53818 2025-04-11 16:37:03 +0300 отсутствует модуль ipt_netflow 2025-04-12 10:59:08 +0300 1 1 4 Development Sisyphus kernel-image-6.12 unstable x86_64 Linux NEW P5 normal --- 53812 1 asy vt kernelbot placeholder rider taf qa-sisyphus oldest_to_newest 262865 0 asy 2025-04-11 16:37:03 +0300 Searching for a newer flavour (>= 6.1.112-std-def-alt0.p11.1)... Upgrade to the next available flavour 6.12 Checking for available 6.12 kernel packages... Latest available kernel is kernel-image-6.12-6.12.21-alt1 Kernel 6.12 version 6.12.21-alt1 has 20 external modules. Use -i to select which modules to install. ATTENTION: Selected kernel does not have 2 following external module(s) which you have installed for your currently booted std-def kernel: ipt-ratelimit ipt_netflow Если с ipt-ratelimit ещё что-то как-то просматривается, то замены для ipt_netflow я не очень представляю. Вариант с ulog совсем не то. 262868 1 taf 2025-04-11 16:52:18 +0300 (Ответ для Sergey Y. Afonin на комментарий #0) > Searching for a newer flavour (>= 6.1.112-std-def-alt0.p11.1)... > Upgrade to the next available flavour 6.12 > Checking for available 6.12 kernel packages... > Latest available kernel is kernel-image-6.12-6.12.21-alt1 > Kernel 6.12 version 6.12.21-alt1 has 20 external modules. Use -i to select > which modules to install. > ATTENTION: Selected kernel does not have 2 following external module(s) > which you have > installed for your currently booted std-def kernel: > ipt-ratelimit ipt_netflow > > Если с ipt-ratelimit ещё что-то как-то просматривается, то замены для > ipt_netflow я не очень представляю. Вариант с ulog совсем не то. Как человек, втянувший ipt-ratelimit в Сизиф и активно его использовавший, рекомендую все же от него отказаться в пользу более продвинутых инструментов. Конкретно с этим модулем нельзя управлять скоростями более 2 гигабит, и это не лечится. И, в отличии от ipt_netflow, этому модулю есть замена в виде полисера на nftables: https://www.altlinux.org/%D0%A8%D0%B5%D0%B9%D0%BF%D0%B5%D1%80_%D0%B4%D0%BB%D1%8F_%D0%B1%D0%BE%D0%BB%D1%8C%D1%88%D0%B8%D1%85_%D1%81%D0%B5%D1%82%D0%B5%D0%B9#%D0%9F%D0%BE%D0%BB%D0%B8%D1%81%D0%B8%D0%BD%D0%B3_%D0%B4%D0%BB%D1%8F_%D0%B1%D0%BE%D0%BB%D1%8C%D1%88%D0%B8%D1%85_%D1%81%D0%B5%D1%82%D0%B5%D0%B9_(IPv4/IPv6)_%D1%81%D1%80%D0%B5%D0%B4%D1%81%D1%82%D0%B2%D0%B0%D0%BC%D0%B8_nftables 262875 2 asy 2025-04-11 17:20:39 +0300 Как раз из-за ipt_netflow с nftables так себе ситуация. Есть pkt-netflow, с которым, вроде как, не важно, iptables, или nftables, но с iptables есть возможность более тонкой настройки того, где flow собирать не надо. Я пока не придумал, как от этого отказаться. А если всё собирать, там готовое обрабатывать сложнее. 262877 3 taf 2025-04-11 17:32:18 +0300 (Ответ для Sergey Y. Afonin на комментарий #2) > Как раз из-за ipt_netflow с nftables так себе ситуация. Есть pkt-netflow, с > которым, вроде как, не важно, iptables, или nftables, но с iptables есть > возможность более тонкой настройки того, где flow собирать не надо. Я пока > не придумал, как от этого отказаться. А если всё собирать, там готовое > обрабатывать сложнее. маркируем что надо экспортировать в NF table inet mangle { set nonf4 { type ipv4_addr flags interval elements = { 172.31.0.4, 172.31.0.5, 172.31.0.25, 172.31.0.26, 172.31.0.56, 172.31.0.60, 172.31.0.71 } } chain FORWARD { type filter hook forward priority mangle; policy accept; # Mark for Netflow export oifname "ppp*" ip saddr != @nonf4 meta mark set 0x00000001 iifname "ppp*" ip daddr != @nonf4 meta mark set 0x00000001 } } ответная часть в iptables: # Completed on Tue Dec 16 01:27:49 2014 # Generated by iptables-save v1.4.18 on Tue Dec 16 01:27:49 2014 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] # Экспортируем в NF все что помечено в nft -A FORWARD -m mark --mark 0x1 -j NETFLOW COMMIT # Completed on Tue Dec 16 01:27:49 2014 262880 4 rider 2025-04-11 17:53:31 +0300 но ip_netflow всё равно надо собирать. Мне кажется что Виталий может нас направить в нужное русло. 262890 5 asy 2025-04-11 19:03:59 +0300 (In reply to Alexei Takaseev from comment #3) > маркируем что надо экспортировать в NF > ответная часть в iptables: То, что их вместе можно использовать, как-то не задумывался. Может быть интересно, спасибо. Но от ipt_netflow не избавляет всё равно. Как объезд, если/пока не получится и кому надо: apt-repo rm all apt-repo add branch p11 20241025 apt-get update update-kernel -t un-def установится 6.1.112-std-def, и там можно будет доустановить kernel-modules-ipt_netflow-std-def, Потом apt-repo set p11. Вообще, если на предлагаемый патч на github посмотреть (bug 53812), там вроде бы только unaligned.h переехала. 262898 6 asy 2025-04-11 20:36:33 +0300 (In reply to Sergey Y. Afonin from comment #5) > update-kernel -t un-def Ой, "update-kernel -t std-def" конечно. Хотя там и у un-def может быть есть. 262909 7 asy 2025-04-12 10:59:08 +0300 И, может быть, собирать с --enable-macaddress и --enable-vlan. Не часто, но бывает нужно. Сильно замедлить не должно бы по идее.