Разделяем netflow поток

Разделяем netflow поток в linux

Понадобилось мне направить один netflow поток на два направления (можно и больше). В одно место для сбора статистики по нужным сетям, в другое для складирования всего трафика. Для этих целей хорошо подходит flow-fanout из набора flow-tools.

В Debian ставим так:

apt-get install flow-tools

Вручную запускаем так:

flow-fanout 10.0.6.10/10.0.6.12/4444 127.0.0.1/127.0.0.1/4446 10.0.6.10/10.0.6.13/2055

Поясняю:

10.0.6.10/10.0.6.12/4444

— берем поток с удаленного IP 10.0.6.12 и получаем через локальный интерфейс 10.0.6.10 на порт 4444.

127.0.0.1/127.0.0.1/4446

— отправляем копию потока на localhost порт 4446.

10.0.6.10/10.0.6.13/2055

— отправляем копию потока на удаленную машину с ip 10.0.6.13 порт 2055.

Теперь остается добавить в автозагрузку. Вот, что у меня показывает «cat /etc/rc.local»:

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.
 
/usr/bin/flow-fanout 10.0.6.10/10.0.6.12/4444 127.0.0.1/127.0.0.1/4446 10.0.6.10/10.0.6.13/2055
 
exit 0