Настройка Netflow....

Технические вопросы по UTM 5.0
Ответить
Africa
Сообщения: 14
Зарегистрирован: Сб окт 29, 2005 21:15

Настройка Netflow....

Сообщение Africa »

Хочу добить тестовую настройку NetUpа, сейчас воюю с NetFlow.

Сразу скажу, что NAT меня пока не волнует (то есть то, что NetFlow увидит только исходящий трафик), это - следующий этап.

Прицепил к циске диалап на AUX, который вылазит в инет через NAT на Ethernet0. Радиус авторизует, все вроде ок. Конфиг роутера:

interface Ethernet0
ip address 172.16.15.253 255.255.240.0
ip route-cache flow
no cdp enable
!
interface Async4
description dialup
ip unnumbered Ethernet0
encapsulation ppp
async mode interactive
peer default ip address pool dialup
no cdp enable
ppp authentication pap callin
!
ip local pool dialup 172.16.5.222 172.16.5.223
ip flow-export version 5
ip flow-export destination 192.168.1.5 9996

Запустил на UTM-компе tcpdump -n port 9996, он выдает следующее:


billing# tcpdump -n port 9996
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on de0, link-type EN10MB (Ethernet), capture size 96 bytes

21:56:37.053925 IP 172.16.15.253.57469 > 192.168.1.5.9996: UDP, length: 216
21:56:59.261240 IP 172.16.15.253.57469 > 192.168.1.5.9996: UDP, length: 216
21:57:13.512677 IP 172.16.15.253.57469 > 192.168.1.5.9996: UDP, length: 120
21:57:25.723399 IP 172.16.15.253.57469 > 192.168.1.5.9996: UDP, length: 264
21:57:36.746107 IP 172.16.15.253.57469 > 192.168.1.5.9996: UDP, length: 216


И так далее, адреса те же - 172.16.15.253 (адрес роутера) > 192.168.1.5 (адрес UTM-хоста)

Почему NetFlow не логирует сессии с диалапной машины (которая получает адрес из Radius-a и через Ethernet0 на роутере лезет в инет)?

Как надо правильно настроить NetFlow в моем случае?

Спасибо!
Вернуться к началу
sg
Сообщения: 59
Зарегистрирован: Пт янв 21, 2005 11:26

Re: Настройка Netflow....

Сообщение sg »

Africa писал(а): Почему NetFlow не логирует сессии с диалапной машины (которая получает адрес из Radius-a и через Ethernet0 на роутере лезет в инет)?
Потому что потоки netflow генерируются рутером, т.е. это информация о том, какие пакеты были им смаршрутизированы. В данном случае это пакеты вашей "диалапной машины".

---------------------------------------------------
RH Enterprise Linux 3, MySQL v4.0.20-standard, UTM 5.1.10-020
Изображение
Вернуться к началу
Africa
Сообщения: 14
Зарегистрирован: Сб окт 29, 2005 21:15

Сообщение Africa »

А есть ли вариант посмотреть детально, что за пакеты приходят ?
Может Tcpdump показать содержимое пакета ?

Спасибо за ответ!
Вернуться к началу
sg
Сообщения: 59
Зарегистрирован: Пт янв 21, 2005 11:26

Сообщение sg »

Детально посмотреть можно в детальном отчете по траффику. Tcpdump netflow не расшифровывает.
Вернуться к началу
Africa
Сообщения: 14
Зарегистрирован: Сб окт 29, 2005 21:15

Сообщение Africa »

Спасибо, буду копать дальше!
Вернуться к началу
Ответить

Вернуться в «UTM 5.0»