forum.opennet.ru

Составление сообщения

Исходное сообщение

"FreeBSD + netflow + NAT. Как считать ?"
Отправлено andr, 28-Дек-05 20:56

re all
Стандартная ситуация: роутер (FreeBSD 5.4, ipfw & natd) обслуживает небольшую локальную сеть. Задача: считать трафик на роутере, причем нужно считать как трафик каждой машины в сети (внешний и внутренний), так и трафик самого роутера (пользователи ходят с роутера, например, по ssh во вне).
Решение задачи организовал пользуясь трилогией с dreamcatcher.ru:
http://dreamcatcher.ru/docs/monitor_netflow.html
http://dreamcatcher.ru/docs/netflow_report.html
http://dreamcatcher.ru/docs/netflow_visio.html
т.е. softflowd -> flow-capture -> [flow-tools, flowdumper, flowscan etc.]
И тут возникла в принципе ожидаемая проблема:
в пакетах из локальной сети src_ip меняется nat'ом.
Как в таких условиях считать трафик ?
1) Пробовал брать netflow c внешнего интерфеса, но тогда не понятно как обсчитывать трафик машин из локальной сети. (?)
2) Пробовал брать netflow с внутреннего интерфейса, но при этом не обсчитывается внешний трафик самого роутера. (?)
3) Брать netflow с обоих интерфейсов, но тогда, насколько я понимаю, трафик будет дублироваться, что тоже очень неудобно. (этот вариант я не пробовал настраивать)
Смотрел форумы по цискам - там в аналогичных случаях рекомендуют ставить 2 роутера - один с NAT, c другого снимать netflow. Такой вариант мне тоже не подходит, так как денег на дополнительный роутер нет.
Как лучше поступить в такой ситуации ?
Можно ли как-то снять netflow поток с внешнего интерфейса, до того как пакеты попадут к natd (может netgraph такое позволит или еще что-то) ?

Исходное сообщение
"FreeBSD + netflow + NAT. Как считать ?" Отправлено andr, 28-Дек-05 20:56
re all Стандартная ситуация: роутер (FreeBSD 5.4, ipfw & natd) обслуживает небольшую локальную сеть. Задача: считать трафик на роутере, причем нужно считать как трафик каждой машины в сети (внешний и внутренний), так и трафик самого роутера (пользователи ходят с роутера, например, по ssh во вне). Решение задачи организовал пользуясь трилогией с dreamcatcher.ru: http://dreamcatcher.ru/docs/monitor_netflow.html http://dreamcatcher.ru/docs/netflow_report.html http://dreamcatcher.ru/docs/netflow_visio.html т.е. softflowd -> flow-capture -> [flow-tools, flowdumper, flowscan etc.] И тут возникла в принципе ожидаемая проблема: в пакетах из локальной сети src_ip меняется nat'ом. Как в таких условиях считать трафик ? 1) Пробовал брать netflow c внешнего интерфеса, но тогда не понятно как обсчитывать трафик машин из локальной сети. (?) 2) Пробовал брать netflow с внутреннего интерфейса, но при этом не обсчитывается внешний трафик самого роутера. (?) 3) Брать netflow с обоих интерфейсов, но тогда, насколько я понимаю, трафик будет дублироваться, что тоже очень неудобно. (этот вариант я не пробовал настраивать) Смотрел форумы по цискам - там в аналогичных случаях рекомендуют ставить 2 роутера - один с NAT, c другого снимать netflow. Такой вариант мне тоже не подходит, так как денег на дополнительный роутер нет. Как лучше поступить в такой ситуации ? Можно ли как-то снять netflow поток с внешнего интерфейса, до того как пакеты попадут к natd (может netgraph такое позволит или еще что-то) ?

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> re all > Стандартная ситуация: роутер (FreeBSD 5.4, ipfw & natd) обслуживает небольшую локальную > сеть. Задача: считать трафик на роутере, причем нужно считать как трафик > каждой машины в сети (внешний и внутренний), так и трафик самого > роутера (пользователи ходят с роутера, например, по ssh во вне). > Решение задачи организовал пользуясь трилогией с dreamcatcher.ru: > http://dreamcatcher.ru/docs/monitor_netflow.html > http://dreamcatcher.ru/docs/netflow_report.html > http://dreamcatcher.ru/docs/netflow_visio.html > т.е. softflowd -> flow-capture -> [flow-tools, flowdumper, flowscan etc.] > И тут возникла в принципе ожидаемая проблема: > в пакетах из локальной сети src_ip меняется nat'ом. > Как в таких условиях считать трафик ? > 1) Пробовал брать netflow c внешнего интерфеса, но тогда не понятно как > обсчитывать трафик машин из локальной сети. (?) > 2) Пробовал брать netflow с внутреннего интерфейса, но при этом не обсчитывается > внешний трафик самого роутера. (?) > 3) Брать netflow с обоих интерфейсов, но тогда, насколько я понимаю, трафик > будет дублироваться, что тоже очень неудобно. (этот вариант я не пробовал > настраивать) > Смотрел форумы по цискам - там в аналогичных случаях рекомендуют ставить 2 > роутера - один с NAT, c другого снимать netflow. Такой вариант > мне тоже не подходит, так как денег на дополнительный роутер нет. > Как лучше поступить в такой ситуации ? > Можно ли как-то снять netflow поток с внешнего интерфейса, до того как > пакеты попадут к natd (может netgraph такое позволит или еще что-то) > ?
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру