Die pfSense®-Software ist eine kostenlose, angepasste Open-Source-Distribution von FreeBSD, die speziell auf die Verwendung als Firewall und Router zugeschnitten ist und vollständig über die Webschnittstelle verwaltet wird. Es ist nicht nur eine leistungsstarke, flexible Firewall- und Routing-Plattform, sondern enthält auch eine lange Liste verwandter Funktionen und ein Paketsystem, das eine weitere Erweiterbarkeit ermöglicht, ohne die Basisdistribution aufzublähen und potenzielle Sicherheitslücken hinzuzufügen. Sie lernen also, wie Sie NetFlow mit Softflowd auf PfSense exportieren.
Das pfSense-Projekt wird von Rubicon Communications, LLC (Netgate) gehostet und entwickelt.
LIZENZ
pfSense ist Open Source und wird unter der Apache 2.0-Lizenz vertrieben.
Softflowd installieren
softflowd ist ein NetFlow-Collector, der auf der pfSense®-Software eingesetzt werden kann
Unter System> Pakete ist ein Paket verfügbar auf den Verfügbaren Paketen Tab. Suchen Sie es in der Liste, klicken Sie auf
am Ende der Zeile und bestätigen Sie die Installation.
Um zu überprüfen, ob die Installation in Ordnung ist, gehen Sie zu Installierte Pakete . Der Bildschirm sollte dem Bild unten ähneln:
Um auf die NetFlow-Konfiguration zuzugreifen, gehen Sie zu Services/Softflowd .
Host – Geben Sie die IP-Adresse des Computers ein, der die NetFlow-Verkehrsdaten erhalten soll. Dies ist also der Speicherort, von dem aus Sie den NetFlow Analyzer-Client ausführen möchten.
Port – Diese Einstellung steuert den Ziel-UDP-Port für die NetFlow-Datagramme. Die meisten Clients verwenden standardmäßig Port 2205, daher sollten Sie in den meisten Fällen diesen eingeben.
Quell-Hostname/IP – Diese Einstellung steuert, von welcher Schnittstelle das pfSense-System die NetFlow-Pakete sendet. Normalerweise möchten Sie die IP-Adresse der LAN-Schnittstelle der pfSense-Box eingeben. Die IP finden Sie im Menü Status/Schnittstellen.
PfSense-Regel Richtungsbeschränkung – Belassen Sie diese Einstellung auf any, um Datenverkehr in beide Richtungen zu erfassen. Auf Wunsch können Sie eine einzige Verkehrsrichtung erfassen.
NetFlow-Version – Die meisten Clients sollten Version 9 unterstützen. Wenn Ihr NetFlow-Analyzer also nur eine ältere Version unterstützt, können Sie ihn mit dieser Einstellung konfigurieren.
Sobald Sie also die Einstellungen gespeichert haben, beginnt pfflow damit, NetFlow-Pakete an die in den Einstellungen angegebene Ziel-IP-Adresse zu senden.
Nach den grundlegenden NetFlow-Konfigurationen haben wir Timeout-Optionen . Zeitüberschreitungsoptionen bleiben normalerweise unkonfiguriert, wenn Sie jedoch Zeitüberschreitungen festlegen oder Flows in NetFlow-Paketen gruppieren möchten, können Sie dies hier tun:
EventLogControlling softflowd von der Befehlszeile
Um Statistiken über den laufenden softflowd-Prozess anzuzeigen, führen Sie den folgenden Befehl aus und ersetzen dabei em0 mit der eigentlichen abzufragenden Netzwerkschnittstelle:
: softflowctl -c /var/run/softflowd.em0.ctl statisticsAlso, um alle Flows ablaufen zu lassen und eine Aktualisierung des Servers zu erzwingen. Führen Sie den folgenden Befehl aus und ersetzen Sie em0 mit der eigentlichen zu steuernden Netzwerkschnittstelle:
: softflowctl -c /var/run/softflowd.em0.ctl expire-all