Re: ip accounting
On Thu, Jan 12, 2006 at 09:52:46AM +0600, Yury Yurevich wrote:
> > apt-cache search netflow
> Из интересующих увидел:
> pmacct - promiscuous mode traffic accountant
> fprobe-ulog - export captured traffic to remote NetFlow Collector (ULOG version)
>
> Потенциально-интересным выглядит pmacct, но он работает в promisc-режиме,
> это, IMHO, недостаток. А судя по fprobe-ulog, помимо fprobe-ulog нужен
> будет еще и коллектор NetFlow, что, IMHO, неоправданное усложнение схемы.
А MySQL оправданное усложнение схемы? :-)
Рекомендую fprobe-ulog + flow-tools. В составе flow-tools есть утилита
flow-export, которая умеет экспортировать данные в mysql.
> К слову, оба -- libpcap-based, так что есть еще один недостаток -- не может
> сказать, какая из машин за NAT потребила трафик.
Есть 2 пакета fprobe-ulog и fprobe. fprobe - он действительно
libpcap-based, а fprobe-ulog используется совместно с iptables (ULOG
action).
btw, у fprobe-ulog есть небольшой баг. В документации написано, что он
умеет выставлять индексы входящего и исходящего интерфейсов в
пакете и это делается путем перечисления списка интерфейсов и их
индексов в параметрах запуска демона. Как оказалось, он умеет еще и
звать if_nametoindex, так что, можно и не указывать руками привязку
интерфейс-индекс. Есть еще один баг: если интерфейсы перечисленны в,
например, таком порядке: eth1:100,eth1.1:102 (то есть совпадают
несколько первых букв в названии интерфейса и более короткое имя стоит
первым), то в пакете всегда будет индекс интерфейса eth1.
Это все из-за умелого использования функции strncmp, там в качестве
3-го параметра (длина буфера) используется длина имени интерфейса,
указанного в параметрах запуска. Обходной маневр - или патчить, или
указывать более длинные имена первыми, или не использовать статическую
привязку, но для последнего нужно будет подправить скрипт запуска, в
Debian (по крайней мере в Sarge), правила привязки в обязательном
порядке подсовываются демону, вне зависимости, указаны эти правила или
нет.
--
Andrew Degtiariov
DA-RIPE
Reply to: