Господа админы, подскажите...
Внедряю на своей Фрюхе NeTAMS для учета траффика. Поскольку фрюха держит целый зоопарк из подсетей (боевые ИП, локалка, VPN) - то для направления пакетов на NeeTAMS попытался использовать перенаправление из ipfw.
Причем, поскольку пока интересует только статистика - использую не divert, а tee, вот так:
...
ipfw add tee ${netams_tee_port} ip from ${real_ips}:${real_mask} to not table\(0\)
ipfw add tee ${netams_tee_port} ip from ${lan_ips}:${lan_mask} to not table\(0\)
ipfw add tee ${netams_tee_port} ip from not table \(0\) to ${real_ips}:${real_mask}
ipfw add tee ${netams_tee_port} ip from not table\(0\) to ${lan_ips}:${lan_mask}
...
Здесь table(0) - таблица, содержащая диапазоны боевых и ЛАНовских ИП, т.е. все, что считаем не-инетом.
Все вроде как заработало, но теперь - внимание, грабли!
почему-то при этом отказали клиентские VPN, соединяющиеся из инета на MS ISA, стоящий за фрюхой. Проходит коннект, начинается проверка имени-пароля - и далее или бесконечное ожидание, или отвал по таймауту.
Думал, что это NeTAMS так загрузил бедную фрюху. Ради проверки поставил NeTAMS в режиме LibPcap - проблема исчезла...
Никто не наступал на подобные грабли?
Внедряю на своей Фрюхе NeTAMS для учета траффика. Поскольку фрюха держит целый зоопарк из подсетей (боевые ИП, локалка, VPN) - то для направления пакетов на NeeTAMS попытался использовать перенаправление из ipfw.
Причем, поскольку пока интересует только статистика - использую не divert, а tee, вот так:
...
ipfw add tee ${netams_tee_port} ip from ${real_ips}:${real_mask} to not table\(0\)
ipfw add tee ${netams_tee_port} ip from ${lan_ips}:${lan_mask} to not table\(0\)
ipfw add tee ${netams_tee_port} ip from not table \(0\) to ${real_ips}:${real_mask}
ipfw add tee ${netams_tee_port} ip from not table\(0\) to ${lan_ips}:${lan_mask}
...
Здесь table(0) - таблица, содержащая диапазоны боевых и ЛАНовских ИП, т.е. все, что считаем не-инетом.
Все вроде как заработало, но теперь - внимание, грабли!
почему-то при этом отказали клиентские VPN, соединяющиеся из инета на MS ISA, стоящий за фрюхой. Проходит коннект, начинается проверка имени-пароля - и далее или бесконечное ожидание, или отвал по таймауту.
Думал, что это NeTAMS так загрузил бедную фрюху. Ради проверки поставил NeTAMS в режиме LibPcap - проблема исчезла...
Никто не наступал на подобные грабли?