Monitorowanie ruchu w sieci

Serwery i sieci oparte na Slackware, wszelkiego rodzaju usługi, troubleshooting.

Moderatorzy: Moderatorzy, Administratorzy

Dragon
Użytkownik
Posty: 34
Rejestracja: 2005-12-26, 18:00

Monitorowanie ruchu w sieci

Post autor: Dragon »

Siema!
Mam router na slacku.
=> eth0 in
=> eth1 out
Ustawiony forwarding i tym podobne sprawy, adresy przydzielone na sztywno.
Chcialbym miec w logach zapis adresow do ktorych odwoluja sie komputery w sieci. Pamietam kiedys kiedys jak zalgadalem do logow mandrivy to ona domylnie miala taki log ruchu stworzony. To znaczy jaki adres na jaka strone wchodzil. Czy mozna cos takiego zrobic pod slackiem i jak ?
Thx for help :)
Pajaczek
Użytkownik
Posty: 1439
Rejestracja: 2006-08-03, 13:16
Lokalizacja: Winny Gród

Re: Monitorowanie ruchu w sieci

Post autor: Pajaczek »

Ale chodzi Ci o logi dostępu do serwisów na tym serwerze, czy też ruchu hostów lan na adresy globalne??

Podejrzewam, że to co widziałeś w mandrive to to pierwsze. A i w Slacku masz takie logowanie, osobno loguje to apache, osobno proftpd...

Jeśli chodzi Ci jednak o to drugie wyjście... to pozostaje Ci np. zlogowanie wyjścia z tcpdumpa, ale uwaga... bo będą to takie wielkości że musisz przewidzieć odpowiednio pojemną partycję, a najlepiej szybko dzielić i kompresować logi.
Awatar użytkownika
Outlaw
Administrator
Posty: 2862
Rejestracja: 2004-06-29, 22:23
Lokalizacja: eth0
Kontakt:

Re: Monitorowanie ruchu w sieci

Post autor: Outlaw »

Dragon, zapewne chodzi ci o squid + sarg. Dzięki temu zapisywane są wszystkie adresy z internetu do których odwołują się Twoi klienci ;)
Dragon
Użytkownik
Posty: 34
Rejestracja: 2005-12-26, 18:00

Re: Monitorowanie ruchu w sieci

Post autor: Dragon »

Chodzi mi o ruch z sieci lokalnej na internet. Dokładnie chce zapisywac liste adresow ktore sa wywolywane z sieci lokalnej. Pomyslalem o iptables opcja log dla Forward i napisac programik ktory wyluszczy z zapisanych adresow ip ich hosty i usunie duplikaty. Ale napewno da sie to zrobic prosciej.
Czy nie da sie tego jakos wykombinowac best stawiania serwera proxy ?
Awatar użytkownika
Outlaw
Administrator
Posty: 2862
Rejestracja: 2004-06-29, 22:23
Lokalizacja: eth0
Kontakt:

Re: Monitorowanie ruchu w sieci

Post autor: Outlaw »

To co podałem wyżej robi dokładnie to wszystko o czym piszesz. Bez proxy chyba się nie da bo żeby zczytać ruch to musisz go przepuścić przez jakiś 'czytnik' którym jest właśnie squid. Konfiguracja nie jest trudna więc nie ma się czego bać, jakby co to się odezwij.
Pajaczek
Użytkownik
Posty: 1439
Rejestracja: 2006-08-03, 13:16
Lokalizacja: Winny Gród

Re: Monitorowanie ruchu w sieci

Post autor: Pajaczek »

No to przecież napisałem tcpdump, prościej się chyba nie da!! ale kto by tam mnie słuchał??

Kod: Zaznacz cały

tcpdump >> log.txt
i np. w cronie co 12/24 godziny zmiana pliku z logiem. A jak chcesz bardziej szczegółowy log, to tcpdump -v; tcpdump -vv... -vvv
Awatar użytkownika
Outlaw
Administrator
Posty: 2862
Rejestracja: 2004-06-29, 22:23
Lokalizacja: eth0
Kontakt:

Re: Monitorowanie ruchu w sieci

Post autor: Outlaw »

Pajaczek, można to zmodyfikować i wycinać tylko dane dotyczące IP i strony na którą wchodzi ;) Mój sposób jest bardziej przejżysty :) bo w sposób tabelkowo/okienkkowy dostępny przez serwer www :)

Wygląda to mniej więcej tak:
Obrazek
memus
Użytkownik
Posty: 245
Rejestracja: 2005-09-27, 17:17

Re: Monitorowanie ruchu w sieci

Post autor: memus »

Pajaczek pisze:

Kod: Zaznacz cały

tcpdump >> log.txt
nie wydaje Ci sie lekką przesadą ?:)
W przeciwieństwie do squid + sarg ta metoda loguje wszystko ale to wszystko aż do przesady. Lepiej chyba iptables + state NEW oraz flaga fin w przypadku tcp.
Pajaczek
Użytkownik
Posty: 1439
Rejestracja: 2006-08-03, 13:16
Lokalizacja: Winny Gród

Re: Monitorowanie ruchu w sieci

Post autor: Pajaczek »

No wiecie... wszystko jest jakimś kompromisem pomiędzy prostotą, funkcjonalnością, wymogami i dostępnymi środkami.

A czy przesada... no co Ty. Przesadą było by tcpdump -vvv ;)
Dragon
Użytkownik
Posty: 34
Rejestracja: 2005-12-26, 18:00

Re: Monitorowanie ruchu w sieci

Post autor: Dragon »

Pomysł ze squidem jest wdeche. Tylko mam problemy z konfiguracja. Wygrzebałem jak zrobic zeby byl transparentny ale nie umiem go dobrze skonfigurowac.
Awatar użytkownika
Spaulding
Użytkownik
Posty: 564
Rejestracja: 2005-07-17, 14:59
Lokalizacja: Chełm
Kontakt:

Re: Monitorowanie ruchu w sieci

Post autor: Spaulding »

Dragon pisze:Wygrzebałem jak zrobic zeby byl transparentny ale nie umiem go dobrze skonfigurowac.
moze czas zatrudnic administratora? btw. na trzepak.pl bylo tego od zaje**nia, dżast sercz ;)
Ostatnio zmieniony 2009-02-16, 19:23 przez Spaulding, łącznie zmieniany 1 raz.
Powered By:
funtoo, openbox, mc, ekg2, git, ssh...
(very unstable packages but stable system :>)
memus
Użytkownik
Posty: 245
Rejestracja: 2005-09-27, 17:17

Re: Monitorowanie ruchu w sieci

Post autor: memus »

p1r4te pisze:moze czas zatrudnic administratora?
To zdanie również często na trzepaku się pojawia ;p
Awatar użytkownika
Spaulding
Użytkownik
Posty: 564
Rejestracja: 2005-07-17, 14:59
Lokalizacja: Chełm
Kontakt:

Re: Monitorowanie ruchu w sieci

Post autor: Spaulding »

memus, widocznie cos z tego prawdy jest ;) ale niektore pytania na trzepaku mnie rozbrajaja... ;)
Powered By:
funtoo, openbox, mc, ekg2, git, ssh...
(very unstable packages but stable system :>)
misczu
Użytkownik
Posty: 1
Rejestracja: 2009-01-30, 01:33

Re: Monitorowanie ruchu w sieci

Post autor: misczu »

witam,
zamiast tego tcpdumpa, polecam inny sniffer - tcpflow, będziesz miał wygodniejszy wgląd do wszystkiego co przepływa na poziomie warstwy aplikacji i nie musisz się ograniczać jak w przypadku squida tylko do ruchu www (a co ze sniffowaniem maili i haseł?:P)
pozdrawiam
Awatar użytkownika
bojleros
Użytkownik
Posty: 785
Rejestracja: 2005-08-29, 11:12
Lokalizacja: z widokem na familoki :)

Re: Monitorowanie ruchu w sieci

Post autor: bojleros »

Ja polecam squida. Jeżeli masz większą sieć i sporo ramu na maszynie to squid przy okazji pomoże w przyśpieszeniu www. O ile się nie mylę to cachemgr.cgi udostępnia podobną statystykę do tej co pokazał Outlaw.

misczu, Staraj się wypowiadać ostrożnie o potencjalnie szkodliwych możliwościach programów !
ODPOWIEDZ