в логах ndsad пишет следующее:
ndsad[509]: WatchDog: recovering abnormal termination...
ndsad[509]: WatchDog: child[534] started on Wed Jul 26 22:03:54 2006
ndsad[534]: Heap<0>: 0/65536 nodes, 0/65536 bytes
ndsad[534]: Heap<2>: 0/-1 nodes, 0/-52 bytes
ndsad[509]: WatchDog: child[534]: SIGSEGV signal cought...
и так каждые 6 секунд
конфиг такой:
nf_lifetime 2000
ip 127.0.0.1
port 9996
force rl0
ignore all
promisc rl0
hash lo 128
heap 65536
dump 5
log /tmp/ndsad.log
помогите разобраться что к чему, если кто-нибудь про это знает...
подскажите, почему не работает ndsad
А вот менять версии, оказывается, нужно с осторожностью!aospan писал(а):В любом случае попробуйте взять последнюю версию ндсад со страницы проекта - sourceforge.net/projects/ndsad
20.07.2006 скачал по указанной ссыпке (кстате очень удивился дате создания "наисвежайшей" версии) ndsad-1.33-linux.static.tgz
Поставил. Тут же перестали считаться интерфейсы ррр.
Вернул старую версию (что была в дистрибутиве) - все опять заработало.
старая версия ndsad: 1007Кб, 22.11.2005 19:14
новая версия ndsad: 1111Кб, 30.11.2005 14:07
Мой конфиг:
Код: Выделить всё
(вариант 1):
ip 192.168.0.1
port 9996
force eth0
force ppp1
ignore lo
hash lo 64
hash all 32
heap 65536
pidfile /var/run/ndsad.pid
log /usr/local/utm/utm5/log/ndsad.log
Вариант 2:
ip 192.168.0.1
port 9996
force eth0
force_family ppp
ignore ppp0
ignore lo
hash lo 64
hash all 32
heap 65536
pidfile /var/run/ndsad2.pid
log /usr/local/utm/utm5/log/ndsad2.log
ОС FreeBSD 5.4, ndsad взят бинарный из дистрибутива. Скачал версию 1.33, почему-то при запуске ./preconf не определяются установленные пакетики, то есть пишет:
aclocal: not found
automake: not found
autoconf: not found
при этом у меня стоит automake-1.9.6, autoconf-2.59 и libpcap-0.9.4, в мануале написано, что более новые версии пакетов должны поддерживаться... (((
aclocal: not found
automake: not found
autoconf: not found
при этом у меня стоит automake-1.9.6, autoconf-2.59 и libpcap-0.9.4, в мануале написано, что более новые версии пакетов должны поддерживаться... (((
demiurg писал(а):Просто пропиши в том файле полные пути и всё получится.
preconf
#!/bin/sh
/usr/local/libexec/automake19/aclocal
/usr/local/libexec/automake19/automake --add-missing
/usr/local/libexec/autoconf259/autoconf
прописал, установил, замутил конфиг,запускаю:
# ndsad -c /usr/local/etc/ndsad.conf
Processing `/usr/local/etc/ndsad.conf' config file.
Segmentation fault (core dumped)
-----------------------------------
# tail /var/log/messages
Sep 19 10:24:50 router kernel: pid 26680 (ndsad), uid 0: exited on signal 11 (core dumped)
Sep 19 10:41:28 router kernel: pid 26707 (ndsad), uid 0: exited on signal 11 (core dumped)
Sep 19 10:41:56 router kernel: pid 26709 (ndsad), uid 0: exited on signal 11 (core dumped)
Sep 19 10:42:21 router kernel: pid 26711 (ndsad), uid 0: exited on signal 11 (core dumped)
Sep 19 10:45:33 router kernel: pid 26730 (ndsad), uid 0: exited on signal 11 (core dumped)
---------------------------------
# cat /usr/local/etc/ndsad.conf
ip 10.0.0.15
port 9996
force_family tun
ignore all
hash lo 64
hash all 32
heap 65536
pidfile /var/run/ndsad2.pid
log /usr/tmp/ndsad2.log
--------------------------------
# cat /usr/tmp/ndsad2.log
ndsad[26730]: Session opened on Tue Sep 19 10:45:33 2006
ndsad[26730]: binary version `1.32.1'
ndsad[26730]: Deleting pid file
ndsad[26730]: `bge0': new device
Скажите пожалуйсто кто-нибудь... эту балалайку вапще реально запустить?
не видно трафика.т.е. он не считается 
лог:
ndsad[885]: Session opened on Fri Jul 18 11:55:18 2008
ndsad[885]: binary version `1.32.1'
ndsad[885]: WatchDog: Dog waken...
ndsad[885]: WatchDog: child[888] started on Fri Jul 18 11:55:18 2008
ndsad[888]: `vr0': new device
ndsad[888]: `vr1': new device
ndsad[888]: `lo0': new device
ndsad[888]: `vr0' thread started successfully.
ndsad[888]: `vr0' thread is preparing for dummy loop call
ndsad[888]: `vr1' thread started successfully.
ndsad[888]: `vr1' thread is preparing for PCAP loop call
ndsad[888]: pcap_datalink(vr1) = 1
ndsad[888]: Set ppp offset = 4
ndsad[888]: `lo0' thread started successfully.
ndsad[888]: `lo0' thread is preparing for PCAP loop call
ndsad[888]: pcap_datalink(lo0) = 0
ndsad[888]: Set ppp offset = 4
ndsad[888]: NFC<lo> status on Fri Jul 18 11:55:19 2008
0/30 messages ready, 0 flows seen...
0/64 (0.00%) hash usage, 0 entries scaned, 0 dropped
ndsad[888]: NFC<vr> status on Fri Jul 18 11:55:19 2008
0/30 messages ready, 0 flows seen...
1/32 (3.12%) hash usage, 1 entries scaned, 0 dropped
ndsad[888]: Heap<1>: 0/1092 nodes, 0/65520 bytes
ndsad[888]: Heap<2>: 0/-1 nodes, 0/-52 bytes
конф:
ip 127.0.0.1
port 9996
force vr1
ignore vr0
ignore lo
hash lo 64
hash all 32
heap 65536
log /netup/utm5/log/ndsad.log
pidfile /tmp/ndsad.pid
vr0 смотрит в инет
vr1 в лок. сеть.
лог:
ndsad[885]: Session opened on Fri Jul 18 11:55:18 2008
ndsad[885]: binary version `1.32.1'
ndsad[885]: WatchDog: Dog waken...
ndsad[885]: WatchDog: child[888] started on Fri Jul 18 11:55:18 2008
ndsad[888]: `vr0': new device
ndsad[888]: `vr1': new device
ndsad[888]: `lo0': new device
ndsad[888]: `vr0' thread started successfully.
ndsad[888]: `vr0' thread is preparing for dummy loop call
ndsad[888]: `vr1' thread started successfully.
ndsad[888]: `vr1' thread is preparing for PCAP loop call
ndsad[888]: pcap_datalink(vr1) = 1
ndsad[888]: Set ppp offset = 4
ndsad[888]: `lo0' thread started successfully.
ndsad[888]: `lo0' thread is preparing for PCAP loop call
ndsad[888]: pcap_datalink(lo0) = 0
ndsad[888]: Set ppp offset = 4
ndsad[888]: NFC<lo> status on Fri Jul 18 11:55:19 2008
0/30 messages ready, 0 flows seen...
0/64 (0.00%) hash usage, 0 entries scaned, 0 dropped
ndsad[888]: NFC<vr> status on Fri Jul 18 11:55:19 2008
0/30 messages ready, 0 flows seen...
1/32 (3.12%) hash usage, 1 entries scaned, 0 dropped
ndsad[888]: Heap<1>: 0/1092 nodes, 0/65520 bytes
ndsad[888]: Heap<2>: 0/-1 nodes, 0/-52 bytes
конф:
ip 127.0.0.1
port 9996
force vr1
ignore vr0
ignore lo
hash lo 64
hash all 32
heap 65536
log /netup/utm5/log/ndsad.log
pidfile /tmp/ndsad.pid
vr0 смотрит в инет
vr1 в лок. сеть.
Ipfw
00050 76 5193 divert 8668 ip4 from any to any via vr0
00100 1030 228936 allow ip from any to any via lo0
00200 0 0 deny ip from any to 127.0.0.0/8
00300 0 0 deny ip from 127.0.0.0/8 to any
49000 81 5608 allow ip from any to 192.168.28.26
49000 48 3844 allow ip from 192.168.28.26 to any
59001 0 0 deny tcp from 192.168.0.0/16 to any dst-port 20-25,80,110,587,1700,3000-4000,6000-9000,17000
59002 0 0 deny udp from 192.168.0.0/16 to any dst-port 1700-1900,26000-28000
60000 0 0 deny ip from not 192.168.0.0/16 to 192.168.0.0/16
60001 0 0 deny ip from 192.168.0.0/16 to not 192.168.0.0/16
65000 0 0 allow ip from any to any
65535 0 0 deny ip from any to any
test# sockstat | grep ndsad
root ndsad 917 5 udp4 *:54236 *:*
root ndsad 917 7 udp4 *:* *:*
root ndsad 910 5 udp4 *:54236 *:*
ps -axu|grep ndsad
root 910 0.0 0.2 2660 1888 con- I 12:12PM 0:00.00 /netup/utm5/bin/ndsad -d -w
root 917 0.0 0.2 3436 2164 con- S 12:12PM 0:00.56 /netup/utm5/bin/ndsad -d -w
test# tcpdump -ivr1
тишина
00050 76 5193 divert 8668 ip4 from any to any via vr0
00100 1030 228936 allow ip from any to any via lo0
00200 0 0 deny ip from any to 127.0.0.0/8
00300 0 0 deny ip from 127.0.0.0/8 to any
49000 81 5608 allow ip from any to 192.168.28.26
49000 48 3844 allow ip from 192.168.28.26 to any
59001 0 0 deny tcp from 192.168.0.0/16 to any dst-port 20-25,80,110,587,1700,3000-4000,6000-9000,17000
59002 0 0 deny udp from 192.168.0.0/16 to any dst-port 1700-1900,26000-28000
60000 0 0 deny ip from not 192.168.0.0/16 to 192.168.0.0/16
60001 0 0 deny ip from 192.168.0.0/16 to not 192.168.0.0/16
65000 0 0 allow ip from any to any
65535 0 0 deny ip from any to any
test# sockstat | grep ndsad
root ndsad 917 5 udp4 *:54236 *:*
root ndsad 917 7 udp4 *:* *:*
root ndsad 910 5 udp4 *:54236 *:*
ps -axu|grep ndsad
root 910 0.0 0.2 2660 1888 con- I 12:12PM 0:00.00 /netup/utm5/bin/ndsad -d -w
root 917 0.0 0.2 3436 2164 con- S 12:12PM 0:00.56 /netup/utm5/bin/ndsad -d -w
test# tcpdump -ivr1
тишина
-
kaN5300
- Сообщения: 480
- Зарегистрирован: Пт янв 21, 2005 17:27
- Откуда: Ыукзгрщм
- Контактная информация:
Всё нормально. ndsad работает. Осталось только проверить:
1) Как заданы классы трафика в админке
2) Сверить эти классы с тем что реально проходит через интерфейс vr1
3) Проверить растет ли файл сырой статистики в каталоге netup/db
4) Посмотреть сколько записей netflow в админке и растут ли они.
1) Как заданы классы трафика в админке
2) Сверить эти классы с тем что реально проходит через интерфейс vr1
3) Проверить растет ли файл сырой статистики в каталоге netup/db
Код: Выделить всё
<kan5300@utm>ls -al iptraffic_raw_1216370044.utm
-rw-r--r-- 1 root wheel 37370720 Jul 18 12:58 iptraffic_raw_1216370044.utm