|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Timur Khanjanov 2:5020/400 15 Sep 2005 14:00:57
To : Sergey A. Yakovets
Subject : Re: Re^2: flow-tools
--------------------------------------------------------------------------------
В письме Thu, 15 Sep 2005 08:30:21 +0400, Sergey A. Yakovets
написал:
> Как поживаете, Andrew ?
>
> Мои бортовые системы запеленговали, что в 14 Сен 05 12:18, Andrew Degtiariov
> писал Sergey A. Yakovets:
>
> AD> 1) flow-cat на один файл натравливать не нужно. flow-cat нужен если
> AD> тебе нужно "склеить" в один несколько файлов. Если нужно склеить файлы
> AD> так, чтобы записи в них были в хронологическом порядке (в твоем случае
> AD> вряд ли нужно), то нужно использовать flow-merge. С flow-print в твоем
> AD> случае было достаточно flow-print < ft-v05.2005-09-13.101913+0000
>
> Понятно, т.е. если допустим я хочу получить отдельные файлики на каждое
> число - я использую flow-cat для склейки 5-ти минутных кусков?
>
> >> определенный хост информации с указанием интерфейсов через которые
> >> он это сделал. Hе ли тут подводных камней в виде заворота исходящих
> >> пакетов на прокси и получения информации с него?
> AD> Hасколько я в курсе, ipcad индексы интерфейсов не заполняет. Этим
> AD> "страдает", по моему, только ng_netflow, за что его автору огромное
> AD> спасибо.
>
> Попробовал покурить man ng_netflow. Забористый ;)
> Кто-нибудь может попроще и по-русски описать последовательность действий
> для перехвата пакетов и экспорта их в flow-cat?
>
flow-capture
идея в нетфлоу такая - данные проходят
через цепочку модулей делающих то что тебе надо
модули соединяются через хуки
в случае эзернета начинаем с модуля
ng_ether(имя модуля совпадает с именем
интерфейса на момент загрузки ng_ether)
у него есть 3 хука - upper lower и orphans
orphans нас сейчас не интересует
lower идет собственно на интерфейс
upper на верхний уровень в систему
у ng_netflow -2N+1 хуков
ifaceN outN и export
данные принимаются через ifaceN обсчитываются и отправляются через outN
накопишаяся статистика сбрасывается в
формате netflow v5 черех хук export
таким образом, создаем узет типа netflow одновременно присобачивая
хук lower ng_ether к хуку iface0 ng_netflow
mkpeer fxp0: netflow lower iface0
обзываем свежесозданный узел netflow
name fxp0:lower netflow
здесь запись fxp0:lower означает узел
присобаченный к узлу fxp0: через хук lower
соединяем хуки upper модуля ng_ether и out0 ng_netflow
connect fxp0: netflow: upper out0
теперь у нас копится статистика и
плюётся в хук export модуля ng_netflow но тк он
пока ни к чему не присобачен она
теряется
теперь рассмотрим модуль ng_ksocket
у него с одной стороны хук <family>/<type>/<proto> а с другого БСД сокет
тип сокета описывается названием хука
нетфлоу работает по udp так что название хука inet/dgram/udp
создаём узел соединяя хук export ng_netflow с
хуком inet/dgram/udp ng_ksocket
mkpeer netflow: ksocket export inet/dgram/udp
теперь посылаем модулю ng_ksocket управляющее сообщение -
соединись ка ты с адресом 10.0.0.1 по порту 4444
msg netflow:export connect inet/10.0.0.1:4444
здесь тоже netflow:export означает узел соединённый с узлом по имени
netflow через хук export, то есть свежесозданный узел ng_ksoket
(в принципе можно было использовать здесь fxp0:lower.export и опустить
команду name fxp0:lower netflow но так удобнее)
вот и всё пример из мана к ng_netflow разжёван Ж8)))
теперь можно и ловить через flow-capture
использование ng_tee и ng_one2many для двустороннего подсчёта трафика
оставляю в качестве самостоятельного упражнения Ж8))))
--
Homo Homini domini est
--- ifmail v.2.15dev5.3
* Origin: Gamma NNTP server Moscow Russia (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
