У меня есть коробка с Mikrotik RouterOS, которая настроена для прозрачного веб-проксирования, как описано Вот.
Короче говоря, это означает, что у меня есть правило брандмауэра для NAT назначения, из-за которого любой трафик порта 80 перенаправляется на порт 8080 на маршрутизаторе, который принимается локальным веб-прокси Mikrotik. Затем локальный веб-прокси делает веб-запрос от имени клиента, в данном случае родительскому веб-прокси-серверу (который, в свою очередь, выполняет настоящий веб-запрос).
Мой вопрос: как этот двухэтапный процесс будет отражен в журнале регистрации информации о потоке трафика (netflow)?
Глядя на зарегистрированную информацию, что я кажется видеть это:
Исходный запрос, сделанный клиентом к порту 80, не записывается.
Я хочу написать код для анализа использования трафика, поэтому я хочу быть уверен, что не потеряю информацию, если откажусь от последнего из них.
Вы можете проверить URL-адреса, переданные в HTTP-запросах. Если URL-адреса между двумя потоками совпадают, потоки просто дублируются, и вы можете просто отказаться от одного из них. Как вы сказали, первый поток более значим для вас, потому что он сообщает IP-адрес клиента.