> 1. En effet, le firewall est un simple script iptables. C'est (imho) ce qu'il y a de mieux : clarté, franchise et simplicité :) Et puis ça force à "maîtriser" (un bien grand mot pour moi) le routage linux et netfiler/iptables (mouarf). > 2. J'ai essayé de logguer à la main ce que je souhaitais mais dans le > laps de temps imparti, je n'ai pas réussi à logguer ce que je voulais: > 1 seule ligne par connexion avec l'IP source, l'IP NATée et l'IP de > destination. > J'avoue aussi être affolé par le nombre de connexions ouvertes par la > simple navigation vers une page web. > Faut-il tout conserver ? Je ne connais pas le cahier des charges. Pour une fonction "sarkozy" conforme à la loi de 2006, j'avais creusé à l'époque et ma problématique était surtout d'associer un nom, une personne, avec un trafic (que j'avais résumé aux URL rendues par SQUID). Ca se règle simplement aujourd'hui avec un numéro de tel et un sms renvoyant le code. A l'époque, c'était plus compliqué. Mais j'ai pas eu de souci à l'usage, ça semblait coller (20000 clients environ, sur l'île d'Oléron, de 2007 à 2013). Pour une fonction se limitant à un matériel d'un coté (donc une IP) et à un trafic complet (si j'ai bien suivi), quelque soit le port, ça devient honteux en terme de volume, et j'envisagerai de logguer directement dans un flux compressé - avec seulement, hors de la compression, les clés de recherches - heure, IP, etc...), le tout idéalement dans un babasse gérant les BD temporelles (Postgresql fait ça). Maintenant, ça me semble important à dev, je suppose qu'on devrait trouver du 'tout fait'. > Si oui, comment limiter la masse d'informations ? Oui, effectivement, quand je bricole, j'introduis des limitations dans les logs, histoire de ne pas être submergé... Ta problématique est intéressante. Je commencerais par bien fouiller le web anglophone, regarder comment les "portails captifs WIFI" s'y prennent désormais pour ça (regarde peut-être du coté de Alcazar, c'est un truc français que j'aurais bien aimé avoir dispo à l'époque au lieu d'avoir à tout faire dans mon coin)... > 3. C'est clair que les log de squid peuvent être précieux d'autant > qu'il existe plusieurs outils d'analyse des logs mais est-ce toujours > pertinent avec https quand on ne contrôle pas la configuration des PC ? > Qu'en penses-tu ? D'autant plus que si SQUID te sors des logs propres et exploitables facilement, quid des autres trafics et protocoles... Si tout doit être loggué, ça va être un projet à part entière, à moins que tu ne trouves un "truc tout fait" (et ça m'intéresserait aussi)... > PS: Pas de soucis de ma part pour que la réponse passe par la mailing > list debian. Je me suis fait avoir avec le reply/reply-to-list... Faut absolument que je trouve comment contrer cette "fonctionnalité" de thunderbird (en fonction des headers de telle ou telle liste, le "répondre" réponds à la personne et non pas à la liste :) -- Stéphane Rivière Ile d'Oléron - France
Attachment:
0xD7F43200.asc
Description: application/pgp-keys