ipfw tee + netflow sensor

0

0

НИД ХЭЛП!! FreeBSD 6.1

При помощи ipfw tee копирую трафик с 200 виртуальных PPtP-интерфейсов (mpd для каждого соединения поднимает интерфейс с айпишником из подсети, надо ловить этот трафик и писать его в netflow):

${ipfw} add 1010 tee 9998 ip from 10.250.0.0/24 to any via bge0

ВОПРОС: как можно его забрать с этого порта? Нужна программа - сенсор netflow (чтобы слушала на этом порту и генерила отчеты по трафику).

softflowd умеет слушать на конкретном интерфейсе. Подскажите, может есть такая софтина? Должна же быть... NetAMP и иже с ним не хочется ставить. Вообще базу MySQL не хочется использовать. Нужны только файлы netflow. Как снять трафик с divert-сокета?

tee port

Send a copy of packets matching this rule to the divert(4) socket

bound to port port. The search continues with the next rule.

Ссылка

←	RHES 4.3 source IP

Статистика LAN и WAN

→

cd /usr/ports
make search name=flow-tools

tugrik ★★
(02.11.06 09:15:06 MSK)

Ответ на: комментарий от tugrik 02.11.06 09:15:06 MSK

Тьфу... Sorry...
Просмотрел что трафик ты собираешь ipfw...
Тогда либо пользоваться ng_netflow
либо попробовать что-то из 
make search key=netflow

tugrik ★★
(02.11.06 09:31:25 MSK)

Ответ на: комментарий от tugrik 02.11.06 09:31:25 MSK

С помощью flow-tools я уже собираю трафик и обрабатываю его. С этим проблем нету. Но flow-capture это коллектор. А мне нужен сенсор - программа, которая генерит netflow и кидает его в направлении сенсора.

make search key=netflow -- спасибо за ключик, очень удобно! не знал. поковыряюсь со списком выданного софта (правда без особой надежды, но вдруг повезет =)

boatman ★
(02.11.06 09:50:29 MSK) автор топика

Ответ на: комментарий от boatman 02.11.06 09:50:29 MSK

s/ и кидает его в направлении сенсора. / и кидает его в направлении коллектора.

еще не проснулся =/

boatman ★
(02.11.06 09:51:17 MSK) автор топика

Ответ на: комментарий от boatman 02.11.06 09:51:17 MSK

либо как СКОПИРОВАТЬ трафик с 200 виртуальных интерфейсов на еще один интерфейс?

тогда трафик можно будет собрать при помощи softflowd на этом интерфейсе.

boatman ★
(02.11.06 12:02:32 MSK) автор топика

Ответ на: комментарий от boatman 02.11.06 12:02:32 MSK

rl0 - локальная сеть, люди по 10.0.0.x/24 цепляются к pptp-серверу
(mpd), авторизуются и получают 10.250.0.x/24, которые PIPEятся,
NATится и выпускаются в МИР через bge0

zabor# tcpdump -n -i rl0 -c 10
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on rl0, link-type EN10MB (Ethernet), capture size 96 bytes
11:58:55.346637 IP 10.0.0.36 > 10.0.0.1: GREv1, call 47680, seq 23963, length 53: IP 10.250.0.30.3263 > 195.239.111.115.80: . ack 124236085 win 65535
11:58:55.348569 IP 10.0.0.1 > 10.0.0.36: GREv1, call 32768, seq 29558, ack 23963, length 1417: IP 195.239.111.115.80 > 10.250.0.30.3263: . 1:1361(1360) ack 0 win 34000
11:58:55.351558 IP 10.0.0.1 > 10.0.0.36: GREv1, call 32768, seq 29559, length 53: IP 80.68.240.131.80 > 10.250.0.30.3267: . ack 1015474772 win 6432
11:58:55.352315 IP 10.0.0.5 > 10.0.0.1: GREv1, call 47686, seq 2596, ack 2655, length 57: IP 10.250.0.18.1293 > 83.222.6.219.80: . ack 696672267 win 65535
11:58:55.353567 IP 10.0.0.1 > 10.0.0.36: GREv1, call 32768, seq 29560, length 53: IP 195.239.111.115.80 > 10.250.0.30.3265: . ack 3360197509 win 32640
11:58:55.356571 IP 10.0.0.1 > 10.0.0.8: GREv1, call 16384, seq 12501, length 1413: IP 194.154.75.190.80 > 10.250.0.13.1934: . 69066514:69067874(1360) ack 655799846 win 16501
11:58:55.366561 IP 10.0.0.1 > 10.0.0.5: GREv1, call 16384, ack 2596, no-payload, length 12
11:58:55.373322 IP 10.0.0.36 > 10.0.0.1: GREv1, call 47680, seq 23964, ack 29560, length 207: IP 10.250.0.30.3267 > 80.68.240.131.80: P 1:151(150) ack 0 win 65535
11:58:55.382567 IP 10.0.0.1 > 10.0.0.36: GREv1, call 32768, ack 23964, no-payload, length 12
11:58:55.384703 IP 10.0.0.8 > 10.0.0.1: GREv1, call 47683, ack 12501, no-payload, length 12

вот вывод trafshow -n

bge0                                 0:1:6c:e3:5e:3c   194.xz.yy.zz 255.255.255.240                                                                  Ethernet
rl0                                  0:e0:4c:71:58:e9   10.0.0.1 255.255.255.0 192.168.20.254 255.255.255.0 192.168.1.254 255.255.255.0             Ethernet
ng1                                  10.250.250.1 255.255.255.255                                                                                   Loopback
ng2                                  10.250.250.2 255.255.255.255                                                                                   Loopback
ng3                                  10.250.250.3 255.255.255.255                                                                                   Loopback
ng4                                  10.250.250.4 255.255.255.255                                                                                   Loopback
ng5                                  10.250.250.5 255.255.255.255                                                                                   Loopback
ng6                                  10.250.250.6 255.255.255.255                                                                                   Loopback
ng7                                  10.250.250.7 255.255.255.255                                                                                   Loopback
ng8                                  10.250.250.8 255.255.255.255                                                                                   Loopback
ng9                                  10.250.250.9 255.255.255.255                                                                                   Loopback
lo0                                  127.0.0.1 255.0.0.0                                                                                            Loopback

boatman ★
(02.11.06 12:14:00 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	RHES 4.3 source IP

Admin

Статистика LAN и WAN

→

Похожие темы