Обычно в качестве netflow коллектора под управлением настоящей системы  используют пакет nfsen. Всё хорошо и красиво, если получится собрать его из портов, или, на худой конец, установить из пакетов. На практике даже на чистом свежем релизе это получается не всегда, а на какой нибудь , поставленной 5 лет назад FreeBSD 6.x это практически нереально. Что же делать? Примирится с отсутствием нормальной статистики и опять погружаться в начало века и счетчика ipfw? Ни в коем случае, поскольку помимо одоробличного и капризного nfsen есть более демократичный и гуманный пакет flow-tools. Собираем прямо из портов:

 

 

Сам коллектор называет flow-capture и запускается следующим образом:

 

 

Указываем имя pid-файла, способ названия директорий, рабочую директорию, версию netflow, количество дампов в сутки минус один, IP адрес разрешенного сенсора и IP адрес и UDP порт коллектора.

 Получаем иерархическую структуру вида /usr/home/netflow/2011/2011-07/2011-07-26 и файлы вида ft-v05.2011-07-26.232501+0300.

 По сравнению с nfcapd из пакета nfsen есть недостаток – невозможно после каждого дампа запустить внешний обработчик. 

Создаем файл /usr/local/etc/flow-tools/flow.acl и пишем там строку

 

 

Назвать acl с цифры нельзя. Обрабатываем дамп с помощью утилит flow-cat flow-filter и flow-scan, находя весь входящие и исходящие flow для нужного IP-адреса, например вот так:

 

 

Для агрегации необходимо указать утилите flow-stat формат 15

 

Вот, собственно, вкратце и весь каркас биллинга . В дальнейшем проведем сравнение nfdump и flow-filter/flow-stat по скорсоти работы.