The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
Ipfw логирование таблицы NAT, !*! Eytukan, 03-Авг-12, 12:36  [смотреть все]
Имеем шлюз FreeBSD (ipfw kernel nat) за ним локалка, которая ходит в инет через NAT. Какие есть решения по реализации логирования NAT соединений?

например: 10:00:00 AM 192.160.0.2:50000 -> 222.222.222.222:10000

Ответить | Сообщить модератору
  • Ipfw логирование таблицы NAT, !*! 1, 12:49 , 03-Авг-12 (1)
    > Имеем шлюз FreeBSD (ipfw kernel nat) за ним локалка, которая ходит в
    > инет через NAT. Какие есть решения по реализации логирования NAT соединений?
    > например: 10:00:00 AM 192.160.0.2:50000 -> 222.222.222.222:10000

    ipfw nat 1 config ip x.x.x.x log

    /var/log/security

    Ответить | Сообщить модератору
    • Ipfw логирование таблицы NAT, !*! Eytukan, 12:58 , 03-Авг-12 (2)
      >> Имеем шлюз FreeBSD (ipfw kernel nat) за ним локалка, которая ходит в
      >> инет через NAT. Какие есть решения по реализации логирования NAT соединений?
      >> например: 10:00:00 AM 192.160.0.2:50000 -> 222.222.222.222:10000
      > ipfw nat 1 config ip x.x.x.x log
      > /var/log/security

      нет батенька, ipfw nat config log параметр предписывает включение накопления внутренней статистики по количеству и типу активных соединений.

      Ответить | Сообщить модератору
      • Ipfw логирование таблицы NAT, !*! Pahanivo, 13:21 , 03-Авг-12 (3)
        >>> Имеем шлюз FreeBSD (ipfw kernel nat) за ним локалка, которая ходит в
        >>> инет через NAT. Какие есть решения по реализации логирования NAT соединений?
        >>> например: 10:00:00 AM 192.160.0.2:50000 -> 222.222.222.222:10000
        >> ipfw nat 1 config ip x.x.x.x log
        >> /var/log/security
        > нет батенька, ipfw nat config log параметр предписывает включение накопления внутренней
        > статистики по количеству и типу активных соединений.

        netflow с внутреннего интерфейса (это если я правильно понял и тебе нато не таблицу ната снять, а именно сесси изнутри локалки наружу)

        Ответить | Сообщить модератору
  • Ipfw логирование таблицы NAT, !*! XoRe, 14:32 , 03-Авг-12 (4)
    tcpdump -p -q -n -nn -i <внутренний интерфейс> 'tcp and tcp[tcpflags] & (tcp-syn) != 0 and not dst 192.168.0.0/16' > /var/log/nat.log &

    Вместо 192.168.0.0/16 впишите вашу сетку.

    либо:

    sysctl net.inet.ip.fw.verbose_limit 0
    ipfw add ... from any to not me via <внутренний интерфейс> log

    http://www.lissyara.su/doc/docs/handbook_-_ipfw/

    log или logamount
       Когда пакет совпадает с правилом, с ключевым словом “log”, сообщение будет сохранено syslog'ом в логе с именем SECURITY. Протоколирование только произойдет если количество пакетов которые будут запротоколированы для определенного правила не превысит параметр logamount. Если logamount не определен, лимит берется из переменной в sysctl - net.inet.ip.fw.verbose_limit. В обоих случаях значение ноль удаляет лимит логов. Тогда когда лимит будет достигнут, протоколирование можно будет запустить заново, очистив счетчик протоколирования, или счетчик пакетов для этого правила. Смотрите команду сброса логов ipfw.
       Примечание: Протоколирование завершается после того, как состояние всех других пакетов будет успешно подтверждено и перед выполнением заключительного действия (“accept”, “deny”) над пакетом. Вам решать какое правило вы хотите протоколировать.

    либо:

    netflow (можно через ng_netflow)

    P.S. мне больше нравится вариант с ipfw

    Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру