* [Comm] ipcad
@ 2005-05-24 8:11 Anton Gorlov
2005-05-24 8:37 ` Anton Gorlov
2005-05-24 9:11 ` Alexei Takaseev
0 siblings, 2 replies; 9+ messages in thread
From: Anton Gorlov @ 2005-05-24 8:11 UTC (permalink / raw)
To: community
Здравствуйте, community.
Как пользоваться ipcad?
Вроде всё настроил... но он ничего не шлёт по указанному в параметре
netflow export destination...
Даже в netstat -nap |grep 9996 поусто. Хотя самле интересное --если
просто запустить ipcad -то видно, что пакетики он всё же считает.
Как же заставить его дальше информацию передавать?
Сорри что не в isp... пароль забыл на ящик.. а заветная бумажка дома.
capture-ports enable;
interface eth0;
aggregate 192.168.0.0/16 strip 32; /* Don't aggregate internal range */
aggregate 0.0.0.0/0 strip 24; /* Aggregate external networks */
aggregate 1024-65535 into 65535; /* Aggregate wildly */
aggregate 3128-3128 into 3128; /* Protect these ports */
aggregate 150-1023 into 1023; /* General low range */
netflow export destination 127.0.0.1 9996;
netflow export version 5; # NetFlow export format version {1|5}
netflow timeout active 30; # Timeout when flow is active, in minutes
netflow timeout inactive 15; # Flow inactivity timeout, in seconds
/* Note the order! */
dumpfile = ipcad.dump; # The file is inside chroot(), see below...
chroot = /var/lib/ipcad;
pidfile = ipcad.pid;
memory_limit = 1m;
--
С уважением,
Anton mailto:Pnz.Stalker@mail.ru
FIDO: 2:5059/37
^ permalink raw reply [flat|nested] 9+ messages in thread* Re: [Comm] ipcad
2005-05-24 8:11 [Comm] ipcad Anton Gorlov
@ 2005-05-24 8:37 ` Anton Gorlov
2005-05-24 9:11 ` Alexei Takaseev
1 sibling, 0 replies; 9+ messages in thread
From: Anton Gorlov @ 2005-05-24 8:37 UTC (permalink / raw)
To: community
Здравствуйте, Anton.
Вы писали 24 мая 2005 г., 12:11:09:
> Здравствуйте, community.
> Как пользоваться ipcad?
> Вроде всё настроил... но он ничего не шлёт по указанному в параметре
> netflow export destination...
> Даже в netstat -nap |grep 9996 поусто. Хотя самле интересное --если
> просто запустить ipcad -то видно, что пакетики он всё же считает.
> Как же заставить его дальше информацию передавать?
Хотя:
[root@VM2 /]# netstat -nap |grep ipcad
udp 0 0 0.0.0.0:32775 0.0.0.0:*
И как же мне добраться до заветного траффика?
--
С уважением,
Anton mailto:Pnz.Stalker@mail.ru
FIDO: 2:5059/37
^ permalink raw reply [flat|nested] 9+ messages in thread* Re: [Comm] ipcad
2005-05-24 8:11 [Comm] ipcad Anton Gorlov
2005-05-24 8:37 ` Anton Gorlov
@ 2005-05-24 9:11 ` Alexei Takaseev
2005-05-24 9:33 ` Re[2]: " Anton Gorlov
` (2 more replies)
1 sibling, 3 replies; 9+ messages in thread
From: Alexei Takaseev @ 2005-05-24 9:11 UTC (permalink / raw)
To: ALT Linux Community
On Tue, 24 May 2005 12:11:09 +0400
Anton Gorlov wrote:
> Здравствуйте, community.
>
> Как пользоваться ipcad?
>
> Вроде всё настроил... но он ничего не шлёт по указанному в параметре
> netflow export destination...
> Даже в netstat -nap |grep 9996 поусто. Хотя самле интересное --если
> просто запустить ipcad -то видно, что пакетики он всё же считает.
> Как же заставить его дальше информацию передавать?
> Сорри что не в isp... пароль забыл на ящик.. а заветная бумажка дома.
>
> capture-ports enable;
> interface eth0;
> aggregate 192.168.0.0/16 strip 32; /* Don't aggregate internal range
> */ aggregate 0.0.0.0/0 strip 24; /* Aggregate external networks */
> aggregate 1024-65535 into 65535; /* Aggregate wildly */
> aggregate 3128-3128 into 3128; /* Protect these ports */
> aggregate 150-1023 into 1023; /* General low range */
> netflow export destination 127.0.0.1 9996;
> netflow export version 5; # NetFlow export format version {1|5}
> netflow timeout active 30; # Timeout when flow is active, in
> minutes netflow timeout inactive 15; # Flow inactivity timeout, in
> seconds/* Note the order! */
> dumpfile = ipcad.dump; # The file is inside
> chroot(), see below... chroot = /var/lib/ipcad;
> pidfile = ipcad.pid;
> memory_limit = 1m;
Мой конфиг:
capture-ports disable;
buffers = 128k;
interface ulog group 1;
netflow export destination 10.1.1.2 9996;
netflow export version 5;
netflow timeout active 10;
minutes netflow timeout inactive 15;
chroot = /var/lib/ipcad;
pidfile = ipcad.pid;
memory_limit = 16m;
Есть предложение вам выставить capture-ports в disable и посмотреть что
получится.
^ permalink raw reply [flat|nested] 9+ messages in thread* Re[2]: [Comm] ipcad
2005-05-24 9:11 ` Alexei Takaseev
@ 2005-05-24 9:33 ` Anton Gorlov
2005-05-24 10:02 ` Alexei Takaseev
2005-05-24 10:12 ` Anton Gorlov
2 siblings, 1 reply; 9+ messages in thread
From: Anton Gorlov @ 2005-05-24 9:33 UTC (permalink / raw)
To: community
Здравствуйте, Alexei.
Вы писали 24 мая 2005 г., 13:11:04:
> Мой конфиг:
> capture-ports disable;
> buffers = 128k;
> interface ulog group 1;
> netflow export destination 10.1.1.2 9996;
> netflow export version 5;
> netflow timeout active 10;
> minutes netflow timeout inactive 15;
> chroot = /var/lib/ipcad;
> pidfile = ipcad.pid;
> memory_limit = 16m;
> Есть предложение вам выставить capture-ports в disable и посмотреть что
> получится.
Всё равно нефига. нетстат говорит что соккет таки открыт:
[root@VM2 ipcad]# netstat -nap |grep ipcad
udp 0 0 0.0.0.0:32780 0.0.0.0:* 4900/ipcad
На машинке, которую указал в конфиге запустил тспдамп-- тишиа
[root@ring root]# tcpdump -ni any proto 6 and port 9996
tcpdump: WARNING: Promiscuous mode not supported on the "any" device
tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
Хотя собака... дамп файл всё таки ведёт намально. Что за напасть
такая..
[root@VM2 ipcad]# ipcad -v
IP Accounting Daemon. ipcad Version 3.6.5
Import {BPF/LIBPCAP/ULOG/LIBIPQ/DIVERT/TEE}; Export {console/file/RSH/NetFlow}
Copyright (c) 2001, 2002, 2003, 2004 Lev Walkin
--
С уважением,
Anton mailto:Pnz.Stalker@mail.ru
FIDO: 2:5059/37
^ permalink raw reply [flat|nested] 9+ messages in thread* Re: Re[2]: [Comm] ipcad
2005-05-24 9:33 ` Re[2]: " Anton Gorlov
@ 2005-05-24 10:02 ` Alexei Takaseev
0 siblings, 0 replies; 9+ messages in thread
From: Alexei Takaseev @ 2005-05-24 10:02 UTC (permalink / raw)
To: ALT Linux Community
On Tue, 24 May 2005 13:33:19 +0400
Anton Gorlov wrote:
> Здравствуйте, Alexei.
>
> Вы писали 24 мая 2005 г., 13:11:04:
>
>
> > Мой конфиг:
> > capture-ports disable;
> > buffers = 128k;
> > interface ulog group 1;
> > netflow export destination 10.1.1.2 9996;
> > netflow export version 5;
> > netflow timeout active 10;
> > minutes netflow timeout inactive 15;
> > chroot = /var/lib/ipcad;
> > pidfile = ipcad.pid;
> > memory_limit = 16m;
> > Есть предложение вам выставить capture-ports в disable и посмотреть
> > что получится.
>
> Всё равно нефига. нетстат говорит что соккет таки открыт:
Есть еще предложение - уберите любое упоминание про агрегирование.
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re[2]: [Comm] ipcad
2005-05-24 9:11 ` Alexei Takaseev
2005-05-24 9:33 ` Re[2]: " Anton Gorlov
@ 2005-05-24 10:12 ` Anton Gorlov
2005-05-24 10:36 ` Re[3]: " Anton Gorlov
2 siblings, 1 reply; 9+ messages in thread
From: Anton Gorlov @ 2005-05-24 10:12 UTC (permalink / raw)
To: community
Здравствуйте, Alexei.
И аггрегирование убрал. Всё равно не сдвинулись с места:
Текущий конфиг:
[root@VM2 etc]# egrep -v "^#|^;|^$|^ *$" <ipcad.conf
capture-ports enable;
interface eth0;
netflow export destination 192.168.1.111 9996;
netflow export version 5; # NetFlow export format version {1|5}
netflow timeout active 30; # Timeout when flow is active, in minutes
netflow timeout inactive 15; # Flow inactivity timeout, in seconds
/* Note the order! */
dumpfile = ipcad.dump; # The file is inside chroot(), see below...
chroot = /var/lib/ipcad;
pidfile = ipcad.pid;
memory_limit = 1m;
Может он не может снимать и слать с одного и того же интерфейса?
Хотя перевалил его на локалхост (экспорт в смысле) --вобще соккет не открывает, если
верить нетстату...
--
С уважением,
Anton mailto:Pnz.Stalker@mail.ru
FIDO: 2:5059/37
^ permalink raw reply [flat|nested] 9+ messages in thread* Re[3]: [Comm] ipcad
2005-05-24 10:12 ` Anton Gorlov
@ 2005-05-24 10:36 ` Anton Gorlov
0 siblings, 0 replies; 9+ messages in thread
From: Anton Gorlov @ 2005-05-24 10:36 UTC (permalink / raw)
To: Anton Gorlov
Здравствуйте, Anton.
Вы писали 24 мая 2005 г., 14:12:31:
> И аггрегирование убрал. Всё равно не сдвинулись с места:
хм.. Убрал в tcpdump упоминание proto -что-то появилось:
[root@ring root]# tcpdump -ni any port 9996
tcpdump: WARNING: Promiscuous mode not supported on the "any" device
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on any, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
15:00:29.984726 IP 192.168.1.25.32781 > 192.168.1.111.9996: UDP, length 120
15:00:32.746378 IP 192.168.1.25.32781 > 192.168.1.111.9996: UDP, length 72
15:00:44.539196 IP 192.168.1.25.32781 > 192.168.1.111.9996: UDP, length 72
Щас попробую прикрутить flow-tools
--
С уважением,
Anton mailto:Pnz.Stalker@mail.ru
FIDO: 2:5059/37
^ permalink raw reply [flat|nested] 9+ messages in thread
[parent not found: <354586751.20050524154437@mail.ru>]
end of thread, other threads:[~2005-05-24 12:57 UTC | newest]
Thread overview: 9+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2005-05-24 8:11 [Comm] ipcad Anton Gorlov
2005-05-24 8:37 ` Anton Gorlov
2005-05-24 9:11 ` Alexei Takaseev
2005-05-24 9:33 ` Re[2]: " Anton Gorlov
2005-05-24 10:02 ` Alexei Takaseev
2005-05-24 10:12 ` Anton Gorlov
2005-05-24 10:36 ` Re[3]: " Anton Gorlov
2005-05-24 12:03 ` Re[4]: " Anton Gorlov
2005-05-24 12:57 ` Alexei Takaseev
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git