конфигурация всего следующая:
dlinkовский коммутатор и сервер на RHEL6 +UTM5
собственно коммутатор в вопросе никакой роли не играет, потому что netflow он не умеет отдавать.
клиенты подключаются через PPPOE+UTM_Radius
в RHEL стоит сенсор на Iptables (Ipt_Netflow).
коллектор (flow-capture) на этой же машине складывает все аккуратненько по папочкам в /var/flow/flow-data в виде файлов (не спрашивайте почему так а не в SQL - так надо и все.).
UTM5 заставить работать коллектором пока работает flow-capture у меня не получилось. в логи пишет что сокет занят.
заставить Ipt_Netflow делать экспорт на несколько коллекторов не смог. наверное никак нельзя. весь инет перелопатил... пишут знающие люди что cisco это умеет а остальные - хз.
может можно в UTM5 как то периодически подсовывать файлы из /var/flow/flow-data ?
или есть какой нить другой способ?
ЗЫ: ответ может вообще на поверхности лежит просто я какой нить мелочи не догоняю...
вопрос по Netflow
-
Пакулов Сергей
- Сообщения: 3
- Зарегистрирован: Чт окт 01, 2015 10:33
Re: вопрос по Netflow
Как вариант utm5_flowgenПакулов Сергей писал(а):конфигурация всего следующая:
dlinkовский коммутатор и сервер на RHEL6 +UTM5
собственно коммутатор в вопросе никакой роли не играет, потому что netflow он не умеет отдавать.
клиенты подключаются через PPPOE+UTM_Radius
в RHEL стоит сенсор на Iptables (Ipt_Netflow).
коллектор (flow-capture) на этой же машине складывает все аккуратненько по папочкам в /var/flow/flow-data в виде файлов (не спрашивайте почему так а не в SQL - так надо и все.).
UTM5 заставить работать коллектором пока работает flow-capture у меня не получилось. в логи пишет что сокет занят.
заставить Ipt_Netflow делать экспорт на несколько коллекторов не смог. наверное никак нельзя. весь инет перелопатил... пишут знающие люди что cisco это умеет а остальные - хз.
может можно в UTM5 как то периодически подсовывать файлы из /var/flow/flow-data ?
или есть какой нить другой способ?
ЗЫ: ответ может вообще на поверхности лежит просто я какой нить мелочи не догоняю...
Re: вопрос по Netflow
flow-fanout или https://github.com/sleinen/samplicatorПакулов Сергей писал(а):конфигурация всего следующая:
dlinkовский коммутатор и сервер на RHEL6 +UTM5
собственно коммутатор в вопросе никакой роли не играет, потому что netflow он не умеет отдавать.
клиенты подключаются через PPPOE+UTM_Radius
в RHEL стоит сенсор на Iptables (Ipt_Netflow).
коллектор (flow-capture) на этой же машине складывает все аккуратненько по папочкам в /var/flow/flow-data в виде файлов (не спрашивайте почему так а не в SQL - так надо и все.).
UTM5 заставить работать коллектором пока работает flow-capture у меня не получилось. в логи пишет что сокет занят.
заставить Ipt_Netflow делать экспорт на несколько коллекторов не смог. наверное никак нельзя. весь инет перелопатил... пишут знающие люди что cisco это умеет а остальные - хз.
может можно в UTM5 как то периодически подсовывать файлы из /var/flow/flow-data ?
или есть какой нить другой способ?
ЗЫ: ответ может вообще на поверхности лежит просто я какой нить мелочи не догоняю...
Вот вам способ передать netflow на несколько получателей:
Можно передавать при загрузке модуля:
Удачи! 
Код: Выделить всё
#!/bin/bash
echo "10.10.10.2:11011,10.10.10.3:11011" > /proc/sys/net/netflow/destination
echo "2097152" > /proc/sys/net/netflow/maxflows
echo "131072" > /proc/sys/net/netflow/hashsize
echo "900" > /proc/sys/net/netflow/active_timeout
echo "15" > /proc/sys/net/netflow/inactive_timeout
echo "8388608" > /proc/sys/net/netflow/sndbufКод: Выделить всё
~ # cat /etc/modprobe.d/ipt_NETFLOW.conf
options ipt_NETFLOW destination=10.10.10.2:11011,10.10.10.3:11011 maxflows=1048576 hashsize=32768 active_timeout=900 inactive_timeout=15 sndbuf=4194304 natevents=1
-
Пакулов Сергей
- Сообщения: 3
- Зарегистрирован: Чт окт 01, 2015 10:33
решилось проще.
поставил debian
сенсор Fprobe (под RHEL6 он не заработал совсем)
он умеет сам нескольким коллекторам трафик отдавать.
зы: ненавижу debian. но жызнь заставляет...
ЗЗЫ: в etc/default/fprobe нужна строчка FLOW_COLLECTOR="1.1.1.1:111 1.1.1.2:222" где 1.1.1.1 адрес первого коллектора, 111 порт первого коллектора и т.д.
поставил debian
сенсор Fprobe (под RHEL6 он не заработал совсем)
он умеет сам нескольким коллекторам трафик отдавать.
зы: ненавижу debian. но жызнь заставляет...
ЗЗЫ: в etc/default/fprobe нужна строчка FLOW_COLLECTOR="1.1.1.1:111 1.1.1.2:222" где 1.1.1.1 адрес первого коллектора, 111 порт первого коллектора и т.д.
-
Пакулов Сергей
- Сообщения: 3
- Зарегистрирован: Чт окт 01, 2015 10:33
по организационным причинам пришлось перенести UTM на другой сервер. от так и остался унас под RHEL. Debian применен из за установки роскомнадзоровской затычки (zapretservice), на которую я сенсор и повесил.
проще тем что fprobe поднялся с полпинка без костылей.
кстати на RHEL у меня ваше предложение не заработало.
я еще пытался привинтить flow-fanout но не понравилось.
проще тем что fprobe поднялся с полпинка без костылей.
кстати на RHEL у меня ваше предложение не заработало.
я еще пытался привинтить flow-fanout но не понравилось.