В общем не могу разобраться, запилил шлюз на openbsd,добавил в конфиг : set state-defaults pflow Создал интерфейс :
OPenBSD# cat /etc/hostname.pflow0 flowsrc 192.168.195.198 flowdst 192.168.195.199:9995 pflowproto 10
Другие интерфейсы :
OPenBSD# cat /etc/hostname.em0 (внешний) inet 192.168.195.198 255.255.255.0 NONE
OPenBSD# cat /etc/hostname.em1 ( внутрений) inet 10.195.101.251 255.255.255.0 NONE
поднял на соседней виртуалке ntopng, вижу в ней трафик, ну то есть обычный трафик, пинги, арпы, мультикаст, все что по сетке бегает, мой хттп- трафик, по которому я смотрю веб страницу мне тож показывает, а вот как коллектор не работает явно,
со стороны ntopng :
tcpdump -i vtnet0 port 9555
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vtnet0, link-type EN10MB (Ethernet), capture size 262144 bytes ...
Со стороны pf : tcpdump -i pflow0 tcpdump: Failed to open bpf device for pflow0: Device not configured
не понимаю что и где сделал не так. на openbsd.org вменямого описания по pflow не нашел. Ищу способ, которым я бы мог зеркалировать трафик с pf на ntopng . так же нагуглилось что есть некий : https://man.openbsd.org/FreeBSD-11.1/ng_netflow.4 Но не совсем понял как пользоваться и что лучше ? судя по версии вроде как pflow поновей ? В общем если есть какой другой путь то я б тож рассмотрел.