Faça com que o NetFlow mostre destinos verdadeiros

Question 1

Presumo que você tenha uma configuração semelhante a esta:

LAN - FW - Roteador ---- Internet

Com NAT no firewall? Nesse caso, não há uma maneira óbvia de obter destinos verdadeiros diretamente no NetFlow, porque, no que diz respeito ao roteador, a única fonte de pacotes é o pool NAT no firewall. Pode ser possível extrair os mapeamentos NAT do firewall regularmente e depois processar os dados do NetFlow, mas suspeito que isso exigiria alguma codificação personalizada e estaria sujeito a erros.

Resumindo, não, acho que você está sem sorte.

Editar:

Se tomarmos algumas liberdades com endereços IP reais: Dentro: 192.168.0.0/24 Pool NAT: 172.27.10.3 - 172.27.10.5

Vamos rastrear um pacote TCP do host interno 192.168.0.17 para o host externo 66.102.9.104

Source IP: 192.168.0.17  [ INSIDE ]
Source port: 16732
Dest IP: 66.102.9.104
Dest port: 80
-------------------
NAT location
-------------------
Source IP: 172.27.10.3   [ OUTSIDE ]
Source port: 16732
Dest IP: 66.102.9.104
Dest port: 80

Eventualmente, um pacote de retorno chega:

Source IP: 66.102.9.104  [ OUTSIDE ]
Source port: 80
Dest IP: 172.27.10.3
Dest port: 16732
-------------------
NAT location
-------------------
Source IP: 66.102.9.104  [ INSIDE ]
Source port: 80
Dest IP: 192.168.0.17
Dest port: 16732

Como o NAT acontece no firewall, o roteador só vê os endereços "externos" e não consegue correlacionar o IP "interno" a qualquer pacote.

Answer

Presumo que você tenha uma configuração semelhante a esta:

LAN - FW - Roteador ---- Internet

Com NAT no firewall? Nesse caso, não há uma maneira óbvia de obter destinos verdadeiros diretamente no NetFlow, porque, no que diz respeito ao roteador, a única fonte de pacotes é o pool NAT no firewall. Pode ser possível extrair os mapeamentos NAT do firewall regularmente e depois processar os dados do NetFlow, mas suspeito que isso exigiria alguma codificação personalizada e estaria sujeito a erros.

Resumindo, não, acho que você está sem sorte.

Editar:

Se tomarmos algumas liberdades com endereços IP reais: Dentro: 192.168.0.0/24 Pool NAT: 172.27.10.3 - 172.27.10.5

Vamos rastrear um pacote TCP do host interno 192.168.0.17 para o host externo 66.102.9.104

Source IP: 192.168.0.17  [ INSIDE ]
Source port: 16732
Dest IP: 66.102.9.104
Dest port: 80
-------------------
NAT location
-------------------
Source IP: 172.27.10.3   [ OUTSIDE ]
Source port: 16732
Dest IP: 66.102.9.104
Dest port: 80

Eventualmente, um pacote de retorno chega:

Source IP: 66.102.9.104  [ OUTSIDE ]
Source port: 80
Dest IP: 172.27.10.3
Dest port: 16732
-------------------
NAT location
-------------------
Source IP: 66.102.9.104  [ INSIDE ]
Source port: 80
Dest IP: 192.168.0.17
Dest port: 16732

Como o NAT acontece no firewall, o roteador só vê os endereços "externos" e não consegue correlacionar o IP "interno" a qualquer pacote.

Question 2

Eu concordo com a resposta anterior. Temos 8 roteadores nos quais monitoro o netflow e este é o método que usei.

Answer

Eu concordo com a resposta anterior. Temos 8 roteadores nos quais monitoro o netflow e este é o método que usei.

Question 3

Já faz um tempo que não brinquei com isso, mas acho que tive um problema semelhante. Se não me falha a memória, tive que dizer ao IOS para referenciar o tráfego da minha interface LAN em vez da minha interface WAN. Obviamente, isso depende da sua topologia, mas acho que o seguinte comando resolveu para mim:

ip flow-export source FastEthernet0/0

Answer

Já faz um tempo que não brinquei com isso, mas acho que tive um problema semelhante. Se não me falha a memória, tive que dizer ao IOS para referenciar o tráfego da minha interface LAN em vez da minha interface WAN. Obviamente, isso depende da sua topologia, mas acho que o seguinte comando resolveu para mim:

ip flow-export source FastEthernet0/0

Faça com que o NetFlow mostre destinos verdadeiros

Responder1

Responder2

Responder3

informação relacionada