipto 32500 ip from any to any in
${f} add 510 divert 1 ip from any to any
${f} add 540 allow ip from any to any
${f} add 1000 allow udp from any 53,7723 to any
${f} add 1010 allow tcp from any to any setup keep-state
${f} add 1020 allow udp from any to any keep-state
${f} add 1100 allow ip from any to any
${f} add 2000 check-state
${f} add 2010 allow icmp from any to any
${f} add 2020 allow tcp from any to any 80,443
${f} add 2050 deny ip from any to any via ${ifOut}
${f} add 2060 allow udp from any to any 53,7723
${f} add 2100 deny ip from any to any
${f} add 32490 deny ip from any to any
Но мне нужно просто разрешить все и собирать трафик.... Тоесть чтобы было #!/bin/sh -
f='/sbin/ipfw'
${f} add 100 allow ip from any to any
но чтобы собирало трафик...
Название: Re: Сбор трафика
Отправлено: Andrey Zentavr от 27 Ноября 2012, 13:42:45
Ну попробуй
${f} add 99 divert 1 ip from any to any
${f} add 100 allow ip from any to any
Название: Re: Сбор трафика
Отправлено: unisol от 28 Ноября 2012, 09:54:56
Добавил рестартанул в ipfw show появилось 00099 98688 35918854 divert 1 ip from any to any
00100 104625347 55378393725 allow ip from any to any
Но статистику не ведет...
Название: Re: Сбор трафика
Отправлено: Andrey Zentavr от 01 Декабря 2012, 22:35:32
Добавил рестартанул в ipfw show появилось 00099 98688 35918854 divert 1 ip from any to any
00100 104625347 55378393725 allow ip from any to any
Но статистику не ведет... Короче не знаю что там с Дивертом, я делаю вот так: cat /usr/local/etc/rc.d/ngexport.sh
#!/bin/sh
case "$1" in
start)
/usr/sbin/ngctl mkpeer ipfw: netflow 100 iface0
/usr/sbin/ngctl name ipfw:100 netflow
/usr/sbin/ngctl msg netflow: setdlt {iface=0 dlt=12}
/usr/sbin/ngctl msg netflow: setifindex {iface=0 index=5}
/usr/sbin/ngctl msg netflow: settimeouts { inactive=20 active=40 }
/usr/sbin/ngctl mkpeer netflow: ksocket export inet/dgram/udp
/usr/sbin/ngctl msg netflow:export bind inet/10.1.2.98:8003
/usr/sbin/ngctl msg netflow:export connect inet/10.1.2.100:8003
logger "$0 was started"
;;
stop)
/usr/sbin/ngctl shutdown netflow:
logger "$0 was stopped"
;;
restart)
sh $0 stop
sleep 5
sh $0 start
;;
*)
echo ""
echo "Usage: `basename $0` { start | stop | restart }"
echo ""
exit 64
;;
esac
Где: 10.1.2.98 - наш сервак 10.1.2.100 - биллинг, где принимается трафик flow-tools Фаерволл можно сделать так: ${fwcmd} add 510 ngtee 100 ip from any to any
Название: Re: Сбор трафика
Отправлено: stix от 01 Декабря 2012, 22:40:06
а я просто по netflow отправляю трафик и пофиг на divert или netgraph
Название: Re: Сбор трафика
Отправлено: elite от 04 Декабря 2012, 23:15:50
а я просто по netflow отправляю трафик и пофиг на divert или netgraph
с интерфейса снимаешь?
Название: Re: Сбор трафика
Отправлено: stix от 05 Декабря 2012, 00:09:07
да, в ipcad.conf прописаны пара сотен vlan на каждом из роутеров
но пришла беда.
когда было трафика меньше 500 мегабит проблемы не сильно много было.
>1G и ядро биллинга умирает, ядро линукса.
скорость вращения HDD нехватает что-ли, потому как блокируются системные процессы.
изменил на 1800 секунд частоту обработки данных трафика и 32M memory dump.
но в продакшне не включал.
|