Ahora vamos a añadir una capa más…. pmacct.
Pmacct será el enlace entre cacti y los flows de los dispositivos… usaremos nfsen para controlar tráfico y ataques.
Descargamos y descomprimimos pmacct:
# cd /usr/src
# wget -c https://www.pmacct.net/pmacct-1.5.0.tar.gz
# tar -zxvf pmacct-1.5.0.tar.gz
Creamos el directorio de instalación:
# mkdir /etc/pmacct
Y instalamos
Una vez instalado, vamos a configurar lo que nos interesa de pmacct, que más tarde, enlazaremos con cacti.
# nano /etc/pmacct.conf
debug: true
daemonize: true
nfacctd_port: 9996
pidfile: /var/run/nfacctd.pid
plugin_buffer_size: 80524
plugin_pipe_size: 18052324
networks_file: /etc/pmacct/nfacctd.hosts
plugins: memory[in], memory[out]
aggregate[in]: dst_host
aggregate[out]: src_host
imt_path[in]: /tmp/in.pipe
imt_path[out]: /tmp/out.pipe
En el fichero nfacctd.hosts, añadimos las ip’s / rangos que nos interese tener en detalle…
# nano /etc/pmacct/nfacctd.hosts
1.1.1.1/32
1.1.1.2/32
..
...
Lanzamos pmacct….
root@testflow:/etc/pmacct/sbin# ./nfacctd -D -f /etc/pmacct/pmacct.conf
Para comprobar que estamos escuchando correctamente:
root@testflow:/etc/pmacct/bin# netstat -putan | grep 9996
udp 0 0 0.0.0.0:9996 0.0.0.0:* 17799/nfacctd: Core
y que recogemos flows:
root@testflow:/etc/pmacct/bin# ./pmacct -s -p /tmp/out.pipe
root@testflow:/etc/pmacct/bin# ./pmacct -s -p /tmp/in.pipe
Y ahora comprobamos si hace accounting de las ip’s en concreto:
root@testflow:/etc/pmacct/bin# ./pmacct -c dst_net -N 1.1.1.1 -p /tmp/in.pipe
7254628
root@testflow:/etc/pmacct/bin#
Y vemos cómo ya nos muestra tráfico en bytes 🙂
jueves, noviembre 21, 2024