ipt_NETFLOW

[foxroot]

Добрый день! Очень нужен совет или помощь.

 

Пытаюсь заставить работать NETflow сенсор на Centos

 

установил ipt_netflow в iptables.

 

lsmod | grep ipt_NETFLOW

ipt_NETFLOW 21981 2

 

modinfo ipt_NETFLOW

filename: /lib/modules/2.6.32-573.18.1.el6.x86_64/extra/ipt_NETFLOW.ko

version: 1.7.1

description: iptables NETFLOW target module

author: <abc@telekom.ru>

license: GPL

srcversion: C9629B8C9C9A586BDA5F174

depends:

vermagic: 2.6.32-573.18.1.el6.x86_64 SMP mod_unload modversions

parm: destination:export destination ipaddress:port (charp)

parm: inactive_timeout:inactive flows timeout in seconds (int)

parm: active_timeout:active flows timeout in seconds (int)

parm: debug:debug verbosity level (int)

parm: sndbuf:udp socket SNDBUF size (int)

parm: hashsize:hash table size (int)

parm: maxflows:maximum number of flows (int)

parm: aggregation:aggregation ruleset (charp)

 

пытаюсь заставить работать модуль и отправлять трафик на удаленнй коллектор. но не работает а именно на сервере есть интерфейс eth8 на него приходит monitor session с cisco router

нужно все это приобразовать в netflow

 

сделал следующие:

1. Установил bridge пакет

2. Создал br0

3. Создал dummy0

4. объединил в bridge br0 dummy0 и eth8

 

brctl show

bridge name bridge id STP enabled interfaces

br0 8000.72835d6717ce no dummy0

eth8

 

счетчики трафика счелкают как на eth8 так и на dymmy0

в iptables прописал

 

-A INPUT -i br0 -j NETFLOW

-A FORWARD -i br0 -j NETFLOW

 

но трафик упорно не попадает под правила

iptables -L -n -v | grep NETFLOW

0 0 NETFLOW all -- br0 * 0.0.0.0/0 0.0.0.0/0 NETFLOW

0 0 NETFLOW all -- br0 * 0.0.0.0/0 0.0.0.0/0 NETFLOW

Естественно в cat /proc/net/stat/ipt_netflow нет счетчиков (не работает)

 

 

 

если прописать в iptables eth0 (outside сервера) то трафик идет т.е. модуль ipt_NETFLOW работает и в cat /proc/net/stat/ipt_netflow есть счетчики

 

Подскажите почему не работает с Br0 ??

 

есть подозрение то как то криво установилась сетевая карта eth8 так как в /etc/sysconfig/network-scripts/ нет файла ifcfg-eth8 при этом для всех остальных файлы есть.

но ifconfig eth8 отображается. Может быт в этом косяк?

[aabc]

Зачем извращаться в bridge если давно есть promisc mode? Bridge trick работает, потому что это всё эксплуатация некоего глюка бриджинга (позволявшего перехватывать пакеты без патчинга ядра), на который может влиять и версия ядра и всякие опции типа http://ebtables.netfilter.org/documentation/bridge-nf.html

Edited February 26, 2016 by aabc

[foxroot]

спасибо за статью. попробовал сделать по

**************

* Solution 1 *

**************

как итог таблица raw в iptables не включается

sysctl net.netflow.promisc=1 вообще не поддерживается. модуль ipt_NETFLOW компилировал с атрибутом ./configure --enable-promisc

[foxroot]

Спасибо. разобрался заработало!

[aabc]

спасибо за статью. попробовал сделать по

**************

* Solution 1 *

**************

как итог таблица raw в iptables не включается

sysctl net.netflow.promisc=1 вообще не поддерживается. модуль ipt_NETFLOW компилировал с атрибутом ./configure --enable-promisc

 

Интересно, как вам надо было помочь в этой ситуации?

[micol]

Добрый день, можно ли как-то сделать агрегацию по назначению netflow.

 

Например на a.b.c.d/2055 слать как есть, а на x.y.b.c/NNNN слать только агрегированый флоу?

 

Если нет, не знает ли кто как сделать это сторонними утилитами?

[aabc]

Добрый день, можно ли как-то сделать агрегацию по назначению netflow. Например на a.b.c.d/2055 слать как есть, а на x.y.b.c/NNNN слать только агрегированый флоу?

 

Сейчас раздваивание происходит на этапе отсылки пакетов. Гораздо позже чем подсчет статистики.