ndsad не шлет статистику

saint · Сообщение **saint** » Пн фев 28, 2005 11:52

Добрый день!

nf_lifetime 1
ip xxx.xxx.xxx.xxx
port 9996
force tun*
force wi0
force rl0
force rl1
ignore all
hash lo 64                    
hash all 32
heap 65536
dump 5
log /var/log/ndsad.log

и не шлет нифига на коллектор. IPCAD слал.

dalex · Сообщение **dalex** » Пн фев 28, 2005 12:50

force tun*

force_family tun

saint · Сообщение **saint** » Пн фев 28, 2005 13:00

Есть подозрение, что это не влияет на отправку данных на коллектор.

Смотрю tcpdump на внешнем интерфейсе, при запущенном ipcad вижу пакеты на 9996, при ndsad - нет.

msa · Сообщение **msa** » Пн фев 28, 2005 14:29

Такое впечатление, что ndsad вообще не знает, что такое tun*. У меня тоже не работает, хотя с ppp0 шлет без проблем

saint · Сообщение **saint** » Пн фев 28, 2005 15:30

Мне показалось, что при

Код: Выделить всё

force tun*

они хотя бы определяются:

Код: Выделить всё

ndsad&#91;85693&#93;&#58; `tun0'&#58; new device
ndsad&#91;85693&#93;&#58; `tun0' thread started successfully.
ndsad&#91;85693&#93;&#58; `tun0' thread is preparing for PCAP loop call

Кстати, документация опять - как обычно... :\

msa · Сообщение **msa** » Пн фев 28, 2005 15:40

У меня еще хуже. В конфиге стоит

Код: Выделить всё

force tun*

а в логах вот что:
ndsad[16019]: `tun0': new device
ndsad[16022]: `tun0' thread started successfully.
ndsad[16022]: `tun0' thread is preparing for dummy loop call

И соответственно, tun0 не подхватывается

demiurg

Уж не знаю поможет ли, у меня тоже была похожая хрень. Вылечилась ключиком, который указывает этот конфиг, т.е.
(часть ndsad.sh)
echo "Starting ndsad"
$START -c /netup/utm5/ndsad.conf -d -w&

msa · Сообщение **msa** » Пн фев 28, 2005 19:18

Конфиг-то он подхватывает, правда почему-то ищет его по-умолчанию в /netup/utm/ndsad.cfg. А вот tun0 не хочет. Правда у меня linux, а не фря

Дельта Сервис

Столкнулся недавно с тем же самым: ndsad нормально запускается, пишет что слушает интерфейс, но по tcpdump ничего не шлет. Вылечилось откатом на более старую версию(точно не помню какую).

SJ · Сообщение SJ » Вт мар 01, 2005 10:39

IMHO колектор IPCAD презмечательнейшай штука!

трафик можно слушать прямо из цепочки FORWARD предварительно его отвильтровав от нежелательного трафика по 135-139 и 445 портам...

saint · Сообщение **saint** » Вт мар 01, 2005 11:03

SJ писал(а):IMHO колектор IPCAD презмечательнейшай штука!

Кто бы спорил... Вот только с tun* под FreeBSD у него какие-то непонятные проблемы - через некоторое время после старта начинают сильно расходится данные.

S писал(а):трафик можно слушать прямо из цепочки FORWARD предварительно его отвильтровав от нежелательного трафика по 135-139 и 445 портам...

А кроме линукса уже не существует систем?

floyd · Сообщение **floyd** » Вт мар 01, 2005 11:30

Дельта Сервис писал(а):Столкнулся недавно с тем же самым: ndsad нормально запускается, пишет что слушает интерфейс, но по tcpdump ничего не шлет. Вылечилось откатом на более старую версию(точно не помню какую).

Как ни странно по обратной петле он работает , а вот передать стрим ядру на удаленной машине не может . С 0.0.3-029-PCAP-static все замечательно , правда у меня статистика снимается с одного физического интерфейса .

saint · Сообщение **saint** » Вт мар 15, 2005 10:18

Так что где проверять-то?