- Ipfw логирование таблицы NAT, 1, 12:49 , 03-Авг-12 (1)
> Имеем шлюз FreeBSD (ipfw kernel nat) за ним локалка, которая ходит в > инет через NAT. Какие есть решения по реализации логирования NAT соединений? > например: 10:00:00 AM 192.160.0.2:50000 -> 222.222.222.222:10000 ipfw nat 1 config ip x.x.x.x log /var/log/security
- Ipfw логирование таблицы NAT, Eytukan, 12:58 , 03-Авг-12 (2)
>> Имеем шлюз FreeBSD (ipfw kernel nat) за ним локалка, которая ходит в >> инет через NAT. Какие есть решения по реализации логирования NAT соединений? >> например: 10:00:00 AM 192.160.0.2:50000 -> 222.222.222.222:10000 > ipfw nat 1 config ip x.x.x.x log > /var/log/security нет батенька, ipfw nat config log параметр предписывает включение накопления внутренней статистики по количеству и типу активных соединений.
- Ipfw логирование таблицы NAT, Pahanivo, 13:21 , 03-Авг-12 (3)
>>> Имеем шлюз FreeBSD (ipfw kernel nat) за ним локалка, которая ходит в >>> инет через NAT. Какие есть решения по реализации логирования NAT соединений? >>> например: 10:00:00 AM 192.160.0.2:50000 -> 222.222.222.222:10000 >> ipfw nat 1 config ip x.x.x.x log >> /var/log/security > нет батенька, ipfw nat config log параметр предписывает включение накопления внутренней > статистики по количеству и типу активных соединений.netflow с внутреннего интерфейса (это если я правильно понял и тебе нато не таблицу ната снять, а именно сесси изнутри локалки наружу)
- Ipfw логирование таблицы NAT, XoRe, 14:32 , 03-Авг-12 (4)
tcpdump -p -q -n -nn -i <внутренний интерфейс> 'tcp and tcp[tcpflags] & (tcp-syn) != 0 and not dst 192.168.0.0/16' > /var/log/nat.log &Вместо 192.168.0.0/16 впишите вашу сетку. либо: sysctl net.inet.ip.fw.verbose_limit 0 ipfw add ... from any to not me via <внутренний интерфейс> log http://www.lissyara.su/doc/docs/handbook_-_ipfw/ log или logamount Когда пакет совпадает с правилом, с ключевым словом “log”, сообщение будет сохранено syslog'ом в логе с именем SECURITY. Протоколирование только произойдет если количество пакетов которые будут запротоколированы для определенного правила не превысит параметр logamount. Если logamount не определен, лимит берется из переменной в sysctl - net.inet.ip.fw.verbose_limit. В обоих случаях значение ноль удаляет лимит логов. Тогда когда лимит будет достигнут, протоколирование можно будет запустить заново, очистив счетчик протоколирования, или счетчик пакетов для этого правила. Смотрите команду сброса логов ipfw. Примечание: Протоколирование завершается после того, как состояние всех других пакетов будет успешно подтверждено и перед выполнением заключительного действия (“accept”, “deny”) над пакетом. Вам решать какое правило вы хотите протоколировать. либо: netflow (можно через ng_netflow) P.S. мне больше нравится вариант с ipfw
|