Получается что система слушает потоки с любых хостов? Или как то можно явно указать в конфиге с каких адресов принимать netflow?
Нет ну конечно можно закрыться фаером, что есть немного неправильно.
Просто подумал, а что помешает злоумышленнику (кроме как фаевол) послать сгенерированных netflow пакет и нагнать трафика?
Или странного хочется?:)
Прием netflow только с определенных хостов
-
mikkey finn
- Сообщения: 1612
- Зарегистрирован: Пт ноя 10, 2006 15:23
По дефолту ловит отовсюду.
Лечиться двумя способами:
1. Как написал Chris
2. В список брандмауэров добавляем нужный нам IP и в IP-группе пользователя выбираем поставщик NetFlow
Если нужно принимать только с одного поставщика вообще, то правилами фаервола ОС разрешаем пакеты только с одного хоста и не паримся.
Если есть два поставщика, которые сливают дублирующую информацию, но по тем или иным причинам разным пользователям нужно считать с разных поставщиков, то вариант 2.
Лечиться двумя способами:
1. Как написал Chris
2. В список брандмауэров добавляем нужный нам IP и в IP-группе пользователя выбираем поставщик NetFlow
Если нужно принимать только с одного поставщика вообще, то правилами фаервола ОС разрешаем пакеты только с одного хоста и не паримся.
Если есть два поставщика, которые сливают дублирующую информацию, но по тем или иным причинам разным пользователям нужно считать с разных поставщиков, то вариант 2.