evolix/wiki
22
0
Fork 0
Code Releases Activity

Amélioration documentation

Browse source
This commit is contained in:
gcolpart 2017-03-28 03:20:40 +02:00
parent f85a5dae9f
commit 76821e6175
1 changed files with 32 additions and 12 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

44
HowtoOpenBSD/Netflow.md
View file

@ -3,32 +3,52 @@ categories: openbsd network
title: Howto Netflow sous OpenBSD
---
<http://www.openbsd.org/cgi-bin/man.cgi?query=pflow>
* Documentation : <http://man.openbsd.org/pflow>
<http://www.undeadly.org/cgi?action=article&sid=20080909151202>
[Netflow](https://en.wikipedia.org/wiki/NetFlow) est un protocole développé par CISCO pour collecter des informations sur le trafic réseau.
Netflow est un protocole développé par CISCO pour collecter des informations sur le trafic réseau.
## Configuration
Les paquets Netflow sont envoyés en UDP vers un démon chargé de collecter les informations.
Les paquets Netflow sont envoyés en UDP vers un serveur chargé de collecter les informations.
Sous OpenBSD, cela s'active via :
~~~
# ifconfig pflow0 create
# ifconfig pflow0 flowsrc 192.0.32.10 flowdst 192.0.32.1:9995
# ifconfig pflow0 flowsrc 192.0.32.10 flowdst 192.0.32.1:9995 pflowproto 10
~~~
Mais il faut également marquer les paquets que l'on veut collecter avec l'état _pflow_ via PF.
En effet, c'est PF qui enverra les paquets marqués.
> *Note* : on utilise ici Netflow v10 (IPFIX)
Voici ainsi un `pf.conf` très simple pour marquer tous les paquets :
## Marquer les paquets à collecter
Il faut ensuite marquer les paquets que l'on veut collecter avec PF.
Pour collecter tout le trafic, on positionnera dans son `/etc/pf.conf` :
~~~
set state-defaults pflow
~~~
Pour marquer uniquement certains paquets il faut ajouter l'état _(pflow)_ au niveau des règles concernées, du type :
~~~
set skip on lo
pass keep state (pflow)
~~~
Pour collecter tout le trafic :
~~~
set state-defaults pflow
~~~
## FAQ
### Peut-on avoir des netflows sans activer les états PF ?
Non, les _Netflow_ s'appuyent justement sur les états PF, si vous ne les activez pas vous n'aurez pas de flow.
### Je n'obtiens pas la date de début du flow et sa durée
Cela ne fonctionnait pas avec des anciennes versions d'OpenBSD mais c'est bien OK avec la dernière version d'OpenBSD.
### Pics de paquets/octets
J'obtiens des pics sur mes courbes de paquets/octets, est-ce normal ? La réponse est « oui », car OpenBSD n'envoie un flow qu'à la fin d'un état et l'on peut donc avoir de très nombreux paquets/octets sur un laps de temps très court si c'est une longue connexion qui se termine juste à ce moment là. C'est le principe de capture d'un flow VS la capture de chaque paquet (ce qui est quasiment impossible, on ne capture donc qu'un échantillon des paquets).