[CNick]

Добрый день,

 

Возникла необходимость дублировать netflow, на девайсе которые его генерит лимит в 2 exporter, а в сети используеться больше 2х netflow аналлизаторов. Пока что нашел xtables с xt_TEE для iptables, но там можно только один DST указать, а хотелось бы красиво сделать, что бы экспортить на один сервер и с него уже копировать на разные аналлизаторы. Подскажите пожалуйста как такое можно решить, варианты под *BSD тоже подойдут :)

 

Спасибо!

[vitalyb]

flow-fanout из flow-tools

[Ivan_83]

На PF dup-to есть, я точно им дубликаты делал.

[boco]

https://code.google.com/p/samplicator/ - более стабильное, чем flow-fanout

[CNick]

flow-fanout из flow-tools

Спасибо, работает, но конфиг samplicator показался проще, ненужно запускать несколько процессов для разных входящих потоков.

 

 

https://code.google.com/p/samplicator/ - более стабильное, чем flow-fanout

Спасибо, тоже работает, на нем и остановился, в нем и конфиг проще :) Подскажите еще пожалуйста в чем именно заключаться нестабильность flow-fanout? Так просто для себя интересно :)

[boco]

flow-fanout терял flow-ы

[^rage^]

ну сделайте 2 правила с -j TEE. оно работает, да :)

[ash]

есть такая софтина в составе nfdump

 

DESCRIPTION

nfreplay is the netflow replay program of the nfdump tool set. It

reads data from files stored by nfcapd and sents the netflow data to a

host or a multicat group. The filter syntax is equivalent to nfdump. If

a filter is supplied, only the matching flows are sent. See the

nfdump(1) man page for a detailed description of the filter syntax. All

records are sent as netflow version 5.

 

 

OPTIONS

-H remotehost

Send all flows to this remote host. Accepts a symbolic name or a

IPv4/IPv6 IP address. Defaults to IPv4 localhost 127.0.0.1.

 

-j mcastgroup

Join this multicast group and send all flows to this group host.

Accepts a symbolic name or multicast IPv4/IPv6 IP address.

 

м.б. поможет