Сбор статистики с помощью хаба

[wolf]

В мануале написано:
"Например, между коммутатором и локальной сетью включается концентратор (хаб), к портк которого подключается сервер. При работе сервер перехватывает все пакеты, идущие из локальной сети к коммутатору и обратно, анализирует их заголовки и обрабатывает полученную информацию"
К сожалению это все, что есть на эту тему. Примера подобного подключения в мануале не приведено.
Я попытался реализовать подобную схему - ничего не получается. В детальном отчете по трафику видны только широковещательные пакеты, ну и, естественно, пакеты к серверу и от него.
Т.е. получается, что пекеты из сети к коммутатору (в моем случае роутеру) и от коммутатора (роутера) в сеть сервер не перехватывает.
Вопрос: как сделать, чтобы перехватывал?
Хаб такой: 3Com Office Connect Hub TP4Combo
файл конфигурации Ndsad:

Код: Выделить всё

### Project: ndsad; Project version: 0.0.3-025;
### Branch: ;
### File: ndsad.conf; File version: 0.0.3-024

ip 127.0.0.1
port 9996
force eth0
#ignore eth1
ignore lo                 
#dummy  eth               
#promisc ex0
#filter eth0 net 10.0.0.0/24 and not port 135
hash lo 64                    
hash all 32
heap 65536
#dump 5
log /usr/local/utm/ndsad.log
#config /usr/local/etc/nfcd.local.conf

файл конфигурации UTM:

Код: Выделить всё

## 
## /netup/utm5/utm5.cfg ## Main UTM5 configuration file
===============================================
## DATABASE
===============================================
database_type=mysql
database=UTM5
database_host=localhost
database_login=root
database_password=
database_sock_path=/tmp/mysql.sock
database_port=3306
dbcount=6
db_transaction_enable=yes
database_reconnect_count=5
database_reconnect_sleep=2

===============================================
## URFA SERVER
===============================================
urfa_bind_host=0.0.0.0
urfa_bind_port=11758
urfa_lib_file=/netup/utm5/lib/utm5_core/liburfa-utils.so
urfa_lib_file=/netup/utm5/lib/utm5_core/liburfa-std.so
urfa_lib_file=/netup/utm5/lib/utm5_core/liburfa-card.so
urfa_lib_file=/netup/utm5/lib/utm5_core/liburfa-graph.so
urfa_lib_file=/netup/utm5/lib/utm5_radius/liburfa-radius.so
urfa_lib_file=/netup/utm5/lib/utm5_hotspot/liburfa-hotspot.so

===============================================
## NETFLOW BUFFER
===============================================
nfbuffer_host=127.0.0.1
nfbuffer_port=9996

===============================================
## LOGGING
===============================================
log_level=3
log_file_main=/netup/utm5/log/main.log
log_file_debug=/netup/utm5/log/debug.log
log_file_critical=/netup/utm5/log/critical.log

## log_file_verificator ##  Description: Database verificator logfile path.
##  Default value: /netup/utm5/log/verificator.sql
log_file_verificator=/netup/utm5/log/verificator.log

===============================================
## MISC SETTINGS
===============================================
core_pid_file=/var/run/utm5_core.pid

[wolf]

отвечаю сам себе.
Оказывается нужно было включить параметр

Код: Выделить всё

promisc eth0 

[Chris]

Возьми с полки пирожок Молодец

[Дельта Сервис]

Да приходилось такой извратный способ снятия статистики делать: на L2 свитче сделал port mirroring для uplink'а и это зеркало в promisc режиме слушал ndsad'ом

[prx]

У нас ща так и работает... Интересует только вопрос когда сервер не сможет обрабатывать большое количество пакетов.

[wolf]

Вообще-то мне нужно переустановить сервер и я решил сначала установить UTM на параллельной машине.
Сейчас все стоит на роутере. Сетка маленькая -25 чел, трафик не большой - до 2 Гб в месяц, так, что UTM4 и Атлон1700 справляются.
На новой машине решил поставить UTM5 v.1.17 и без спешки настроить его там (и заодно посмотреть что это за зверь).
Вот теперь сравниваю между собой работу UTM4 и UTM5.
Оказалось, что UTM5 (тот, что перехватывает пакеты через хаб) считает на 2% трафика меньше, чем UTM4 (который стоит непосредственно на роутере).
С чем это может быть связано?