From 76821e61750c09fde4214a1e4034512bf6375816 Mon Sep 17 00:00:00 2001 From: gcolpart Date: Tue, 28 Mar 2017 03:20:40 +0200 Subject: [PATCH] =?UTF-8?q?Am=C3=A9lioration=20documentation?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- HowtoOpenBSD/Netflow.md | 44 ++++++++++++++++++++++++++++++----------- 1 file changed, 32 insertions(+), 12 deletions(-) diff --git a/HowtoOpenBSD/Netflow.md b/HowtoOpenBSD/Netflow.md index 10973c18..39c6d482 100644 --- a/HowtoOpenBSD/Netflow.md +++ b/HowtoOpenBSD/Netflow.md @@ -3,32 +3,52 @@ categories: openbsd network title: Howto Netflow sous OpenBSD --- - +* Documentation : - +[Netflow](https://en.wikipedia.org/wiki/NetFlow) est un protocole développé par CISCO pour collecter des informations sur le trafic réseau. -Netflow est un protocole développé par CISCO pour collecter des informations sur le trafic réseau. +## Configuration + +Les paquets Netflow sont envoyés en UDP vers un démon chargé de collecter les informations. -Les paquets Netflow sont envoyés en UDP vers un serveur chargé de collecter les informations. Sous OpenBSD, cela s'active via : ~~~ # ifconfig pflow0 create -# ifconfig pflow0 flowsrc 192.0.32.10 flowdst 192.0.32.1:9995 +# ifconfig pflow0 flowsrc 192.0.32.10 flowdst 192.0.32.1:9995 pflowproto 10 ~~~ -Mais il faut également marquer les paquets que l'on veut collecter avec l'état _pflow_ via PF. -En effet, c'est PF qui enverra les paquets marqués. +> *Note* : on utilise ici Netflow v10 (IPFIX) -Voici ainsi un `pf.conf` très simple pour marquer tous les paquets : + +## Marquer les paquets à collecter + +Il faut ensuite marquer les paquets que l'on veut collecter avec PF. + +Pour collecter tout le trafic, on positionnera dans son `/etc/pf.conf` : + +~~~ +set state-defaults pflow +~~~ + +Pour marquer uniquement certains paquets il faut ajouter l'état _(pflow)_ au niveau des règles concernées, du type : ~~~ set skip on lo pass keep state (pflow) ~~~ -Pour collecter tout le trafic : -~~~ -set state-defaults pflow -~~~ +## FAQ + +### Peut-on avoir des netflows sans activer les états PF ? + +Non, les _Netflow_ s'appuyent justement sur les états PF, si vous ne les activez pas vous n'aurez pas de flow. + +### Je n'obtiens pas la date de début du flow et sa durée + +Cela ne fonctionnait pas avec des anciennes versions d'OpenBSD mais c'est bien OK avec la dernière version d'OpenBSD. + +### Pics de paquets/octets + +J'obtiens des pics sur mes courbes de paquets/octets, est-ce normal ? La réponse est « oui », car OpenBSD n'envoie un flow qu'à la fin d'un état et l'on peut donc avoir de très nombreux paquets/octets sur un laps de temps très court si c'est une longue connexion qui se termine juste à ce moment là. C'est le principe de capture d'un flow VS la capture de chaque paquet (ce qui est quasiment impossible, on ne capture donc qu'un échantillon des paquets). \ No newline at end of file