 правила для flow-nfilter,  Aidaho, 14-Янв-10, 07:56 [смотреть все]Добрый день. Поставил себе flow-tools, но не могу разобраться с его фильтрами.
Написал следующие фильтры:filter-primitive set1
type ip-address-prefix
permit 192.168.0.0/24
filter-definition set1
match ip-source-address set1
filter-primitive set3
type ip-address-prefix
permit 192.168.6.0/24
filter-definition set3
match ip-source-address set3
filter-primitive set2
type ip-address-prefix
permit 192.168.1.0/24
filter-definition set2
match ip-source-address set2 filter-primitive mail_server
type ip-address
permit 192.168.10.6
default deny
filter-primitive proxy_server
type ip-address
permit 192.168.10.2
default deny
filter-primitive gw_server
type ip-address
permit 192.168.10.3
default deny
filter-primitive all
type ip-address-prefix
permit 192.168.0.0/24
permit 192.168.1.0/24
permit 192.168.3.0/24
permit 192.168.5.0/24
permit 192.168.6.0/24
filter-definition all
match src-ip-addr set1
or
match src-ip-addr set2
or
match src-ip-addr set3
or
match src-ip-addr set4
match dst-ip-addr mail_server
or
match dst-ip-addr proxy_server
or
match dst-ip-addr gw_server filter-definition proxy_server
match ip-source-address proxy_server так вот, в чем проблема, когда делаю фильтрацию по притиву all, то показывает какой то странный трафик. Суммарный трафик около 20 Гб., а по фильтру показывает в районе 1 Гб. Хотя весь трафик ходит через эти сервера. Так же для прокси сервера. Прокся показывает около 2-ух Гб, а фильтр меньше 500 Мб. Может я как то не правильно написал фильтры? не подскажите, как сделать правильно? выборку делаю так: flow-cat /usr/local/flow/acct/2010/2010-01/tmp* | flow-nfilter -Fproxy_server -f /usr/local/etc/flow-tools/filter.cfg | flow-stat -f15 Заранее спасибо )
|
- правила для flow-nfilter, Pahanivo, 08:07 , 14-Янв-10 (1)
- правила для flow-nfilter, Aidaho, 08:24 , 14-Янв-10 (2)
>[оверквотинг удален]
>>filter-primitive set2
>> type ip-address-prefix
>> permit 192.168.1.0/24
>>
>>filter-definition set2
>> match ip-source-address set2
>>
>
>терзают смытные сомнения - считаешь по соурсу, но при этом соур приватный
>- в ту ли ты сторону считаешь? ) мне нужен исходящий трафик, не по дестинейшену же считать...
- правила для flow-nfilter, Aidaho, 13:38 , 14-Янв-10 (3)
вопрос появился, а можно ли сказать фильтру так, что бы он показывал трафик, который идет не в определенную подсеть? Что то вроде инверсии....
- правила для flow-nfilter, Pahanivo, 13:41 , 14-Янв-10 (4)
- правила для flow-nfilter, Aidaho, 13:42 , 14-Янв-10 (5)
>>вопрос появился, а можно ли сказать фильтру так, что бы он показывал
>>трафик, который идет не в определенную подсеть? Что то вроде инверсии....
>>
>
>да а не подскажите как? а то в манах что то не заметил :)
желательно с примером...
- правила для flow-nfilter, Pahanivo, 18:15 , 14-Янв-10 (6)
- правила для flow-nfilter, Aidaho, 06:53 , 15-Янв-10 (7)
>[оверквотинг удален]
>>а не подскажите как? а то в манах что то не заметил
>>:)
>>желательно с примером...
>
>так не пробовал? )
>
>filter-primitive NAME
> type ip-address-prefix
> deny 192.168.0.0/24
> default permit эм... пробовал.. в конфиге же есть такое :)
только я не понял, где тут реверс?
- правила для flow-nfilter, Pahanivo, 08:11 , 15-Янв-10 (8)
- правила для flow-nfilter, nadirx2, 11:55 , 15-Янв-10 (9)
- правила для flow-nfilter, Aidaho, 12:23 , 18-Янв-10 (10)
>[оверквотинг удален]
> type ip-address-prefix
> deny 192.168.0.0/24
> default permit
>
>filter-primitive NAME
> type ip-address-prefix
> permit 192.168.0.0/24
> default deny
>
>внимательно смотрим и ищем ДВА отличия блин, все не могу понять логику... (( не поможете? мне надо что бы считался трафик из моих подсетей, который идет на 3 сервера.
Ну и суммарный трафик, со всех сетей... помоги плз...
- правила для flow-nfilter, Pahanivo, 12:51 , 18-Янв-10 (11)
- правила для flow-nfilter, Aidaho, 13:04 , 18-Янв-10 (12)
>ну не получается у тебя построить сложный фильт - построй несколько простых
>и понятных,
>скрипты для допиливания еще никто не отменял делаю например так, все равно показывает какой то странный трафик: filter-primitive set
type ip-address-prefix
permit 192.168.5.0/24 filter-definition set_out
match src-ip-addr set
match dst-ip-addr mail_server
or
match dst-ip-addr proxy_server
or
Match dst-ip-addr gw_server
- правила для flow-nfilter, Pahanivo, 13:56 , 18-Янв-10 (13)
- правила для flow-nfilter, Aidaho, 14:03 , 18-Янв-10 (14)
>[оверквотинг удален]
>
> match start-time dec12
>
> or
> match ip-destination-port port25
>
> match start-time dec12
>
>
>думаю это по твоей теме ... нет, мне не надо на каком то порту, надо весь трафик...
- правила для flow-nfilter, Pahanivo, 16:09 , 18-Янв-10 (15)
|
Версия для распечатки
