Модуль ядра FreeBSD для генерации NetFlow записей
18.11.2005 | khomya

На данный момент существует 2 ветви модуля ng_netflow – для FreeBSD 4.х и FreeBSD 5.х

Рассмотрим случай с FreeBSD 4.9

После скачивания дистрибутива выполняем следующий нехитрый набор действий:

irish@free:tar -xzf ng_netflow-0.1.tar.gz
irish@free:cd ng_netflow-0.1
irish@free:ls

    CVS              Makefile         flowctl
    ChangeLog       README          ng_netflow

root@free:make && make install

…процесс идет….

===> ng_netflow
install -o root -g wheel -m 555 ng_netflow.ko /modules
install -o root -g wheel -m 444 ng_netflow.4.gz /usr/share/man/man4

===> flowctlinstall -s -o root -g wheel -m 555 flowctl /usr/local/sbin
install -o root -g wheel -m 444 flowctl.8.gz /usr/share/man/man8

Тестовая машина у нас с одним интерфейсом rl0, случай для маршрутизатора описан в man достаточно подробно.

Загружаем необходимые модули:

root@free:kldload ng_ether
root@free:kldload ng_tee
root@free:kldload ng_netflow

И делаем окончательную настройку:

root@free:ngctl -f – << EOF

    ?mkpeer em0: tee lower right
    ?connect em0: em0:lower upper left
    ?mkpeer em0:lower netflow right2left iface0
    ?name em0:lower.right2left netflow
    ?msg netflow: setifindex { iface=0 index=1 }
    ?mkpeer netflow: ksocket export inet/dgram/udp
    ?msg netflow:export connect inet/192.168.0.2:4444
    ?EOF

Где 192.168.0.2 – netflow коллектор

Проверяем:

root@free:flowctl netflow show

    SrcIf   SrcIPaddress    DstIf  DstIPaddress    Pr SrcP DstP  Pkts
    
    rl0     192.168.0.2     rl0    192.168.0.1      6 03f8 006f     5

Вроде работает….

Теперь вся статистика валится по UDP на 192.168.0.2:4444, где ее надо хранить и собирать. Делать это можно с помощью чего угодно, но сам я использую Flow-capture

Просмотров новости: 1 169  <, , >


-->