https://www.opennet.ru/openforum/vsluhforumID10/3820.html Есть провайдерский gateway, на нём стоит pf который занимаецца натом. Всё было бы хорошо, да вот пришли дяди с федеральной службы и попросили сделать им базу в которой будет [время] [ip до NAT] [ip после NAT] [ip на который идёт соединение]<br><br>Как я понимаю трафик в таком виде(можно даж без времени) отсылать по Netflow на машину-capture.<br><br>Вопрос как?<br> https://www.opennet.ru/openforum/vsluhforumID10/3820.html#7 Sun, 11 Jan 2009 08:36:33 GMT /sbin/kldload ng_netflow<br>/sbin/kldload ng_ether<br>/usr/sbin/ngctl -f- &lt;&lt;-SEQ<br>mkpeer em1: tee lower left<br>connect em1: em1:lower upper right<br>mkpeer em1:lower one2many left2right many0<br>connect em1:lower.left2right em1:lower many1 right2left<br><br>name em1:lower.left2right o2m<br><br>mkpeer vlan1: tee lower left<br>connect vlan1: vlan1:lower upper right<br>connect vlan1:lower o2m: left2right many2<br>connect vlan1:lower.left2right vlan1:lower many3 right2left<br><br>mkpeer o2m: netflow one iface0<br>name o2m:one netflow<br>mkpeer netflow: ksocket export inet/dgram/udp<br>msg netflow:export connect inet/NETFLOWSERVERIP:131<br>SEQ<br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID10/3820.html#6 Tue, 09 Sep 2008 02:17:37 GMT &gt;[оверквотинг удален]<br>&gt;&gt;сделать им базу в которой будет [время] [ip до NAT] [ip <br>&gt;&gt;после NAT] [ip на который идёт соединение] <br>&gt;&gt;<br>&gt;&gt;Как я понимаю трафик в таком виде(можно даж без времени) отсылать по <br>&gt;&gt;Netflow на машину-capture. <br>&gt;&gt;<br>&gt;&gt;Вопрос как? <br>&gt;<br>&gt;Получилось у Вас это организовать? <br>&gt;У меня стоит та же задача... <br><br>Может копнуть как-то в сторону ?<br>pfctl -ss<br>Ну всмысле правила с НАТом и лога... <br> https://www.opennet.ru/openforum/vsluhforumID10/3820.html#5 Tue, 26 Aug 2008 07:54:33 GMT &gt;Есть провайдерский gateway, на нём стоит pf который занимаецца натом. Всё было <br>&gt;бы хорошо, да вот пришли дяди с федеральной службы и попросили <br>&gt;сделать им базу в которой будет [время] [ip до NAT] [ip <br>&gt;после NAT] [ip на который идёт соединение] <br>&gt;<br>&gt;Как я понимаю трафик в таком виде(можно даж без времени) отсылать по <br>&gt;Netflow на машину-capture. <br>&gt;<br>&gt;Вопрос как? <br><br>Получилось у Вас это организовать?<br>У меня стоит та же задача...<br> https://www.opennet.ru/openforum/vsluhforumID10/3820.html#4 Fri, 06 Jun 2008 12:13:23 GMT &gt;НАТ предусмотрен в netflow v.9, соответствено, остается sfotflowd - pfflowd только для <br>&gt;версий 1 и 5. <br>&gt;<br>&gt;Слушать надо, на сколько я понимаю, на обоих интерфейсах, потом анализатор потока <br>&gt;сам разберется где НАТ, а где не НАТ. <br><br>Ладно, ещё один глупый вопрос: как заставить softflowd записывать только пакеты начала соединения?<br><br>Видел у него опцию proto с помощью которой можно обрезать часть ненужного трафика, но всё равно очень много получаецца с 40ка мегабайтного потока.<br> https://www.opennet.ru/openforum/vsluhforumID10/3820.html#3 Mon, 02 Jun 2008 13:27:10 GMT НАТ предусмотрен в netflow v.9, соответствено, остается sfotflowd - pfflowd только для версий 1 и 5.<br><br>Слушать надо, на сколько я понимаю, на обоих интерфейсах, потом анализатор потока сам разберется где НАТ, а где не НАТ.<br><br> https://www.opennet.ru/openforum/vsluhforumID10/3820.html#2 Mon, 02 Jun 2008 12:08:20 GMT такое я в принципе уже далал, вопрос: как сразу записывать адрес и до NAT'а и после?<br> https://www.opennet.ru/openforum/vsluhforumID10/3820.html#1 Mon, 02 Jun 2008 02:16:38 GMT softflowd или pfflowd, вестимо.<br>1.1 На сенсор(роутер) ставиться и запускается вышеупомянутое.<br>1.2 На сенсоре запускается, например, softflowd, которому указывается интерфейс для сбора данных и адрес коллектора, куда все это отправлять. <br><br>2.1 На коллектор(хост, который собирает инфу о трафике) ставятся flow-tools.<br>2.2 На коллекторе запускается программка flow-capture.<br><br>3.3 Для проверки работы используем softflowctl statistics.<br>