Re: Logowanie połączeń

["Mariusz Sielicki" <mariusz.sielicki@gmail.com>]

W dniu 6 października 2008 10:39 użytkownik Dariusz Michałek
<darek@biuinf.pl> napisał:
> Jest sieć z kilkunastoma komputerami i chcę logować polączenia userów jakie
> połączenia nawiązywali. W tej sieci nie ma proxy, wiec sarg i tego typu
> odpada.
>
>
> Mariusz Sielicki pisze:
>>
>> W dniu 6 października 2008 08:15 użytkownik Dariusz Michałek
>> <darek@biuinf.pl> napisał:
>>
>>>
>>> Witam!
>>>
>>> Jak rozwiązujecie problem logowania połączeń ?
>>>
>>
>> A co dokladniej chcesz logowac?
>> Polaczenia na poziomie pakietow? (iptables -j LOG ?)
>> Polaczenia na poziomie jakiejs konkretnej aplikacji?
>>
>> Pozdrawiam
>> Mariusz Sielicki
>>
>>
>>
>>>
>>> pozdrawiam
>>>
>>>
>>> --
>>> To UNSUBSCRIBE, email to debian-user-polish-REQUEST@lists.debian.org
>>> with a subject of "unsubscribe". Trouble? Contact
>>> listmaster@lists.debian.org
>>>
>>>
>>>
>
>
> --
> To UNSUBSCRIBE, email to debian-user-polish-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmaster@lists.debian.org
>
>

Jezeli chcesz logowac polaczenia www to:

iptables -A forward -s <siec_lokalna> -o <interfejs_do_netu> -p tcp
--dport 80 -j LOG

Taka linijka powoduje logowanie wszystkich pakietow wychodzacych z
sieci lokalnej do netu na port 80 (czyli www).
Podobnie trzeba zrobic dla innych portow (np. https, ftp). Logi
trafiaja do sysloga.

Wpis w logu ma postac:
[IPTABLES DROP] : IN=ppp0 OUT= MAC= SRC=172.186.2.157
DST=193.253.186.217 LEN=36 TOS=0x00 PREC=0x00 TTL=115 ID=4775
PROTO=ICMP TYPE=8 CODE=0 ID=512 SEQ=3663
czyli masz w nim host docelowy i zrodlowy, protokol, port itd.

Do analizowania mozesz uzyc: IPTables log analyzer
http://www.gege.org/iptables/


Pozdrawiam
Mariusz