[Sysadmins] NwrFlow export

[Alexei Takaseev]

On Sun, 16 Apr 2006 11:41:47 +0800 Evgenii Terechkov wrote:

> 
> Кто что использует/советует для организаций экспорта в NetFlow?
> 
> Надо это сделать на машине с кучей интерфейсов (3...5) и приличным
> трафиком. Счёт только на самой машине - через lo. Главное требование -
> чтобы считалка не врала (по крайней мере не слишком сильно/часто).
> 
> Пока остановился на связке ipcad и flow-capture. Какие есть
> альтернативы? Желательно конечно, чтоб собиралось/работало без проблем
> на Master 2.4, или было в Сизифе (хотя там поискал, может не заметил).
> 
> И собственно по ipcad вопрос - я правильно понимаю, что мне лучше
> статистику через ULOG (просто на аналогичной машине видел как связка
> flow-capture и fprobe-ulog потеряла несколько сот Mb в месяц). Или
> через другой механизм (если конечно пользоваться ipcad)?

Если настолько критична потеря трафика, то снимать аднные ipcad'ом лучше
с интерфейса ipq

...
-A INPUT -j QUEUE
-A FORWARD  -j QUEUE
-A OUTPUT -j QUEUE
...

/etc/ipcad.conf:
...
interface ipq;
...

Как рузельтат, ни один пакет не пройдет через роутер, пока не
обработается в ipcad'е. По-идее, если надо контролировать только
транзитный через роутер трафик, то записи в цепочках INPUT и OUTPUT
будут излишними.