Как настроить UTM в режиме promiscuous mode?

[dda]

Необходимо настроить UTM5(Win) для подсчета траффика в promiscuous mode (хватать все пакеты с хаба).
UTM5 установил, настроил классы траффика, тарифы, пользователей, ...
Но при просмотре детального отчета UTM считает только широковещательные пакеты сети и пакеты исх./вх. на данную машину.
Где переключить UTM в режим promiscuous mode???

[vdzh]

Необходимо настроить UTM5(Win) для подсчета траффика в promiscuous mode (хватать все пакеты с хаба).
UTM5 установил, настроил классы траффика, тарифы, пользователей, ...
Но при просмотре детального отчета UTM считает только широковещательные пакеты сети и пакеты исх./вх. на данную машину.
Где переключить UTM в режим promiscuous mode???

promiscuous mode - этот термин только для сетевых адаптеров, а не для программ

да и promiscuous mode не нужен. Самое главное чтобы весь трафик попадал на интерфейс машины с UTM

[dda]

Собирает только только входящий и исходящий трафик этой машины и широковещательный трафик.

Схема установки:
Win2k3 + НАТ, внутренний интерфейс которого, входит в ХАБ.
Win2k3 + UTM5 - интерфейс входит в тот же в ХАБ

Я так понимаю, что NDSAD не настроен для сбора траффика в режиме promiscuous mode.

Подскажите, где что нужно прописать.

[vdzh]

документацию пробовали читать ?

говорят помогает

[dda]

Пробовал. Поэтому и здесь задаю вопрос, что нифига по ней не получается. Может что и пропустил или не углядел.
Лучше бы помог, чем посылать посмотреть инструкцию.

вот ndsad.conf:

### Project: ndsad; Project version: 0.0.3-025;
### Branch: ;
### File: ndsad.conf; File version: 0.0.3-024
# Sample configuration file for Network DataStream Accounting Daemon

# Data stream collector ip
# Default:
ip 127.0.0.1
# Example:
#ip 10.0.0.1

# Data stream collector port
# Default:
port 9996

# Forced faces - these faces
# will be processed even if dummy family is specified
# in configuration file.
# Default:
#none
# Example:
force \Device\NPF_{23896E3F-7773-4B12-B3F1-5B834ACDCDC8}
#ignore all

# Dummy iface - these faces
# will be traced but data stream won't be generated
# Multiply faces may be specified
# Default:
# none
# Example:
#ignore eth0

# Promisc device - specify string if You want
# device to be put in promisc mode.
# Note.
# Device may be in promisc mode even if promisc string is not specified.
# For example if tcpdump is running on it.
# Default:
#none
# Example:
#promisc ex0
promisc \Device\NPF_{23896E3F-7773-4B12-B3F1-5B834ACDCDC8}

# Hash size for the family. # Value must be a power of 2
# Default is 128 buckets for all families.
hash lo 64

# Default hash size may be changed when family is specified as `all'
# Default:
#hash all 128
hash all 128

# Heap size in bytes.
# Default:
#heap 16384
# Example:
heap 16384

# Periodical statistic dump delay.
# If no dump is expected specify 0
# Default:
#dump 0
# Example:
dump 5

# Dummy iface family - faces from this family
# will be traced but data stream won't be generated
# Default:
# none
# Example:
#dummy eth

# Specify log file. Otherwise logging will be done to stderr.
# Default:
#log (null)
# Example:
#log log/ndsad.log

# Jump to another configuration file
# Current file is closed after this line! Beware of loops!
# Default:
# none
# Example:
#config /usr/local/etc/nfcd.local.conf


Может кто увидет ошибку?!?!?!

[vdzh]

ndsad нужно ставить на машину-шлюз, а утм в этом случае пофиг где ставить.
// это если ты вдруг не на шлюз утм поставил

если же все-таки на шлюз, то тем более нужно читать документацию
в ней все нормально написано.

[dda]

UTM стоит не на шлюзе!
Хорошо. попробую разнести UTM и ndsad

[Разумовский ДВ]

как раз ndsad прослушивает всю сеть, на него пакеты поступают раньше, чем через правила файервола проходят. проверял на FreeBSD