Добрый день. Поставил себе flow-tools, но не могу разобраться с его фильтрами.
Написал следующие фильтры:filter-primitive set1
type ip-address-prefix
permit 192.168.0.0/24
filter-definition set1
match ip-source-address set1
filter-primitive set3
type ip-address-prefix
permit 192.168.6.0/24
filter-definition set3
match ip-source-address set3
filter-primitive set2
type ip-address-prefix
permit 192.168.1.0/24
filter-definition set2
match ip-source-address set2
filter-primitive mail_server
type ip-address
permit 192.168.10.6
default deny
filter-primitive proxy_server
type ip-address
permit 192.168.10.2
default deny
filter-primitive gw_server
type ip-address
permit 192.168.10.3
default deny
filter-primitive all
type ip-address-prefix
permit 192.168.0.0/24
permit 192.168.1.0/24
permit 192.168.3.0/24
permit 192.168.5.0/24
permit 192.168.6.0/24
filter-definition all
match src-ip-addr set1
or
match src-ip-addr set2
or
match src-ip-addr set3
or
match src-ip-addr set4
match dst-ip-addr mail_server
or
match dst-ip-addr proxy_server
or
match dst-ip-addr gw_server
filter-definition proxy_server
match ip-source-address proxy_server
так вот, в чем проблема, когда делаю фильтрацию по притиву all, то показывает какой то странный трафик. Суммарный трафик около 20 Гб., а по фильтру показывает в районе 1 Гб. Хотя весь трафик ходит через эти сервера. Так же для прокси сервера. Прокся показывает около 2-ух Гб, а фильтр меньше 500 Мб. Может я как то не правильно написал фильтры? не подскажите, как сделать правильно?
выборку делаю так:
flow-cat /usr/local/flow/acct/2010/2010-01/tmp* | flow-nfilter -Fproxy_server -f /usr/local/etc/flow-tools/filter.cfg | flow-stat -f15
Заранее спасибо )
