asphix

покажи в каком месте он ему неудовлетворяет? там на счетчиках явно видно сколько раз правило сработало. ты видно сам плохо разбираешься как работает диверт Да, я тоже newbie в этом деле и до конца не осмыслил технологию, но в данном случае я понял так, как написал и если я не прав - укажите где, буду благодарен. Попробуй просто напросто сначала задивертить пакет на порт divert_cap, а потом его нать, а не наоборот. И напиши - будет ли результат. Для верности можешь tcpdump'ом посмотреть что куда и как идёт. З.Ы.: сорри, детально разбираться в ситуации нет времени сейчас. Если

У кого давно работает stg - подскажите, насколько сильно растут логи юзеров, статистика и т.д. в /var/stargazer? Как в таком случае оптимально разбить диск к примеру на 80 Гб? Я понимаю, что это вопрос "религии", но всё же.. наверняка есть живые примеры, на основе которых можно сделать выводы?

Два вопроса в связи с этим: 1. Как выглядит схема в таком варианте? Сенсор он же приёмник? Если нет, то как производится управлением доступом? 2. Есть шансы получить в пользование компонент?

"AlwaysOnline – клиент всегда авторизован и может не использовать авторизатор." (с) man Оно?

Я не зря постил ссылку на опеннет. Ещё раз привожу выдержку из man: ---8<------- After translation by natd, packets re-enter the firewall at the rule number following the rule number that caused the diversion (not the next rule if there are several at the same number). ---8<--------- В твоём случае получается, что после ната, пакет(уже преобразованный) доходит до правила диверта и.. неудовлетворяет правилам последнего. Попробуй делать нат после диверсии чтоли -- Пока писал XoRe опередил с ответом

Затора не может быть в других правилах? Может быть попробовать сначала на 2-3-х самых простых и всё разрешающих правилах добится диверта? Потом донаворачивать? Можно посмотреть полностью набор правил?

Где же я раньше был :bue: . Мог бы проспонсировать, благо для Карелии это не очень большие деньги. А как обстоят дела с модулем на сегодняшний день?

А вот с этого места можно поподробнее? У stg есть модуль коллектор netflow???

На деле и сам считаю с помощью ng_netflow(freebsd) + flowtools(openbsd) + perl.. но в данном конкретном случает пришлось заморочиться :-/ По-поводу помощи: буду очень рад даже теоретической, попутно вопрос: Правильно ли я понял свою ситуацию, изложенную здесь: http://local.com.ua/forum/index.php?showtopic=1539&st=15

Позволю уточнить: дивертить на нат нужно входящие и исходящие пакеты, проходящие через ext_if - так что имхо интерфейс как раз причем.

по этой схеме у тебя должен считаться только исходящий трафик, но и это прогресс, у меня при таком раскладе с машины клиента интернет становится недоступен Верно, схема тестовая - по этому особо не следил за смыслом. У меня в реале такая ситуация, если рассматривать более конкретно: em0 (10.101.0.1) - смотрит на юзеров em1 (10.101.1.1) - смотрит в контент сервера (игры(1.5), софт(1.6)) fxp0 (192.168.0.1) - смотрит в машину, на которой nat'ом раздаётся инет Считать нужно только входящий трафик, соответственно divert'ить нужно пакеты, входящие на em0, т.е.: .. add div

Кстати, насчет диверта и ната могу порекомендовать прочитать это: http://www.opennet.ru/openforum/vsluhforumID1/40424.html Может быть прояснит ситуацию? От себя добавлю, как понял: если считать входящий трафик, то дивертить на нат нужно на внешнем интерфейсе(для выпуска наружу клиентов), а считать траффик нужно на внутреннем, когда нат уже выполнил обратное преобразование адреса, предварительно задивертив его в divert_cap (входящий трафик) Поправьте меня, если не так понял.

Примерно понял, но.. А можно пример небольшой привести? Попробую пока по своему, как понял(если правильно понял) :-/ К, примеру, нужно считать только входящий траф: #Входящие с инета add divert 15701 ip from any to $ip via ${ext_if} -- посчитал входящие add allow ip from any to $ip via ${ext_if} -- пропустил пакеты #Исходящие в инет add allow ip from vlan5 to any via ${int_if} -- пропустил исходящие Правильно?

Короче всё понятно.. Значит, поднял схему на виртуальной машине: FreeBSD 6.0 stg-2.402.9.7 1 iface - lnc0 Поднял сервер, запустил, конфигуратором добавил юзера, прописал ему в OnConnect: ipfw add `expr $ID '*' 10 + 29000` divert 15701 ip from $IP to any via lnc0 ipfw add `expr $ID '*' 10 + 29001` allow ip from $IP to any via lnc0 Наоборот не пробовал Залогинился, попинговал пару минут.. В авторизаторе побежали какие-то циферки.. т.е. трафик типа посчитался.. правильно или нет - не проверял, вечером буду разбираться. Субъективно сложилось впечатление что трафик в

Подтверждение в студию (статьи, примеры, описания) Откуда такая уверенность?

От балды набросал, конечно allow нужен.. Значит если диверт указать до(хотя в примере стоит после), то пакет зайдёт в порт и divert_cap его обратно вернёт для дальнейшей обработки?

В моём случае использование nat вообще не планируется. т.к. биллинговый сервак с stg внешним интерфейсом смотрит непосредственно в интерфейс другого сервера, раздающего инет с использованием nat (извращение в связи со спецификой оборудования). Как в таком случае быть? Дивертить пакеты в правиле до или после? т.е.: ${fw} add `expr $id '*' 10 + 29000` tcp from $ip to any via ${int_if} ${fw} add `expr $id '*' 10 + 29001` divert 15701 ip from $ip to any via ${int_if} или же наоборот ${fw} add `expr $id '*' 10 + 29001` divert 15701 ip from $ip to any via ${int_if} ${fw} add `expr $id

Настройки такие же как у меня? Есть подозрение, что это может быть из-за make.bsd - этот файл судя по инструкции нужно исправлять - раскомментировать две строчки. Но в пакете, который я скачал этого файла нет. Может быть дело в тех опциях? А что по этому поводу думают разработчики?

Не совсем уловил, что значит "..определять класс трафика по src" ?

Сделал просто, но не факт что правильно. cd stg-2.402.9.7/projects/stargazer/ ee Makefile В строке 53 заменил ./plugins/capture/ether_freebsd на ./plugins/capture/divert_freebsd То же самое в строке 61 Дальше по инструкции: ./build ./install Собрался модуль mod_divert_cap.so в /usr/lib/stg Далее опять же по инструкции: в /etc/stargazer/stargazer.conf меняю <Module cap_bpf> на <Module cap_divert> и к интерфейсам дописываю через пробел порты для divert: iface = em0 15701 iface = em1 15702 iface = fxp0 15703 Правда проверить пока не удалось, но

Имел ввиду правила ipfw.. В статье (www.stargazer.dp.ua/doc20/conf_divert.html) есть примеры правил. Этого достаточно? Или нужны какие-либо правила для интерфейсов vlan, чтобы их трафик завернуть в divert ?

Планируется использование cap_divert вместо cap_bpf.. Как в таком случае правило для юзера будет выглядеть - как обычно в примере или надо еще vlan'ы разруливать?

Скачал пакет первой установки, распаковал, собрал сервер(2.402.9.7) по инструкции. модуль mod_divert_cap.so не скомпилировался.. пришлось править Makefile вручную (правда не до конца уверен - будет ли работать..) Есть способ более корректно собрать сервер с поддержкой divert_cap?

да, ос - FreeBSD 6.0 Т.е. vlan'ы прозрачны для stg? Просто в настройках указать физический интерфейс, на котором считать трафик?

STG 2.4 + FreeBSD 6.0 + ipfw Никто не сталкивался в такой конфигурации с неправильным подсчетом трафика штатными средствами stg?