Debian Linuxでipt-netflowをビルド、構成、および実行します

一般的な情報

• ipt-netflowは、Linux向けの最速のnetflow-sensor（カウンター）です。
• カーネル用とiptables用の2つのモジュールで構成されています。
• 標準のカーネルとiptablesにはまだ含まれていません-ソースからビルドする必要があります！
• Debianの包含について説明します-lists.debian.org/debian-mentors/2011/04/msg00070.htmlおよびbugs.debian.org/cgi-bin/bugreport.cgi?bug=620511を参照してください

システム

• Debian Squeeze（6.0.3）amd64
• バックポートからのカーネル2.6.38（このドキュメントの作成時-最新）

テストシステム上に構築する

• 必要なパッケージをインストールします。
  

    apt-get install -t squeeze-backports linux-headers-2.6.38-bpo.2-amd64
   apt-get install -t squeeze-backports quilt debhelper autotools-dev iptables-dev dkms pkg-config 

  
  
• sourceforge.net/projects/ipt-netflow/files/ipt-netflowをダウンロードして解凍します
• アセンブリシステムにコンパイルしてインストールします。
  

    cd ./ipt_netflow-*
   ./configure
  すべて作る
  インストールする
   depmod 

  
  
• ゲートウェイにインストールするためのアーカイブを作成します。
  

    find / lib -name "* NETFLOW *" |  xargs tar czf \
   / tmp / ipt_netflow-$（modinfo -F version ipt_NETFLOW）-$（uname -r）.tar.gz 

実動システムへのインストール

• アーカイブから展開
  

    tar xzf /tmp/ipt_netflow-*-*.tar.gz -C /
   depmod 

  
  
• 起動オプションを設定します（オプションの完全なリスト）：
  

   エコーオプションipt_NETFLOW destination = 127.0.0.1：9996> /etc/modprobe.d/netflow.conf 

  
  
• ステータスをダウンロードして確認します。
  

    modprobe ipt_NETFLOW
   sysctl -a |  grep net.netflow 

  
  
• センサーを介してトラフィックを開始します。
  

    iptables -A FORWARD -j NETFLOW 

  
  
• カウントを確認します。
  

    iptables -nvLフォワード|  grep NETFLOW
   tcpdump -c5 -npi loポート9996 

  
  
• 起動をオンにします。
  

    echo ipt_NETFLOW >> / etc / modules 

  
  
• カーネルの更新を無効にします。
  

    echo linux-image-2.6.38-bpo.2-amd64 hold |  dpkg --set-selections 

  
  
• コレクターが別のコンピューターにある場合。 モジュールのロード時には、インターフェイスとルーティングがまだ構成されていないため、コレクターとの接続がカーネルエラー101（「宛先未到達」）で失敗する場合があります。 これを回避するには、/ etc / rc.localから接続を再確立します。
  

    f = "/ proc / sys / net / netflow / destination"
   test -e "$ f" && d = "$（cat $ f）" && echo "$ d"> "$ f"