The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"NetFlow, pf, NAT"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [ Отслеживать ]

"NetFlow, pf, NAT"  
Сообщение от SaveTheRbtz (ok) on 02-Июн-08, 01:53 
Есть провайдерский gateway, на нём стоит pf который занимаецца натом. Всё было бы хорошо, да вот пришли дяди с федеральной службы и попросили сделать им базу в которой будет [время] [ip до NAT] [ip после NAT] [ip на который идёт соединение]

Как я понимаю трафик в таком виде(можно даж без времени) отсылать по Netflow на машину-capture.

Вопрос как?

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

  • NetFlow, pf, NAT, domas, 06:16 , 02-Июн-08, (1)  
    • NetFlow, pf, NAT, SaveTheRbtz, 16:08 , 02-Июн-08, (2)  
      • NetFlow, pf, NAT, domas, 17:27 , 02-Июн-08, (3)  
        • NetFlow, pf, NAT, SaveTheRbtz, 16:13 , 06-Июн-08, (4)  
  • NetFlow, pf, NAT, Ищущий ответы, 11:54 , 26-Авг-08, (5)  
    • NetFlow, pf, NAT, hRex, 06:17 , 09-Сен-08, (6)  
    • NetFlow, pf, NAT, SaveTheRbtz, 11:36 , 11-Янв-09, (7)  

Сообщения по теме [Сортировка по времени | RSS]


1. "NetFlow, pf, NAT"  
Сообщение от domas email(ok) on 02-Июн-08, 06:16 
softflowd или pfflowd, вестимо.
1.1 На сенсор(роутер) ставиться и запускается вышеупомянутое.
1.2 На сенсоре запускается, например, softflowd, которому указывается интерфейс для сбора данных и адрес коллектора, куда все это отправлять.

2.1 На коллектор(хост, который собирает инфу о трафике) ставятся flow-tools.
2.2 На коллекторе запускается программка flow-capture.

3.3 Для проверки работы используем softflowctl statistics.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "NetFlow, pf, NAT"  
Сообщение от SaveTheRbtz (ok) on 02-Июн-08, 16:08 
такое я в принципе уже далал, вопрос: как сразу записывать адрес и до NAT'а и после?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "NetFlow, pf, NAT"  
Сообщение от domas (ok) on 02-Июн-08, 17:27 
НАТ предусмотрен в netflow v.9, соответствено, остается sfotflowd - pfflowd только для версий 1 и 5.

Слушать надо, на сколько я понимаю, на обоих интерфейсах, потом анализатор потока сам разберется где НАТ, а где не НАТ.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "NetFlow, pf, NAT"  
Сообщение от SaveTheRbtz (??) on 06-Июн-08, 16:13 
>НАТ предусмотрен в netflow v.9, соответствено, остается sfotflowd - pfflowd только для
>версий 1 и 5.
>
>Слушать надо, на сколько я понимаю, на обоих интерфейсах, потом анализатор потока
>сам разберется где НАТ, а где не НАТ.

Ладно, ещё один глупый вопрос: как заставить softflowd записывать только пакеты начала соединения?

Видел у него опцию proto с помощью которой можно обрезать часть ненужного трафика, но всё равно очень много получаецца с 40ка мегабайтного потока.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "NetFlow, pf, NAT"  
Сообщение от Ищущий ответы on 26-Авг-08, 11:54 
>Есть провайдерский gateway, на нём стоит pf который занимаецца натом. Всё было
>бы хорошо, да вот пришли дяди с федеральной службы и попросили
>сделать им базу в которой будет [время] [ip до NAT] [ip
>после NAT] [ip на который идёт соединение]
>
>Как я понимаю трафик в таком виде(можно даж без времени) отсылать по
>Netflow на машину-capture.
>
>Вопрос как?

Получилось у Вас это организовать?
У меня стоит та же задача...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "NetFlow, pf, NAT"  
Сообщение от hRex on 09-Сен-08, 06:17 
>[оверквотинг удален]
>>сделать им базу в которой будет [время] [ip до NAT] [ip
>>после NAT] [ip на который идёт соединение]
>>
>>Как я понимаю трафик в таком виде(можно даж без времени) отсылать по
>>Netflow на машину-capture.
>>
>>Вопрос как?
>
>Получилось у Вас это организовать?
>У меня стоит та же задача...

Может копнуть как-то в сторону ?
pfctl -ss
Ну всмысле правила с НАТом и лога...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "NetFlow, pf, NAT"  
Сообщение от SaveTheRbtz (??) on 11-Янв-09, 11:36 
/sbin/kldload ng_netflow
/sbin/kldload ng_ether
/usr/sbin/ngctl -f- <<-SEQ
mkpeer em1: tee lower left
connect em1: em1:lower upper right
mkpeer em1:lower one2many left2right many0
connect em1:lower.left2right em1:lower many1 right2left

name em1:lower.left2right o2m

mkpeer vlan1: tee lower left
connect vlan1: vlan1:lower upper right
connect vlan1:lower o2m: left2right many2
connect vlan1:lower.left2right vlan1:lower many3 right2left

mkpeer o2m: netflow one iface0
name o2m:one netflow
mkpeer netflow: ksocket export inet/dgram/udp
msg netflow:export connect inet/NETFLOWSERVERIP:131
SEQ

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру