forum.opennet.ru - "Переброс порта и логирование" (7)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Переброс порта и логирование"

Форумы Информационная безопасность (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Переброс порта и логирование"
Сообщение от Floy (ok) on 10-Мрт-09, 22:04
Freebsd 7.1, pf. Правилом перебросил rdp на внутренюю машину в сети. Работает все замечательно ... Хотелось бы логировать кто (ip) и когда заходил или пробывал заходить на rdp. Возможно ли это ?
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Переброс порта и логирование, reader, 17:17 , 11-Мрт-09, (1)

Переброс порта и логирование, Floy, 22:15 , 11-Мрт-09, (2)

Переброс порта и логирование, reader, 11:47 , 12-Мрт-09, (3)

Переброс порта и логирование, Floy, 13:21 , 12-Мрт-09, (4)

Переброс порта и логирование, reader, 20:35 , 12-Мрт-09, (5)
Переброс порта и логирование, angra, 01:16 , 13-Мрт-09, (6)

Переброс порта и логирование, reader, 10:20 , 13-Мрт-09, (7)

Сообщения по теме [Сортировка по времени | RSS]

1. "Переброс порта и логирование"

Сообщение от reader (ok) on 11-Мрт-09, 17:17

>Freebsd 7.1, pf. Правилом перебросил rdp на внутренюю машину в сети. Работает
>все замечательно ... Хотелось бы логировать кто (ip) и когда заходил
>или пробывал заходить на rdp. Возможно ли это ?
в pf есть же log

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Переброс порта и логирование"

Сообщение от Floy (ok) on 11-Мрт-09, 22:15

>>Freebsd 7.1, pf. Правилом перебросил rdp на внутренюю машину в сети. Работает
>>все замечательно ... Хотелось бы логировать кто (ip) и когда заходил
>>или пробывал заходить на rdp. Возможно ли это ?
>
>в pf есть же log
а попроще что нить есть ? тривиально как нить: время ип
tcpdump я тож могу смареть и писать в файл ... но очень много инфы .

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Переброс порта и логирование"

Сообщение от reader (ok) on 12-Мрт-09, 11:47

>>>Freebsd 7.1, pf. Правилом перебросил rdp на внутренюю машину в сети. Работает
>>>все замечательно ... Хотелось бы логировать кто (ip) и когда заходил
>>>или пробывал заходить на rdp. Возможно ли это ?
>>
>>в pf есть же log
>
>а попроще что нить есть ? тривиально как нить: время ип
>tcpdump я тож могу смареть и писать в файл ... но очень
>много инфы .
наверно очень трудно составить правило отлавливающее только первый пакет, его и логировать

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Переброс порта и логирование"

Сообщение от Floy (ok) on 12-Мрт-09, 13:21

>[оверквотинг удален]
>>>>или пробывал заходить на rdp. Возможно ли это ?
>>>
>>>в pf есть же log
>>
>>а попроще что нить есть ? тривиально как нить: время ип
>>tcpdump я тож могу смареть и писать в файл ... но очень
>>много инфы .
>
>наверно очень трудно составить правило отлавливающее только первый пакет, его и логировать
>
Согласен... Как тогда четко выловить пакеты rdp tcpdump'ом ? Напишу скриптик разбора лога. Спасибо.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Переброс порта и логирование"

Сообщение от reader (ok) on 12-Мрт-09, 20:35

>[оверквотинг удален]
>>>
>>>а попроще что нить есть ? тривиально как нить: время ип
>>>tcpdump я тож могу смареть и писать в файл ... но очень
>>>много инфы .
>>
>>наверно очень трудно составить правило отлавливающее только первый пакет, его и логировать
>>
>
>Согласен... Как тогда четко выловить пакеты rdp tcpdump'ом ? Напишу скриптик разбора
>лога. Спасибо.
Почему tcpdump? Пусть этим занимается pf, там как раз флаги можно проверять и наверняка потом еще и таблицы будите использовать для блокирования шибко шустрых.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Переброс порта и логирование"

Сообщение от angra (ok) on 13-Мрт-09, 01:16

>>наверно очень трудно составить правило отлавливающее только первый пакет, его и логировать
>>
>
>Согласен... Как тогда четко выловить пакеты rdp tcpdump'ом ? Напишу скриптик разбора
>лога. Спасибо.
Судя по всему про сложность была ирония. rdp работает поверх tcp, как следствие по SYN легко вычисляется установка соединения. В pf скорее всего есть что-то более удобное наподобие NEW для соединений.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Переброс порта и логирование"

Сообщение от reader (ok) on 13-Мрт-09, 10:20

>>>наверно очень трудно составить правило отлавливающее только первый пакет, его и логировать
>>>
>>
>>Согласен... Как тогда четко выловить пакеты rdp tcpdump'ом ? Напишу скриптик разбора
>>лога. Спасибо.
>
>Судя по всему про сложность была ирония. rdp работает поверх tcp, как
:)
>следствие по SYN легко вычисляется установка соединения. В pf скорее всего
>есть что-то более удобное наподобие NEW для соединений.
так же как и в других, уважающих себя, пакетных фильтрах - flags S/SA
https://www.opennet.ru/base/net/pf_faq.txt.html

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Переброс порта и логирование"
Сообщение от reader (ok) on 11-Мрт-09, 17:17
>Freebsd 7.1, pf. Правилом перебросил rdp на внутренюю машину в сети. Работает >все замечательно ... Хотелось бы логировать кто (ip) и когда заходил >или пробывал заходить на rdp. Возможно ли это ? в pf есть же log
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Переброс порта и логирование"
	Сообщение от Floy (ok) on 11-Мрт-09, 22:15
	>>Freebsd 7.1, pf. Правилом перебросил rdp на внутренюю машину в сети. Работает >>все замечательно ... Хотелось бы логировать кто (ip) и когда заходил >>или пробывал заходить на rdp. Возможно ли это ? > >в pf есть же log а попроще что нить есть ? тривиально как нить: время ип tcpdump я тож могу смареть и писать в файл ... но очень много инфы .
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Переброс порта и логирование"
	Сообщение от reader (ok) on 12-Мрт-09, 11:47
	>>>Freebsd 7.1, pf. Правилом перебросил rdp на внутренюю машину в сети. Работает >>>все замечательно ... Хотелось бы логировать кто (ip) и когда заходил >>>или пробывал заходить на rdp. Возможно ли это ? >> >>в pf есть же log > >а попроще что нить есть ? тривиально как нить: время ип >tcpdump я тож могу смареть и писать в файл ... но очень >много инфы . наверно очень трудно составить правило отлавливающее только первый пакет, его и логировать
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Переброс порта и логирование"
	Сообщение от Floy (ok) on 12-Мрт-09, 13:21
	>[оверквотинг удален] >>>>или пробывал заходить на rdp. Возможно ли это ? >>> >>>в pf есть же log >> >>а попроще что нить есть ? тривиально как нить: время ип >>tcpdump я тож могу смареть и писать в файл ... но очень >>много инфы . > >наверно очень трудно составить правило отлавливающее только первый пакет, его и логировать > Согласен... Как тогда четко выловить пакеты rdp tcpdump'ом ? Напишу скриптик разбора лога. Спасибо.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Переброс порта и логирование"
	Сообщение от reader (ok) on 12-Мрт-09, 20:35
	>[оверквотинг удален] >>> >>>а попроще что нить есть ? тривиально как нить: время ип >>>tcpdump я тож могу смареть и писать в файл ... но очень >>>много инфы . >> >>наверно очень трудно составить правило отлавливающее только первый пакет, его и логировать >> > >Согласен... Как тогда четко выловить пакеты rdp tcpdump'ом ? Напишу скриптик разбора >лога. Спасибо. Почему tcpdump? Пусть этим занимается pf, там как раз флаги можно проверять и наверняка потом еще и таблицы будите использовать для блокирования шибко шустрых.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Переброс порта и логирование"
	Сообщение от angra (ok) on 13-Мрт-09, 01:16
	>>наверно очень трудно составить правило отлавливающее только первый пакет, его и логировать >> > >Согласен... Как тогда четко выловить пакеты rdp tcpdump'ом ? Напишу скриптик разбора >лога. Спасибо. Судя по всему про сложность была ирония. rdp работает поверх tcp, как следствие по SYN легко вычисляется установка соединения. В pf скорее всего есть что-то более удобное наподобие NEW для соединений.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Переброс порта и логирование"
	Сообщение от reader (ok) on 13-Мрт-09, 10:20
	>>>наверно очень трудно составить правило отлавливающее только первый пакет, его и логировать >>> >> >>Согласен... Как тогда четко выловить пакеты rdp tcpdump'ом ? Напишу скриптик разбора >>лога. Спасибо. > >Судя по всему про сложность была ирония. rdp работает поверх tcp, как :) >следствие по SYN легко вычисляется установка соединения. В pf скорее всего >есть что-то более удобное наподобие NEW для соединений. так же как и в других, уважающих себя, пакетных фильтрах - flags S/SA https://www.opennet.ru/base/net/pf_faq.txt.html
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]