BSDPORTAL.RU

FreeBSD 6.0 - 3 интерфейса. NAT'а нет.

нужно посчитать трафик в обоих направлениях. Делаю так:

#!/bin/sh

ext_if=fxp0 #192.168.0.1/252
int_if=em0 #10.101.0.1/248
serv_if=em1 # 10.101.1.1/255

ngctl -f- <<-SEQ
mkpeer ${ext_if}: tee lower right
name ${ext_if}:lower ext_tee
connect ${ext_if}: ext_tee: upper left

mkpeer ${int_if}: tee lower right
name ${int_if}:lower int_tee0
connect ${int_if}: int_tee0: upper left

mkpeer ${serv_if}: tee lower right
name ${serv_if}:lower int_tee1
connect ${serv_if}: int_tee1: upper left


mkpeer ext_tee: netflow right2left iface0
name ext_tee:right2left netflow

connect ext_tee: netflow: left2right iface1
connect int_tee0: netflow: left2right iface2
connect int_tee0: netflow: right2left iface3
connect int_tee1: netflow: left2right iface4
connect int_tee1: netflow: right2left iface5

mkpeer netflow: ksocket export inet/dgram/udp
msg netflow:export connect inet/127.0.0.1:6667
SEQ
------------------------------------------------------------------------

В результате трафик двоит.. подозреваю, что из-за использования tee
В 6.0 появился out но как переписать - ниасилил (

Помогите поправить?

По-моему скромному мнению использовать ng_tee не стоит.
Взамен лучше ng_split.

По существу вопроса. Это роутер ? Если да, то логично, что если пакет попадет на однин интерфейс то выйдет из другого. Если мы считаем и входящий и исходящий трафик на всех интерфейсах - то пакет посчитается дважды.

Ну это я понял в общих чертах.. вот только как переписать правильно - ниасилил

Если машина не является источником трафика - можно считать только входящий трафик. Или наоброт считать только исходящий трафик на всех интерфейсах. C помощью ng_ipfw можно считать что-то выборочно. Вариантов много.

ng_netflow точно отпадает

Есть предположение: если на 3-х интерфейсах серые адреса и нет ната, может быть считать трафик только на int_if?

ng_netflow - это только сам "сенсор". В 6.x его можно заставить считать IP трафик практически при любой схеме прохождения трафика.

Это я понимаю. Вопрос - как правильно заставить его считать в моей ситуации

Если машина не является источником трафика, то посчитав только входящий трафик на всех интерфейсах - мы посчитаем весь трафик через роутер.

Можно посчитать весь исходящий - таким образом мы мы тоже посчитаем весь трафик, за исключением того, что было отброшено фильтрами.

Если машина является источником трафика (на ней запушен какой-нибуть сервис) то несложно при помощи ng_ipfw и netgraph или ngtee (man 8 ipfw) закинуть в ng_netlow то, что не посчиталось на интерфейсах.

Опять же можно все посчитать и спомощью ng_ipfw весь трафик, не прикручивая ng_netflow к интерфейсам вообще.

Использование ng_ipfw мне кажется более гибким решением.

Машина не является источником трафика, на машине нет ната, все адреса интерфейсов - серые. Достаточно ли считать трафик только на внутреннем интерфейсе? Будут ли в трафике фигурировать адреса внешних интерфейсов или сетей за ними стоящих?