On Thu, Jan 12, 2006 at 09:52:46AM +0600, Yury Yurevich wrote: > > apt-cache search netflow > Из интересующих увидел: > pmacct - promiscuous mode traffic accountant > fprobe-ulog - export captured traffic to remote NetFlow Collector (ULOG > version) > > Потенциально-интересным выглядит pmacct, но он работает в promisc-режиме, > это, IMHO, недостаток. А судя по fprobe-ulog, помимо fprobe-ulog нужен > будет еще и коллектор NetFlow, что, IMHO, неоправданное усложнение схемы.
А MySQL оправданное усложнение схемы? :-) Рекомендую fprobe-ulog + flow-tools. В составе flow-tools есть утилита flow-export, которая умеет экспортировать данные в mysql. > К слову, оба -- libpcap-based, так что есть еще один недостаток -- не может > сказать, какая из машин за NAT потребила трафик. Есть 2 пакета fprobe-ulog и fprobe. fprobe - он действительно libpcap-based, а fprobe-ulog используется совместно с iptables (ULOG action). btw, у fprobe-ulog есть небольшой баг. В документации написано, что он умеет выставлять индексы входящего и исходящего интерфейсов в пакете и это делается путем перечисления списка интерфейсов и их индексов в параметрах запуска демона. Как оказалось, он умеет еще и звать if_nametoindex, так что, можно и не указывать руками привязку интерфейс-индекс. Есть еще один баг: если интерфейсы перечисленны в, например, таком порядке: eth1:100,eth1.1:102 (то есть совпадают несколько первых букв в названии интерфейса и более короткое имя стоит первым), то в пакете всегда будет индекс интерфейса eth1. Это все из-за умелого использования функции strncmp, там в качестве 3-го параметра (длина буфера) используется длина имени интерфейса, указанного в параметрах запуска. Обходной маневр - или патчить, или указывать более длинные имена первыми, или не использовать статическую привязку, но для последнего нужно будет подправить скрипт запуска, в Debian (по крайней мере в Sarge), правила привязки в обязательном порядке подсовываются демону, вне зависимости, указаны эти правила или нет. -- Andrew Degtiariov DA-RIPE -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
