Исходное сообщение
"ng_nat+ng_netflow+flow-capture - не могу скрестить" Отправлено weldpua2008, 24-Сен-07 01:30
Привет Всем # uname -r 6.2-RELEASE-p7 # pfctl -d pfctl: pf not enabled В ядре опции: options NETGRAPH options NETGRAPH_ASYNC options NETGRAPH_BPF options NETGRAPH_BRIDGE options NETGRAPH_CISCO options NETGRAPH_DEVICE options NETGRAPH_ECHO options NETGRAPH_EIFACE options NETGRAPH_ETHER options NETGRAPH_GIF options NETGRAPH_GIF_DEMUX options NETGRAPH_TAG options NETGRAPH_TCPMSS options NETGRAPH_FEC options NETGRAPH_HOLE options NETGRAPH_IFACE options NETGRAPH_IP_INPUT options NETGRAPH_KSOCKET options NETGRAPH_L2TP options NETGRAPH_LMI options NETGRAPH_NETFLOW options NETGRAPH_ONE2MANY options NETGRAPH_PPP options NETGRAPH_MPPC_ENCRYPTION options NETGRAPH_PPPOE options NETGRAPH_PPTPGRE options NETGRAPH_RFC1490 options NETGRAPH_SOCKET options NETGRAPH_SPLIT options NETGRAPH_TEE options NETGRAPH_TTY options NETGRAPH_UI options NETGRAPH_VJC options         NETGRAPH options         NETGRAPH_IPFW options         LIBALIAS options         NETGRAPH_NAT options         NETGRAPH_NETFLOW options         NETGRAPH_SPLIT options         NETGRAPH_KSOCKET options         NETGRAPH_SOCKET options         NETGRAPH_BPF options         NETGRAPH_IFACE options         NETGRAPH_MPPC_ENCRYPTION options         NETGRAPH_PPP options         NETGRAPH_PPTPGRE options         NETGRAPH_TCPMSS options         NETGRAPH_VJC # ifconfig rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500         options=8<VLAN_MTU>         inet 10.11.2.1 netmask 0xffffff00 broadcast 10.11.2.255 rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500         options=8<VLAN_MTU>         inet 192.168.100.99 netmask 0xffffff00 broadcast 192.168.100.255 plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> mtu 1500 pfsync0: flags=0<> mtu 2020         syncpeer: 224.0.0.240 maxupd: 128 pflog0: flags=0<> mtu 33208 lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384         inet6 fe80::1%lo0 prefixlen 64 scopeid 0x6         inet6 ::1 prefixlen 128         inet 127.0.0.1 netmask 0xff000000 rl0 - смотрит в локалку rl1 - смотрит в инет Проблема заключается в том, что без правил ipfw netflow не идет некуда, а с ними - машина не видит сеть, хотя пакеты по правилам(этим трем) проходят, flow-capture работает... Имею такой скрипт запуска - подсмотрел пример на http://forum.bestcom.ru/htmlart/unix/ngnetflow.html: #cat /usr/local/etc/rc.d/simple_flow.sh #!/bin/sh ipfw="/sbin/ipfw -q " #/usr/local/sbin/softflowd -i rl1 -n127.0.0.1:2222 $ipfw -flush $ipfw add 20 netgraph 61 ip from not 10.11.2.0/24 to 192.168.100.99 in via rl1 $ipfw add 21 netgraph 60 ip from 10.11.2.0/24 to not 10.11.2.0/24 out via rl1 $ipfw add 22 netgraph 71 ip from any to any in $ipfw add 65534 allow all from any to any /sbin/kldload ng_ipfw /sbin/kldload  ng_ether /sbin/kldload  ng_netflow /sbin/kldload  ng_split /usr/sbin/ngctl mkpeer ipfw: nat 60 out /usr/sbin/ngctl name ipfw:60 nat /usr/sbin/ngctl connect ipfw: nat: 61 in /usr/sbin/ngctl msg nat: setaliasaddr 192.168.100.99 usr/sbin/ngctl mkpeer ipfw: netflow 71 iface0 /usr/sbin/ngctl name ipfw:71 netflow /usr/sbin/ngctl connect ipfw: netflow: 70 out0 /usr/sbin/ngctl mkpeer netflow: ksocket export inet/dgram/udp /usr/sbin/ngctl msg netflow:export connect inet/127.0.0.1:2222 /usr/sbin/ngctl msg netflow: setdlt { iface=0 dlt=12 } /usr/sbin/ngctl msg netflow: setifindex { iface=0 index=5 } /sbin/sysctl net.inet.ip.fw.one_pass=0 /usr/local/bin/flow-capture -n 287 -w /var/db/flows/ 0.0.0.0/127.0.0.1/2222