Неучтенный трафик

[elite]

как вариант, использовать ng_ipacct + ng_nat ?

[blackjack]

дык ng_ipacct и юзался только с кернел натом, это сути не меняет

[elite]

дык ng_ipacct и юзался только с кернел натом, это сути не меняет

загонять траф в нетграф, а там уже делать ng_ipacct и там же ng_nat без выхода пакета в фаервол

[Efendy]

Абонентов в заблокированном состоянии не поключать через ппп.

это неправильный подход. Клиент должен понимать из-за чего нет соединения - из-за бабла или из-за технической проблемы. Статистика забирает на себя большинство вопросов клиентов (можете проверить) - вы должны ее подсовывать максимально отдаляя контакт со службой техподдержки т.к. это наиболее уязвимое звено в системе, которое нельзя перегружать либо расширять просто невыгодно в финансовом плане.

у меня переписан nofire.pl и свой конфиг фаервола - неучтенного трафика раньше небыло и сейчас нет поскольку снимаю статистику с циски через нетфлоу.

у нефлоу тоже есть правильна настройка, читайте внимательно доки NoDeny

[Efendy]

изза того что начал юзать кернел нат и используя логику загона трафика в коллектор надо было устанавливать one_pass=0 что не есть гуд.

кернел нат, который явно в фаере прописывется? Вот поэтому я и рекомендую pf nat

[stix]

я думаю еще правильный вариант будет отправлять нетфлоу потоки с L2-L3 свича.
по-сути у него будет все фейковый роуты, интерфейсы в обе стороны....
хотя не, опять же будет двойной трафик из-за того, что GRE туннели будет тоже снимать.

значит нужно фильтр ставить + netflow 5 использовать.
насколько я понял Efendy, то ноденай может смотреть в netflow v5 ?

[blackjack]

кернел нат, который явно в фаере прописывется? Вот поэтому я и рекомендую pf nat

это неправильный подход. Клиент должен понимать из-за чего нет соединения - из-за бабла или из-за технической проблемы. Статистика забирает на себя большинство вопросов клиентов (можете проверить) - вы должны ее подсовывать максимально отдаляя контакт со службой техподдержки т.к. это наиболее уязвимое звено в системе, которое нельзя перегружать либо расширять просто невыгодно в финансовом плане.
у нефлоу тоже есть правильна настройка, читайте внимательно доки NoDeny

поверьте я внимательно перечитываю нужную мне доку время от времени, но зачем мучать пс роутер если рядом стоит циска в режиме л3 и роутит всю сеть?
короче я все делаю неправильно, ладно не буду спорить

[Efendy]

но зачем мучать пс роутер если рядом стоит циска в режиме л3 и роутит всю сеть?

никто не заставляет юзать роутер при наличии циски. При правильной настройке, неучтенного трафика и в этом случае не должно быть.

[elite]

я думаю еще правильный вариант будет отправлять нетфлоу потоки с L2-L3 свича.

а нетфлоу только циски умеют

[elite]

кернел нат, который явно в фаере прописывется? Вот поэтому я и рекомендую pf nat

pf плох на многопроцессорных машинах, т.к. не распределяется по процам

[stix]

а нетфлоу только циски умеют

а у меня кроме цисок ничего нету ))
ну и микротик тоже еще посылает

[md5]

а у меня кроме цисок ничего нету ))
ну и микротик тоже еще посылает

тогда чего ты трафик с цысок не дерешь ?

[stix]

я писал

опять же будет двойной трафик из-за того, что GRE туннели будет тоже снимать