Jump to content
Калькуляторы

Mikrotik логирование NAT трансляций Neflow9

Добрый, мне академический интерес, а кому-то может и понадобится.

Вопрос по логирования nat трансляций, когда натится в пул периодически всплывает, и ранее как я понял была возможность отправки только на сислог через правело прероутинга.. С версии 6.29 разрабы включили в neflow следующий функционал:

 

*) trafflow: add natted addrs/ports to ipv4 flow info;

Удалось найти следующее (только для Netflow версии 9):

template fields added are postNATSourceIPv4Address, postNATDestinationIPv4Address, postNAPTSourceTransportPort and postNAPTDestinationTransportPort - they should be recognized by any NetFlow v9 collector

Кто-нить может проверить, работает ли?

Edited by SyJet

Share this post


Link to post
Share on other sites

Работает, успели попользоваться около месяца, пока не убрали микротик.

Глюков не заметили, нагрузки особой тоже, потому как для целей логирования NAT достаточно только исходящий трафик писать.

В дампе это выглядит примерно так (адрес локальный и NAT изменены для конспирации):

2015-06-24 17:54:44.670 INVALID  Ignore UDP       10.xx.yy.30:4549  ->   157.55.130.154:40022   111.222.333.205:4549  ->   157.55.130.154:40022      122        0
2015-06-24 17:54:44.670 INVALID  Ignore TCP       10.xx.yy.30:54583 ->       93.92.66.9:80      111.222.333.205:54583 ->       93.92.66.9:80          82        0
2015-06-24 17:54:44.940 INVALID  Ignore UDP       10.xx.yy.30:4549  ->   157.55.235.151:40024   111.222.333.205:4549  ->   157.55.235.151:40024      346        0
2015-06-24 17:54:45.110 INVALID  Ignore UDP       10.xx.yy.30:11888 ->     5.166.129.42:22345   111.222.333.205:18288 ->     5.166.129.42:22345      264        0
2015-06-24 17:54:45.350 INVALID  Ignore TCP       10.xx.yy.30:57078 ->    93.158.134.82:443     111.222.333.205:57078 ->    93.158.134.82:443        120        0
2015-06-24 17:54:31.480 INVALID  Ignore TCP       10.xx.yy.30:57183 ->    94.100.186.76:80      111.222.333.205:57183 ->    94.100.186.76:80        1049        0
2015-06-24 17:53:31.010 INVALID  Ignore TCP       10.xx.yy.30:56672 ->   87.250.250.119:443     111.222.333.205:56672 ->   87.250.250.119:443      13480        0

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this