Netflow, не показывается входящий траффик за натом.

1

1

Есть ПК, для которого нужен список, куда ходит юзер.

ПК стоит за роутером. На роутере, схематически, внешний интерфейс eth0, все внутренние интерфейсы собраны в бридж br0.

Для сбора информации поднял ntop, куда отсылаю netflow на интерфейсе br0. Имею такую картину, что источником исходящего траффика являются компьютеры за роутером, а целью входящего - интерфейс eth0. То есть входящий траффик у компьютеров нулевой. Можно ли каким-либо образом это исправить?

Ссылка

←	Не работает multicast в point to multipoint GRE тоннеле

Резервный сервер на VPS. Что поднять?

→

1. Чем и как генерируешь netflow? ipt_netflow? В какой цепочке стоит правило?

2. Я правильно понял что во входящих flows у тебя адрес назначения - IP интерфейса eth0?

blind_oracle ★★★★★
(28.09.15 00:27:13 MSK)

Ответ на: комментарий от blind_oracle 28.09.15 00:27:13 MSK

1) Микротик вместо роутера, он и отсылает. Из настроек возможных там ip:port коллектора и версия протокола.

2) Да, именно так.

l0stparadise ★★★★★
(28.09.15 00:58:33 MSK) автор топика
Последнее исправление: l0stparadise 28.09.15 01:01:18 MSK (всего исправлений: 1)

Ответ на: комментарий от l0stparadise 28.09.15 00:58:33 MSK

Ну, микротик это вещь в себе... В линухе достаточно добавить правило генерации flow в iptables в цепочку forward чтобы ловить транзитный траффик.

Там именно привязка к интерфейсу с которого собирать? Нельзя его глобально включить?

blind_oracle ★★★★★
(28.09.15 08:49:36 MSK)

Ответ на: комментарий от l0stparadise 28.09.15 00:58:33 MSK

Микротик вместо роутера

У меня работает. То есть, попадает именно внешний IP, куда ходили, внутренний приватный. Из настроек:

/ip traffic-flow
set active-flow-timeout=9m enabled=yes
/ip traffic-flow target
add address=xxxxxx:1234 version=5

Никаких специальных привязок не указано, RouterOS 6.0.

AS ★★★★★
(28.09.15 09:13:47 MSK)

Ответ на: комментарий от l0stparadise 28.09.15 00:58:33 MSK

1) Микротик вместо роутера Из настроек возможных там ip:port коллектора и версия протокола.

[admin@mikrotik] > /ip traffic-flow pr
                enabled: yes
             interfaces: all
          cache-entries: 16k
    active-flow-timeout: 30m
  inactive-flow-timeout: 15s

Интерфейсы так же выставлены?

Yustas ★★★★
(28.09.15 09:30:33 MSK)

Ответ на: комментарий от AS 28.09.15 09:13:47 MSK

Да, настройки такие. В исходящем траффике все так и есть. Проблема во входящем...

l0stparadise ★★★★★
(28.09.15 12:10:18 MSK) автор топика

Ответ на: комментарий от Yustas 28.09.15 09:30:33 MSK

Нет, не так. Переставил, ситуация не поменялась.

l0stparadise ★★★★★
(28.09.15 12:10:42 MSK) автор топика

Ссылка

Ответ на: комментарий от blind_oracle 28.09.15 08:49:36 MSK

Можно поставить сборку на всех интерфейсах, как ниже у тов.Yustas, но в моем случае это цепочку не поменяло.

l0stparadise ★★★★★
(28.09.15 12:11:55 MSK) автор топика

Ссылка

Ответ на: комментарий от l0stparadise 28.09.15 12:10:18 MSK

В исходящем траффике все так и есть. Проблема во входящем...

Может, в версии RouterOS дело. У меня, для обоих видов трафика, показываются IP внешнего ресурса и приватный IP за NAT.

AS ★★★★★
(28.09.15 12:18:10 MSK)

Ответ на: комментарий от AS 28.09.15 12:18:10 MSK

Да вроде нет, у меня v6.32.1, на пару недель с актуальной разница...

У меня другая мысль появилась - а не может быть из-за того, что ntop висит снаружи сети?...

После всех настроек выше появились некоторые входящие пакеты на локальные интерфейсы, но не все. Скажем, wget'нул 100мб файлик - его траффик пошел к роутеру, тогда как к моему пк ничего не упало.

l0stparadise ★★★★★
(28.09.15 12:37:20 MSK) автор топика