[lacnog] Netflow forwarding

Manuel José Linares Alvaro cheche en udg.co.cu
Jue Sep 14 16:35:12 BRT 2017 

Hola Tomás, qué tal todo?
A ver si he entendido bien:


 
Cuando un router reporta netflow, incluye su dirección IP. Supongamos el siguiente diagrama:


LAN1 --- ROUTER1 --- RED --- SERVER1
10/8     1.1.1.1             2.2.2.2

Netflow incluye gran cantidad de información de los flujos, protocolo, ip de origen y destino, puertos, protocolos, etc; pero honestamente, no se si incluirá alguna información sobre los routers por los que ha pasado el paquete, no solo el que genera los flujos netflow, sino también todos los ruteadores anteriores por los que ha hido haciendo "saltos" de red en red.



El server1 recibe los flujos que pasan por el router1, un ejemplo podría ser:


flow:

   router ip address 1.1.1.1

   source address 10.0.0.1

   destination address 20.0.0.1
   ... (otros parámetros)


Ahora yo quiero replicar los paquetes que recibe el server1 a otro server (server2) como se muestra en la siguiente figura:


LAN1 --- ROUTER1 --- RED --- SERVER1 --- RED --- SERVER2
10/8     1.1.1.1             2.2.2.2             3.3.3.3


La condición es que server2 no tiene rutas hacia router1 y viceversa por motivos de seguridad.

Eso no lo puedes hacer con IPTables, DNAT? al server1 le puedes hacer un DNAT para el server2, se supone que el server 2 sí tenga rutas para llegar al server1?

 
Las preguntas son dos aquí:


1) Si bien con nfdump puedo hacer replica de los reportes a server2, no me interesa mantener server1 como netflow collector. ¿Que port replicator para Linux pueden recomendar aparte de stone?



2) Si replico los paquetes, ¿se modifican los reportes de alguna manera? Es decir, cambia el router ip address de los reportes de 1.1.1.1 a 2.2.2.2 que es la dirección del server1? Me imagino que no pero más vale preguntar.


Con IPTables DNAt no deben modificarse. Como quiera, amigo, estoy respondiéndo sin entender muy bien y sin concentrarme mucho en lo leido, estoy dictando clases y estos chicos no me dejan un minuto de paz. esta noche desde mi casa reviso bien y tal vez, pueda decirte un poco más.

Saludos,

Manuel

Gracias por su ayuda,


Tomás Lynch



--------------------------------------------------------------------------------


_______________________________________________
LACNOG mailing list
LACNOG en lacnic.net
https://mail.lacnic.net/mailman/listinfo/lacnog
Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog



*  *  *  *  *

Universidad de Granma

 http://www.udg.co.cu



Tiempo:

 http://gestion.udg.co.cu/mrtg/weather/map/today-Bayamo-CUXX0001.jpg



Este mensaje ha sido revisado por ClamAv antivirus.

------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20170914/3dff404e/attachment.html>

Más información sobre la lista de distribución LACNOG