URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 3820
[ Назад ]

Исходное сообщение
"NetFlow, pf, NAT"
Отправлено SaveTheRbtz , 02-Июн-08 01:53

Есть провайдерский gateway, на нём стоит pf который занимаецца натом. Всё было бы хорошо, да вот пришли дяди с федеральной службы и попросили сделать им базу в которой будет [время] [ip до NAT] [ip после NAT] [ip на который идёт соединение]
Как я понимаю трафик в таком виде(можно даж без времени) отсылать по Netflow на машину-capture.
Вопрос как?

Содержание

NetFlow, pf, NAT,domas, 06:16 , 02-Июн-08
- NetFlow, pf, NAT,SaveTheRbtz, 16:08 , 02-Июн-08
  - NetFlow, pf, NAT,domas, 17:27 , 02-Июн-08
    - NetFlow, pf, NAT,SaveTheRbtz, 16:13 , 06-Июн-08
NetFlow, pf, NAT,Ищущий ответы, 11:54 , 26-Авг-08
- NetFlow, pf, NAT,hRex, 06:17 , 09-Сен-08
- NetFlow, pf, NAT,SaveTheRbtz, 11:36 , 11-Янв-09

Сообщения в этом обсуждении

"NetFlow, pf, NAT"
Отправлено domas , 02-Июн-08 06:16

softflowd или pfflowd, вестимо.
1.1 На сенсор(роутер) ставиться и запускается вышеупомянутое.
1.2 На сенсоре запускается, например, softflowd, которому указывается интерфейс для сбора данных и адрес коллектора, куда все это отправлять.
2.1 На коллектор(хост, который собирает инфу о трафике) ставятся flow-tools.
2.2 На коллекторе запускается программка flow-capture.
3.3 Для проверки работы используем softflowctl statistics.

"NetFlow, pf, NAT"
Отправлено SaveTheRbtz , 02-Июн-08 16:08

такое я в принципе уже далал, вопрос: как сразу записывать адрес и до NAT'а и после?

"NetFlow, pf, NAT"
Отправлено domas , 02-Июн-08 17:27

НАТ предусмотрен в netflow v.9, соответствено, остается sfotflowd - pfflowd только для версий 1 и 5.
Слушать надо, на сколько я понимаю, на обоих интерфейсах, потом анализатор потока сам разберется где НАТ, а где не НАТ.

"NetFlow, pf, NAT"
Отправлено SaveTheRbtz , 06-Июн-08 16:13

>НАТ предусмотрен в netflow v.9, соответствено, остается sfotflowd - pfflowd только для
>версий 1 и 5.
>
>Слушать надо, на сколько я понимаю, на обоих интерфейсах, потом анализатор потока
>сам разберется где НАТ, а где не НАТ.
Ладно, ещё один глупый вопрос: как заставить softflowd записывать только пакеты начала соединения?
Видел у него опцию proto с помощью которой можно обрезать часть ненужного трафика, но всё равно очень много получаецца с 40ка мегабайтного потока.

"NetFlow, pf, NAT"
Отправлено Ищущий ответы , 26-Авг-08 11:54

>Есть провайдерский gateway, на нём стоит pf который занимаецца натом. Всё было
>бы хорошо, да вот пришли дяди с федеральной службы и попросили
>сделать им базу в которой будет [время] [ip до NAT] [ip
>после NAT] [ip на который идёт соединение]
>
>Как я понимаю трафик в таком виде(можно даж без времени) отсылать по
>Netflow на машину-capture.
>
>Вопрос как?
Получилось у Вас это организовать?
У меня стоит та же задача...

"NetFlow, pf, NAT"
Отправлено hRex , 09-Сен-08 06:17

>[оверквотинг удален]
>>сделать им базу в которой будет [время] [ip до NAT] [ip
>>после NAT] [ip на который идёт соединение]
>>
>>Как я понимаю трафик в таком виде(можно даж без времени) отсылать по
>>Netflow на машину-capture.
>>
>>Вопрос как?
>
>Получилось у Вас это организовать?
>У меня стоит та же задача...
Может копнуть как-то в сторону ?
pfctl -ss
Ну всмысле правила с НАТом и лога...

"NetFlow, pf, NAT"
Отправлено SaveTheRbtz , 11-Янв-09 11:36

/sbin/kldload ng_netflow
/sbin/kldload ng_ether
/usr/sbin/ngctl -f- <<-SEQ
mkpeer em1: tee lower left
connect em1: em1:lower upper right
mkpeer em1:lower one2many left2right many0
connect em1:lower.left2right em1:lower many1 right2left
name em1:lower.left2right o2m
mkpeer vlan1: tee lower left
connect vlan1: vlan1:lower upper right
connect vlan1:lower o2m: left2right many2
connect vlan1:lower.left2right vlan1:lower many3 right2left
mkpeer o2m: netflow one iface0
name o2m:one netflow
mkpeer netflow: ksocket export inet/dgram/udp
msg netflow:export connect inet/NETFLOWSERVERIP:131
SEQ