Efendy
|
|
« : 24 Ноября 2011, 16:40:47 » |
|
Как известно, в NoDeny можно использовать коллектор трафика ipacct. Поскольку в форуме сообщений о проблеме с ним не было, вероятно его не многие используют. Но сегодня столкнулся с проблемой. Очень много трафика стало попадать в "неучтенный". При этом нормальный подсчет трафика сохранялся.
Довольно много времени я потратил пойдя по неверному пути (думал, что конструкция recv в ipfw не работает корректно, а все с ней ок). В конечном итоге я обнаружил, что после попадания пакета в нетграф командой ngtee, нетграф возвращает пакет в фаер, а не должен был т.к. системная переменная net.inet.ip.fw.one_pass установлена в 1. Покопавшись в нете, я обнаружил, что во фре 8.1 вроде как "сломали" действие этой переменной (правда там касалось ната, но видать и нетграф "зацепило").
В общем, если у кого-то возникнет такая проблема, лечится просто: после каждого правила ipfw, где встречается ngtee нужно добавить точно такое же, только ngtee заменить на allow. Например
${f} add 400 ngtee 2 ip from any to any recv ${ifOut} ${f} add 405 allow ip from any to any recv ${ifOut}
|