headers
BONIN Nathanaël | 13 Aug 2009 09:44
Picon

Problème avec Pflow + flow-tools

Bonjour,

J'utilise actuellement pour faire des tests une machine virtuelle installée sous OpenBSD jouant le
rôle de routeur et qui envoie des paquets NetFlow et j'ai une machine installée sous Debian Lenny
32-bits (virtuelle également) qui reçoit ces paquets Netflow et qui les traite avec le paquet
flow-tools (la dernière en date).

Sous OpenBSD j'utilise donc l'interface pflow qui est configurée de la manière suivante :

ifconfig pflow0 flowsrc  <at> deMonFirewall flowdst  <at> deMaDebian :portEcoute

Par défaut, pflow utilise la version 5 du protocole NetFlow.

Du côté de mon Collecteur NetFlow (Debian), je reçois bien l'intégralité des paquets que m'envoie le
firewall cependant le timestamp dans les fichiers créés n'est pas bon. En effet, pour donner un
exemple, nous sommes aujourd'hui le 13/08/2009 et j'ai reçu un fichier à 09:10. Voilà ce que la
commande flow-print me retourne :

0816.02:38:24.871 0816.02:39:31.871 0     10.31.0.246     138   0     10.31.255.255   138   17  0  1          245

0816.02:38:26.871 0816.02:39:31.871 0     10.31.0.74      138   0     10.31.255.255   138   17  0  1          264

0816.02:38:27.871 0816.02:39:32.871 0     10.31.30.87     138   0     10.31.255.255   138   17  0  1          251

0816.02:38:27.871 0816.02:39:32.871 0     10.31.0.138     138   0     10.31.255.255   138   17  0  1          238

0816.02:38:28.871 0816.02:39:32.871 0     10.31.0.44      138   0     10.31.255.255   138   17  0  1          262

0816.02:38:29.871 0816.02:39:32.871 0     10.31.1.64      137   0     10.31.255.255   137   17  0  1          78
(Continue reading)

Permalink | Reply | 4 comments |
headers
Nicolas Bernard | 13 Aug 2009 10:02

Re: Problème avec Pflow + flow-tools

BONIN Nathanaël(BONIN.N@...) <at> 2009.08.13 09:44:56 +0200 wrote:
> Bonjour,
> 
>  
> 
> J'utilise actuellement pour faire des tests une machine virtuelle installée sous OpenBSD jouant le
rôle de routeur et qui envoie des paquets NetFlow et j'ai une machine installée sous Debian Lenny
32-bits (virtuelle également) qui reçoit ces paquets Netflow et qui les traite avec le paquet
flow-tools (la dernière en date).
> 
>  
> 
> Sous OpenBSD j'utilise donc l'interface pflow qui est configurée de la manière suivante :
> 
>  
> 
> ifconfig pflow0 flowsrc  <at> deMonFirewall flowdst  <at> deMaDebian :portEcoute
> 
>  
> 
> Par défaut, pflow utilise la version 5 du protocole NetFlow.
> 
>  
> 
> Du côté de mon Collecteur NetFlow (Debian), je reçois bien l'intégralité des paquets que m'envoie
le firewall cependant le timestamp dans les fichiers créés n'est pas bon. En effet, pour donner un
exemple, nous sommes aujourd'hui le 13/08/2009 et j'ai reçu un fichier à 09:10. Voilà ce que la
commande flow-print me retourne :
> 
>
(Continue reading)

Permalink | Reply | 3 comments |
headers
BONIN Nathanaël | 13 Aug 2009 10:05
Picon

RE: [obsdfr-misc] Problème avec Pflow + flow-tools

Merci de ta réponse, cependant j'ai testé sur un système 32-bits et le problème était toujours le
même. Cela doit venir d'un autre soucis. De plus dans la nouvelle version de flow-tools, ce problème a
normalement était corrigé. J'ai tout de même envoyé un mail sur la mailing-list de flow-tools pour
avoir de l'aide. 

En ce qui concerne pflow, il n'y a rien de spécial à configurer de plus que le ifconfig pflow0 et de
configurer packet filter pour tagguer tous les paquets qui y passent ?


---------------------------
Nathanaël BONIN
CSIM - Bureau 011


-----Message d'origine-----
De : Nicolas Bernard
[mailto:nbernard-openbsd-france-misc-0db344c2cee665147c3f8eb57c6fe87ce7c5b0d1 <at> lafraze.net] 
Envoyé : jeudi 13 août 2009 10:02
À : misc <at> openbsd-france.org
Objet : Re: [obsdfr-misc] Problème avec Pflow + flow-tools

BONIN Nathanaël(BONIN.N <at> mipih.fr) <at> 2009.08.13 09:44:56 +0200 wrote:
> Bonjour,
> 
>  
> 
> J'utilise actuellement pour faire des tests une machine virtuelle installée sous OpenBSD jouant le
rôle de routeur et qui envoie des paquets NetFlow et j'ai une machine installée sous Debian Lenny
32-bits (virtuelle également) qui reçoit ces paquets Netflow et qui les traite avec le paquet
flow-tools (la dernière en date).
(Continue reading)

Permalink | Reply | 0 comments |
headers
BONIN Nathanaël | 13 Aug 2009 11:26
Picon

RE: [obsdfr-misc] Problème avec Pflow + flow-tools

Petite précision par rapport à ce matin. En fait je viens de tester un nouvel outil (à la place de
flow-tools) qui s'appelle nfdump. Le résultat est le même j'obtiens des flux qui viennent du 16/08 (je
suis vraiment fort pour prédire le futur). Je pense donc plutôt un soucis au niveau de mon firewall sous BSD.

Est-ce que quelqu'un aurait des informations supplémentaires à me donner concernant pflow sous
OpenBSD s'il vous plait ?

La date est synchronisée, l'heure et la date du BIOS sont également bien paramétrées. Je ne comprends
donc pas trop ce qu'il peut se passer.

Amicalement.

---------------------------
Nathanaël BONIN
CSIM - Bureau 011
Tél : 06.31.61.25.28


-----Message d'origine-----
De : Nicolas Bernard
[mailto:nbernard-openbsd-france-misc-0db344c2cee665147c3f8eb57c6fe87ce7c5b0d1 <at> lafraze.net] 
Envoyé : jeudi 13 août 2009 10:02
À : misc <at> openbsd-france.org
Objet : Re: [obsdfr-misc] Problème avec Pflow + flow-tools

BONIN Nathanaël(BONIN.N <at> mipih.fr) <at> 2009.08.13 09:44:56 +0200 wrote:
> Bonjour,
> 
>  
>
(Continue reading)

Permalink | Reply | 1 comment |
headers
Philippe BEAUMONT | 13 Aug 2009 11:57
Picon

RE: [obsdfr-misc] Problème avec Pflow + flow-tools

Je ne connais pas du tout NetFlow mais à la lecture de ce mail je me pose une question : tu utilise quoi comme
virtualisateur pour tes machines et est ce qu'une mauvaise gestion des horloges dans la machine virtuel
pourrait poser problème.

J'ai déjà vu un linux avoir un comportement étrange dans un qemu suite a un bug sur le cycle d'horloge de la
machine qui la faisait tourner au ralenti. 

Si tu utilise qemu (ou kvm c'est la même chose), as-tu essayé de mettre -noacpi comme option sur t'on
OpenBSD ?

Cordialement,

Philippe BEAUMONT

-----Message d'origine-----
De : BONIN Nathanaël [mailto:BONIN.N@...] 
Envoyé : jeudi 13 août 2009 11:27
À : misc@...
Objet : RE: [obsdfr-misc] Problème avec Pflow + flow-tools

Petite précision par rapport à ce matin. En fait je viens de tester un nouvel outil (à la place de
flow-tools) qui s'appelle nfdump. Le résultat est le même j'obtiens des flux qui viennent du 16/08 (je
suis vraiment fort pour prédire le futur). Je pense donc plutôt un soucis au niveau de mon firewall sous BSD.

Est-ce que quelqu'un aurait des informations supplémentaires à me donner concernant pflow sous
OpenBSD s'il vous plait ?

La date est synchronisée, l'heure et la date du BIOS sont également bien paramétrées. Je ne comprends
donc pas trop ce qu'il peut se passer.
(Continue reading)

Permalink | Reply | 501 comments |
headers
BONIN Nathanaël | 13 Aug 2009 11:59
Picon

RE: [obsdfr-misc] Problème avec Pflow + flow-tools

Ma machine virtuelle est sous VMWARE donc je ne sais pas si cela peut poser problème il faudrait que je
regarde ça... J'y avais pensé, mais bon je ne suis pas sur.

---------------------------
Nathanaël BONIN
CSIM - Bureau 011
Tél : 06.31.61.25.28

-----Message d'origine-----
De : Philippe BEAUMONT [mailto:p.beaumont@...] 
Envoyé : jeudi 13 août 2009 11:57
À : misc@...
Objet : RE: [obsdfr-misc] Problème avec Pflow + flow-tools

Je ne connais pas du tout NetFlow mais à la lecture de ce mail je me pose une question : tu utilise quoi comme
virtualisateur pour tes machines et est ce qu'une mauvaise gestion des horloges dans la machine virtuel
pourrait poser problème.

J'ai déjà vu un linux avoir un comportement étrange dans un qemu suite a un bug sur le cycle d'horloge de la
machine qui la faisait tourner au ralenti. 

Si tu utilise qemu (ou kvm c'est la même chose), as-tu essayé de mettre -noacpi comme option sur t'on
OpenBSD ?

Cordialement,

Philippe BEAUMONT

-----Message d'origine-----
De : BONIN Nathanaël [mailto:BONIN.N@...]
(Continue reading)

Permalink | Reply | 502 comments |
headers
Pierre Riteau | 13 Aug 2009 12:10
Picon
Gravatar

Re: [obsdfr-misc] Problème avec Pflow + flow-tools

2009/8/13 BONIN Nathanaël <BONIN.N@...>:
> Ma machine virtuelle est sous VMWARE donc je ne sais pas si cela peut poser problème il faudrait que je
regarde ça... J'y avais pensé, mais bon je ne suis pas sur.

Tu utilises quelle version de OpenBSD ? Si ce n'est pas -current ça
peut valoir le coup d'essayer :
http://www.openbsd.org/cgi-bin/cvsweb/src/sys/net/if_pflow.c#rev1.11
Permalink | Reply | 7 comments |
headers
BONIN Nathanaël | 13 Aug 2009 12:30
Picon

RE: [obsdfr-misc] Problème avec Pflow + flow-tools

Le problème c'est que je ne trouve pas ce fichier. J'ai tenté avec un find et un locate mais il ne me renvoie
aucun résultat... J'ai cherché un petit peu partout mais impossible de le trouver...

Tu pourrais me dire où le trouver ?

J'utilises un OpenBSD 4.5 :

kern.version=OpenBSD 4.5 (GENERIC) #2052: Sat Feb 28 14:55:24 MST 2009
    deraadt@...:/usr/src/sys/arch/amd64/compile/GENERIC

Merci de ta réponse.

---------------------------
Nathanaël BONIN
CSIM - Bureau 011

-----Message d'origine-----
De : Pierre Riteau [mailto:pierre.riteau@...] 
Envoyé : jeudi 13 août 2009 12:11
À : misc@...
Objet : Re: [obsdfr-misc] Problème avec Pflow + flow-tools

2009/8/13 BONIN Nathanaël <BONIN.N@...>:
> Ma machine virtuelle est sous VMWARE donc je ne sais pas si cela peut poser problème il faudrait que je
regarde ça... J'y avais pensé, mais bon je ne suis pas sur.

Tu utilises quelle version de OpenBSD ? Si ce n'est pas -current ça
peut valoir le coup d'essayer :
http://www.openbsd.org/cgi-bin/cvsweb/src/sys/net/if_pflow.c#rev1.11
(Continue reading)

Permalink | Reply | 6 comments |
headers
Pierre Riteau | 13 Aug 2009 12:34
Picon
Gravatar

Re: [obsdfr-misc] Problème avec Pflow + flow-tools

Tu n'as sans doute pas installé les sources de OpenBSD sur ta machine
virtuelle. Mais de toute façon patcher juste ce fichier n'est pas
recommandé, installe un snapshot plutôt.

2009/8/13 BONIN Nathanaël <BONIN.N@...>:
> Le problème c'est que je ne trouve pas ce fichier. J'ai tenté avec un find et un locate mais il ne me renvoie
aucun résultat... J'ai cherché un petit peu partout mais impossible de le trouver...
>
> Tu pourrais me dire où le trouver ?
>
> J'utilises un OpenBSD 4.5 :
>
> kern.version=OpenBSD 4.5 (GENERIC) #2052: Sat Feb 28 14:55:24 MST 2009
>    deraadt@...:/usr/src/sys/arch/amd64/compile/GENERIC
>
>
> Merci de ta réponse.
>
> ---------------------------
> Nathanaël BONIN
> CSIM - Bureau 011
>
>
> -----Message d'origine-----
> De : Pierre Riteau [mailto:pierre.riteau@...]
> Envoyé : jeudi 13 août 2009 12:11
> À : misc@...
> Objet : Re: [obsdfr-misc] Problème avec Pflow + flow-tools
>
> 2009/8/13 BONIN Nathanaël <BONIN.N@...>:
(Continue reading)

Permalink | Reply | 5 comments |
headers
Julien Escario | 13 Aug 2009 12:37

Re: Problème avec Pflow + flow-tools

Salut,

BONIN Nathanaël a écrit :
>Le résultat est le même j'obtiens des flux qui viennent du 16/08 (je suis vraiment fort pour prédire le futur).

Pratique pour prévoir des attaques et les prévenir !
Je prend la techno, tu fais un howto ?

Julien
Permalink | Reply | 0 comments |

Gmane