forum.opennet.ru - "ng_ipacct: потеря пакетов?" (3)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"ng_ipacct: потеря пакетов?"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"ng_ipacct: потеря пакетов?"
Сообщение от boykov (ok) on 18-Апр-07, 16:57
Есть схемка INET -- [(em0)FreeBSD6.2(ng_ipacct)(bge0)] -- [(eth2)Linux (2.2.16, tcpdump)eth1] -- local area Соответственно есть считалки как на фре, так и на линуксе. Есть маленькая тонкость: на линуксе некоторые подсетки локальной сети закрыты методом ip rule unreachable результат: есть расхождения в собранном трафике и в основном как раз на объем трафика "недоступных" сетей. Причем на линуксе насчитывается БОЛЬШЕ. Как такое может быть? Пакет благополучно прошел фрю, появился на входе линукса как минимум в виде ethernet кадра (tcpdump -qnle ), но при этом никак не посчитался на фряхе. Конфиг ng_ipacct из примера, первый. # +-------------------------------+ # \| \| # (upper) (left2right)-----------(xl0_in) # \| \| \| \| # xl0 +--(left)-xl0_tee-(right) xl0_ip_acct # \| \| \| \| # (lower) \| (right2left)-----------(xl0_out) # \| \| # +----------+ # # xl0 - ng_ether # xl0_tee - ng_tee # xl0_ip_acct - ng_ipacct ng_ipacct_em0_dlt="EN10MB" # required line; see ipacctctl(8) ng_ipacct_em0_threshold="150000" # '5000' by default ng_ipacct_em0_verbose="yes" # 'yes' by default ng_ipacct_em0_saveuid="no" # 'no' by default ng_ipacct_em0_savetime="yes" # 'no' by default ng_ipacct_em0_start=${ng_ipacct_default_ether_start} ng_ipacct_em0_stop=${ng_ipacct_default_ether_stop}
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

ng_ipacct: потеря пакетов?, idle, 17:08 , 18-Апр-07, (1)

ng_ipacct: потеря пакетов?, boykov, 17:31 , 18-Апр-07, (2)

ng_ipacct: потеря пакетов?, boykov, 16:42 , 19-Апр-07, (3)

Сообщения по теме [Сортировка по времени, UBB]

1. "ng_ipacct: потеря пакетов?"

Сообщение от idle (ok) on 18-Апр-07, 17:08

>Есть схемка
>
>INET -- [(em0)FreeBSD6.2(ng_ipacct)(bge0)] -- [(eth2)Linux (2.2.16, tcpdump)eth1] -- local area
>
>Соответственно  есть считалки как на фре, так и на линуксе.
>Есть маленькая тонкость: на линуксе некоторые подсетки локальной сети закрыты методом
>ip rule unreachable
>
>результат: есть расхождения в собранном трафике и в основном как раз на
>объем трафика "недоступных" сетей. Причем на линуксе насчитывается БОЛЬШЕ.
>
>Как такое может быть? Пакет благополучно прошел фрю, появился на входе линукса
>как минимум в виде ethernet кадра (tcpdump -qnle ), но при
>этом никак не посчитался на фряхе.
>
>Конфиг ng_ipacct из примера, первый.
>#        +-------------------------------+
>#        |
>
>
>     |
>#      (upper)
>        (left2right)-----------(xl0_in)
>#        |
>
>       |
>    |
>      |
>#       xl0
>    +--(left)-xl0_tee-(right)     xl0_ip_acct
>#        |
>      |
>      |
>
>      |
>#      (lower)
>|       (right2left)-----------(xl0_out)
>#        |
>      |
>#        +----------+
>#
># xl0
>- ng_ether
># xl0_tee       - ng_tee
># xl0_ip_acct   - ng_ipacct
>
>ng_ipacct_em0_dlt="EN10MB"      # required line; see ipacctctl(8)
>ng_ipacct_em0_threshold="150000"        # '5000' by default
>
>ng_ipacct_em0_verbose="yes"     # 'yes' by default
>ng_ipacct_em0_saveuid="no"      # 'no' by default
>ng_ipacct_em0_savetime="yes"    # 'no' by default
>ng_ipacct_em0_start=${ng_ipacct_default_ether_start}
>ng_ipacct_em0_stop=${ng_ipacct_default_ether_stop}
grep exceed logs молчит? А на линуксе чем считаете?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "ng_ipacct: потеря пакетов?"

Сообщение от boykov (ok) on 18-Апр-07, 17:31

>grep exceed logs молчит?
молчит как партизан. да и 150000 строк в кэше более чем достаточно
bash-2.05b# ipacctctl em0_ip_acct:em0 stat a
hook name:              em0_in
database type:          active
accounted:              packets: 1483   bytes: 275031
exceed threshold:       packets: 0      bytes: 0
database was created:   2007/04/18 17:25:00
database last updated:  2007/04/18 17:27:45
hook name:              em0_out
database type:          active
accounted:              packets: 1225   bytes: 130884
exceed threshold:       packets: 0      bytes: 0
database was created:   2007/04/18 17:25:00
database last updated:  2007/04/18 17:27:45
И чистится постоянно
>А на линуксе чем считаете?
tcpdump -qnli и разбор строк. Слышал про потери, связанные с bpf. Но тут как раз наоборот: Линух с bpf ловит больше, чем фря с нгипаккт. Но только на запрещенных сетях.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "ng_ipacct: потеря пакетов?"

Сообщение от boykov (ok) on 19-Апр-07, 16:42

поставим вопрос по другому.
Что такого может стать с пакетом, что он пройдя через машину с FreeBSD не будет зафиксирован ng_ipacct? В частности, если этот пакет будет отвергнут при выходе из FreeBSD (через другой интерфейс)?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ng_ipacct: потеря пакетов?"
Сообщение от idle (ok) on 18-Апр-07, 17:08
>Есть схемка > >INET -- [(em0)FreeBSD6.2(ng_ipacct)(bge0)] -- [(eth2)Linux (2.2.16, tcpdump)eth1] -- local area > >Соответственно есть считалки как на фре, так и на линуксе. >Есть маленькая тонкость: на линуксе некоторые подсетки локальной сети закрыты методом >ip rule unreachable > >результат: есть расхождения в собранном трафике и в основном как раз на >объем трафика "недоступных" сетей. Причем на линуксе насчитывается БОЛЬШЕ. > >Как такое может быть? Пакет благополучно прошел фрю, появился на входе линукса >как минимум в виде ethernet кадра (tcpdump -qnle ), но при >этом никак не посчитался на фряхе. > >Конфиг ng_ipacct из примера, первый. ># +-------------------------------+ ># \| > > > \| ># (upper) > (left2right)-----------(xl0_in) ># \| > > \| > \| > \| ># xl0 > +--(left)-xl0_tee-(right) xl0_ip_acct ># \| > \| > \| > > \| ># (lower) >\| (right2left)-----------(xl0_out) ># \| > \| ># +----------+ ># ># xl0 >- ng_ether ># xl0_tee - ng_tee ># xl0_ip_acct - ng_ipacct > >ng_ipacct_em0_dlt="EN10MB" # required line; see ipacctctl(8) >ng_ipacct_em0_threshold="150000" # '5000' by default > >ng_ipacct_em0_verbose="yes" # 'yes' by default >ng_ipacct_em0_saveuid="no" # 'no' by default >ng_ipacct_em0_savetime="yes" # 'no' by default >ng_ipacct_em0_start=${ng_ipacct_default_ether_start} >ng_ipacct_em0_stop=${ng_ipacct_default_ether_stop} grep exceed logs молчит? А на линуксе чем считаете?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "ng_ipacct: потеря пакетов?"
	Сообщение от boykov (ok) on 18-Апр-07, 17:31
	>grep exceed logs молчит? молчит как партизан. да и 150000 строк в кэше более чем достаточно bash-2.05b# ipacctctl em0_ip_acct:em0 stat a hook name: em0_in database type: active accounted: packets: 1483 bytes: 275031 exceed threshold: packets: 0 bytes: 0 database was created: 2007/04/18 17:25:00 database last updated: 2007/04/18 17:27:45 hook name: em0_out database type: active accounted: packets: 1225 bytes: 130884 exceed threshold: packets: 0 bytes: 0 database was created: 2007/04/18 17:25:00 database last updated: 2007/04/18 17:27:45 И чистится постоянно >А на линуксе чем считаете? tcpdump -qnli и разбор строк. Слышал про потери, связанные с bpf. Но тут как раз наоборот: Линух с bpf ловит больше, чем фря с нгипаккт. Но только на запрещенных сетях.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "ng_ipacct: потеря пакетов?"
	Сообщение от boykov (ok) on 19-Апр-07, 16:42
	поставим вопрос по другому. Что такого может стать с пакетом, что он пройдя через машину с FreeBSD не будет зафиксирован ng_ipacct? В частности, если этот пакет будет отвергнут при выходе из FreeBSD (через другой интерфейс)?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]