From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <alexei@taf.ru>
Date: Sun, 16 Apr 2006 14:48:59 +0900
From: Alexei Takaseev <alexei@taf.ru>
To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
Message-Id: <20060416144859.108fbb4f.alexei@taf.ru>
In-Reply-To: <m37j5qqj9g.fsf@evg.krasnoyarsk.ru>
References: <m37j5qqj9g.fsf@evg.krasnoyarsk.ru>
Organization: /dev/null
X-Mailer: Sylpheed version 1.0.4 (GTK+ 1.2.10; i586-alt-linux-gnu)
Mime-Version: 1.0
Content-Type: text/plain; charset=KOI8-R
Content-Transfer-Encoding: 8bit
X-Virus-Scanned: amavisd-new at 
X-Spam-Status: No, hits=-5.899 tagged_above=-10 required=6.31
	tests=ALL_TRUSTED, BAYES_00
X-Spam-Level: 
Subject: Re: [Sysadmins] NwrFlow export
X-BeenThere: sysadmins@lists.altlinux.org
X-Mailman-Version: 2.1.7
Precedence: list
Reply-To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
List-Id: ALT Linux sysadmin discuss <sysadmins.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sysadmins>
List-Post: <mailto:sysadmins@lists.altlinux.org>
List-Help: <mailto:sysadmins-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Sun, 16 Apr 2006 06:00:12 -0000
Archived-At: <http://lore.altlinux.org/sysadmins/20060416144859.108fbb4f.alexei@taf.ru/>
List-Archive: <http://lore.altlinux.org/sysadmins/>

On Sun, 16 Apr 2006 11:41:47 +0800 Evgenii Terechkov wrote:

> 
> Кто что использует/советует для организаций экспорта в NetFlow?
> 
> Надо это сделать на машине с кучей интерфейсов (3...5) и приличным
> трафиком. Счёт только на самой машине - через lo. Главное требование -
> чтобы считалка не врала (по крайней мере не слишком сильно/часто).
> 
> Пока остановился на связке ipcad и flow-capture. Какие есть
> альтернативы? Желательно конечно, чтоб собиралось/работало без проблем
> на Master 2.4, или было в Сизифе (хотя там поискал, может не заметил).
> 
> И собственно по ipcad вопрос - я правильно понимаю, что мне лучше
> статистику через ULOG (просто на аналогичной машине видел как связка
> flow-capture и fprobe-ulog потеряла несколько сот Mb в месяц). Или
> через другой механизм (если конечно пользоваться ipcad)?

Если настолько критична потеря трафика, то снимать аднные ipcad'ом лучше
с интерфейса ipq

...
-A INPUT -j QUEUE
-A FORWARD  -j QUEUE
-A OUTPUT -j QUEUE
...

/etc/ipcad.conf:
...
interface ipq;
...

Как рузельтат, ни один пакет не пройдет через роутер, пока не
обработается в ipcad'е. По-идее, если надо контролировать только
транзитный через роутер трафик, то записи в цепочках INPUT и OUTPUT
будут излишними.