LMik 19 мар 2010 в 08:37

Netgraph ipfw и гибкий учет трафика через netflow

5 мин

9.2K

*nix *

+15

Комментарии 26

norguhtar 19 мар 2010 в 10:28

В linux:

modprobe ipt_NETFLOW hashsize=65536 active_timeout=300
iptables -A FORWARD -s 192.168.0.0/24 -j NETFLOW

LMik 19 мар 2010 в 10:32

А у меня в сарае аэроплан. Я про BSD писал.

А как через iptables только половину трафа в нетфлоу отправить?

norguhtar 19 мар 2010 в 10:40

Через настройку правил. Что не понятно? Модуль добавляет специальную задачу для лить в netflow.

LMik 19 мар 2010 в 10:44

А покажите пример, интересно, я немного далек от iptables.

norguhtar 19 мар 2010 в 10:46

В написанном выше примере, в netflow отправляется весь исходящий транзитный трафик от адресов сети 192.168.0.0/24

LMik 19 мар 2010 в 10:47

А половину как отправить? Я ж об этом спрашиваю.

norguhtar 19 мар 2010 в 10:49

Половину чего и зачем.

nicolnx 19 мар 2010 в 10:52

iptables -A FORWARD -i ppp+ -o eth0 -j NETFLOW
iptables -A FORWARD -o ppp+ -i eth0 -j NETFLOW

для трафика междy ppp-интерфейсами

iptables -A FORWARD -i ppp+ -o ppp+ -j NETFLOW

Ну, дополнительные условия по вкусу.

Всегда поражала тяга бздишников к усложнению простых вещей.

nicolnx 19 мар 2010 в 10:54

про половину — мы считаем в цепочке FORWARD — трафик проходит через нее один раз поэтому отсеивать дубликаты методом костылей и подпорок не нужно

LMik 19 мар 2010 в 11:02

Не, просто для BSDшников это простые вещи.

nicolnx 19 мар 2010 в 11:11

27 команд вместо 3 — то же какое-то нездоровое красноглазие ;)

LMik 19 мар 2010 в 11:14

У всего свои плюсы и минусы. Я привел пример использования и сборки модулей, цель заставить людей делать именно так не преследую.

LMik 19 мар 2010 в 10:35

Возьмите лучше к себе на работу на пол ставочки ;)

norguhtar 19 мар 2010 в 10:42

СОРМ четать? ;)

LMik 19 мар 2010 в 10:44

А больше заниматься нечем? СОРМ читать можно вон индусов нанять :D.

norguhtar 19 мар 2010 в 10:50

На полставки только чтение СОРМ :]

LMik 19 мар 2010 в 10:58

ыы, и скока платят?

norguhtar 19 мар 2010 в 11:04

это секретная информация :]

LMik 19 мар 2010 в 11:05

Понятно, значит копейки :(

huze 19 мар 2010 в 17:04

Мигалку бы дали, можно и за копейки СОРМ читать…

parta 20 мар 2010 в 04:30

в BSD есть pf, который с pflow/pfflowd экспортит нетфлоу, можно легко выбирать какой трафик учитывать, а какой нет правилами. так что наброс про иптаблес мимо тазика, «простые» варианты есть и в BSD.

norguhtar 20 мар 2010 в 05:05

А он равзе там модулем ядра это делает? К тому же насколько я помню у pf с производительностью было как-то не очень хорошо.

parta 21 мар 2010 в 01:59

pflow — ядерный, pfflowd — нет, но последнему это не мешает выполнять свою работу. а сведения о производительности это часом не от источника ОБС (ОднаБабкаСказала)?

norguhtar 21 мар 2010 в 03:57

Интернет можно считать за ОБС. Вообще если у вас есть подтверждение что оно работает хотя бы не хуже netgraph я с удовольствием почитаю.

oleg_bunin 19 мар 2010 в 22:30

Коллега, а Вы не хотите сделать доклад на РИТ++ (http://www.ritconf.ru/)?
Если интересно, то я могу выслать подробную информацию.

LMik 20 мар 2010 в 07:09

Нет, извиняйте, не готов к такому :)

Зарегистрируйтесь на Хабре, чтобы оставить комментарий