Здравствуйте!

Помогите пожалуйста ответить на вопрос: как правильно сделать учет трафика?

Исходные данные:
1. Шлюз с FreeBSD 7.2 и настроенным pf

2. работает softflowd
/usr/local/sbin/softflowd -i rl0 -n 127.0.0.1:8818

3. работает flow-capture
/usr/local/bin/flow-capture -n 287 -N 3 -S 5 -d 10 -w /var/db/flows/rl0 -p /var/run/flow-capture/flow-capture.pid 127.0.0.1/0.0.0.0/8818

4. работает flow-viewer

softflowd собирает статистику с внешнего интерфейса rl0, отдает ее flow-capture, который складывает ее в /var/db/flows/rl0

flow-viwer берет исходные данные из /var/db/flows/rl0 при этом выдает статистику где явно в качестве всех конечных узлов фигурирует внешний  ip сервера (т.е. ip интерфейса rl0) который смотрит в Интернет.

Всё бы хорошо, но ясности это не привносит, УВЫ ;(

ХОТЕЛОСЬ БЫ остаться приблизительно с тем же комплектом ПО, при этом получить статистику вида

1. ВСЕГО Получено / Отправлено из / в интернет за определенный период времени

2. Статистику по отдельным компьютерам по их ip из ЛВС которые ходят в Интернет через шлюз.

3. + Другую статистику (через flowviewer)

Я понимаю, что можно было бы и проще, например через trafd или еще что-то, но выбран был именно такой путь.

Меня интересует:

1. Как быть с NAT, ведь статистика, которую я сейчас вижу - не содержит данных о компьютерах из ЛВС. (В Cisco по-идее это можно сделать достаточно просто) А как быть тут ... ;(

2. Кто нибудь использует flow-viewer для обозначенных выше мною целей ?

3. Получается ?

4. Подскажите что мне нужно поменять во всей этой схеме?

Спасибо всем!

• как правильно netflow захватить и обработать с включенным NA...,Pahanivo, 12:59 , 24-Май-10
  • как правильно netflow захватить и обработать с включенным NA...,netc, 13:00 , 24-Май-10
    • как правильно netflow захватить и обработать с включенным NA...,netc, 13:05 , 24-Май-10
      • как правильно netflow захватить и обработать с включенным NA...,Pahanivo, 15:03 , 24-Май-10

мммм собирать статистику с внутреннего интерфейса не пробовал??
также никто не запрещал иметь два сенсора в система (внеш внутр) и сгружать все на один коллектор

>мммм собирать статистику с внутреннего интерфейса не пробовал??
>также никто не запрещал иметь два сенсора в система (внеш внутр) и
>сгружать все на один коллектор

нет, пока ...

а как правильно ? вот в чем вопрос .

>>мммм собирать статистику с внутреннего интерфейса не пробовал??
>>также никто не запрещал иметь два сенсора в система (внеш внутр) и
>>сгружать все на один коллектор
>
>нет, пока ...
>
>а как правильно ? вот в чем вопрос .

ведь тут вот в чем дело

если собирать с внешнего то теряем трафик от ЛВС

если собирать с внутреннего то теряем тот трафик который уходит только от шлюза

если собирать с двух, то как тогда будет работать flow-viewer, и можно ли его тогда будет настроить ?

правильно ли это будет (всмысле чисто теоретически) ?

>[оверквотинг удален]
>
>если собирать с внешнего то теряем трафик от ЛВС
>
>если собирать с внутреннего то теряем тот трафик который уходит только от
>шлюза
>
>если собирать с двух, то как тогда будет работать flow-viewer, и можно
>ли его тогда будет настроить ?
>
>правильно ли это будет (всмысле чисто теоретически) ?

почитай что такое нетфлоу, пойми что такое сенсор и что коллектор
пойми что они вовсе не должны быть связаны как один к одному
много сенсоров могут сваливать поток на один коллектор и наоборот
как смотреть? хм - а какая разницы? поток с сенсора коллектором валится в отдельныю базу - проблем никаких, настроиль фильтры и конфиг стата и считай как хочется