LINUX.ORG.RU
ФорумAdmin

вопрос по ipt_NETFLOW и iptables

 , ,


0

1

Есть шлюз, на котором в iptables настроено фильтровать трафик по портам (фильтрация осуществляется в таблице filter в FORWARD). И вопрос в том, где разместить правило для сенсора, для правильного учета трафика. На данный момент есть правило:

iptables -A FORWARD -j NETFLOW

Но как я понимаю оно учитывает все, в том числе и те пакеты, которые будут отпрошены в итоге. Данное правило стоит последним в FORWARD. Политика у FORWARD по умолчанию DROP.

Все что находил в сети касается снятия статистики без какой либо фильтрации трафика. Потому и закрались сомнения.



Последнее исправление: modjo (всего исправлений: 1)

Данное правило стоит последним в FORWARD.

Ну вот и учтётся только то, что до него дойдёт.

AS ★★★★★
()
Ответ на: комментарий от AS

В вике сказано следующее:

Потоком считается набор пакетов, проходящих в одном направлении. Когда сенсор определяет, что поток закончился (по изменению параметров пакетов, либо по сбросу TCP-сессии), он отправляет информацию в коллектор. В зависимости от настроек он также может периодически отправлять в коллектор информацию о все еще идущих потоках.

Т.е. получается, что пока клиент не получит данные от того кому отправлял запрос, сенсор не отправляет данные о трафике на коллектор.

modjo
() автор топика
Ответ на: комментарий от modjo

Т.е. получается, что пока клиент не получит данные от того кому отправлял
запрос, сенсор не отправляет данные о трафике на коллектор.

Нет. Это тут совсем не при чём. У сенсора собственное понимание потока и он фиксирует всё. Код не смотрел, но учитывая, что понятие «поток» распространяется на всё, а не только на tcp, он за tcp-сессиями не следит. А данные он отправляет либо когда завершается поток, либо когда истекает таймаут. Либо когда приходит соответствующая команда.

AS ★★★★★
()
Ответ на: комментарий от AS

Наверное надо поставить какой нить хост в REJECT и посмотреть какая за день стата в NETFLOW по данному хосту выйдет. Просто не понятно до конца, что будет в данном варианте.

modjo
() автор топика
Ответ на: комментарий от modjo

Наверное надо поставить какой нить хост в REJECT и посмотреть какая за день стата в NETFLOW
по данному хосту выйдет. Просто не понятно до конца, что будет в данном варианте.

Никакой статистики не будет. Только и хост работать не будет. Правильно поставить ACCEPT. Статистики не будет тоже.

AS ★★★★★
()
19 февраля 2013 г.
Ответ на: комментарий от modjo

Моя тема: [ipt_netflow] или [flow-tools] врут

Тот же AS отвечал :) Нужно правило поставить в начало цепочки iptables -I FORWARD -j NETFLOW Фильтровать он ничего не фильтрует, насколько я заметил.

leader32
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.