* [Comm] сгенерировать netflow @ 2011-11-30 16:23 Денис Смирнов 2011-11-30 16:34 ` Dubrovskiy Viacheslav ` (2 more replies) 0 siblings, 3 replies; 15+ messages in thread From: Денис Смирнов @ 2011-11-30 16:23 UTC (permalink / raw) To: ALT Linux Community general discussions [-- Attachment #1: Type: text/plain, Size: 496 bytes --] На циске настроен порт зеркалирующий трафик. На этот порт нужно повесить линукс-сервер, который бы анализировал трафик и генерировал netflow для биллинга. Как я понимаю нужно нечто, что будет держать интерфейс в promiscuous mode, брать трафик и генерировать уже netflow. Есть в Сизифе софт пригодный для этого? В какую сторону вообще копать с этой задачей? -- С уважением, Денис http://mithraen.ru/ ---------------------------------------------------------------------------- [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 198 bytes --] ^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] сгенерировать netflow 2011-11-30 16:23 [Comm] сгенерировать netflow Денис Смирнов @ 2011-11-30 16:34 ` Dubrovskiy Viacheslav 2011-11-30 17:03 ` Алексей Синицын 2011-12-02 6:22 ` Anton Farygin 2 siblings, 1 reply; 15+ messages in thread From: Dubrovskiy Viacheslav @ 2011-11-30 16:34 UTC (permalink / raw) To: ALT Linux Community general discussions 30.11.2011 11:23, Денис Смирнов пишет: > На циске настроен порт зеркалирующий трафик. На этот порт нужно повесить > линукс-сервер, который бы анализировал трафик и генерировал netflow для > биллинга. > > Как я понимаю нужно нечто, что будет держать интерфейс в promiscuous mode, > брать трафик и генерировать уже netflow. > > Есть в Сизифе софт пригодный для этого? В какую сторону вообще копать с > этой задачей? ipcad -- WBR, Dubrovskiy Viacheslav ^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] сгенерировать netflow 2011-11-30 16:34 ` Dubrovskiy Viacheslav @ 2011-11-30 17:03 ` Алексей Синицын 2011-11-30 17:10 ` Dubrovskiy Viacheslav 0 siblings, 1 reply; 15+ messages in thread From: Алексей Синицын @ 2011-11-30 17:03 UTC (permalink / raw) To: ALT Linux Community general discussions 30 ноября 2011 г. 20:34 пользователь Dubrovskiy Viacheslav <slava@tangramltd.com> написал: > 30.11.2011 11:23, Денис Смирнов пишет: >> >> На циске настроен порт зеркалирующий трафик. На этот порт нужно повесить >> линукс-сервер, который бы анализировал трафик и генерировал netflow для >> биллинга. >> >> Как я понимаю нужно нечто, что будет держать интерфейс в promiscuous mode, >> брать трафик и генерировать уже netflow. >> >> Есть в Сизифе софт пригодный для этого? В какую сторону вообще копать с >> этой задачей? > > ipcad > Если не ошибаюсь, у ipcad были какие то проблемы с vlan'ами. Кроме него можно посмотреть на fprobe-ulog. ^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] сгенерировать netflow 2011-11-30 17:03 ` Алексей Синицын @ 2011-11-30 17:10 ` Dubrovskiy Viacheslav 0 siblings, 0 replies; 15+ messages in thread From: Dubrovskiy Viacheslav @ 2011-11-30 17:10 UTC (permalink / raw) To: ALT Linux Community general discussions 30.11.2011 12:03, Алексей Синицын пишет: >>> На циске настроен порт зеркалирующий трафик. На этот порт нужно повесить >>> линукс-сервер, который бы анализировал трафик и генерировал netflow для >>> биллинга. >>> >>> Как я понимаю нужно нечто, что будет держать интерфейс в promiscuous mode, >>> брать трафик и генерировать уже netflow. >>> >>> Есть в Сизифе софт пригодный для этого? В какую сторону вообще копать с >>> этой задачей? >> ipcad > Если не ошибаюсь, у ipcad были какие то проблемы с vlan'ами. Кроме > него можно посмотреть на fprobe-ulog. Ну конечно, pmacct не могу не порекомендовать как его мантейнер. -- WBR, Dubrovskiy Viacheslav ^ permalink raw reply [flat|nested] 15+ messages in thread
[parent not found: <CACaajQvvThr1DgH14-53yCdKqjPbZPBOHzE6tnORZ5+R-QSiJQ@mail.gmail.com>]
[parent not found: <4ED66E14.9040504@tangramltd.com>]
* Re: [Comm] сгенерировать netflow @ 2011-12-01 9:49 ` Sergey 2011-12-01 9:53 ` Sergey 0 siblings, 1 reply; 15+ messages in thread From: Sergey @ 2011-12-01 9:49 UTC (permalink / raw) To: ALT Linux Community general discussions On Wednesday, November 30, 2011, Dubrovskiy Viacheslav wrote: > Разве он умеет генерить для "мимоидущего трафика" ? > Когда порт в мирроре и интерфейс в promiscuous mode. ipt-netflow/README.promisc Но там надо патч прикладывать. Не знаю, у нас оно с патчем собрано, или без (патч там прямо в git лежит, в виде отдельного файла): This simple hack will allow to see promisc traffic in raw table of iptables. Of course you will need to enable promisc on the interface. Refer to README.promisc for details. Example how to catch desired traffic: iptables -A PREROUTING -t raw -i eth2 -j NETFLOW --- linux-2.6.26/net/ipv4/ip_input.old.c 2008-07-14 01:51:29.000000000 +0400 +++ linux-2.6.26/net/ipv4/ip_input.c 2008-08-06 14:02:16.000000000 +0400 @@ -378,12 +378,6 @@ struct iphdr *iph; u32 len; - /* When the interface is in promisc. mode, drop all the crap - * that it receives, do not try to analyse it. - */ - if (skb->pkt_type == PACKET_OTHERHOST) - goto drop; - IP_INC_STATS_BH(IPSTATS_MIB_INRECEIVES); if ((skb = skb_share_check(skb, GFP_ATOMIC)) == NULL) { -- С уважением, Сергей a_s_y@sama.ru ^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] сгенерировать netflow 2011-12-01 9:49 ` Sergey @ 2011-12-01 9:53 ` Sergey 0 siblings, 0 replies; 15+ messages in thread From: Sergey @ 2011-12-01 9:53 UTC (permalink / raw) To: ALT Linux Community general discussions On Thursday, December 01, 2011, Sergey wrote: > --- linux-2.6.26/net/ipv4/ip_input.old.c 2008-07-14 01:51:29.000000000 +0400 > +++ linux-2.6.26/net/ipv4/ip_input.c 2008-08-06 14:02:16.000000000 +0400 Блин, куда я смотрел... Это же к ядру патч. -- С уважением, Сергей a_s_y@sama.ru ^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] сгенерировать netflow 2011-11-30 16:23 [Comm] сгенерировать netflow Денис Смирнов 2011-11-30 16:34 ` Dubrovskiy Viacheslav @ 2011-12-02 6:22 ` Anton Farygin 2011-12-04 9:06 ` Sergey 2011-12-06 5:26 ` Денис Смирнов 2 siblings, 2 replies; 15+ messages in thread From: Anton Farygin @ 2011-12-02 6:22 UTC (permalink / raw) To: community 30.11.2011 20:23, Денис Смирнов пишет: > На циске настроен порт зеркалирующий трафик. На этот порт нужно повесить > линукс-сервер, который бы анализировал трафик и генерировал netflow для > биллинга. > > Как я понимаю нужно нечто, что будет держать интерфейс в promiscuous mode, > брать трафик и генерировать уже netflow. > > Есть в Сизифе софт пригодный для этого? В какую сторону вообще копать с > этой задачей? # cat /etc/net/ifaces/default/fw/iptables/filter/FORWARD -j NETFLOW # cat /etc/net/ifaces/manag/sysctl.conf net.netflow.destination = 10.10.1.99:2004 Ну, в какой цепочке брать и куда отправлять думаю сам придумаешь. Могу сказать, что всё остальное не работает. тут при 400 мегабитах CPU Load выше 5% не поднимается. ^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] сгенерировать netflow 2011-12-02 6:22 ` Anton Farygin @ 2011-12-04 9:06 ` Sergey 2011-12-04 11:06 ` Anton Gorlov 2011-12-16 8:47 ` Anton Farygin 2011-12-06 5:26 ` Денис Смирнов 1 sibling, 2 replies; 15+ messages in thread From: Sergey @ 2011-12-04 9:06 UTC (permalink / raw) To: ALT Linux Community general discussions On Friday 02 December 2011, Anton Farygin wrote: > # cat /etc/net/ifaces/manag/sysctl.conf > net.netflow.destination = 10.10.1.99:2004 > > Ну, в какой цепочке брать и куда отправлять думаю сам придумаешь. > > Могу сказать, что всё остальное не работает. тут при 400 мегабитах > CPU Load выше 5% не поднимается. Кстати, о птичках. А какой-нибудь тюнинг IP-стека делался ? А то, что-то, кое-что теряется. У ipt_netflow ошибки не фиксируются, а вот nfcapd, висящий на 127.0.0.1, фиксирует "Sequence Errors" по чуть-чуть: Flows: 179520, Packets: 1784377, Bytes: 1251651233, Sequence Errors: 1, Bad Packets: 0 Причём местами: есть несколько однотипных инсталляций, где-то есть, где-то нет. Можно бы подумать на загрузку, но есть и более наргуженная система, где теряется на много реже. Вот разница за сегодня: # cat /var/log/messages |grep "nfcapd.*Sequence Errors. [1-9]"|wc -l 28 # cat /var/log/messages |grep "nfcapd.*Sequence Errors. [1-9]"|wc -l 0 Железки почти одинаковые - отличаются только процессором. На второй чуть мощнее, но и загрузка трафиком там повыше, LA часто выше, чем на первой. Ядра были одинаковые, 2.6.32-el-smp-alt27. В настоящий момент там, где теряется, std-def-3.0.8-alt0.M60P.1, ситуацию это не поменяло. Вот думаю, кто тут крайний... -- С уважением, Сергей a_s_y@sama.ru ^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] сгенерировать netflow 2011-12-04 9:06 ` Sergey @ 2011-12-04 11:06 ` Anton Gorlov 2011-12-04 11:55 ` Sergey 2011-12-16 8:47 ` Anton Farygin 1 sibling, 1 reply; 15+ messages in thread From: Anton Gorlov @ 2011-12-04 11:06 UTC (permalink / raw) To: ALT Linux Community general discussions 04.12.2011 13:06, Sergey пишет: > Кстати, о птичках. А какой-нибудь тюнинг IP-стека делался ? А то, > что-то, кое-что теряется. У ipt_netflow ошибки не фиксируются, а > вот nfcapd, висящий на 127.0.0.1, фиксирует "Sequence Errors" по > чуть-чуть: > Flows: 179520, Packets: 1784377, Bytes: 1251651233, Sequence Errors: 1, Bad Packets: 0 Это если не ошибаюсь - означает что нарушен порядок пакетов У нас с некоторых кошек и не только бывает в логах вот такое вот New exporter: time=1313497123 src_ip=zz.xx.yy.36 dst_ip=zz.xx.yy.25 d_version=5 ftpdu_seq_check(): src_ip=zz.xx.yy.36 dst_ip=zz.xx.yy.25 d_version=5 expecting=44192069 received=44192099 lost=30 ftpdu_seq_check(): src_ip=zz.xx.yy.36 dst_ip=zz.xx.yy.25 d_version=5 expecting=44192129 received=44192069 lost=429 ftpdu_seq_check(): src_ip=zz.xx.yy.36 dst_ip=zz.xx.yy.25 d_version=5 expecting=44192099 received=44192129 lost=30 но при этом на тестовых проверках трафик не потерялся. ^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] сгенерировать netflow 2011-12-04 11:06 ` Anton Gorlov @ 2011-12-04 11:55 ` Sergey 2011-12-04 13:54 ` Alexei Takaseev 0 siblings, 1 reply; 15+ messages in thread From: Sergey @ 2011-12-04 11:55 UTC (permalink / raw) To: ALT Linux Community general discussions On Sunday, December 04, 2011, Anton Gorlov wrote: > > Flows: 179520, Packets: 1784377, Bytes: 1251651233, Sequence Errors: 1, Bad Packets: 0 > Это если не ошибаюсь - означает что нарушен порядок пакетов Да. И не факт, что пропущенные долетели. Скорее, даже, факт: иначе бы было 3 ошибки: пропущенный фрагмент, плюс сдвиги в начале и конце фрагмента при его "долёте". > ftpdu_seq_check(): src_ip=zz.xx.yy.36 dst_ip=zz.xx.yy.25 d_version=5 > expecting=44192099 received=44192129 lost=30 > > но при этом на тестовых проверках трафик не потерялся. У меня, поже, теряется: есть вторая считалка, которая чераз libpcap считает то же самое. Надо попробовать в nfcapd отладочный код раскомментировать, который количество пропущенного выводит... -- С уважением, Сергей a_s_y@sama.ru ^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] сгенерировать netflow 2011-12-04 11:55 ` Sergey @ 2011-12-04 13:54 ` Alexei Takaseev 2011-12-04 18:55 ` Sergey 0 siblings, 1 reply; 15+ messages in thread From: Alexei Takaseev @ 2011-12-04 13:54 UTC (permalink / raw) To: ALT Linux Community general discussions ----- Исходное сообщение ----- > On Sunday, December 04, 2011, Anton Gorlov wrote: > > > > Flows: 179520, Packets: 1784377, Bytes: 1251651233, Sequence > > > Errors: 1, Bad Packets: 0 > > > Это если не ошибаюсь - означает что нарушен порядок пакетов > > Да. И не факт, что пропущенные долетели. Скорее, даже, факт: иначе > бы было 3 ошибки: пропущенный фрагмент, плюс сдвиги в начале и конце > фрагмента при его "долёте". > > > ftpdu_seq_check(): src_ip=zz.xx.yy.36 dst_ip=zz.xx.yy.25 > > d_version=5 > > expecting=44192099 received=44192129 lost=30 > > > > но при этом на тестовых проверках трафик не потерялся. > > У меня, поже, теряется: есть вторая считалка, которая чераз libpcap > считает > то же самое. Надо попробовать в nfcapd отладочный код > раскомментировать, > который количество пропущенного выводит... Вот засада. Я все посматривал в сторону ядерной генерации Netflow, а тут такие косяки. Сейчас налажен заворот нужных пакетов в -j QUEUE и потом ipcad из интерфейса ipq. Потерь и ошибок Netflow не регистрируется. ^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] сгенерировать netflow 2011-12-04 13:54 ` Alexei Takaseev @ 2011-12-04 18:55 ` Sergey 0 siblings, 0 replies; 15+ messages in thread From: Sergey @ 2011-12-04 18:55 UTC (permalink / raw) To: ALT Linux Community general discussions On Sunday 04 December 2011, Alexei Takaseev wrote: > > У меня, похоже, теряется: есть вторая считалка, которая чераз libpcap > > считает то же самое. Надо попробовать в nfcapd отладочный код > > раскомментировать, который количество пропущенного выводит... > > Вот засада. Я все посматривал в сторону ядерной генерации Netflow, а > тут такие косяки. Сейчас налажен заворот нужных пакетов в -j QUEUE и > потом ipcad из интерфейса ipq. Потерь и ошибок Netflow не регистрируется. Я, всё же, подозреваю не ядерную генерацию, а именно udp. Так как при указании локального и удалённого коллекторов одновременно бывает так, что данные долетают до удалённого коллектора, а на localhost теряются. flowtools пробовал тоже - тоже потери есть. Так что nfdump тоже не на первом месте по подозрениям. -- С уважением, Сергей a_s_y@sama.ru ^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] сгенерировать netflow 2011-12-04 9:06 ` Sergey 2011-12-04 11:06 ` Anton Gorlov @ 2011-12-16 8:47 ` Anton Farygin 1 sibling, 0 replies; 15+ messages in thread From: Anton Farygin @ 2011-12-16 8:47 UTC (permalink / raw) To: community 04.12.2011 13:06, Sergey пишет: > On Friday 02 December 2011, Anton Farygin wrote: > >> # cat /etc/net/ifaces/manag/sysctl.conf >> net.netflow.destination = 10.10.1.99:2004 >> >> Ну, в какой цепочке брать и куда отправлять думаю сам придумаешь. >> >> Могу сказать, что всё остальное не работает. тут при 400 мегабитах >> CPU Load выше 5% не поднимается. > > Кстати, о птичках. А какой-нибудь тюнинг IP-стека делался ? А то, > что-то, кое-что теряется. У ipt_netflow ошибки не фиксируются, а > вот nfcapd, висящий на 127.0.0.1, фиксирует "Sequence Errors" по > чуть-чуть: > > Flows: 179520, Packets: 1784377, Bytes: 1251651233, Sequence Errors: 1, Bad Packets: 0 > > Причём местами: есть несколько однотипных инсталляций, где-то есть, > где-то нет. Можно бы подумать на загрузку, но есть и более наргуженная > система, где теряется на много реже. Вот разница за сегодня: > > # cat /var/log/messages |grep "nfcapd.*Sequence Errors. [1-9]"|wc -l > 28 > > # cat /var/log/messages |grep "nfcapd.*Sequence Errors. [1-9]"|wc -l > 0 > > Железки почти одинаковые - отличаются только процессором. На второй > чуть мощнее, но и загрузка трафиком там повыше, LA часто выше, чем на > первой. Ядра были одинаковые, 2.6.32-el-smp-alt27. В настоящий момент > там, где теряется, std-def-3.0.8-alt0.M60P.1, ситуацию это не поменяло. > > Вот думаю, кто тут крайний... > У меня трафик уходит туда, где его берут без проблем - на потери никто не жаловался. Здесь похоже проблема всё-таки с nfcapd или локальной конфигурацией. Тюнинг IP стека конечно же сделан, но всё, в основном, расширено для переваривания нагрузки - ничего там критичного для UDP нет. ^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] сгенерировать netflow 2011-12-02 6:22 ` Anton Farygin 2011-12-04 9:06 ` Sergey @ 2011-12-06 5:26 ` Денис Смирнов 2011-12-16 8:46 ` Anton Farygin 1 sibling, 1 reply; 15+ messages in thread From: Денис Смирнов @ 2011-12-06 5:26 UTC (permalink / raw) To: ALT Linux Community general discussions [-- Attachment #1: Type: text/plain, Size: 648 bytes --] On Fri, Dec 02, 2011 at 10:22:37AM +0400, Anton Farygin wrote: AF> # cat /etc/net/ifaces/default/fw/iptables/filter/FORWARD AF> -j NETFLOW AF> # cat /etc/net/ifaces/manag/sysctl.conf AF> net.netflow.destination = 10.10.1.99:2004 Э... Все так просто? AF> Ну, в какой цепочке брать и куда отправлять думаю сам придумаешь. Разумеется. AF> Могу сказать, что всё остальное не работает. тут при 400 мегабитах CPU AF> Load выше 5% не поднимается. В принципе логично -- никаких лишних context switches. -- С уважением, Денис http://mithraen.ru/ ---------------------------------------------------------------------------- [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 198 bytes --] ^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] сгенерировать netflow 2011-12-06 5:26 ` Денис Смирнов @ 2011-12-16 8:46 ` Anton Farygin 0 siblings, 0 replies; 15+ messages in thread From: Anton Farygin @ 2011-12-16 8:46 UTC (permalink / raw) To: community 06.12.2011 09:26, Денис Смирнов пишет: > On Fri, Dec 02, 2011 at 10:22:37AM +0400, Anton Farygin wrote: > > AF> # cat /etc/net/ifaces/default/fw/iptables/filter/FORWARD > AF> -j NETFLOW > AF> # cat /etc/net/ifaces/manag/sysctl.conf > AF> net.netflow.destination = 10.10.1.99:2004 > > Э... Все так просто? > Да. > AF> Ну, в какой цепочке брать и куда отправлять думаю сам придумаешь. > > Разумеется. > > AF> Могу сказать, что всё остальное не работает. тут при 400 мегабитах CPU > AF> Load выше 5% не поднимается. > > В принципе логично -- никаких лишних context switches. да. ^ permalink raw reply [flat|nested] 15+ messages in thread
end of thread, other threads:[~2011-12-16 8:47 UTC | newest] Thread overview: 15+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2011-11-30 16:23 [Comm] сгенерировать netflow Денис Смирнов 2011-11-30 16:34 ` Dubrovskiy Viacheslav 2011-11-30 17:03 ` Алексей Синицын 2011-11-30 17:10 ` Dubrovskiy Viacheslav 2011-12-01 9:49 ` Sergey 2011-12-01 9:53 ` Sergey 2011-12-02 6:22 ` Anton Farygin 2011-12-04 9:06 ` Sergey 2011-12-04 11:06 ` Anton Gorlov 2011-12-04 11:55 ` Sergey 2011-12-04 13:54 ` Alexei Takaseev 2011-12-04 18:55 ` Sergey 2011-12-16 8:47 ` Anton Farygin 2011-12-06 5:26 ` Денис Смирнов 2011-12-16 8:46 ` Anton Farygin
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git