33 lines
815 B
Markdown
33 lines
815 B
Markdown
|
# Howto Netflow sous OpenBSD
|
||
|
|
||
|
<http://www.openbsd.org/cgi-bin/man.cgi?query=pflow>
|
||
|
|
||
|
<http://www.undeadly.org/cgi?action=article&sid=20080909151202>
|
||
|
|
||
|
Netflow est un protocole développé par CISCO pour collecter des informations sur le trafic réseau.
|
||
|
|
||
|
Les paquets Netflow sont envoyés en UDP vers un serveur chargé de collecter les informations.
|
||
|
Sous OpenBSD, cela s'active via :
|
||
|
|
||
|
~~~
|
||
|
# ifconfig pflow0 create
|
||
|
# ifconfig pflow0 flowsrc 192.0.32.10 flowdst 192.0.32.1:9995
|
||
|
~~~
|
||
|
|
||
|
Mais il faut également marquer les paquets que l'on veut collecter avec l'état _pflow_ via PF.
|
||
|
En effet, c'est PF qui enverra les paquets marqués.
|
||
|
|
||
|
Voici ainsi un pf.conf très simple pour marquer tous les paquets :
|
||
|
|
||
|
~~~
|
||
|
set skip on lo
|
||
|
pass keep state (pflow)
|
||
|
~~~
|
||
|
|
||
|
Pour collecter tout le trafic :
|
||
|
|
||
|
~~~
|
||
|
set state-defaults pflow
|
||
|
~~~
|
||
|
|