Amélioration documentation
This commit is contained in:
parent
f85a5dae9f
commit
76821e6175
|
@ -3,32 +3,52 @@ categories: openbsd network
|
|||
title: Howto Netflow sous OpenBSD
|
||||
---
|
||||
|
||||
<http://www.openbsd.org/cgi-bin/man.cgi?query=pflow>
|
||||
* Documentation : <http://man.openbsd.org/pflow>
|
||||
|
||||
<http://www.undeadly.org/cgi?action=article&sid=20080909151202>
|
||||
[Netflow](https://en.wikipedia.org/wiki/NetFlow) est un protocole développé par CISCO pour collecter des informations sur le trafic réseau.
|
||||
|
||||
Netflow est un protocole développé par CISCO pour collecter des informations sur le trafic réseau.
|
||||
## Configuration
|
||||
|
||||
Les paquets Netflow sont envoyés en UDP vers un démon chargé de collecter les informations.
|
||||
|
||||
Les paquets Netflow sont envoyés en UDP vers un serveur chargé de collecter les informations.
|
||||
Sous OpenBSD, cela s'active via :
|
||||
|
||||
~~~
|
||||
# ifconfig pflow0 create
|
||||
# ifconfig pflow0 flowsrc 192.0.32.10 flowdst 192.0.32.1:9995
|
||||
# ifconfig pflow0 flowsrc 192.0.32.10 flowdst 192.0.32.1:9995 pflowproto 10
|
||||
~~~
|
||||
|
||||
Mais il faut également marquer les paquets que l'on veut collecter avec l'état _pflow_ via PF.
|
||||
En effet, c'est PF qui enverra les paquets marqués.
|
||||
> *Note* : on utilise ici Netflow v10 (IPFIX)
|
||||
|
||||
Voici ainsi un `pf.conf` très simple pour marquer tous les paquets :
|
||||
|
||||
## Marquer les paquets à collecter
|
||||
|
||||
Il faut ensuite marquer les paquets que l'on veut collecter avec PF.
|
||||
|
||||
Pour collecter tout le trafic, on positionnera dans son `/etc/pf.conf` :
|
||||
|
||||
~~~
|
||||
set state-defaults pflow
|
||||
~~~
|
||||
|
||||
Pour marquer uniquement certains paquets il faut ajouter l'état _(pflow)_ au niveau des règles concernées, du type :
|
||||
|
||||
~~~
|
||||
set skip on lo
|
||||
pass keep state (pflow)
|
||||
~~~
|
||||
|
||||
Pour collecter tout le trafic :
|
||||
|
||||
~~~
|
||||
set state-defaults pflow
|
||||
~~~
|
||||
## FAQ
|
||||
|
||||
### Peut-on avoir des netflows sans activer les états PF ?
|
||||
|
||||
Non, les _Netflow_ s'appuyent justement sur les états PF, si vous ne les activez pas vous n'aurez pas de flow.
|
||||
|
||||
### Je n'obtiens pas la date de début du flow et sa durée
|
||||
|
||||
Cela ne fonctionnait pas avec des anciennes versions d'OpenBSD mais c'est bien OK avec la dernière version d'OpenBSD.
|
||||
|
||||
### Pics de paquets/octets
|
||||
|
||||
J'obtiens des pics sur mes courbes de paquets/octets, est-ce normal ? La réponse est « oui », car OpenBSD n'envoie un flow qu'à la fin d'un état et l'on peut donc avoir de très nombreux paquets/octets sur un laps de temps très court si c'est une longue connexion qui se termine juste à ce moment là. C'est le principe de capture d'un flow VS la capture de chaque paquet (ce qui est quasiment impossible, on ne capture donc qu'un échantillon des paquets).
|
Loading…
Reference in a new issue