#53818 – отсутствует модуль ipt_netflow

Bug 53818 - отсутствует модуль ipt_netflow

Summary: отсутствует модуль ipt_netflow

Status:	NEW

Alias:	None

Product:	Sisyphus
Classification:	Development
Component:	kernel-image-6.12 (show other bugs)
Version:	unstable
Hardware:	x86_64 Linux

Importance:	P5 normal
Assignee:	Vitaly Chikunov
QA Contact:	qa-sisyphus

URL:
Keywords:

Depends on:	53812
Blocks:
	Show dependency tree

Reported:	2025-04-11 16:37 MSK by Sergey Y. Afonin
Modified:	2025-04-12 10:59 MSK (History)
CC List:	4 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description Sergey Y. Afonin 2025-04-11 16:37:03 MSK

Searching for a newer flavour (>= 6.1.112-std-def-alt0.p11.1)...
Upgrade to the next available flavour 6.12
Checking for available 6.12 kernel packages...
Latest available kernel is kernel-image-6.12-6.12.21-alt1
Kernel 6.12 version 6.12.21-alt1 has 20 external modules. Use -i to select which modules to install.
ATTENTION: Selected kernel does not have 2 following external module(s) which you have
installed for your currently booted std-def kernel:
   ipt-ratelimit ipt_netflow

Если с ipt-ratelimit ещё что-то как-то просматривается, то замены для ipt_netflow я не очень представляю. Вариант с ulog совсем не то.

Comment 1 Alexei Takaseev 2025-04-11 16:52:18 MSK

(Ответ для Sergey Y. Afonin на комментарий #0)
> Searching for a newer flavour (>= 6.1.112-std-def-alt0.p11.1)...
> Upgrade to the next available flavour 6.12
> Checking for available 6.12 kernel packages...
> Latest available kernel is kernel-image-6.12-6.12.21-alt1
> Kernel 6.12 version 6.12.21-alt1 has 20 external modules. Use -i to select
> which modules to install.
> ATTENTION: Selected kernel does not have 2 following external module(s)
> which you have
> installed for your currently booted std-def kernel:
>    ipt-ratelimit ipt_netflow
> 
> Если с ipt-ratelimit ещё что-то как-то просматривается, то замены для
> ipt_netflow я не очень представляю. Вариант с ulog совсем не то.

Как человек, втянувший ipt-ratelimit в Сизиф и активно его использовавший, рекомендую все же от него отказаться в пользу более продвинутых инструментов. Конкретно с этим модулем нельзя управлять скоростями более 2 гигабит, и это не лечится. И, в отличии от ipt_netflow, этому модулю есть замена в виде полисера на nftables: https://www.altlinux.org/%D0%A8%D0%B5%D0%B9%D0%BF%D0%B5%D1%80_%D0%B4%D0%BB%D1%8F_%D0%B1%D0%BE%D0%BB%D1%8C%D1%88%D0%B8%D1%85_%D1%81%D0%B5%D1%82%D0%B5%D0%B9#%D0%9F%D0%BE%D0%BB%D0%B8%D1%81%D0%B8%D0%BD%D0%B3_%D0%B4%D0%BB%D1%8F_%D0%B1%D0%BE%D0%BB%D1%8C%D1%88%D0%B8%D1%85_%D1%81%D0%B5%D1%82%D0%B5%D0%B9_(IPv4/IPv6)_%D1%81%D1%80%D0%B5%D0%B4%D1%81%D1%82%D0%B2%D0%B0%D0%BC%D0%B8_nftables

Comment 2 Sergey Y. Afonin 2025-04-11 17:20:39 MSK

Как раз из-за ipt_netflow с nftables так себе ситуация. Есть pkt-netflow, с которым, вроде как, не важно, iptables, или nftables, но с iptables есть возможность более тонкой настройки того, где flow собирать не надо. Я пока не придумал, как от этого отказаться. А если всё собирать, там готовое обрабатывать сложнее.

Comment 3 Alexei Takaseev 2025-04-11 17:32:18 MSK

(Ответ для Sergey Y. Afonin на комментарий #2)
> Как раз из-за ipt_netflow с nftables так себе ситуация. Есть pkt-netflow, с
> которым, вроде как, не важно, iptables, или nftables, но с iptables есть
> возможность более тонкой настройки того, где flow собирать не надо. Я пока
> не придумал, как от этого отказаться. А если всё собирать, там готовое
> обрабатывать сложнее.

маркируем что надо экспортировать в NF

table inet mangle {
    set nonf4 {
        type ipv4_addr
        flags interval
        elements = { 172.31.0.4, 172.31.0.5,
                     172.31.0.25, 172.31.0.26,
                     172.31.0.56, 172.31.0.60,
                     172.31.0.71
        }
    }

    chain FORWARD {
        type filter hook forward priority mangle; policy accept;
        # Mark for Netflow export
        oifname "ppp*" ip saddr != @nonf4 meta mark set 0x00000001
        iifname "ppp*" ip daddr != @nonf4 meta mark set 0x00000001
    }
}

ответная часть в iptables:
# Completed on Tue Dec 16 01:27:49 2014
# Generated by iptables-save v1.4.18 on Tue Dec 16 01:27:49 2014
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
# Экспортируем в NF все что помечено в nft
-A FORWARD -m mark --mark 0x1 -j NETFLOW
COMMIT
# Completed on Tue Dec 16 01:27:49 2014

Comment 4 Anton Farygin 2025-04-11 17:53:31 MSK

но ip_netflow всё равно надо собирать.

Мне кажется что Виталий может нас направить в нужное русло.

Comment 5 Sergey Y. Afonin 2025-04-11 19:03:59 MSK

(In reply to Alexei Takaseev from comment #3)

> маркируем что надо экспортировать в NF
> ответная часть в iptables:

То, что их вместе можно использовать, как-то не задумывался. Может быть интересно, спасибо. Но от ipt_netflow не избавляет всё равно.

Как объезд, если/пока не получится и кому надо:

apt-repo rm all
apt-repo add branch p11 20241025
apt-get update
update-kernel -t un-def

установится 6.1.112-std-def, и там можно будет доустановить kernel-modules-ipt_netflow-std-def, Потом apt-repo set p11.

Вообще, если на предлагаемый патч на github посмотреть (bug 53812), там вроде бы только unaligned.h переехала.

Comment 6 Sergey Y. Afonin 2025-04-11 20:36:33 MSK

(In reply to Sergey Y. Afonin from comment #5)

> update-kernel -t un-def

Ой, "update-kernel -t std-def" конечно. Хотя там и у un-def может быть есть.

Comment 7 Sergey Y. Afonin 2025-04-12 10:59:08 MSK

И, может быть, собирать с --enable-macaddress и --enable-vlan. Не часто, но бывает нужно. Сильно замедлить не должно бы по идее.