The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"IPCAD не правильно считает FORWARD траффик"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"IPCAD не правильно считает FORWARD траффик"  
Сообщение от Виктор email(??) on 20-Апр-07, 14:24 
Есть локалка 192.168.0.1/24 Поставил IPCAD на Linux. при использовании его в качестве маршрутизатора (его в локалке:IP 192.168.0.2  а его IP шлюза 192.168.0.1) он показывает не правильную статистику. Но при этом правильно считает траффик идущий от него и к нему.
напр при посещении сайтов links.
В чем загвоздка?

ipcad.conf:

capture-ports enable;
interface eth2;
aggregate 0.0.0.0/0 strip 32;    /* Aggregate external networks */
aggregate 1024-65535    into 65535;    /* Aggregate wildly */
aggregate 5190-5190    into 5190;    /* Protect these ports */
aggregate 150-1023    into 1023;    /* General low range */
netflow export destination 127.0.0.1 9996;
netflow export version 5;    # NetFlow export format version {1|5}
netflow timeout active 30;    # Timeout when flow is active, in minutes
netflow timeout inactive 15;    # Flow inactivity timeout, in seconds
netflow engine-type 73;        # v5 engine_type; 73='I' for "IPCAD"
netflow engine-id 1;        # Useful to differentiate multiple ipcads.
netflow ifclass eth mapto 0-99;        # i.e., "eth1"->1, "eth3"->3
netflow ifclass fxp mapto 0-99;        # i.e., "fxp4"->4, "fxp0"->0
netflow ifclass ppp mapto 100-199;    # i.e., "ppp32"->532, "ppp7"->507
netflow ifclass gre mapto 200-299;
netflow ifclass tun mapto 300-399;    # i.e., "tun0"->300
rsh enable at 127.0.0.1;
rsh root@127.0.0.1 admin;
rsh ttl = 3;
rsh timeout = 30;
dumpfile = ipcad.dump;    # The file is inside chroot(), see below...
chroot = /var/ipcad;
pidfile = /run/ipcad.pid;
memory_limit = 10m;


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "IPCAD не правильно считает FORWARD траффик"  
Сообщение от Виктор email(??) on 20-Апр-07, 14:41 
Точнее траффик есть и вх и исходящий но при скачавании 6м он составляет несколько сотен кб


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "IPCAD не правильно считает FORWARD траффик"  
Сообщение от perece on 23-Апр-07, 16:09 
для начала - какой ipcad?

я знаю ipcad-libpcap и ipcad-libipq
у них принципиально разные принципы "врезки" в систему

\^P^/

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "IPCAD не правильно считает FORWARD траффик"  
Сообщение от Виктор email(??) on 23-Апр-07, 17:16 
>для начала - какой ipcad?
>
>я знаю ipcad-libpcap и ipcad-libipq
>у них принципиально разные принципы "врезки" в систему
>
>\^P^/
ipcad-libpcap v 3.7.3
http://sourceforge.net/projects/ipcad
Такая же штука при использовании NDSAD v 1.33 от NetUP тоже основан на libpcap.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "IPCAD не правильно считает FORWARD траффик"  
Сообщение от perece on 23-Апр-07, 19:43 
>>для начала - какой ipcad?
>>
>>я знаю ipcad-libpcap и ipcad-libipq
>>у них принципиально разные принципы "врезки" в систему
>>
>>\^P^/
>ipcad-libpcap v 3.7.3
>http://sourceforge.net/projects/ipcad
>Такая же штука при использовании NDSAD v 1.33 от NetUP тоже основан
>на libpcap.
угу. и fprobe - туда же. libpcap-based collector по сути есть обычный снифер. при высокой загрузке процессора(ов) ему свойственно пропускать пакеты и, соответственно, недосчитывать
(если uptime показывает avg load >1.0, то пропускать больше половины - тоже в порядке вещей)
"азиатский вариант" для сильно нагруженого роутера - ipcad-libipq. при его врезке processing overhead возростет сильно, в разы. но по крайней мере то, что не учтено, не будет и смаршрутизировано.
нормальное решение - бсд и ng-netflow. к сожалению для linux netfilter ядерного модуля netflow пока не написали (самому надо, а потому я "мониторю" этот вопрос). хотя, казалось бы - чего там сложного. ip_conntrack уже и так собирает всю необходимую инфу - вопрос в том, чтоб отдать правильно...

\^P^/

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "IPCAD не правильно считает FORWARD траффик"  
Сообщение от Виктор email(??) on 24-Апр-07, 09:53 
>угу. и fprobe - туда же. libpcap-based collector по сути есть обычный
>снифер. при высокой загрузке процессора(ов) ему свойственно пропускать пакеты и, соответственно,
>недосчитывать
>(если uptime показывает avg load >1.0, то пропускать больше половины - тоже в порядке вещей)
>"азиатский вариант" для сильно нагруженого роутера - ipcad-libipq. при его врезке processing
>overhead возростет сильно, в разы. но по крайней мере то, что
>не учтено, не будет и смаршрутизировано.
>нормальное решение - бсд и ng-netflow. к сожалению для linux netfilter ядерного
>модуля netflow пока не написали (самому надо, а потому я "мониторю"
>этот вопрос). хотя, казалось бы - чего там сложного. ip_conntrack уже
>и так собирает всю необходимую инфу - вопрос в том, чтоб
>отдать правильно...
>
>\^P^/
У меня он не загружен вообще!!! настроил на шлюз 1 машину и  скачиваю файлы по 5-10 мб, смотрю результат. Может что-то связано с тем что он маршутизирует из локалки в локалку по одной сетевой карте?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "IPCAD не правильно считает FORWARD траффик"  
Сообщение от perece on 24-Апр-07, 14:40 
>У меня он не загружен вообще!!!
кто? ip_conntrack? не надо так бурно реагировать на размышления в скобках.
или речь о загрузке сервера? тогда вывод uptime трудно было показать?
>настроил на шлюз 1 машину и
> скачиваю файлы по 5-10 мб, смотрю результат. Может что-то связано
>с тем что он маршутизирует из локалки в локалку по одной
>сетевой карте?
возможно, это можно узнать, только поснифав.
root@somehost:~# tcpdump -nn -i any >/dev/null
.....
^C
37144 packets captured
74425 packets received by filter
137 packets dropped by kernel

последняя цифирь (packets dropped) - не ноль? как соотносится с "captured" (не больше ли в разы?)

\^P^/

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "IPCAD не правильно считает FORWARD траффик"  
Сообщение от Виктор email(??) on 25-Апр-07, 12:13 
загружаю ipcad, делаю через rsh сброс статистики.
далее tcpdump -nn -i any
прокачиваю 3,2 мб.
IPCAD:  223420 кб статистика по этому IP
ip -s link list eth2: rx 229289 tx 220727
tcpdump  4673 pakets captured
5229 received
533 packet dropped
uptime 0,45
нет такого траффика на интерфейсе :(


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "IPCAD не правильно считает FORWARD траффик"  
Сообщение от perece on 25-Апр-07, 12:39 
>загружаю ipcad, делаю через rsh сброс статистики.
>далее tcpdump -nn -i any
>прокачиваю 3,2 мб.
>IPCAD:  223420 кб статистика по этому IP
Kb? или байт???
>ip -s link list eth2: rx 229289 tx 220727
это байт или пакетов? вообщет показывать "родной" вывод команд принято, а не "human-parsed"
>tcpdump  4673 pakets captured
>5229 received
>533 packet dropped
потерь около 10%
>uptime 0,45
это load average? странно, что только 10%. load avg = 0.45 это до%&я
>нет такого траффика на интерфейсе :(
не понял?

\^P^/

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру