Появился (http://sourceforge.net/projects/ipt-netflow/) очень быстрый и эффективный модуль экспорта netflow для iptables.

URL: http://sourceforge.net/projects/ipt-netflow/
Новость: http://www.opennet.ru/opennews/art.shtml?num=17650

• Модуль экспорта Netflow для iptables,cMex, 09:54 , 02-Сен-08
• Модуль экспорта Netflow для iptables,Аноним, 23:32 , 04-Сен-08
  • Модуль экспорта Netflow для iptables,cMex, 06:49 , 05-Сен-08
• Модуль экспорта Netflow для iptables,Аноним, 00:55 , 07-Сен-08
  • Модуль экспорта Netflow для iptables,bosschifra, 10:57 , 19-Сен-08
    • Модуль экспорта Netflow для iptables,cMex, 10:59 , 19-Сен-08
• Модуль экспорта Netflow для iptables,bosschifra, 16:17 , 19-Сен-08
  • Модуль экспорта Netflow для iptables,bosschifra, 16:39 , 19-Сен-08
• Модуль экспорта Netflow для iptables,Аноним, 20:24 , 30-Окт-08
  • Модуль экспорта Netflow для iptables,bosschifra, 17:18 , 17-Ноя-08
• Модуль экспорта Netflow для iptables,ZM_Michael, 21:27 , 03-Апр-10

Кто-нибудь успел попробовать? А то fprobe-ulog уж очень много CPU отжирает на больших нагрузках.

Отлично работает. Если вы по ссылке сходите - то там в новостях написано что
"This version is already tested in production environment.".
У меня через сервер пороходит около 800мбит. Добавление экспорта netflow с этим модулем добавляет где-то 8-12% загрузки цпу.

Не в курсе, этот модуль может принудительно заставить работать на каком-то конкретном ядре многоядерного процессора. Я так делаю с fprobe-ulog, выставляю ему affinity через taskset, балансируя таким образом нагрузку, так как создает он её немалую.
А у вас все 800 Мбит/с попадают в этот модуль? Если да, то здОрово, модуль надо ставить.

>Отлично работает. Если вы по ссылке сходите - то там в новостях
>написано что
>"This version is already tested in production environment.".
>У меня через сервер пороходит около 800мбит. Добавление экспорта netflow с этим
>модулем добавляет где-то 8-12% загрузки цпу.

Не все, но около 600-700мбит точно через него идёт.
Обязательно попробуйте. =)

а какой графической прогой пользуетесь для анализа потока?

>а какой графической прогой пользуетесь для анализа потока?

Я вообще его не анализирую, только считаю.

[root@node2 ipt_netflow-1.1]# make
make -C /lib/modules/2.6.18-92.1.10.el5/build M=/root/ipt_netflow-1.1 modules
make[1]: Entering directory `/usr/src/kernels/2.6.18-92.1.10.el5-i686'
  CC [M]  /root/ipt_netflow-1.1/ipt_NETFLOW.o
  Building modules, stage 2.
  MODPOST
  CC      /root/ipt_netflow-1.1/ipt_NETFLOW.mod.o
  LD [M]  /root/ipt_netflow-1.1/ipt_NETFLOW.ko
make[1]: Leaving directory `/usr/src/kernels/2.6.18-92.1.10.el5-i686'
[root@node2 ipt_netflow-1.1]# make install
make -C /lib/modules/2.6.18-92.1.10.el5/build M=/root/ipt_netflow-1.1 modules_install
make[1]: Entering directory `/usr/src/kernels/2.6.18-92.1.10.el5-i686'
  INSTALL /root/ipt_netflow-1.1/ipt_NETFLOW.ko
  DEPMOD  2.6.18-92.1.10.el5
make[1]: Leaving directory `/usr/src/kernels/2.6.18-92.1.10.el5-i686'
gcc -O2 -Wall -Wunused -I/lib/modules/2.6.18-92.1.10.el5/build/include -I/root/ipt_netflow-1.1/iptables-1.3.5/include -DIPTABLES_VERSION=\"1.3.5\" -fPIC -o libipt_NETFLOW_sh.o -c libipt_NETFLOW.c
gcc -shared  -o libipt_NETFLOW.so libipt_NETFLOW_sh.o
libipt_NETFLOW_sh.o: In function `_init':
libipt_NETFLOW.c:(.text+0x30): multiple definition of `_init'
/usr/lib/gcc/i386-redhat-linux/4.1.2/../../../crti.o:(.init+0x0): first defined here
collect2: ld returned 1 exit status
make: *** [libipt_NETFLOW.so] Error 1
[root@node2 ipt_netflow-1.1]# uname -a
Linux node2 2.6.18-92.1.10.el5 #1 SMP Tue Aug 5 07:41:53 EDT 2008 i686 i686 i386 GNU/Linux

поможете собрать?

Работает с flow-capture 5-6 часов
обсчитывает поток 500 Mbit , потом
ftpdu_verify(): src_ip=x.x.x.x failed.
И не считает flow-capture Ничего

make
make -C /lib/modules/2.6.18-92.1.18.el5/build M=/root/ipt_netflow-1.2 modules
make[1]: Entering directory `/usr/src/kernels/2.6.18-92.1.18.el5-i686'
  CC [M]  /root/ipt_netflow-1.2/ipt_NETFLOW.o
/root/ipt_netflow-1.2/ipt_NETFLOW.c:100: warning: type defaults to ‘int’ in declaration of ‘DECLARE_DELAYED_WORK’
/root/ipt_netflow-1.2/ipt_NETFLOW.c:100: warning: parameter names (without types) in function declaration
/root/ipt_netflow-1.2/ipt_NETFLOW.c: In function ‘netflow_work_fn’:
/root/ipt_netflow-1.2/ipt_NETFLOW.c:941: error: ‘netflow_work’ undeclared (first use in this function)
/root/ipt_netflow-1.2/ipt_NETFLOW.c:941: error: (Each undeclared identifier is reported only once
/root/ipt_netflow-1.2/ipt_NETFLOW.c:941: error: for each function it appears in.)
/root/ipt_netflow-1.2/ipt_NETFLOW.c: In function ‘ipt_netflow_init’:
/root/ipt_netflow-1.2/ipt_NETFLOW.c:1273: error: ‘netflow_work’ undeclared (first use in this function)
/root/ipt_netflow-1.2/ipt_NETFLOW.c: In function ‘ipt_netflow_fini’:
/root/ipt_netflow-1.2/ipt_NETFLOW.c:1315: error: ‘netflow_work’ undeclared (first use in this function)
make[2]: *** [/root/ipt_netflow-1.2/ipt_NETFLOW.o] Error 1
make[1]: *** [_module_/root/ipt_netflow-1.2] Error 2
make[1]: Leaving directory `/usr/src/kernels/2.6.18-92.1.18.el5-i686'
make: *** [all] Error 2

извините, что пишу сюда, но никак не могу разобраться ...
у меня два интернет канала, как писать в разные коллекторы данные с разных сетевых карт? или если писать в один, то как отделить в нем пакеты одного канала, от другого ?

Заранее спасибо!