Конфигурация системы следующая:
-OpenBSD40 sparc64
-trafd 3.0.1
-UltraSparcI

Ситуация в следующем:
1) Запускаем сам trafd, он нормально стартует и висит в процессах, занимается своим делом.
trafd -i le0
2) Делаем trafsave
trafsave le0
3) Делаем traflog
traflog -i le0 -n -a -s
И получаем следующее:
traflog: WARNING: empty table
traflog: WARNING: table too big to fit into memory
(le0) fenazepam at Nov 23 20:41:54 - Jan  1 03:00:00
Summary: 453691327687742 data bytes, 494810297270272 all bytes, 7 records
     From           Port         To            Port  Proto     Data       All
192.168.1.142      undef   6.1.0.80           client  unkn 268798940464727 284425619243008
217.199.222.33     undef   6.2.0.80           client  unkn 140109360398734 150603028234240
192.168.1.250      undef   6.1.76.106         client  unkn 13979055817102 15350213115904
205.188.253.25     undef   6.2.0.80           client  unkn 10234265853473 12360915877888
64.12.164.120      undef   6.2.0.80           client  unkn 8601756762510 10900626997248
192.168.1.101      undef   6.2.0.22           client  unkn 4469998223758 10823317585920
88.212.196.77      undef   6.2.0.80           client  unkn 7497950167438 10346576216064
Вывод ИМХО крайне аномальный. Во первых сразу напрягают нормально не определившиеся протоколы и порты. С файлом /etc/protocols все впорядке. Во вторых - аномальный траффик. В третьих - не весть откуда взявшийся IP 6.1.0.80 и прочие, аналогичные ему.
После этого делаем trafstat
trafstat -i le0 -n
И получаем абсолютно нормальный вывод
Summary: 93297 data bytes, 124165 all bytes, 12 records
     From           Port         To            Port  Proto     Data       All
192.168.1.101      3128    192.168.1.169      client  tcp      59901      62349
192.168.1.101      22      192.168.1.142      client  tcp       9916      16116
192.168.1.142      client  192.168.1.101      22      tcp       5304      13584
129.22.9.240       21      192.168.1.250      client  tcp       2373       5829
129.22.8.49        client  192.168.1.250      47936   tcp       5218       5590
192.168.1.169      client  192.168.1.101      3128    tcp       2382       3910
192.168.1.250      client  129.22.9.240       21      tcp        408       3624
129.22.8.49        21      192.168.1.250      client  tcp       1292       3136
205.188.9.20       client  192.168.1.142      1055    tcp       1831       2791
212.45.0.3         53      192.168.1.250      client  udp       2388       2724
129.22.9.240       22536   192.168.1.250      client  tcp       2000       2268
192.168.1.250      client  129.22.8.49        21      tcp        284       2244

Далее аналогичные процедуры с traflog были проделаны на x86 машине с OpenBSD40 и trafd 3.0.1. Результаты нормальные.
   From           Port         To            Port  Proto     Data       All
199.232.41.7       client  192.168.1.250      1125    tcp    2874489    2977813
199.232.41.7       23850   192.168.1.250      client  tcp    1074128    1112824
192.168.1.250      1125    199.232.41.7       client  tcp          0      84968
192.168.1.250      22      192.168.1.142      client  tcp      37752      49192
192.168.1.250      client  199.232.41.7       23850   tcp          0      31980
192.168.1.142      client  192.168.1.250      22      tcp       1872      11752
199.232.41.7       21      192.168.1.250      client  tcp       1027       2231

Уважаемые камрады, подскажите куда копать. Предложения перенести шлюз на x86 - не рассматриваются. Пока есть два подозрения, что на sparc64 не верно отрабатывается traflog.format, а так же, что trafd криво сбрасывает статистику из памяти.

Ответить | Сообщить модератору