Куда правильно воткнуть -j NETFLOW?

Question

Максим Васильев @qmax

программер

Куда правильно воткнуть -j NETFLOW?

На роутере стоит файрвол (с жёстким policy drop), немного nat, немного сервисов.
Хочется учитывать вообще весь фактический принятый, отправленный и зафорварженый трафик, с его фактическими же src/dst (тоесть до SNAT и после DNAT).

Как правильно расставить -j netflow чтобы трафик был различим и не путался?
Есть ли какая-то разница между вставлением в *filter (input, output, forward) или в *nat (prerouting, postrouting)?

Вопрос задан более трёх лет назад
537 просмотров

4 комментария

Подписаться 1 Оценить 4 комментария

EvilMan @EvilMan

Через таблицу nat проходят только первые пакеты соединения, для которых создаются записи в таблице коннтрака (то есть пакеты с состоянием NEW). Если же для пакета уже есть соответствующее соединение в таблице коннтрака (ESTABLISHED, RELATED и т.п.), то пакет в таблицу nat уже не попадёт. Лучше всего использовать новый форк iptables netflow с опцией nat events - он не требует добавления правил в файерволл и берёт данные из событий трассировщика соединений, что позволяет экспортировать статистику netflow с адресами до и после трансляции. Вот как-то так. Много информации по этому таргету вместе с обсуждением и ссылками на репозиторий можно найти здесь - forum.nag.ru/forum/index.php?showtopic=53979 (можно читать примерно с 10ой страницы).

Написано более трёх лет назад
EvilMan @EvilMan

Так же можно отказаться от ядерного модуля и использовать для сбора данных демон ULOGD2, который так же умеет экспорт в netflow, а так же сразу писать данные в базу данных, что может быть очень удобно.

Написано более трёх лет назад
Максим Васильев @qmax Автор вопроса

EvilMan: ох, действительно, conntrack...

Написано более трёх лет назад
Максим Васильев @qmax Автор вопроса

А в той ветке обусждают больше производительность, баги и патчи.

Написано более трёх лет назад

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Linux

+3 ещё

Простой
Как вернуть обратно gnome 44 в Kali linux?
- 1 подписчик
- 5 часов назад
- 34 просмотра
0

ответов
Компьютерные сети

+2 ещё

Средний
Как настроить ACL между vlan, чтобы был полный доступ с одного vlan, с другого нет?
- 1 подписчик
- 6 часов назад
- 25 просмотров
2

ответа
Linux

+1 ещё

Средний
Astra Linux — как избавиться от шума в HDD?
- 2 подписчика
- 9 часов назад
- 121 просмотр
3

ответа
Linux

+2 ещё

Простой
Что выбрать для проекта Windows Embedded или Linux?
- 1 подписчик
- 14 часов назад
- 129 просмотров
4

ответа
Linux

+1 ещё

Средний
Как переименовать файлы и папки с одинаковым именем, но разным регистром?
- 1 подписчик
- 15 часов назад
- 83 просмотра
0

ответов
Linux

Простой
Почему не отрабатывает REISUB?
- 1 подписчик
- 22 часа назад
- 59 просмотров
1

ответ
Linux

+1 ещё

Средний
Как выглядят данные об авторизации linux?
- 1 подписчик
- вчера
- 144 просмотра
2

ответа
Linux

+1 ещё

Простой
Как сделать автоматическую проверку работоспособности и рестарт Apache и Mariadb в случае падения?
- 1 подписчик
- вчера
- 93 просмотра
2

ответа
Linux

Средний
При включении установочника Astra Linux — выдаёт ошибку «Error:out of memory», что делать?
- 2 подписчика
- вчера
- 249 просмотров
3

ответа
Android

+2 ещё

Простой
Wi-Fi. Странное поведение Нет антен — сигнал слабый, но пароль проходит. Есть антены — сигнал хороший, но пишет «неверный пароль» Почему?
- 1 подписчик
- вчера
- 342 просмотра
1

ответ
Показать ещё Загружается…

Программист C для Embedded Linux

Radiofid • Санкт-Петербург

от 120 000 до 180 000 ₽

Linux Администратор DevOps

ИМАГ • Москва

от 150 000 до 170 000 ₽

Системный администратор Linux (SysOps)

Sipuni

от 180 000 ₽

Написать код на python

19 апр. 2024, в 03:01

1000 руб./за проект

Настройка сервера

18 апр. 2024, в 21:56

2000 руб./за проект

Помощь с водпресс

18 апр. 2024, в 21:00

150 руб./за проект

Через таблицу nat проходят только первые пакеты соединения, для которых создаются записи в таблице коннтрака (то есть пакеты с состоянием NEW). Если же для пакета уже есть соответствующее соединение в таблице коннтрака (ESTABLISHED, RELATED и т.п.), то пакет в таблицу nat уже не попадёт. Лучше всего использовать новый форк iptables netflow с опцией nat events - он не требует добавления правил в файерволл и берёт данные из событий трассировщика соединений, что позволяет экспортировать статистику netflow с адресами до и после трансляции. Вот как-то так. Много информации по этому таргету вместе с обсуждением и ссылками на репозиторий можно найти здесь - forum.nag.ru/forum/index.php?showtopic=53979 (можно читать примерно с 10ой страницы).
Так же можно отказаться от ядерного модуля и использовать для сбора данных демон ULOGD2, который так же умеет экспорт в netflow, а так же сразу писать данные в базу данных, что может быть очень удобно.
А в той ветке обусждают больше производительность, баги и патчи.

Куда правильно воткнуть -j NETFLOW?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт