Мониторинг трафика с помощью NetFlow на OPNSense

Задача:

Настроить отчеты по сетевым службам и адресам

---------------------------------------------------------------

NetFlow – технология и сетевой протокол для снятия сетевой статистики с сетевых интерфесов маршрутизаторов. NetFlow разработан Cisco и является де-факто промышленным стандартом, поддерживаемым сетевым оборудованием Cisco, Juniper и Unix-подобными системами.

(C) wikipedia

Для настройки NetFlow заходим в Reporting > NetFlow

• Listening interfaces – выбираем все доступные интерфейсы. Это все интерфейсы, с которых хотите собирать данные
• WAN interfaces – выбераем только WAN-интерфейсы. Это предотвратит повторный подсчет натированного трафика
• Capture local – включаем локальный захват пакетов, для возможности анализа локального трафика
• Version – выбираем версию 9, так как версия 5 не поддерживает IPv6.
• Destinations – Оставляем поле пустым. Оно автоматически заполнится, так как мы отметили Capture local

Как видим, после сохранения добавился адрес: 127.0.0.1:2056

Архитектура NetFlow предполагает три роли:

• сенсор – для сбора статистики проходящего через него трафика.
• коллектор – нужен для сбора полученной от сенсора статистики.
• анализатор – необходим для анализа собранных коллектором данные и формирования отчётов

OPNSense включаем в себя три роли NetFlow и использует анализатор Insight. При необходимости можно экспортировать данные о потоках во внешние коллекторы.

• FlowSourceAddrTotals – Суммарные данные по IP-адресу источника
• FlowInterfaceTotals – Суммарные данные по интерфейсу
• FlowDstPortTotals – Суммарные данные по порту назначения
• FlowSourceAddrDetails – Полные данные по IP-адресу источника

Примеры статистики:

Отчет по наиболее популярным сетевым службам и IP-адресам назначения

Также присутствует детализированный отчёт с возможностью фильтрации