如何使用pfflowd从pfSense导出Netflow数据

山姆是一家算法交易公司的网络分析师。他获得了UMKC的信息技术学士学位。

了解通过网络设备的流量的数量和类型对于排除网络问题、定位占用带宽的设备和对流量进行分类非常有用。

NetFlow是一种协议，它允许网络设备将通过它的数据的信息传输到在网络上远程位置运行的分析仪。

该数据包含多个信息，包括源和目的IP地址、使用的协议和端口号

pfflowd允许pfSense系统以标准NetFlow格式导出PF状态消息。

通过使这些数据以标准格式提供，您可以利用许多不同的NetFlow分析器。

安装pfflowd软件包

如果要从pfSense导出NetFlow数据，必须先安装pfflowd包。可以通过访问在系统菜单中找到的包管理器来安装包。

找到pfflowd包并单击它旁边的加号按钮开始安装。

配置pfflowd

安装完成后，需要配置包。pfflow的配置页面可以在web界面的服务菜单下找到。

宿主—输入接收NetFlow流量数据的计算机的IP地址。这是您希望从其中运行NetFlow分析器客户机的位置。

港口-此设置控制NetFlow数据报的目的UDP端口。大多数客户端默认使用2205端口，所以在大多数情况下，应该输入这个端口。

源主机名/ IP-这个设置控制pfSense系统将使用哪个接口发送NetFlow数据包。通常，您需要输入pfSense框的LAN接口的IP地址。您可以在“状态/接口”菜单中找到IP。

pfSense规则方向约束—保留此设置为any以捕获两个方向的流量。如果需要，您可以捕获一个方向的流量。

NetFlow版本-大多数客户端应该支持版本9。如果你是NetFlow分析器只支持旧版本，你可以配置它与此设置。

保存设置后，pfflow将开始向设置中指定的目的IP地址发送NetFlow数据包。

启用SNMP

大多数NetFlow客户端利用SNMP来确认与主机的连接，因此我建议在启动分析器客户端之前启用SNMP。

在“服务/SNMP”页面进入“设置”页面修改配置。

1.单击“启用”复选框开启SNMP服务。

2.使用实例设置只读团体字。这实际上是一个通过SNMP访问pfSense的密码。

3.单击save以应用更改。

查看NetFlow数据

此时pfSense被配置为实时流NetFlow数据到之前配置的IP地址。

有几种NetFlow分析器可供使用。SolarWinds提供了一个免费实时流量分析仪这个工作做得很好。

下载并安装SolarWinds分析仪后，单击工具菜单，然后选择添加NetFlow设备。

输入运行pfflowd的pfSense机器的IP地址，以及与系统上的字符串匹配的SNMP团体字。

选择捕获接口

如果上一步成功，您应该看到一个连接到运行pfflowd的pfSense系统的接口列表。

要开始流捕获会话，请选择您感兴趣的接口并单击开始流捕获按钮。

在大多数情况下，您可能希望从LAN接口捕获数据，但在某些情况下，WAN数据也很有用。

在“状态/接口”菜单中可以找到与LAN和WAN接口相关联的接口名称。

NetFlow数据分析

一旦捕获开始，分析器将开始在您选择的接口上显示通过pfSense的流量的数据。

SolarWinds分析器可以将流量分解为应用程序、会话、域、端点和协议。捕获的数据还可以保存和下载，以便以后进行分析。

更深入的研究

希望本文能让您了解pfflowd和NetFlow数据的多种用法。NetFlow不输出整个数据包，但对于解决高度复杂的网络问题来说，这是一个糟糕的选择。

如果您确实需要捕获完整的以太网帧，您可以在pfSense上直接运行Wireshark以及下载了进行离线分析。

就作者所知，这篇文章是准确而真实的。内容仅用于信息或娱乐目的，不替代个人咨询或商业、金融、法律或技术问题的专业意见。

©2013 Sam Kear

评论

英雄2018年1月1日:

Pfsense 2.4.1与ManageEngine Netflow一起工作很好

是免费的吗?????

Ratanak2017年12月15日:

Pfsense 2.4.1与ManageEngine Netflow一起工作很好

snailkhan2015年11月22日:

谢谢你的文章。我尝试在pfsense 2.2.5上跟踪它，它没有pfflowd，但软流。我试图配置它，但当我开始捕捉在任何接口上的实时分析仪，它说netflow没有启用..

能否将文章更新到pfsense 2.2.5 ?

这是我在pfsense论坛上关于它的帖子。

https://forum.pfsense.org/index.php?topic=102831.m..。

伊诺2014年7月1日:

很有帮助的帖子-谢谢分享!