The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

Экспорт Netflow средствами netgraph во FreeBSD
При сборке ядра указываем:

   options		IPFIREWALL
   options		NETGRAPH
   options		NETGRAPH_SOCKET
   options		NETGRAPH_IPFW
   options		NETGRAPH_NETFLOW
   options		NETGRAPH_KSOCKET

либо подгружаем модули:

   kldload ipfw.ko
   kldload netgraph
   kldload ng_socket
   kldload ng_ipfw
   kldload ng_netflow
   kldload ng_ksocket


для их автозагрузки в /boot/loader.conf добавляем: 

   ipfw_load="YES"
   ng_netflow_load="YES"
   ng_socket_load="YES"
   ng_ksocket_load="YES"
   ng_ipfw_load="YES"


в ipfw правила

   ipfw add 02210 netgraph 100 ip from any to any via vlan108
   ipfw add 02220 netgraph 100 ip from any to any via vlan208

Скрипт, для поднятия netflow:

#!/bin/sh
. /etc/rc.subr
 
name="ngnetflow"
rcvar=`set_rcvar`

load_rc_config $name
: ${ngnetflow_enable="NO"}
: ${ngnetflow_src="127.0.0.1:9999"}
: ${ngnetflow_dst="127.0.0.1:9996"}

start_cmd="ngnetflow_start"
stop_cmd="ngnetflow_stop"

ngnetflow_start() {

/usr/sbin/ngctl -f- <<-SEQ
mkpeer ipfw: netflow 100 iface0
name ipfw:100 netflow
connect ipfw: netflow: 108 out0
msg netflow: setdlt { iface=0 dlt=12 }
msg netflow: settimeouts { inactive=30 active=600 }
mkpeer netflow: ksocket export inet/dgram/udp
name netflow:export flowexp
msg flowexp: bind inet/${ngnetflow_src}
msg flowexp: connect inet/${ngnetflow_dst}
SEQ

}

ngnetflow_stop() {
/usr/sbin/ngctl -f- <<-SEQ
shutdown netflow:
SEQ
}

run_rc_command "$1"
 
07.10.2008 , Автор: VS
Ключи: netgraph, ifpw, freebsd, netflow, traffic / Лицензия: CC-BY
Раздел:    Корень / Администратору / Сетевая подсистема, маршрутизация / Пакетные фильтры и фаерволы / Пакетный фильтр в FreeBSD: ipfw, IP-Filter

Обсуждение [ Линейный режим | Показать все | RSS ]
 
  • 1.1, MadMike, 10:25, 07/10/2008 [ответить] [смотреть все]
  • +/
    Написано то написано, но никаких объяснений - просто красота...
    так многие могут, а ты вот объясни что это тут и как делает - это было бы классно, тем более что по нетграф-нетфлоу не особо много инфы.
    А если ты понимаешь без объяснений то что здесь написано,то тебе и заметка не нужна! :)
     
  • 1.2, Peter Vereshagin, 15:05, 07/10/2008 [ответить] [смотреть все]
  • +/
    а зато написано просто, комменты не мешают... а колму интересно, что behind the scenes, читают молча маны и никого не  отвлекают, как красноглазики. :)
     
     
  • 2.3, User294, 21:42, 07/10/2008 [^] [ответить] [смотреть все]
  • +/
    >а зато написано просто, комменты не мешают... а колму интересно, что behind
    >the scenes, читают молча маны и никого не  отвлекают, как
    >красноглазики. :)

    С маном любой кому оно актуально и без примеров осилит, имхо.Убив на это здорово больше времени чем с доходчивым примером показывающим как оно и рассказывающим "а почему и нафига оно именно вот так".

     
     
  • 3.4, Freedom, 23:32, 07/10/2008 [^] [ответить] [смотреть все]
  • +/
    чтение манов вслух услуга платная (с)
     
  • 1.5, set, 19:54, 08/10/2008 [ответить] [смотреть все]
  • +/
    а можно ipfw заменить на pf, и зделать подобное ?
     
  • 1.7, Oleg, 14:51, 09/10/2008 [ответить] [смотреть все]  
  • +/
    Все понял. Только одного не понял - цифры 108 в строчке "connect ipfw: netflow: 108 out0".
    Может быть всетаки 100, а не 108.
     
     
  • 2.8, cvsup, 19:49, 09/10/2008 [^] [ответить] [смотреть все]  
  • +/
    возвращает пакеты обратно
     
  • 1.10, VS, 13:12, 10/10/2008 [ответить] [смотреть все]  
  • +/
    Кстати на этой штуке можно попасться если правила в фаервол добавить а в нетграфе не создать хук т.е. не запустить скрипт то пакеты будут улетать в дыру и не будут возвращаться поэтому правила фаервола для управления лучше размещать раньше, это же правило действует и для ната с правилом диверт.
     
  • 1.11, Alex, 16:04, 10/10/2008 [ответить] [смотреть все]  
  • +/
    Если 108 относится, как я полагаю к vlan108, то где же цифра 208 в скрипте для поднятия netflow.
    Автор (архив апдейтов - cvsup) нужно комменты делать в заметки, коль публично её выставляете. Полностью согласен с MadMike. Эта заметка выглядить как покрасоваться на публики - вот я какой эту тему зарухал. Ценость знания и публичной заметки не в том, что Вы разрухали эту тему, а в том чтобы донести это знание понятным языком до человечества.
     
     
  • 2.12, cvsup, 20:02, 10/10/2008 [^] [ответить] [смотреть все]  
  • +/
    Я не автор.
     
  • 2.13, cvsup, 20:04, 10/10/2008 [^] [ответить] [смотреть все]  
  • +/
    > Если 108 относится, как я полагаю к vlan108

    Нет, они не связаны.

     
  • 1.15, napalm, 18:46, 11/11/2008 [ответить] [смотреть все]  
  • +/
    VS, большое спасибо за конспект!
    Все заработало с первого раза! :)
     

    Ваш комментарий
    Имя:         
    E-Mail:      
    Заголовок:
    Текст:



      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor