forum.opennet.ru

"OpenNews: В OpenBSD появилась возможность экспорта статистики PF в виде Netflow v5 потока"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Для сортировки сообщений в нити по дате нажмите "Сортировка по времени, UBB".

. "В OpenBSD появилась возможность экспорта статистики PF в вид"	+/–
Сообщение от DK (??), 07-Дек-08, 20:10
>[оверквотинг удален] >> >>спорим? >>ipcad (ulog,pcap, _IPQ_) >>а ещё... http://sourceforge.net/projects/ipt-netflow/ >> >>а ещё -- лучше жевать, когда не уверен. > >Ну и какое же оно вменяемое, если оно userspace? Речь шла о >ядре, а что ULOG, что PCAP, что IPQ - все отправляют >в userland сами пакеты, а не уже готовый netflow. ipt_netflow это _не_ юзерспейс... это модуль кернела с управлением через iptables. вся обработка потоков и экспорт живет в ядре. ...так что жевать таки лучше. Проекту ipt_netflow в феврале будет год и стал он паблик после полугодового использования в продакшин на тех задачах под которые был написан. Основная причина по которой он появился, это 100% cpu на машине с ipcad из за контекст свитчинга. Никаких телодвижений воткнуть его в офицал iptables никто не делал, ибо лень. Нужен будет - все произойдет само собой. =) А патч для RAW был сделан потому, что захотелось выбросить ng_netflow вместе с freebsd на единственной машине которая и стояла только для сбора трафика и генерации netflow, а все остальные в этой сетке были под linux'ами (коих там десятки). И кстате, если сравнивать по загрузке cpu ng_netflow vs ipt_netflow, то последний выигрывает. Однако никто не задавался задачей это тестить, просто по факту загрузка cpu упала, ну а желающие могут это проверить самостоятельно. =:) Пример одной из продакшин машин: 19:45:17 up 46 days, 10:13, 4 users, load average: 0.72, 0.69, 0.69 root@<censored>:~# grep Xeon /proc/cpuinfo model name : Intel(R) Xeon(TM) CPU 2.80GHz model name : Intel(R) Xeon(TM) CPU 2.80GHz root@<censored>:~# lspci \| grep Ethernet 0000:03:04.0 Ethernet controller: Intel Corp. 82546GB Gigabit Ethernet Controller (rev 03) 0000:03:04.1 Ethernet controller: Intel Corp. 82546GB Gigabit Ethernet Controller (rev 03) 0000:03:09.0 Ethernet controller: Intel Corp.: Unknown device 107c (rev 05) Это top (дада... named нужно-бы убрать на другой бокс): PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 30785 bind 25 0 234m 198m 2288 S 23.9 6.5 3908:38 named 3064 quagga 15 0 74452 71m 716 S 2.3 2.3 178:04.49 zebra 3612 netflow 18 0 12064 5824 1576 S 0.7 0.2 132:11.20 nfmon ... остальное там мелочи (nfmon локальный сборщик netflow udp). root@<censored>:~# cat /proc/net/stat/ipt_netflow Flows: active 55480 (peak 88853 reached 15d0h16m ago), mem 3034K Hash: size 100000 (mem 390K), metric 1.4, 1.0, 1.0, 1.0. MemTraf: 43560110 pkt, 28305939 K (pdu 35, 4373). Timeout: active 1800, inactive 15. Maxflows 2000000 Rate: 423049796 bits/sec, 82556 packets/sec; Avg 1 min: 418214503 bps, 81680 pps; 5 min: 417531966 bps, 82153 pps cpu# stat: <search found new, trunc frag alloc maxflows>, sock: <ok fail cberr, bytes>, traffic: <pkt, bytes>, drop: <pkt, bytes> Total stat: 28232973609 84793565693 2728047348, 0 0 0 0, sock: 181865964 160 399107, 260011495 K, traffic: 87521613041, 54154242 MB, drop: 23386, 28145 K cpu0 stat: 14493719122 43168138945 1537740460, 0 0 0 0, sock: 0 0 399107, 0 K, traffic: 44705879405, 25516990 MB, drop: 0, 0 K cpu1 stat: 13739254487 41625426749 1190306888, 0 0 0 0, sock: 181865964 160 0, 260011495 K, traffic: 42815733637, 28637252 MB, drop: 23386, 28145 K sock0: 127.0.0.1:20001, sndbuf 83886080, filled 0, peak 0; err: sndbuf reached 0, other 19 sock1: <censored>:20001, sndbuf 83886080, filled 0, peak 34080; err: sndbuf reached 0, other 25 aggr#0 net: match <censored>/19 strip 32 aggr#1 net: match <censored>/20 strip 32 aggr#2 net: match <censored>/27 strip 32 aggr#3 net: match <censored>/22 strip 32 aggr#4 net: match 0.0.0.0/0 strip 24 root@<censored>:~# vmstat 1 procs -----------memory---------- ---swap-- -----io---- --system-- ----cpu---- r b swpd free buff cache si so bi bo in cs us sy id wa 0 0 0 556452 216540 1268764 0 0 1 4 5 3 3 42 55 0 0 0 0 557184 216540 1267284 0 0 0 4 0 1097 7 72 22 0 0 0 0 556820 216540 1267608 0 0 0 48 0 979 3 69 29 0 0 0 0 556204 216540 1267756 0 0 0 44 0 1166 3 70 27 0 1 0 0 555400 216540 1267800 0 0 0 0 0 1043 2 70 28 0 1 0 0 554476 216548 1267940 0 0 0 72 0 1243 3 65 32 0 0 0 0 556712 216552 1268128 0 0 0 204 0 1032 3 62 36 0 0 0 0 556776 216552 1268128 0 0 0 20 0 1049 3 64 33 0 0 0 0 556540 216552 1268516 0 0 0 0 0 1144 3 61 36 0 При этом на машине живет NAT и per-ip HTB (htb_hashiz) в обе стороны (через IMQ) для 3-х сетей: /19 /20 /22. Машина под debian 4.0, правда лично я не поклонник, просто так получилось. Всем удачи, я сюда случайно зашел =)
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

OpenNews: В OpenBSD появилась возможность экспорта статистики PF в виде Netflow v5 потока, opennews, 09-Сен-08, 23:49 [смотреть все]

ждём порта на фряху явно симпатичнее чем pfflowd, mitiok, 09-Сен-08, 23:49 (1) //
- Чем ng_netflow не устраивает , RedRat, 10-Сен-08, 13:18 (8)
- 1, Кукушка, 10-Сен-08, 17:20 (19)
откройте для себя ng_netflow наконец , ragus, 09-Сен-08, 23:56 (2) //
- А в опенбзд тоже есть нетграф , ReWire, 10-Сен-08, 09:37 (4)
- а чем ng_netflow лучше pfflowd , Кукушка, 10-Сен-08, 17:16 (18) //
  - тем, что ничего не гоняется в userspace Да и последняя версия pfflowd вышла в 2, ragus, 11-Сен-08, 11:17 (20) //
    - Действительно в 2006 году на два года позже последнего релиза ng_netflow , Кукушка, 12-Сен-08, 12:19 (21)
      - Действительно, он с тех пор в базовой системе и обновляется вместе с ней, в отли, nuclight, 12-Сен-08, 12:38 (22)
        
        Угу аж до января 2006 года , Кукушка, 12-Сен-08, 12:58 (25)
        
        Странно, у меня почему-то май 2008 Вы наверное где-то в прошлом застряли , nuclight, 12-Сен-08, 13:12 (26)
        
        Сори до января 2007 опечатался Интересно откуда взята цифра - май 2008 го, Кукушка, 12-Сен-08, 14:21 (28)
        
        FreeBSD src sys netgraph netflow netflow c,v 1 29 2008 05 09 23 02 57 julian E, nuclight, 12-Сен-08, 15:19 (30)
        
        FreeBSD src sys netgraph netflow netflow c,v 1 15 2 4 2007 01 25 21 39 00 gleb, Кукушка, 12-Сен-08, 15:27 (32)
        RELENG_7 как то не хочется пока на серваке юзать , Кукушка, 12-Сен-08, 15:29 (33)
        
        gt оверквотинг удален Это всё не отменяет того факта, что ng_netflow - поддерж, nuclight, 12-Сен-08, 15:34 (34)
        
        gt оверквотинг удален Убедили еще было бы интересно взглянуть на changelog,, Кукушка, 12-Сен-08, 15:45 (35)
Молодцы Красиво , Аноним, 10-Сен-08, 06:18 (3)
Ждём порта под Linux ни одной вменяемой стандартной netflow-probe нет под Linux, Аноним, 10-Сен-08, 11:11 (5) //
- спорим ipcad ulog,pcap, _IPQ_ а ещё http sourceforge net projects ipt-netf, pavel_simple, 10-Сен-08, 11:39 (6) //
  - для желающих очень быстроhttp www few vu nl wdb streamline , pavel_simple, 10-Сен-08, 11:41 (7)
  - На всякий случай What is libnetfilter_queue libnetfilter_queue is a userspace , greyork, 10-Сен-08, 14:01 (9)
  - почему его нет на netfilter org , Аноним, 10-Сен-08, 14:02 (10) //
    - товарищам выше посвящаетсяупор делать можно на разное -- я сделал на вменяемой , pavel_simple, 10-Сен-08, 14:17 (11)
      - Ты меня не понял Видно что ipt_netflow очень свежая вешь Понятно что в стабиль, Аноним, 10-Сен-08, 14:34 (12)
        
        ну видимо нет у человека сил бороться с netfilter org -- там в POM то попасть сл, pavel_simple, 10-Сен-08, 14:44 (13)
        
        P S судя по ipt_account, pavel_simple, 10-Сен-08, 14:45 (14)
        Зато видимо есть силы самому колупаться с -CURRENT версией системы, указанной в , User294, 12-Сен-08, 15:26 (31)
  - Видимо, придётся жевать вам, так как http www free-it de archiv talks_2005 pa, Аноним, 10-Сен-08, 15:10 (15) //
    - версии чего -- что вы пытаетесь доказать что НЕТ ни одного работающего стабиль, pavel_simple, 10-Сен-08, 15:47 (16)
      - Это обьяснение почему этих вещей нет в PoM Команда netfilter считает что с учёт , Аноним, 10-Сен-08, 16:07 (17)
  - Ну и какое же оно вменяемое, если оно userspace Речь шла о ядре, а что ULOG, чт, nuclight, 12-Сен-08, 12:47 (23) //
    - gt оверквотинг удален если для вас вменяемое юзерспайс предлагаю выкинуть , pavel_simple, 12-Сен-08, 12:50 (24)
      - gt оверквотинг удален Ну идите, заведите это на гигабите с 100kpps на механизм, nuclight, 12-Сен-08, 13:16 (27)
        
        и не сами пакеты -- а только метаинформацию о них по желанию ошибочка -- старый, pavel_simple, 12-Сен-08, 14:50 (29)
        
        netlink_ipq - Google об этом не знает А зависимость LInux оидов на каждом угле , Lessless, 25-Июн-09, 12:57 (38)
    - gt оверквотинг удален ipt_netflow это _не_ юзерспейс это модуль кернела с у , DK, 07-Дек-08, 20:10 (37)
      - gt оверквотинг удален да пожалуйста , Lessless, 25-Июн-09, 13:10 (39)
- его никогда не будет, ибо pf и netgraph сугубо ядреные фичи bsd может быть тольк, yason, 17-Сен-08, 23:33 (36) //
  - netgraph портирован под линукс, TiFFolk, 02-Фев-10, 01:59 (40)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру