[sirmax]

Коллеги,

подскажите плз!

 

(я последнее время не работаю в провайдинге потому не всегда слежу за новинками)

 

Задача - собрать флоу с линуксбокса, нужный траффик переправляю iptables .. -TEE --gateway

 

А какой сенсор и коллектор использовать?

Лет 8 назад было fprobe но он на pcap и в пакетах его не оказалось (откуда и возник этот вопрос - раз нет в yum search то значит скорее всего никому не нужно)

 

 

Дайте ключевые слова для поиска )

[pppoetest]

Сенсор ipt_netflow, коллектор на свой вкус, мне хватает flow-tools.

[sirmax]

Сенсор ipt_netflow, коллектор на свой вкус, мне хватает flow-tools.

Ага, но стремно - "боевой" же серв ) Как бы его в панику сторнним модулем не опустить.

 

Кстати, а ipt_netflow кто-то тестировал внутри неймспейса?

 

Пока я выпилили только минимальный траффик, и нашел старый добрый fprobe под CentOS 6 - роста нагрузки не заметил.

 

Сделал так

IP="/sbin/ip"

${IP} netns add FLOW
${IP} link add dev flow_local type veth peer name flow_namespace
${IP} link set flow_namespace netns FLOW
${IP} addr add 172.31.97.2/24 dev flow_local
${IP} link set up dev flow_local

${IP} netns exec FLOW ${IP} addr add 172.31.97.1/24 dev flow_namespace
${IP} netns exec FLOW ${IP} link set up dev flow_namespace
${IP} netns exec FLOW ${IP} link set up dev lo

# несколько таких записей
/sbin/iptables -t mangle -A PREROUTING  -d <тут адрес>  -j TEE --gateway 172.31.97.1
/sbin/iptables -t mangle -A POSTROUTING -s <тут адрес>  -j TEE --gateway 172.31.97.1



${IP} netns exec FLOW /etc/init.d/flow-capture start
${IP} netns exec FLOW /etc/init.d/fprobe  start

 

cat /etc/sysconfig/flow-capture
# Change the source IP and port to what is used on your network
OPTIONS="-n 287 -N 0 -w /var/flow-tools -S 5 127.0.0.1/127.0.0.1/8818"

 

cat /etc/sysconfig/fprobe
OPTIONS="-iflow_namespace -fip -B4096 -r2 -q10000 -t10000:10000000 localhost:8818"

 

Вроде бы пока норм но это решение 8-летней давности )

[foxroot]

fprobe при больших нашрузках просто умрет или у Вас будут потеря данных. Лучше использовать модуль IPT_NETFLOW с ним загрузка процессора намного меньше

В качестве коллектора использую NFSEN вполне устраивает.

[wtyd]

ipcad ещё есть. Кроме всего прочего в него можно через ulog слать определённые пакеты.

 

А зачем вообще эти нетфлоу нужны ? Нынче у всех анлимиты. Да и вообще, netflow это debug, для учёта следует применять ip accounting.

 

P.S. У нас в стране нынче тренд -- запретить работу коллекторов ;-). ИМХО надо отказываться от всего этого подсчёта пакетов, байтов, генерации и ловли нетфлоу. Надо делать так, чтобы это всё было не нужно.

[VPN]

ipcad ещё есть. Кроме всего прочего в него можно через ulog слать определённые пакеты.

 

А зачем вообще эти нетфлоу нужны ? Нынче у всех анлимиты. Да и вообще, netflow это debug, для учёта следует применять ip accounting.

 

P.S. У нас в стране нынче тренд -- запретить работу коллекторов ;-). ИМХО надо отказываться от всего этого подсчёта пакетов, байтов, генерации и ловли нетфлоу. Надо делать так, чтобы это всё было не нужно.

 

Netflow это не только ценный мех, но и анализ, и как Вы правильно заметили дебаг. Еще для СОРМа некоторые используют, DDoS детектируют. Да и вообще, хорошо иметь возможность посмотреть, что и куда у тебя течет. Так что, полностью отказаться никак. А подсчитывать траффик иногда тоже может быть полезно (мобильные операторы этим грешат), + в корпоративной среде может быть полезно, кто на работе фильмы смотрит, или торренты качает. В ШПД, конечно, это недопустимо (байтики считать для биллинга).

[[anp/hsw]]

Если нагрузки до гигабита, то попробуйте fprobe-ulog. Вполне справляется.