Otrzymałem zadanie monitorowania połączeń wychodzących z niewielkiej sieci oraz odwiedzanych stron.
W chwili obecnej w sieci znajduje się ruter, który nie daje takich możliwości.
Ruter ten musi jednak zostać, nie można go zastąpić.
W sieci znajduje się zarządzalny przełącznik, który umożliwia wykonanie dublowania portów (ang. port mirroring).
Pomyślałem, że po włączeniu tej opcji skierowałbym kopię ruchu na Debiana, na którym za pomocą iptables monitorowałbym ruch przychodzący.
W ten sposób potrafiłbym tworzyć logi wychodzących połączeń, ale logi w tej postaci:
Kod: Zaznacz cały
Dec 13 13:40:52 t23 kernel: [ 1129.949791] INPUT TCP IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:13:e8:a7:d0:1d:08:00 SRC=192.168.0.136 DST=192.168.0.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=30290 PROTO=UDP SPT=1
Dec 13 13:40:53 t23 kernel: [ 1130.719315] INPUT TCP IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:13:e8:a7:d0:1d:08:00 SRC=192.168.0.136 DST=192.168.0.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=30291 PROTO=UDP SPT=1
Dec 13 13:40:53 t23 kernel: [ 1131.292910] INPUT TCP IN=eth1 OUT= MAC=00:d0:59:da:de:30:00:13:e8:a7:d0:1d:08:00 SRC=192.168.0.136 DST=192.168.0.36 LEN=92 TOS=0x00 PREC=0x00 TTL=128 ID=30292 DF PROTO=TCP SPT
Dec 13 13:40:53 t23 kernel: [ 1131.292951] INPUT TCP IN=eth1 OUT= MAC=00:d0:59:da:de:30:00:13:e8:a7:d0:1d:08:00 SRC=192.168.0.136 DST=192.168.0.36 LEN=92 TOS=0x00 PREC=0x00 TTL=128 ID=30292 DF PROTO=TCP SPT
Problem byłby jednak rozwiązany, gdyby w takich logach udało się zamienić nazwy hostów źródłowych oraz docelowych na nazwy domen.
Czy da się osiągnąć coś takiego za pomocą iptables? A może uda się ten problem rozwiązać w jakiś inny sposób?
Dziękuję za sugestie.
