OpenForum RSS: OpenNews: В OpenBSD появилась возможность экспорта статистики PF в виде Netflow v5 потока https://slinkov.ru/openforum/vsluhforumID3/43779.html "NetFlow support with pflow(4) (http://undeadly.org/cgi?action=article&sid=20080909151202)" - в OpenBSD-current добавлена поддержка экспорта статистики пакетного фильтра PF в виде Netflow v5 потока.<br><br><br>Пример настройки:<br><br><br><br>Настройка псевдо-интерфейса для экспорта Netflow:<br><br> sudo ifconfig pflow0 create<br> sudo ifconfig pflow0 flowsrc 10.0.0.200 flowdst 10.0.0.1:1234<br> ifconfig pflow0<br> <br> pflow0: flags=41 mtu 1464<br> pflow: sender: 10.0.0.200 receiver: 10.0.0.1:1234<br> groups: pflow<br><br>В PF определяем информацию о каком трафике экспортировать:<br><br> pass out inet proto icmp keep state (pflow)<br><br>Проверяем статистику по экспорту данных:<br><br> sudo pfctl -vss &#124; grep -B2 pflow &#124; head -3<br><br> all tcp 10.0.0.200:38336 -&gt; 38.68.100.209:22 ESTABLISHED:ESTABLISHED<br> [3825225521 + 17376] wscale 0 [3569953586 + 16384] wscale 0<br> age 00:32:58, expires in 23:59:57, 888:894 pkts, 75601:180313 bytes, pflow<br><br><br><br><br>URL: http://undeadly.org/cgi?action В OpenBSD появилась возможность экспорта статистики PF в вид... (TiFFolk) https://slinkov.ru/openforum/vsluhforumID3/43779.html#40 Mon, 01 Feb 2010 22:59:26 GMT netgraph портирован под линукс<br> В OpenBSD появилась возможность экспорта статистики PF в вид (Lessless) https://slinkov.ru/openforum/vsluhforumID3/43779.html#39 Thu, 25 Jun 2009 09:10:47 GMT &gt;[оверквотинг удален]<br>&gt; 0 0 0 556540 216552 <br>&gt;1268516 0 0 <br>&gt; 0 0 <br>&gt;0 1144 3 61 36 0 <br>&gt;<br>&gt;При этом на машине живет NAT и per-ip HTB (htb_hashiz) в обе <br>&gt;стороны (через IMQ) для 3-х сетей: /19 /20 /22. Машина под <br>&gt;debian 4.0, правда лично я не поклонник, просто так получилось. <br>&gt;<br>&gt;Всем удачи, я сюда случайно зашел =) <br><br>да пожалуйста :) <br> В OpenBSD появилась возможность экспорта статистики PF в вид... (Lessless) https://slinkov.ru/openforum/vsluhforumID3/43779.html#38 Thu, 25 Jun 2009 08:57:08 GMT netlink_ipq - Google об этом не знает. А зависимость LInux'оидов на каждом угле выписывать как у них там - это паталогическая склонность к решению проблем детским путем, видимо в школе прогуливали и жить не научились :) <br>умывайтесь на здоровье.<br> В OpenBSD появилась возможность экспорта статистики PF в вид (DK) https://slinkov.ru/openforum/vsluhforumID3/43779.html#37 Sun, 07 Dec 2008 17:10:41 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt;спорим? <br>&gt;&gt;ipcad (ulog,pcap, _IPQ_) <br>&gt;&gt;а ещё... http://sourceforge.net/projects/ipt-netflow/ <br>&gt;&gt;<br>&gt;&gt;а ещё -- лучше жевать, когда не уверен. <br>&gt;<br>&gt;Ну и какое же оно вменяемое, если оно userspace? Речь шла о <br>&gt;ядре, а что ULOG, что PCAP, что IPQ - все отправляют <br>&gt;в userland сами пакеты, а не уже готовый netflow. <br><br>ipt_netflow это _не_ юзерспейс... это модуль кернела с управлением через iptables. <br>вся обработка потоков и экспорт живет в ядре.<br>...так что жевать таки лучше.<br><br>Проекту ipt_netflow в феврале будет год и стал он паблик после полугодового использования в продакшин на тех задачах под которые был написан. Основная причина по которой он появился, это 100% cpu на машине с ipcad из за контекст свитчинга. Никаких телодвижений воткнуть его в офицал iptables никто не делал, ибо лень. Нужен будет - все произойдет само собой. =)<br><br>А патч для RAW был сделан потому, что захотелось выбросить ng_netflow вместе с freebsd на единственной машине которая и стояла только для сбор В OpenBSD появилась возможность экспорта статистики PF в вид... (yason) https://slinkov.ru/openforum/vsluhforumID3/43779.html#36 Wed, 17 Sep 2008 19:33:11 GMT &gt;Ждём порта под Linux (ни одной вменяемой стандартной netflow-probe нет под Linux, <br>&gt;которая бы не pcap-based и не ULOG-based). <br><br>его никогда не будет, ибо pf и netgraph сугубо ядреные фичи bsd.<br>может быть только аналогичная реализация.<br> В OpenBSD появилась возможность экспорта статистики PF в вид... (Кукушка) https://slinkov.ru/openforum/vsluhforumID3/43779.html#35 Fri, 12 Sep 2008 11:45:04 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt;Интересно откуда взята цифра - май 2008 года %) <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;$FreeBSD: src/sys/netgraph/netflow/netflow.c,v 1.29 2008/05/09 23:02:57 julian Exp $ <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;Обновляйтесь чаще, в 7-STABLE последнее изменение - в июле этого года. <br>&gt;&gt;<br>&gt;&gt;RELENG_7 как то не хочется пока на серваке юзать... <br>&gt;<br>&gt;Это всё не отменяет того факта, что ng_netflow - поддерживается и обновляется. <br>&gt;О чем и была речь, собственно. <br><br>Убедили... еще было бы интересно взглянуть на changelog, чтобы посмотреть что они там обновляют... <br> В OpenBSD появилась возможность экспорта статистики PF в вид... (nuclight) https://slinkov.ru/openforum/vsluhforumID3/43779.html#34 Fri, 12 Sep 2008 11:34:30 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt;Странно, у меня почему-то май 2008. Вы наверное где-то в прошлом застряли. <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;Сори.. до января 2007 %) опечатался... <br>&gt;&gt;&gt;Интересно откуда взята цифра - май 2008 года %) <br>&gt;&gt;<br>&gt;&gt;$FreeBSD: src/sys/netgraph/netflow/netflow.c,v 1.29 2008/05/09 23:02:57 julian Exp $ <br>&gt;&gt;<br>&gt;&gt;Обновляйтесь чаще, в 7-STABLE последнее изменение - в июле этого года. <br>&gt;<br>&gt;RELENG_7 как то не хочется пока на серваке юзать... <br><br>Это всё не отменяет того факта, что ng_netflow - поддерживается и обновляется. О чем и была речь, собственно.<br> В OpenBSD появилась возможность экспорта статистики PF в вид... (Кукушка) https://slinkov.ru/openforum/vsluhforumID3/43779.html#33 Fri, 12 Sep 2008 11:29:12 GMT &gt;&gt;&gt;&gt;Угу... аж до января 2006 года %) <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;Странно, у меня почему-то май 2008. Вы наверное где-то в прошлом застряли. <br>&gt;&gt;<br>&gt;&gt;Сори.. до января 2007 %) опечатался... <br>&gt;&gt;Интересно откуда взята цифра - май 2008 года %) <br>&gt;<br>&gt;$FreeBSD: src/sys/netgraph/netflow/netflow.c,v 1.29 2008/05/09 23:02:57 julian Exp $ <br>&gt;<br>&gt;Обновляйтесь чаще, в 7-STABLE последнее изменение - в июле этого года. <br><br>RELENG_7 как то не хочется пока на серваке юзать...<br> В OpenBSD появилась возможность экспорта статистики PF в вид... (Кукушка) https://slinkov.ru/openforum/vsluhforumID3/43779.html#32 Fri, 12 Sep 2008 11:27:01 GMT &gt;&gt;&gt;&gt;Угу... аж до января 2006 года %) <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;Странно, у меня почему-то май 2008. Вы наверное где-то в прошлом застряли. <br>&gt;&gt;<br>&gt;&gt;Сори.. до января 2007 %) опечатался... <br>&gt;&gt;Интересно откуда взята цифра - май 2008 года %) <br>&gt;<br>&gt;$FreeBSD: src/sys/netgraph/netflow/netflow.c,v 1.29 2008/05/09 23:02:57 julian Exp $ <br>&gt;<br>&gt;Обновляйтесь чаще, в 7-STABLE последнее изменение - в июле этого года.<br><br>$FreeBSD: src/sys/netgraph/netflow/netflow.c,v 1.15.2.4 2007/01/25 21:39:00 glebius Exp $";<br><br>FreeBSD 6.3<br><br><br>