[MASOCH-L] Redirecionamento de tráfego iptables

MARLON BORBA MBORBA at trf3.gov.br
Mon Feb 12 12:17:02 -03 2007


uma combinação de netflow e de filtragem adequada na base de dados gerada, acredito eu, é a solução da qual você precisa. existem inúmeras ferramentas capazes de fazer isso (das quais, sem dúvida, a mais conhecida é o Ntop).

evidentemente netflow não é um "sniffer", e, além de possuir dados dos fluxos, você precisa capturar os pacotes trocados entre eles.




Abraços,

Marlon Borba, CISSP, DataCenter Associate
Técnico Judiciário - Segurança da Informação
TRF 3ª Região
(11) 3012-1683
--
1997-2007 - Dez Anos da DSUP.
Conhecimento Gerando Soluções.
--

>>> andreproto at acmesecurity.org 12/2/2007 11:12:34 >>>
Olá Leonardo,


Leonardo Rodrigues Magalhães wrote:
> >
> >    netflow NÃO resolve o problema inicial colocado por você. Você
> > colocou:
> >
> > Preciso enviar uma cópia de todo tráfego ....
> >
> >
> >    Utilizo netflow para monitorar tráfego de diversos roteadores
> > Cisco, aliás a Cisco que inventou o protocolo netflow. Netflow envia
> > TODAS as informações sobre os fluxos de dados existentes nas
> > interfaces monitoradas, porém não envia os DADOS. Envia conexões,
> > tráfego das conexões, protocolo (TCP, UDP, etc etc), porta origem,
> > porta destino .... porém não envia os DADOS daquela conexão.
> >
> >    Se você estava querendo receber 'uma cópia de todo tráfego' para
> > poder monitorar porém não havendo necessidade de ter acesso aos DADOS,
> > netflow é uma ferramenta maravilhosa. Porém caso você precise
> > realmente ter acesso aos DADOS daquela conexão, netflow não resolve
> > seu problema.
> >
> >    Pelo que eu li, o flow-fanout NAO replica tráfego como você espera.
> > Ele replica flows recebidos de um host que está enviando netflow.
> > Recebe os flows e replica os flows já recebidos. Em momento nenhum
> > você terá acesso aos DADOS, já que ele replica somente flows gerados
> > por um dispositivo netflow-capable.
> >
Meu caro, acho que expressei errado o que queria.  Quando eu digo
"tráfego" estou me referindo ao tráfego de fluxos que o roteador envia
para o coletor, não o tráfego todo da rede. Espero que eu tenha sido
mais claro agora.
E sim, o flow-fanout faz justamente o que eu quero, que é replicar os
fluxos para outra máquina.

Atenciosamente,

André Proto


__
masoch-l list
https://eng.registro.br/mailman/listinfo/masoch-l




More information about the masoch-l mailing list