Netflow: nfsen + nfdump en Debian (1)

linux

Otra entrada que es un apunte para recordar la instalación / configuración.

Netflow, es un protocolo creado por cisco y usado por varios fabricantes, para exportar fuera del router / firewall, el detalle del tráfico…. de esta manera, tendremos un histórico para hacer accounting, ver ataques y en definitiva, para tener controlado todo un poco en nuestros routers.

Existen herramientas de pago fantásticas, tipo Netflow Analyzer, pero su precio, hace que nos lo pensemos bien si lo queremos tener en casa, para jugar o una pequeña empresa, así­ que, la alternativa libre, pasa por usar nfsen (frontend) y nfdump.

Partimos de la base de una debian recién instalada …

Instalamos unas dependencias básicas:

# apt-get install gcc make flex librrd-dev mtr htop autoconf bison
# apt-get install apache2 libapache2-mod-php5 php5-common libmailtools-perl rrdtool librrds-perl
# apt-get install rrdtool libio-socket-ssl-perl
# perl -MCPAN -e 'install Socket6'

Descargamos en /usr/src el programa para compilarlo:

wget -c https://sourceforge.net/projects/nfdump/files/stable/nfdump-1.6.12/nfdump-1.6.12.tar.gz/download

Descomprimes…

# tar -zxvf nfdump-1.6.12.tar.gz

Install….

#./configure --enable-nfprofile
# make
# make install

Una vez instalado, vamos por el nfsen….. descargamos la última versión disponible

wget -c https://downloads.sourceforge.net/project/nfsen/stable/nfsen-1.3.6p1/nfsen-1.3.6p1.tar.gz?r=https%3A%2F%2Fsourceforge.net%2Fprojects%2Fnfsen%2Ffiles%2Fstable%2Fnfsen-1.3.6p1%2F&ts=1415459147&use_mirror=heanet

Descomprimimos nfsen….


# tar -zxvf nfsen-1.3.6p1.tar.gz

Yo, suelo crearme un directorio para tener ordenados los ficheros y me suelo copiar la instalación del nfsen allí­:

# mkdir /etc/nfsen
# mv /usr/src/nfsen-1.3-6p1 /etc/nfsen

Nos creamos el fichero de configuración para nuestros cacharros..

# cd /etc/nfsen
# cp nfsen-dist.conf nfsen.conf

Editamos / cambiamos unos valores y añadimos nuestro primer dispositivo:


# nano /etc/nfsen/nfsen.php

# BASEDIR unrelated vars:
#
# Run nfcapd as this user
# This may be a different or the same uid than your web server.
# Note: This user must be in group $WWWGROUP, otherwise nfcapd
# is not able to write data files!
$USER = "www-data";

# user and group of the web server process
# All netflow processing will be done with this user
$WWWUSER = "www-data";
$WWWGROUP = "www-data";

%sources = (
'asav254' => { 'port' => '9995', 'col' => '#0000ff', 'type' => 'netflow' },
);

Añadimos un link simbólico para /var/www y cambiamos permisos…


# ln -s /var/www/nfsen/nfsen.php /var/www/nfsen/index.php
# chown -R www-data:www-data /data/nfsen
# chown -R www-data:www-data /var/www/nfsen

Creamos el directorio para almacenar:

# mkdir -p /data/nfsen
# /var/www/nfsen/install.pl /etc/nfsen/nfsen.conf

Añadimos al inicio el nfsen:

# ln -s /data/nfsen/bin/nfsen /etc/init.d/nfsen
# update-rc.d nfsen defaults 20

Y lo iniciamos:

# /etc/init.d/nfsen start

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.