Разработка модуля Netflow для STG 2.4

[Queeq 0]

Как хорошо, что я дочитал эту тему до конца

 

Подскажите, пожалуйста, работающий рецепт STG + netflow + stg-web. Есть ли более свежий, чем 2.4-2007.01.20-13.47.20 + stg-web_0.06 + mod_netflow-1.3.4?

[napTu 4]

непонятная ситуация у меня.

 

добавил второй сенсор, изменил конфиг

<Module cap_netflow>

#UseTcp=0

UseUdp=1

#TcpPort=9996

UdpPort=4440

SensorIP=127.0.0.1

SensorIP=192.168.10.5

</Module>

 

фаервол открыт, пакеты на входе идут

Source Destination Protocol Size CPS

─────────────────────────────────────────────────────────────────────────────────────────────────

192.168.10.4,54754 192.168.10.5,4440 udp 40K 5944

 

старгез считает на 127.0.0.1

и не считает на 192.168.10.5

 

- разобрался. адрес сенсора надо указывать, а не адрес интерфейса где слушать...

[Queeq 0]

Разработка остановилась?

[madf 279]

А что, разве остались нерешенные проблемы?

[Silitra 0]

Разработка остановилась?

Нет. Найденные ошибки исправляются автором.

[Queeq 0]

Как я понял, последняя работающая связка - это 2.4-2007.01.20-13.47.20 + stg-web_0.06 + mod_netflow-1.3.4 и для stg-2.405.9.8 такого не сделать.

Вот и хочется узнать когда выйдет что-то подобное. И можно ли взять на тестирование сейчас.

[Silitra 0]

пользую stg-2.405.9.8 +nf + stg_web0.08

[Queeq 0]

А на 7-й фре что-то вообще не собирается... Даже просто stg-2.405.9.8 + mod_netflow-1.3.4

 

gmake[2]: Entering directory `/usr/home/queeq/stargazer/stg-2.405.9.8/projects/stargazer/plugins/authorization/inetaccess'
g++ -c inetaccess.cpp -O2 -I/usr/local/include -Wall -fPIC -I /usr/home/queeq/stargazer/stg-2.405.9.8/projects/stargazer/../../include -DFREE_BSD5
g++ inetaccess.o /usr/lib/libpthread.so /usr/home/queeq/stargazer/stg-2.405.9.8/projects/stargazer/../../lib/libstg_common.so -L/usr/local/lib -shared -L/usr/home/queeq/stargazer/stg-2.405.9.8/projects/stargazer/../../lib -Wl,-rpath,/usr/lib/stg -lpthread -lstg_common -o mod_auth_ia.so
ln -fs "`pwd`/mod_auth_ia.so" /usr/home/queeq/stargazer/stg-2.405.9.8/projects/stargazer/modules/mod_auth_ia.so
gmake[2]: Leaving directory `/usr/home/queeq/stargazer/stg-2.405.9.8/projects/stargazer/plugins/authorization/inetaccess'
gmake  -C configuration/sgconfig
gmake[2]: Entering directory `/usr/home/queeq/stargazer/stg-2.405.9.8/projects/stargazer/plugins/configuration/sgconfig'
gmake[2]: *** No targets.  Stop.
gmake[2]: Leaving directory `/usr/home/queeq/stargazer/stg-2.405.9.8/projects/stargazer/plugins/configuration/sgconfig'
gmake[1]: *** [configuration/sgconfig] Error 2
gmake[1]: Leaving directory `/usr/home/queeq/stargazer/stg-2.405.9.8/projects/stargazer/plugins'
gmake: *** [plugins] Error 2

 

Хотя чистый stg-2.405.9.8 (после определённых манипуляций с lc_r -> lpthread) собирается нормально

[madf 279]

Потерял Makefile

[Silitra 0]

вообщем дело такое, разработчик куда то пропал и после себя не оставил никаких следов, последнее что я получил от него:

http://195.184.78.254/mod_netflow-1.4.0-alpha1.tar.gz

 

как известно была замечена проблема переполнения системных буферов приема UDP датаграм (dropped due to full socket buffers), приводящая к недосчету трафика, не вся инфа о трафе поступала на обсчет, т.к во время выполнения flashAndRemove заблокировано "дерево пакетов" netflow модуль не мог принимать поток.

В данной версии есть некая реализация буфера ip пакетов, которые поступают traffcounter'у но есть одно но

 

модуль содержит не рабочий буфер., верней он работает и с ним стг считает правильно несколько минут а дальше походу он не очищается )

FlushAndRemove() packets: 17748(rem 11286) ip2packets: 35496(rem 22572)

через некоторое время

FlushAndRemove() packets: 15587(rem 9767) ip2packets: 31174(rem 180445)

потом вообще перестает считать, вроде зависает поток traffcounter или туда перестают поступать пакеты.

 

перейдем к делу:

готов заплатить 50$ тому кто дабьет этот буфер до конца.

за срочность еще добавлю 20$

[den68 0]

перейдем к делу:

готов заплатить 50$ тому кто дабьет этот буфер до конца.

за срочность еще добавлю 20$

 

Я из принципа поучаствую = 200$ только условие - програмер не тот кого нанимал Макс для прошлых поделок.

[Silitra 0]

увеличиваю ставку до 100$

итого 300$ за решение этой незадачи.

[stonefield 0]

Есть еще желание решения этой проблемы? Готов разработать нормальный netflow модуль для sargazer.

[madf 279]

Есть еще желание решения этой проблемы? Готов разработать нормальный netflow модуль для sargazer.

А чем существующие 2 не устраивают?

[madf 279]

Проблема не в модуле а в трафкаунтере. Я ее потихоньку решаю. Он уже даже считает, но пока цеплять к старгейзру я его не решаюсь - пока не напишу нормальный тест на подсчет.

[Neelix 33]

А чем существующие 2 не устраивают?

и первая и вторая прекрасно работают

[nallien 3]

что-то я не то курю..... а какой именно модуль идет в комплекте с стг? вот пробую НФ к 206-му прикрутить - считает только исход (линух, fprobe)... понимаю что скорее всего я туплю, но где?

[kit3 0]

stg-2.406

linux debian lenny

сенсор - fprobe

в stargazer.conf

<Module cap_nf>

UDPPort=42111

</Module>

старгейзер считает только upload трафик от пользователя, хотя при использовании flow-capture трафик есть в обе стороны. Может кто сталкивался с такой проблемой?

[nallien 3]

ага, при чем если в пробе менять интерфейс на котором она слушает - то считает трафик в зависимости от этого или входящий или исходящий... подозреваю что если заставить слушать любой ифейс- то считать будет. но что делать если меня из десятка только один интересует?

 

то есть выражаясь ясней - возможно ли снимать ingress и egress трафик с одного ифейса?

 

товарищи использующие netflow - отзовитесь, будьте добры, нужна ваша помощь.