LINUX.ORG.RU
ФорумAdmin

free-sa врёт?


0

1

Ведётся статистика через netflow (ipcad и nfdump).
Прошу показать трафик, следовавший из proxy-сервера к пользовательской машине ($PWD специально оставил) - 192.168.1.100: 

stat:/var/cache/nfsen/profiles-data/live/gateway/2011/08/31# nfdump -R . -A srcip,dstip,srcport,dstport "ip 192.168.1.100 and src port 3128"

Date flow start          Duration       Src IP Addr      Dst IP Addr Src Pt Dst Pt   Packets    Bytes      bps    Bpp Flows
2011-08-31 16:04:45.648  9571.852       192.168.1.1     192.168.1.100   3128  65535    204095  515.5 M   430851   2525   286
Summary: total flows: 286, total bytes: 515.5 M, total packets: 204095, avg bps: 430851, avg pps: 21, avg bpp: 2525
Time window: 2011-08-31 16:04:45 - 2011-08-31 18:44:17
Total flows processed: 88426, Blocks skipped: 0, Bytes read: 4599076
Sys: 0.008s flows/second: 11053250.0 Wall: 0.007s flows/second: 12066866.8
Видно, что пришло 515Мбайт. Примерно те же цифры отображает считалка трафика, установленная на конечной машине.
free-sa же говорит, что со вчерашнего вечера данной машиной было скачено всего 70Мбайт (netflow работает с сегодняшнего утра). EXCLUDE-фильтры во free-sa выключены.

[iptables] Мосты и NAT
mysql datadir + selinux

ХЗ что там, но если PACKETS это кол-во пакетов и MTU 1500 то таким кол-во пакетов(даже в одну сторону) 500 метров не передать.

Как этот free-sa хоть работает? Откуда данные берёт? Если из логов то он может много чего потерять.

true_admin ★★★★★
()
Ответ на: комментарий от markevichus

Тогда оно не считает всё что идёт мимо сквида. Может там FTP какой-нить или кто-то по аське/почте передавал большие файлы? Но я бы ещё к статистике присмотрелся, может она кривовато считает? Скажем, счётчик там не обнуляется.

А можно просто провести эксперимент скачав что-нить и посмотреть что будет на обоих статистиках. Имхо надо с этого начать, скачай файл известного размера.

true_admin ★★★★★
()
Ответ на: комментарий от true_admin

Эксперимент провести - это хорошо. Приведённая статистика относится лишь к прокси (порт соответствующий).

markevichus ★★★
() автор топика
Ответ на: комментарий от true_admin

Пакеты, однако, можно фрагментировать. МТУ ограничивает не размер пакета, а размер фрагмента. Так что передать можно отлично и столько и больше.

blind_oracle ★★★★★
()
Ответ на: комментарий от blind_oracle

Это в теории.

В данном случае это количество ethernet-фреймов. Почему я так уверен? А потому что фрагментация пакетов зло и промежуточные роутеры этого просто не делают, а конечные хосты знают MTU(через path mtu discovery) и сразу шлют пакетами нужного размера.

true_admin ★★★★★
()

Вобще, лог сквида можно и grep'ать, чтобы посмотреть, какие вобще запросы идут от машины.

Может у вас сквид с авторизацией, а машина тупо непрерывно куда-то ломится без авторизации. free-sa, наверное, не считает такой трафик.

mky ★★★★★
()
Ответ на: комментарий от mky

Учет трафика (что учитывать, а что - нет) во Free-SA настраивается. Сделайте тест и поделитесть результатами. Фильтры все отключите во Free-SA.

saper ★★★★★
()
Ответ на: комментарий от saper

Наверное, этот пост предназанчался ТС? Хотя ему ведь придёт уведомление о любых постах в его теме?

mky ★★★★★
()
Ответ на: комментарий от mky

Я слежу за считалками на free-sa и netflow и они показывают примерно одинаковые результаты. В чём был косяк в данном примере, затрудняюсь ответить. Я пробовал перегенерить отчёт с отключенными фильтрами - результат тот же.

markevichus ★★★
() автор топика
23 октября 2011 г.
Ответ на: комментарий от markevichus

Я думаю проще всего перепроверить данные журнала Squid в Excel. Free-SA с потолка цифры не берет и обработку данных делает согласно документации на Squid.

saper ★★★★★
()
Ответ на: комментарий от markevichus

Можно, кстати, какой-нибудь самопалкой проверить. Я, например, вот такой велосипед делал.

Eddy_Em ☆☆☆☆☆
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
[iptables] Мосты и NAT
Admin
mysql datadir + selinux