Хотим использовать Vlan-ы - NDSAD против.

Технические вопросы по UTM 5.0
Ответить
builder
Сообщения: 49
Зарегистрирован: Сб фев 05, 2005 18:10

Хотим использовать Vlan-ы - NDSAD против.

Сообщение builder »

Всем добрый день.
Очень прошу объяснить мне доходчиво :oops: специфику работы NDSAD-а с Vlan-ами. Форум перерыл, IMHO противоречивые мнения встречаются.
Ситуация:
Linux Mandrake 10.0
NDSAD binary version `0.0.3-030-PCAP-static'
Стали поднимать vilan-ы (до этого все считалось с Ethx, никаких проблем), виланы обозвали vlan0002 и т.д. (т.е. без точек). NDSAD при запуске интерфейсы видит:
ndsad[27334]: `eth1': new device
ndsad[27345]: `eth1' thread started successfully.
ndsad[27334]: `eth1:1': new device
ndsad[27346]: `eth1:1' thread started successfully.
ndsad[27334]: `vlan0002': new device
ndsad[27348]: `vlan0002' thread started successfully.
ndsad[27348]: `vlan0002' thread is preparing for dummy loop call
Но вот далее, похоже pcap не собирается с них собирать:
ndsad[27343]: `eth0' thread is preparing for PCAP loop call
ndsad[27343]: pcap_datalink(eth0) = 1
ndsad[27343]: Set ppp offset = 4
ndsad[27345]: `eth1' thread is preparing for PCAP loop call
ndsad[27345]: pcap_datalink(eth1) = 1
ndsad[27345]: Set ppp offset = 4
ndsad[27346]: `eth1:1' thread is preparing for PCAP loop call
ndsad[27346]: pcap_datalink(eth1:1) = 1
И в конечном итоге на vlan0002 трафик не считается. :shock:
Имеет эта ситуация решение?
Буду очень благодарен если поможете.
Вернуться к началу
Maximas
Сообщения: 146
Зарегистрирован: Вт мар 01, 2005 12:15

Сообщение Maximas »

если м не памятьт не изменяет - не ставь такие номера
ставь vlan1 vlan15 но не с таким количестов нулей
отпиши помогло ли
Вернуться к началу
builder
Сообщения: 49
Зарегистрирован: Сб фев 05, 2005 18:10

Сообщение builder »

Понял, спасибо, попробую, обязательно отпишу.
Вернуться к началу
aospan
NetUP Team
Сообщения: 1639
Зарегистрирован: Чт янв 13, 2005 20:30

Сообщение aospan »

в ndsad в последних версиях появилась поддержка ULOG в linux. Соответсвенно подсчет "в сложных" случаях можно организовать именно по этому механизму ...
Вернуться к началу
builder
Сообщения: 49
Зарегистрирован: Сб фев 05, 2005 18:10

Сообщение builder »

Спасибо, Абылай. Но при установке ndsad-а не удалось его собрать, или он не стал запускаться точно не помню - давно было, пришлось взять static, он заработал и безотказно. Новые версии есть собранные?
И, :oops: с ULOG в iptables разберёмся, а вот как это работает с ndsad-ом, не поясните? Или может где дока есть?
Вернуться к началу
builder
Сообщения: 49
Зарегистрирован: Сб фев 05, 2005 18:10

Сообщение builder »

Maximas, сокращение длины названия вилана не помогло.
Спасибо всем. Будем делать через ULOG, т.к. нет времени на эксперименты.
Тему можно закрыть.
Вернуться к началу
aospan
NetUP Team
Сообщения: 1639
Зарегистрирован: Чт янв 13, 2005 20:30

Сообщение aospan »

builder писал(а):Спасибо, Абылай. Но при установке ndsad-а не удалось его собрать, или он не стал запускаться точно не помню - давно было, пришлось взять static, он заработал и безотказно. Новые версии есть собранные?
И, :oops: с ULOG в iptables разберёмся, а вот как это работает с ndsad-ом, не поясните? Или может где дока есть?
На странице проекта http://sourceforge.net/projects/ndsad есть бинарные сборки. В дефолтном конфиге есть описание работы через ULOG и здесь на форуме была тема по этому поводу viewtopic.php?t=1729&highlight=ulog
Вернуться к началу
builder
Сообщения: 49
Зарегистрирован: Сб фев 05, 2005 18:10

Сообщение builder »

Уф, поставил свежую бинарную сборку ndsad-1.33-linux.static
Сделал всё в точности как сдесь Абылай описал viewtopic.php?t=1729&highlight=ulog
К счастью с прежних интерфейсов трафик считается, но с vlan2 никак.
NDSAD стартует, вроде видит все интерфейсы:
ndsad[1225]: binary version `1.33'
ndsad[1225]: WatchDog: Dog waken...
ndsad[1226]: Creating NFC for <ulog_iface> family. dev <ulog_iface0>
ndsad[1226]: NFC created <0x81a6bd8>.
ndsad[1226]: Starting worker thread for linux ulog socket.
ndsad[1225]: WatchDog: child[1226] started on Thu Jul 20 18:36:32 2006
ndsad[1235]: ULOG:bind to ulog group <10> mask <512>
ndsad[1226]: `eth0': new device
ndsad[1226]: Starting worker thread for device <eth0>
ndsad[1236]: Creating NFC for <eth> family. dev <eth0>
ndsad[1236]: NFC created <0x81ba698>.
ndsad[1236]: `eth0' thread started successfully.
ndsad[1226]: `eth1': new device
ndsad[1226]: Starting worker thread for device <eth1>
ndsad[1238]: `eth1' thread started successfully.
ndsad[1226]: `eth1:1': new device
ndsad[1226]: Starting worker thread for device <eth1:1>
ndsad[1240]: `eth1:1' thread started successfully.
ndsad[1240]: `eth1:1' thread is preparing for dummy loop call
ndsad[1226]: `eth2': new device
ndsad[1226]: Starting worker thread for device <eth2>
ndsad[1241]: `eth2' thread started successfully.
ndsad[1241]: `eth2' thread is preparing for dummy loop call
ndsad[1226]: `vlan2': new device
ndsad[1226]: Starting worker thread for device <vlan2>
ndsad[1242]: `vlan2' thread started successfully.
ndsad[1242]: `vlan2' thread is preparing for dummy loop call
ndsad[1226]: `lo': new device
ndsad[1226]: Starting worker thread for device <lo>
ndsad[1243]: Creating NFC for <lo> family. dev <lo>
В процессе работы:
ndsad[1244]: NFC<lo> status on Thu Jul 20 18:55:54 2006
0/30 messages ready, 0 flows seen...
0/64 (0.00%) hash usage, 0 entries scaned, 0 dropped
ndsad[1244]: NFC<eth> status on Thu Jul 20 18:55:54 2006
6/30 messages ready, 4820 flows seen...
29/128 (22.66%) hash usage, 110 entries scaned, 6 dropped
ndsad[1244]: NFC<ulog_iface> status on Thu Jul 20 18:55:54 2006
0/30 messages ready, 27 flows seen...
1/128 (0.78%) hash usage, 1 entries scaned, 0 dropped
ndsad[1244]: Heap<1>: 168/1092 nodes, 10080/65520 bytes
ndsad[1244]: Heap<2>: 0/-1 nodes, 0/-68 bytes
Что-то мне подсказывает, что он даже берёт что-то с ulog_iface, но не считает.
В ndsad.cfg
force lo
force eth0
force eth1
force ulog_iface0
force vlan2
ignore all
dummy all
Интерфейсы прописывал в разных комбинациях. ЗАПУТАЛСЯ. HELP!!!
Вернуться к началу
builder
Сообщения: 49
Зарегистрирован: Сб фев 05, 2005 18:10

Сообщение builder »

Не понятно вот это при старте ndsad:
ndsad[1718]: pcap_datalink(eth0) = 1
ndsad[1718]: Set ppp offset = 4
ndsad[1720]: `eth1' thread is preparing for PCAP loop call
ndsad[1720]: pcap_datalink(eth1) = 1
ndsad[1720]: Set ppp offset = 4
ndsad[1725]: `lo' thread is preparing for PCAP loop call
ndsad[1725]: pcap_datalink(lo) = 1
ndsad[1725]: Set ppp offset = 4
Там где есть pcap_datalink там считается.
Тогда причём сдесь это:
В обоих случаях для предотвращения дублирования в конфиге ndsad.cfg можно указать опцию:
dummy all
в этом случае трафик через libpcap с интерфейсов собираться не будет. Соответсенно будет собираться только через ULOG либо tee/divert.
Вернуться к началу
builder
Сообщения: 49
Зарегистрирован: Сб фев 05, 2005 18:10

Сообщение builder »

Заметил неприятную вещь. При просмотре iptables -nvL счётчики на ULOG пустые, но в цепочке INPUT на подсети висящей на eth1 значения есть :shock:
Указал во всех цепочках вместо подсети (висящей на vlan2) сам интерфейс - ситуация не изменилась.
Кто-нибудь, прокомментируйте пожалуйста это явление.
Вернуться к началу
calculator
Сообщения: 180
Зарегистрирован: Пн дек 26, 2005 13:17
Откуда: msk

Сообщение calculator »

builder
Посмотри повнимательнее доки - там все прозрачно. Если трафик считается через ULOG, force $iface никчему. Вот мой ndsad.cfg:

Код: Выделить всё

# cat /netup/utm5/ndsad.cfg | grep -v \#
ignore all
dummy all
hash lo 64                    
hash all 32
heap 65536
log /tmp/ndsad.log
ulog_group 13
Пробовал считать локальный трафик - задваивается. Может что и недокрутил. Но сейчас пока считается только инет.
Вернуться к началу
builder
Сообщения: 49
Зарегистрирован: Сб фев 05, 2005 18:10

Сообщение builder »

Я делал и так, по доке, убирал все force, тогда он перестаёт считать вообще и на стандартных интерфейсах. При этом в логе, например:
ndsad[7397]: NFC<ulog_iface> status on Fri Jul 21 11:03:21 2006
0/30 messages ready, 10 flows seen...
Я так понимаю, что по ULOG-у что-то видится.
Я сделал записи:
-A INPUT -d 10.10.10.0/255.255.255.0 -j ULOG --ulog-nlgroup 10
-A INPUT -s 10.10.10.0/255.255.255.0 -j ULOG --ulog-nlgroup 10
так же и в FORWARD и OUTPUT
Правильно ли то, что они помещены в концах цепочек?
Уж и не знаю на что думать.
Вернуться к началу
builder
Сообщения: 49
Зарегистрирован: Сб фев 05, 2005 18:10

Сообщение builder »

День добрый. Очень прошу направить меня на путь истинный, совсем плохо.
Правильно ли я понимаю, в контексте двух вариантов решений это выглядит так:
Вариант I: интерфейс -> pcad -> ndsad -> netflow-коллектор
Вариант II: интерфейс -> ULOG(iptables) -> ndsad -> netflow-коллектор
Почему, сделав соответствующие записи в iptables для подсетей на eth0, eth1, vlan2, счётчики (iptables -nvL) изменяются только на обычных интерфейсах (eth0,1) ?? Если убрать force из ndsad.cfg (как положено по инструкции) счетчики не изменяются вообще нигде, соответственно нигде трафик не считается??
ULOG(iptables) не видит vlan2 ?
Вернуться к началу
calculator
Сообщения: 180
Зарегистрирован: Пн дек 26, 2005 13:17
Откуда: msk

Сообщение calculator »

builder
Возможно правило ULOG не обрабатывается(до него не доходят пакеты по цепочкам в iptables). Попробуй ULOG ставить ближе к началу списка правил. У меня:

Код: Выделить всё

Chain FORWARD &#40;policy DROP 62430 packets, 3092K bytes&#41;
num   pkts bytes target     prot opt in     out     source               destination         
1     129M   93G DenyUsers   all  --  *      *       0.0.0.0/0            0.0.0.0/0           
2      47M 7769M ULOG       all  --  eth0   *       0.0.0.0/0            0.0.0.0/0           ULOG copy_range 0 nlgroup 13 queue_threshold 1 
3      69M   73G ULOG       all  --  *      eth0    0.0.0.0/0            0.0.0.0/0           ULOG copy_range 0 nlgroup 13 queue_threshold 1
Вернуться к началу
builder
Сообщения: 49
Зарегистрирован: Сб фев 05, 2005 18:10

Сообщение builder »

Как раз собирался это попробовать, просто сомневался ввиду "прозрачности" доки, там этот момент не оговаривался.
Вернуться к началу
Ответить

Вернуться в «UTM 5.0»