А как снять трафик с радиоинтерфейса?

SergKz · Сообщение **SergKz** » Пт апр 22, 2005 12:13

Хочу снимать трафик с интерфейса радиокарточки (Cisco Aironet).
Однако любой коллектор (ipcad, ndsad, даже tcpdump) тут же вешает интерфейс. Из-за структуры сети кроме как с этого интерфейса снимать трафик негде. Что делать? вводить дополнительный шлюз?

SergKz · Сообщение **SergKz** » Пт апр 22, 2005 12:14

да, всё это под линуксом (ядро 2.4.22). Другие системы не пойдут из-за специфического железа установленного на шлюзе.

taf · Сообщение **taf** » Пт апр 22, 2005 12:25

Делаем:

iptables -A INPUT -j ULOG
iptables -A FORWARD -j ULOG
iptables -A OUTPUT -j ULOG

Далее в конфиге ipcad прописываем:

...
interface ulog group 1;
...

Конечно, эта схема чревата потерей некоторых пакетов (не потерей при передаче, а потерей при обсчете), но вариант с применением pq у меня не завелся.

SergKz · Сообщение **SergKz** » Пт апр 22, 2005 16:00

интересно.... в ipcad в качестве интерфейса можно вписывать действия iptables? не знал. надо попробовать. или только ULOG ? а свои ?

SergKz · Сообщение **SergKz** » Пт апр 22, 2005 16:10

помнится в iptables в -j можно и имена цепочек указывать...
и кстати: в вашей последовательности я бы поставил ключ -I а не -A - чтобы все пакеты гарантированно проходили бы через это правило.

Wishmaster

cisco aironet не очень любит promisc режим.... отключи его в ipcad и будет нормально пахать..

taf · Сообщение **taf** » Пт апр 22, 2005 17:28

SergKz писал(а):помнится в iptables в -j можно и имена цепочек указывать...
и кстати: в вашей последовательности я бы поставил ключ -I а не -A - чтобы все пакеты гарантированно проходили бы через это правило.

Это были куски из /etc/sysconfig/iptables

taf · Сообщение **taf** » Пт апр 22, 2005 17:31

SergKz писал(а):интересно.... в ipcad в качестве интерфейса можно вписывать действия iptables? не знал. надо попробовать. или только ULOG ? а свои ?

Нет, По-сути ipcad ничегошеньки не знает про какой-то там iptables/netfilter, строкой "interface ulog group 1;" ему просто указали, откуда можно брать данные. А уж в ulog может писать кто угодно (в приведенном мной случае этим занимается ядро, в соотвествии с указанными ему правилами)

SergKz · Сообщение **SergKz** » Пт апр 22, 2005 18:16

to Wishmaster:
а вот что интересно - если ipcad'y написать просто
interface eth2;
(где под eth2 стоит карточка Aironet или Z-Com)
как после запуска ipcad этот самый eth2 тут же виснет - прекращает пересылать через себя что бы то ни было.

Wishmaster

SergKz писал(а):to Wishmaster:
а вот что интересно - если ipcad'y написать просто
interface eth2;
(где под eth2 стоит карточка Aironet или Z-Com)
как после запуска ipcad этот самый eth2 тут же виснет - прекращает пересылать через себя что бы то ни было.

Код: Выделить всё

#
# interface <iface> &#91; promisc &#93; &#91; input-only &#93;
#			&#91; netflow-sampled &#93; &#91; netflow-disable &#93;
#			&#91; filter "<pcap_filter>" &#93; ;

попробуй использовать режим "input only"
у меня нормально работала cisco aironet с ipcad'ом в этом режиме...

SergKz · Сообщение **SergKz** » Вс апр 24, 2005 06:50

попробуй использовать режим "input only"
у меня нормально работала cisco aironet с ipcad'ом в этом режиме...

А разве оно работает под линуксом? режим input-only в смысле? кажется в ipcad это было только для FreeBSD реализовано.
И кстати - мне же нужно снимать ИСХОДЯЩИЙ с интерфейса трафик а не только входящий.

SergKz · Сообщение **SergKz** » Вс апр 24, 2005 06:54

(taf:) Делаем:
iptables -A INPUT -j ULOG
...
Далее в конфиге ipcad прописываем: ...
interface ulog group 1;

Работает! спасибо.
Немножко пришлось побаловаться с тем в какие именно цепочки вставлять ULOG - пашет отлично.