Flows von Mirror-Port erzeugen

Lord Gurke

Nur echt mit 32 Zähnen
Hallo,

ich habe hier ein kleineres Netzwerk, in dem ich gerne Flow-Daten des WAN-Traffics haben möchte, der Router unterstützt dies aber nicht.

Gibt es eine empfehlenswerte Software unter Linux, welche einfach über pcap die Pakete an einem bestimmten Ethernet-Interface auswertet und mir daraus Flows (vorzugsweise sflow) zaubert?
Dann würde ich ein Netzwerkinterface eines vorhandenen Servers an einen Port am Router anschließen und einfach den WAN-Traffic darauf spiegeln :)

Vielen Dank!
Max
 

Lord Gurke

Nur echt mit 32 Zähnen
Hi,

Danke - das sieht schonmal exakt nach dem aus was ich suche, leider scheint der (bei Tests) nur Traffic zu erfassen, der direkt an eine auf dem System auf einem Interface gebundene MAC-Adresse gerichtet ist. Auch wenn ich die Netzwerkkarte manuell in den Promiscous Mode schiebe.
Sonst macht das Ding seinen Job ganz gut, deshalb habe ich mal auf deren Mailingliste gefragt warum das nicht funktioniert.
 

virtual2

Registered User
Hi,

Danke - das sieht schonmal exakt nach dem aus was ich suche, leider scheint der (bei Tests) nur Traffic zu erfassen, der direkt an eine auf dem System auf einem Interface gebundene MAC-Adresse gerichtet ist. Auch wenn ich die Netzwerkkarte manuell in den Promiscous Mode schiebe.
Sonst macht das Ding seinen Job ganz gut, deshalb habe ich mal auf deren Mailingliste gefragt warum das nicht funktioniert.
Denke du brauchst iptables regeln die den traffic mappen ;)
 

Lord Gurke

Nur echt mit 32 Zähnen
Habe über die Mailingliste den entscheidenden Tipp bekommen, den ich hier auch mal archiviere:
Man definiert z.B.
Code:
 pcap { dev = eth0 }
Um auch den Traffic zu sehen, der überhaupt nicht an das eigene System gerichtet ist (der wird ansonsten nämlich aussortiert) muss es lauten:
Code:
 pcap { 
  dev = eth0
  promisc = on
}
Das ist der ganze Zauber - damit wird für alles was das Netzwerkinterface traversiert ein Flow erzeugt :)

Ich habe - da bei mir hsflowd nicht als root läuft - manuell das Interface mit
Code:
 ifconfig eth0 promisc
in den Promiscous Mode geschaltet. Geht eventuell auch ohne, aber...
 

vb-server

Registered User
War generell bezogen. Das Thema ist bei mir gerade wieder aktuell geworden, ich stelle von MikroTik auf ein kleines SuperMicro 5018D-FN8T Barebone als Router um und möchte schon gerne die BGP Infos in den Flows haben.

Viel scheint es nicht zu geben:

  • nProbe (wollen 300€ - zu viel)
  • pmacct (hab ich bisher nicht zum laufen bekommen)
  • sflow-rt (will Java - kommt nicht in frage)

Wenn also jemand eine Idee hat wäre ich dankbar :)
 

virtual2

Registered User
Hm, wir nutzen pmacct seit etwa > 4 Jahren zwecks Flowaccounting, damals ging das recht problemlos und die Doku hat sich nicht groß geändert.

Wenn du da Configs brauchst, lasse ich das gerne zukommen.
 

vb-server

Registered User
Hm, wir nutzen pmacct seit etwa > 4 Jahren zwecks Flowaccounting, damals ging das recht problemlos und die Doku hat sich nicht groß geändert.
Naja gut, zugegeben, habe ich auch nicht allzu viel Zeit investiert (~1h bisher).

Wenn du da Configs brauchst, lasse ich das gerne zukommen.
Vielen Dank für das nette Angebot. Das wäre natürlich super. 1:1 kopieren werde ich natürlich nicht, aber ich denke es würde das Ganze einiges verständlicher machen.
 
Top