При сборке ядра указываем:options IPFIREWALL
options NETGRAPH
options NETGRAPH_SOCKET
options NETGRAPH_IPFW
options NETGRAPH_NETFLOW
options NETGRAPH_KSOCKETлибо подгружаем модули:
kldload ipfw.ko
kldload netgraph
kldload ng_socket
kldload ng_ipfw
kldload ng_netflow
kldload ng_ksocket
для их автозагрузки в /boot/loader.conf добавляем:ipfw_load="YES"
ng_netflow_load="YES"
ng_socket_load="YES"
ng_ksocket_load="YES"
ng_ipfw_load="YES"
в ipfw правилаipfw add 02210 netgraph 100 ip from any to any via vlan108
ipfw add 02220 netgraph 100 ip from any to any via vlan208Скрипт, для поднятия netflow:
#!/bin/sh
. /etc/rc.subr
name="ngnetflow"
rcvar=`set_rcvar`load_rc_config $name
: ${ngnetflow_enable="NO"}
: ${ngnetflow_src="127.0.0.1:9999"}
: ${ngnetflow_dst="127.0.0.1:9996"}start_cmd="ngnetflow_start"
stop_cmd="ngnetflow_stop"ngnetflow_start() {
/usr/sbin/ngctl -f- <<-SEQ
mkpeer ipfw: netflow 100 iface0
name ipfw:100 netflow
connect ipfw: netflow: 108 out0
msg netflow: setdlt { iface=0 dlt=12 }
msg netflow: settimeouts { inactive=30 active=600 }
mkpeer netflow: ksocket export inet/dgram/udp
name netflow:export flowexp
msg flowexp: bind inet/${ngnetflow_src}
msg flowexp: connect inet/${ngnetflow_dst}
SEQ}
ngnetflow_stop() {
/usr/sbin/ngctl -f- <<-SEQ
shutdown netflow:
SEQ
}run_rc_command "$1"
URL:
Обсуждается: http://www.opennet.me/tips/info/1782.shtml
Написано то написано, но никаких объяснений - просто красота...
так многие могут, а ты вот объясни что это тут и как делает - это было бы классно, тем более что по нетграф-нетфлоу не особо много инфы.
А если ты понимаешь без объяснений то что здесь написано,то тебе и заметка не нужна! :)
а зато написано просто, комменты не мешают... а колму интересно, что behind the scenes, читают молча маны и никого не отвлекают, как красноглазики. :)
>а зато написано просто, комменты не мешают... а колму интересно, что behind
>the scenes, читают молча маны и никого не отвлекают, как
>красноглазики. :)С маном любой кому оно актуально и без примеров осилит, имхо.Убив на это здорово больше времени чем с доходчивым примером показывающим как оно и рассказывающим "а почему и нафига оно именно вот так".
чтение манов вслух услуга платная (с)
а можно ipfw заменить на pf, и зделать подобное ?
http://www.opennet.me/opennews/art.shtml?num=17815
http://www.mindrot.org/projects/pfflowd/
>http://www.opennet.me/opennews/art.shtml?num=17815
>http://www.mindrot.org/projects/pfflowd/Thanks
Все понял. Только одного не понял - цифры 108 в строчке "connect ipfw: netflow: 108 out0".
Может быть всетаки 100, а не 108.
возвращает пакеты обратно
Кстати на этой штуке можно попасться если правила в фаервол добавить а в нетграфе не создать хук т.е. не запустить скрипт то пакеты будут улетать в дыру и не будут возвращаться поэтому правила фаервола для управления лучше размещать раньше, это же правило действует и для ната с правилом диверт.
Если 108 относится, как я полагаю к vlan108, то где же цифра 208 в скрипте для поднятия netflow.
Автор (архив апдейтов - cvsup) нужно комменты делать в заметки, коль публично её выставляете. Полностью согласен с MadMike. Эта заметка выглядить как покрасоваться на публики - вот я какой эту тему зарухал. Ценость знания и публичной заметки не в том, что Вы разрухали эту тему, а в том чтобы донести это знание понятным языком до человечества.
Я не автор.
> Если 108 относится, как я полагаю к vlan108Нет, они не связаны.
VS, большое спасибо за конспект!
Все заработало с первого раза! :)