headers
BONIN Nathanaël | 13 Aug 2009 11:59
Picon

RE: [obsdfr-misc] Problème avec Pflow + flow-tools

Ma machine virtuelle est sous VMWARE donc je ne sais pas si cela peut poser problème il faudrait que je
regarde ça... J'y avais pensé, mais bon je ne suis pas sur.

---------------------------
Nathanaël BONIN
CSIM - Bureau 011
Tél : 06.31.61.25.28

-----Message d'origine-----
De : Philippe BEAUMONT [mailto:p.beaumont@...] 
Envoyé : jeudi 13 août 2009 11:57
À : misc@...
Objet : RE: [obsdfr-misc] Problème avec Pflow + flow-tools

Je ne connais pas du tout NetFlow mais à la lecture de ce mail je me pose une question : tu utilise quoi comme
virtualisateur pour tes machines et est ce qu'une mauvaise gestion des horloges dans la machine virtuel
pourrait poser problème.

J'ai déjà vu un linux avoir un comportement étrange dans un qemu suite a un bug sur le cycle d'horloge de la
machine qui la faisait tourner au ralenti. 

Si tu utilise qemu (ou kvm c'est la même chose), as-tu essayé de mettre -noacpi comme option sur t'on
OpenBSD ?

Cordialement,

Philippe BEAUMONT

-----Message d'origine-----
De : BONIN Nathanaël [mailto:BONIN.N@...] 
Envoyé : jeudi 13 août 2009 11:27
À : misc@...
Objet : RE: [obsdfr-misc] Problème avec Pflow + flow-tools

Petite précision par rapport à ce matin. En fait je viens de tester un nouvel outil (à la place de
flow-tools) qui s'appelle nfdump. Le résultat est le même j'obtiens des flux qui viennent du 16/08 (je
suis vraiment fort pour prédire le futur). Je pense donc plutôt un soucis au niveau de mon firewall sous BSD.

Est-ce que quelqu'un aurait des informations supplémentaires à me donner concernant pflow sous
OpenBSD s'il vous plait ?

La date est synchronisée, l'heure et la date du BIOS sont également bien paramétrées. Je ne comprends
donc pas trop ce qu'il peut se passer.

Amicalement.

---------------------------
Nathanaël BONIN
CSIM - Bureau 011
Tél : 06.31.61.25.28

-----Message d'origine-----
De : Nicolas Bernard
[mailto:nbernard-openbsd-france-misc-0db344c2cee665147c3f8eb57c6fe87ce7c5b0d1@...] 
Envoyé : jeudi 13 août 2009 10:02
À : misc@...
Objet : Re: [obsdfr-misc] Problème avec Pflow + flow-tools

BONIN Nathanaël(BONIN.N@...) <at> 2009.08.13 09:44:56 +0200 wrote:
> Bonjour,
> 
>  
> 
> J'utilise actuellement pour faire des tests une machine virtuelle installée sous OpenBSD jouant le
rôle de routeur et qui envoie des paquets NetFlow et j'ai une machine installée sous Debian Lenny
32-bits (virtuelle également) qui reçoit ces paquets Netflow et qui les traite avec le paquet
flow-tools (la dernière en date).
> 
>  
> 
> Sous OpenBSD j'utilise donc l'interface pflow qui est configurée de la manière suivante :
> 
>  
> 
> ifconfig pflow0 flowsrc  <at> deMonFirewall flowdst  <at> deMaDebian :portEcoute
> 
>  
> 
> Par défaut, pflow utilise la version 5 du protocole NetFlow.
> 
>  
> 
> Du côté de mon Collecteur NetFlow (Debian), je reçois bien l'intégralité des paquets que m'envoie
le firewall cependant le timestamp dans les fichiers créés n'est pas bon. En effet, pour donner un
exemple, nous sommes aujourd'hui le 13/08/2009 et j'ai reçu un fichier à 09:10. Voilà ce que la
commande flow-print me retourne :
> 
>  
> 
> 0816.02:38:24.871 0816.02:39:31.871 0     10.31.0.246     138   0     10.31.255.255   138   17  0  1          245
> 
> 0816.02:38:26.871 0816.02:39:31.871 0     10.31.0.74      138   0     10.31.255.255   138   17  0  1          264
> 
> 0816.02:38:27.871 0816.02:39:32.871 0     10.31.30.87     138   0     10.31.255.255   138   17  0  1          251
> 
> 0816.02:38:27.871 0816.02:39:32.871 0     10.31.0.138     138   0     10.31.255.255   138   17  0  1          238
> 
> 0816.02:38:28.871 0816.02:39:32.871 0     10.31.0.44      138   0     10.31.255.255   138   17  0  1          262
> 
> 0816.02:38:29.871 0816.02:39:32.871 0     10.31.1.64      137   0     10.31.255.255   137   17  0  1          78
> 
> 0816.02:38:54.871 0816.02:39:34.871 0     10.31.30.113    137   0     10.31.255.255   137   17  0  17         1326
> 
> 0816.02:38:55.871 0816.02:39:34.871 0     10.31.0.175     137   0     10.31.255.255   137   17  0  3          234
> 
>  
> 
> Il me dit que j'ai reçu des paquets provenant du 16/08 à 02 :38, alors j'ai peut être inventé les paquets
du futur mais bon^^. Plus sérieusement je ne sais pas de quel côté se situe le problème étant donné
que j'ai synchronisé mes 2 machines avec NTP et qu'elles sont toutes les 2 à la même heure.
> 
>  
> 
> Est-ce que quelqu'un aurait une idée d'où pourrait venir mon problème ?

Je ne sais pas si c'est toujours le cas, mais flow-print avait des
problèmes avec les systèmes
64-bits. Cf. http://mailman.splintered.net/pipermail/flow-tools/2004-December/002501.html

Amicalement,
N.

________________________________
French OpenBSD mailing list
misc@...
http://www.openbsd-france.org/ml

________________________________
French OpenBSD mailing list
misc@...
http://www.openbsd-france.org/ml
Permalink | Reply |

Gmane