Модуль ядра FreeBSD для генерации NetFlow записей

В статье розказуеться о том, как настроить экспорт информации о трафике в формате NetFlow для FreeBSD

После скачивания дистрибутива выполняем следующий нехитрый набор действий:

irish@free:tar -xzf ng_netflow-0.1.tar.gz
irish@free:cd ng_netflow-0.1
irish@free:ls

CVS              Makefile         flowctl

ChangeLog       README          ng_netflow

root@free:make && make install

...процесс идет....

===> ng_netflow
install -o root -g wheel -m 555 ng_netflow.ko /modules
install -o root -g wheel -m 444 ng_netflow.4.gz /usr/share/man/man4


===> flowctlinstall -s -o root -g wheel -m 555 flowctl /usr/local/sbin
install -o root -g wheel -m 444 flowctl.8.gz /usr/share/man/man8


Тестовая машина у нас с одним интерфейсом rl0, случай для маршрутизатора описан в man достаточно подробно.

Загружаем необходимые модули:

root@free:kldload ng_ether
root@free:kldload ng_tee
root@free:kldload ng_netflow


И делаем окончательную настройку:

root@free:ngctl -f - << EOF

?mkpeer em0: tee lower right
?connect em0: em0:lower upper left
?mkpeer em0:lower netflow right2left iface0
?name em0:lower.right2left netflow
?msg netflow: setifindex { iface=0 index=1 }
?mkpeer netflow: ksocket export inet/dgram/udp
?msg netflow:export connect inet/192.168.0.2:4444
?EOF

Где 192.168.0.2 - netflow коллектор

Проверяем:

root@free:flowctl netflow show

SrcIf   SrcIPaddress    DstIf  DstIPaddress    Pr SrcP DstP  Pkts

rl0     192.168.0.2     rl0    192.168.0.1      6 03f8 006f     5

Вроде работает....

Теперь вся статистика валится по UDP на 192.168.0.2:4444, где ее надо хранить и собирать. Делать это можно с помощью чего угодно, но сам я использую Flow-capture

Источник статьи