Сбор трафика

[unisol]

Подскажите пожалуйста. Для сбора трафика использую ipcad.

Имею стандартный конфиг фаервола

Код:

#!/bin/sh -
f='/sbin/ipfw'

ifOut='em0'

${f} -f flush

${f} add 50 allow tcp from any to me 22
${f} add 51 allow tcp from me 22 to any

${f} add 110 allow ip from any to any via lo0
${f} add 120 skipto 1000 ip from me to any
${f} add 130 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${f} add 160 skipto 2000 ip from any to me

${f} add 200 skipto 500 ip from any to any via ${ifOut}

${f} add 300 skipto 4500 ip from any to any in

${f} add 400 skipto 450 ip from any to any recv ${ifOut}
${f} add 420 divert 1 ip from any to any
${f} add 450 divert 2 ip from any to any
${f} add 490 allow ip from any to any

${f} add 500 skipto 32500 ip from any to any in
${f} add 510 divert 1 ip from any to any
${f} add 540 allow ip from any to any


${f} add 1000 allow udp from any 53,7723 to any
${f} add 1010 allow tcp from any to any setup keep-state
${f} add 1020 allow udp from any to any keep-state
${f} add 1100 allow ip from any to any

${f} add 2000 check-state
${f} add 2010 allow icmp from any to any
${f} add 2020 allow tcp from any to any 80,443
${f} add 2050 deny ip from any to any via ${ifOut}
${f} add 2060 allow udp from any to any 53,7723

${f} add 2100 deny ip from any to any

${f} add 32490 deny ip from any to any

Но мне нужно просто разрешить все и собирать трафик....

Тоесть чтобы было

Код:

#!/bin/sh -
f='/sbin/ipfw'
${f} add 100 allow ip from any to any

но чтобы собирало трафик...

[Andrey Zentavr]

Ну попробуй
${f} add 99 divert 1 ip from any to any
${f} add 100 allow ip from any to any

[unisol]

Добавил рестартанул в ipfw show появилось

Код:

00099     98688    35918854 divert 1 ip from any to any
00100 104625347 55378393725 allow ip from any to any

Но статистику не ведет...

[Andrey Zentavr]

Добавил рестартанул в ipfw show появилось

Код:

00099     98688    35918854 divert 1 ip from any to any
00100 104625347 55378393725 allow ip from any to any

Но статистику не ведет...

Короче не знаю что там с Дивертом, я делаю вот так:

Код:

cat /usr/local/etc/rc.d/ngexport.sh
#!/bin/sh

case "$1" in
    start)
        /usr/sbin/ngctl mkpeer ipfw: netflow 100 iface0
        /usr/sbin/ngctl name ipfw:100 netflow

        /usr/sbin/ngctl msg netflow: setdlt {iface=0 dlt=12}
        /usr/sbin/ngctl msg netflow: setifindex {iface=0 index=5}

        /usr/sbin/ngctl msg netflow: settimeouts { inactive=20 active=40 }

        /usr/sbin/ngctl mkpeer netflow: ksocket export inet/dgram/udp
        /usr/sbin/ngctl msg netflow:export bind inet/10.1.2.98:8003
        /usr/sbin/ngctl msg netflow:export connect inet/10.1.2.100:8003

        logger "$0 was started"
        ;;
    stop)
        /usr/sbin/ngctl shutdown netflow:
        logger "$0 was stopped"
        ;;
    restart)
        sh $0 stop
        sleep 5
        sh $0 start
        ;;
    *)
        echo ""
        echo "Usage: `basename $0` { start | stop | restart }"
        echo ""
        exit 64
        ;;
esac

Где: 10.1.2.98 - наш сервак
       10.1.2.100 - биллинг, где принимается трафик flow-tools

Фаерволл можно сделать так:
${fwcmd} add 510 ngtee 100 ip from any to any

[stix]

а я просто по netflow отправляю трафик и пофиг на divert или netgraph

[elite]

а я просто по netflow отправляю трафик и пофиг на divert или netgraph

с интерфейса снимаешь?

[stix]

да, в ipcad.conf прописаны пара сотен vlan на каждом из роутеров

но пришла беда.
когда было трафика меньше 500 мегабит проблемы не сильно много было.
>1G и ядро биллинга умирает, ядро линукса.

скорость вращения HDD нехватает что-ли, потому как блокируются системные процессы.
изменил на 1800 секунд частоту обработки данных трафика и 32M memory dump.
но в продакшне не включал.